Windows系统安全风险-本地NTLM重放提权怎么解决?

近期利用NTLM重放机制入侵Windows 系统事件增多,入侵者主要通过Potato程序攻击拥有SYSTEM权限的端口伪造网络身份认证过程,利用NTLM重放机制骗取SYSTEM身份令牌,最终取得系统权限,该安全风险微软并不认为存在漏洞,所以不会进行修复,为了您的服务器安全,我们建议您进行一下安全调整:

1、关闭DCOM功能
下面列出关闭DCOM步骤win2008/2012/2016/2019均适用

打开 控制面板->管理工具->组件服务

展开 组件服务-计算机 ,右击 我的电脑  选择 属性

Windows系统安全风险-本地NTLM重放提权怎么解决?插图


点击 默认属性选项卡,取消勾选 “在此计算机上启用分布式COM”的,再确定即可

Windows系统安全风险-本地NTLM重放提权怎么解决?插图1

建议使用windows的都关闭此项以减小被入侵风险。
您也可以直接在命令行执行 reg add HKLM\SOFTWARE\Microsoft\Ole /v EnableDCOM /t REG_SZ /d N /f 进行关闭。

2、如果在使用iis,建议删除IIS中的IIS6管理兼容
服务器管理-管理-删除角色和功能
Windows系统安全风险-本地NTLM重放提权怎么解决?插图2

取消iis6管理兼容的所有勾选
Windows系统安全风险-本地NTLM重放提权怎么解决?插图3

提权案例: https://mp.weixin.qq.com/s/qxCoQ9Zne6CibRbJMURiFA     请务必重视做好安全设置

给TA打赏
共{{data.count}}人
人已打赏
0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
在线客服
主机帮
我们将24小时内回复。
2024-12-13 03:07:35
您好,有任何疑问请与我们联系!
您的工单我们已经收到,我们将会尽快跟您联系!
[QQ客服]
176363189
当幸福来敲门
[小黄]
17307799197
[企业邮箱]
sudu@yunjiasu.cc
取消

选择聊天工具: