服务器大本营

 找回密码
 我要入营

微信扫码 , 快速开始

QQ登录

只需一步,快速开始

查看: 1204|回复: 0

Windows系统安全策略设置之本地NTLM重放提权

[复制链接]

4万

敬重

700

主题

207

精华

管理员

积分
7969

启航之章进阶之印里程之碑突破之证飞跃之星蜕变之勋卓越之路龙年行大运

QQ
发表于 2024-2-21 10:10:50 | 显示全部楼层 |阅读模式

我要入营,结交更多好友,开启更多功能,轻松玩转服务器大本营!

您需要 登录 才可以下载或查看,没有账号?我要入营

x
经安全部门研究分析,近期利用NTLM重放机制入侵Windows 系统事件增多,入侵者主要通过Potato程序攻击拥有SYSTEM权限的端口伪造网络身份认证过程,利用NTLM重放机制骗取SYSTEM身份令牌,最终取得系统权限,该安全风险微软并不认为存在漏洞,所以不会进行修复,为了您的服务器安全,我们建议您进行以下安全调整

一、关闭DCOM功能
DCOM是什么意思?DCOM服务实际上是一项协议,它能让软件组件以一种可靠、安全和高效的方式通过网络进行直接通讯。DCOM以前称为网络OLE,其设计使它能用在多种网络传输包括HTTP等Internet协议上。DCOM以开放软件基金会的DCERPC规范为基础,并可以通过组件对象模型COM而用于Java语言小程序和ActiveXreg组件。(Windows 2008/2012/2016/2019均适用)

1、打开 控制面板->管理工具->组件服务
2、展开 组件服务-计算机 ,右击 我的电脑  选择 属性

Windows系统安全策略设置之本地NTLM重放提权

Windows系统安全策略设置之本地NTLM重放提权


3、点击 默认属性选项卡,取消勾选 “在此计算机上启用分布式COM”的,再确定即可

Windows系统安全策略设置之本地NTLM重放提权

Windows系统安全策略设置之本地NTLM重放提权


建议使用windows的都关闭此项以减小被入侵风险。

4、您也可以直接在命令行执行 reg add HKLM\SOFTWARE\Microsoft\Ole /v EnableDCOM /t REG_SZ /d N /f 进行关闭。

二、如果在使用iis,建议删除IIS中的IIS6管理兼容
依次找到服务器管理-管理-删除角色和功能

Windows系统安全策略设置之本地NTLM重放提权

Windows系统安全策略设置之本地NTLM重放提权


为了您的服务器安全,请务必重视做好安全设置

感谢您的阅读,服务器大本营助您成为更专业的服务器管理员!
一入IDC深似海,从此你我是良人!
您需要登录后才可以回帖 登录 | 我要入营

本版积分规则

Loading...

QQ|Archiver|手机版|网站地图|服务器大本营 ( 赣ICP备2021009089号 )

GMT+8, 2024-11-21 20:39 , Processed in 0.091130 second(s), 29 queries , Gzip On.

Powered by 服务器大本营

© 2021-2023 联系飞飞

快速回复 返回顶部 返回列表