文章编号：1807 / 更新时间：2023-04-12 / 浏览：次

经我司安全部门研究分析，近期利用NTLM重放机制入侵Windows系统事件增多，入侵者主要通过Potato程序攻击拥有SYSTEM权限的端口伪造网络身份认证过程，利用NTLM重放机制骗取SYSTEM身份令牌，最终取得系统权限，该安全风险微软并不认为存在漏洞，所以不会进行修复，为了您的服务器安全，我们建议您进行一下安全调整：

下面列出关闭DCOM步骤win2008/2012/2016/2019均适用

打开控制面板->管理工具->组件服务

展开组件服务-计算机，右击我的电脑 选择属性

点击默认属性选项卡，取消勾选“在此计算机上启用分布式COM”的，再确定即可

建议使用windows的都关闭此项以减小被入侵风险。

您也可以直接在命令行执行regaddHKLM\SOFTWARE\Microsoft\Ole/vEnableDCOM/tREG_SZ/dN/f进行关闭。

2、如果在使用iis，建议删除IIS中的IIS6管理兼容

服务器管理-管理-删除角色和功能

取消iis6管理兼容的所有勾选

提权案例：https://mp.weixin.qq.com/s/qxCoQ9Zne6CibRbJMURiFA   请务必重视做好安全设置

扫描二维码推送至手机访问。

3浏览自媒体运营与推广

2浏览网站结构优化

2浏览外部链接建设

2浏览自媒体运营与推广

相关标签： WindowsServer、

本文地址：https://www.badfl.com/article/f4df53a76668f9e32d05.html

上一篇：IIS78启用nginx代理后日志中获取访客真实IP...
下一篇：使用安全工具快速查找挂马和监控防止再次挂...