Windows系统安全风险-本地NTLM重放提权
  yjjuZwU56RoO 2023年11月02日 88 0

经安全部门研究分析,近期利用NTLM重放机制入侵Windows 系统事件增多,入侵者主要通过Potato程序攻击拥有SYSTEM权限的端口伪造网络身份认证过程,利用NTLM重放机制骗取SYSTEM身份令牌,最终取得系统权限,该安全风险微软并不认为存在漏洞,所以不会进行修复,为了您的服务器安全,我们建议您进行一下安全调整:

 

一、 关闭DCOM功能

DCOM是什么意思?DCOM服务实际上是一项协议,它能让软件组件以一种可靠、安全和高效的方式通过网络进行直接通讯。DCOM以前称为网络OLE,其设计使它能用在多种网络传输包括HTTP等Internet协议上。DCOM以开放软件基金会的DCERPC规范为基础,并可以通过组件对象模型COM而用于Java语言小程序和ActiveXreg组件。

(win2008/2012/2016/2019均适用)

 

1、打开 控制面板->管理工具->组件服务

2、展开 组件服务-计算机 ,右击 我的电脑  选择 属性

Windows系统安全风险-本地NTLM重放提权_服务器管理

3、点击 默认属性选项卡,取消勾选 “在此计算机上启用分布式COM”的,再确定即可

Windows系统安全风险-本地NTLM重放提权_服务器管理_02

建议使用windows的都关闭此项以减小被入侵风险。
4、您也可以直接在命令行执行 reg add HKLM\SOFTWARE\Microsoft\Ole /v EnableDCOM /t REG_SZ /d N /f 进行关闭。

二、 如果在使用iis,建议删除IIS中的IIS6管理兼容
服务器管理-管理-删除角色和功能

Windows系统安全风险-本地NTLM重放提权_系统权限_03

请务必重视做好安全设置,大家有不懂的问题可以留言私信我。感谢您的阅读,若是想要了解更多服务器技术干货,关注我主页更精彩


【版权声明】本文内容来自摩杜云社区用户原创、第三方投稿、转载,内容版权归原作者所有。本网站的目的在于传递更多信息,不拥有版权,亦不承担相应法律责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@moduyun.com

  1. 分享:
最后一次编辑于 2023年11月08日 0

暂无评论

yjjuZwU56RoO