經我司安全部門研究分析,近期利用NTLM重放機制入侵Windows系統事件增多,故我司針對我司windows操作系統用戶發出風險提醒!
風險漏洞描述:
入侵者主要通過Potato程序攻擊擁有SYSTEM權限的端口偽造網絡身份認證過程,利用NTLM重放機制騙取SYSTEM身份令牌,最終取得系統權限。
該安全風險微軟并不認為存在漏洞,所以不會進行修復。
風險漏洞防范方法:
1、關閉DCOM功能,下面列出關閉DCOM步驟,win2008/2012/2016/2019均適用
a.打開 控制面板->管理工具->組件服務
b.展開 組件服務-計算機 ,右擊“我的電腦” 選擇“屬性”
c.點擊 默認屬性選項卡,取消勾選 “在此計算機上啟用分布式COM”的,再確定即可。
建議使用windows操作系統都關閉此項以減小被入侵風險。
您也可以直接在命令行執行:
reg add HKLM\SOFTWARE\Microsoft\Ole /v EnableDCOM /t REG_SZ /d N /f
進行關閉。
2、如果在使用iis,建議刪除IIS中的IIS6管理兼容
a.服務器管理-管理-刪除角色和功能
b.取消iis6管理兼容的所有勾選
浙公網安備 33048302000166號