Windows系統(tǒng)安全風(fēng)險(xiǎn)-本地NTLM重放提權(quán)

經(jīng)我司安全部門研究分析，近期利用NTLM重放機(jī)制入侵Windows 系統(tǒng)事件增多，入侵者主要通過(guò)Potato程序攻擊擁有SYSTEM權(quán)限的端口偽造網(wǎng)絡(luò)身份認(rèn)證過(guò)程，利用NTLM重放機(jī)制騙取SYSTEM身份令牌，最終取得系統(tǒng)權(quán)限，該安全風(fēng)險(xiǎn)微軟并不認(rèn)為存在漏洞，所以不會(huì)進(jìn)行修復(fù)，為了您的服務(wù)器安全，我們建議您進(jìn)行一下安全調(diào)整：

1、關(guān)閉DCOM功能
下面列出關(guān)閉DCOM步驟win2008/2012/2016/2019均適用

打開控制面板->管理工具->組件服務(wù)

展開組件服務(wù)-計(jì)算機(jī) ，右擊我的電腦選擇屬性

點(diǎn)擊默認(rèn)屬性選項(xiàng)卡，取消勾選 “在此計(jì)算機(jī)上啟用分布式COM”的，再確定即可

建議使用windows的都關(guān)閉此項(xiàng)以減小被入侵風(fēng)險(xiǎn)。
您也可以直接在命令行執(zhí)行 reg add HKLM\SOFTWARE\Microsoft\Ole /v EnableDCOM /t REG_SZ /d N /f 進(jìn)行關(guān)閉。

2、如果在使用iis，建議刪除IIS中的IIS6管理兼容
服務(wù)器管理-管理-刪除角色和功能