Windows系统安全风险提示-本地NTLM重放提权漏洞

经我司安全部门研究分析，近期利用NTLM重放机制入侵Windows系统事件增多，故我司针对我司windows操作系统用户发出风险提醒！

风险漏洞描述：

入侵者主要通过Potato程序攻击拥有SYSTEM权限的端口伪造网络身份认证过程，利用NTLM重放机制骗取SYSTEM身份令牌，最终取得系统权限。

该安全风险微软并不认为存在漏洞，所以不会进行修复。

风险漏洞防范方法：

1、关闭DCOM功能，下面列出关闭DCOM步骤，win2008/2012/2016/2019均适用

a.打开控制面板->管理工具->组件服务

b.展开组件服务-计算机，右击“我的电脑” 选择“属性”

c.点击默认属性选项卡，取消勾选 “在此计算机上启用分布式COM”的，再确定即可。

建议使用windows操作系统都关闭此项以减小被入侵风险。

您也可以直接在命令行执行：

reg add HKLM\SOFTWARE\Microsoft\Ole /v EnableDCOM /t REG_SZ /d N /f

进行关闭。

2、如果在使用iis，建议删除IIS中的IIS6管理兼容

a.服务器管理-管理-删除角色和功能

b.取消iis6管理兼容的所有勾选