经我司安全部门研究分析，近期利用NTLM重放机制入侵Windows 系统事件增多，入侵者主要通过Potato程序攻击拥有SYSTEM权限的端口伪造网络身份认证过程，利用NTLM重放机制骗取SYSTEM身份令牌，最终取得系统权限，该安全风险微软并不认为存在漏洞，所以不会进行修复，为了您的服务器安全，我们建议您进行一下安全调整：
1、关闭DCOM功能
下面列出关闭DCOM步骤win2008/2012/2016/2019均适用
打开

1. 控制面板

复制代码

->

1. 管理工具

复制代码

->

1. 组件服务

复制代码

展开

1. 组件服务

复制代码

-

1. 计算机

复制代码

，右击

1. 我的电脑

复制代码

选择

1. 属性

复制代码

点击

1. 默认属性

复制代码

选项卡，取消勾选 “在此计算机上启用分布式COM”的，再确定即可

建议使用windows的都关闭此项以减小被入侵风险。
您也可以直接在命令行执行 reg add HKLM\SOFTWARE\Microsoft\Ole /v EnableDCOM /t REG_SZ /d N /f 进行关闭。
2、如果在使用iis，建议删除IIS中的IIS6管理兼容
服务器管理-

1. 角色服务

复制代码

管理-

1. 删除角色和功能

复制代码

如上图所示就可以了
提权案例
提权案例： https://mp.weixin.qq.com/s/qxCoQ9Zne6CibRbJMURiFA 请务必重视做好安全设置
Potato – 本地特权提升工具
这是又一个本地特权提升工具，从Windows服务帐户到NT AUTHORITY\SYSTEM ，如果用户拥有SeImpersonate 或拥有SeAssignPrimaryToken 权限，那么你就可以获取到SYSTEM。
Potato首先是想办法使自己成为一个中间人，再找到一种触发Windows更新机制的方法，或者干脆等待Windows定时检查更新。检查更新时实际上是系统的更新服务作为具有高权限的客户端，发出http请求，Potato中间人在响应中重定向并要求客户端进行认证，利用高权限的客户端向本地假http服务的认证过程，将认证数据转发给系统的RPC服务，迫使系统RPC服务认为Potato中间人是个具有高权限的客户，从而完成提权！
简单分析下Potato的缺点：
在Windows 7下，Potato利用Windows Defender的更新机制可以做到立即。而在其他环境下，Potato在提权时第一阶段会使用NBNS Spoofer技术，会快速发送大量的数据包，测试来看还是比较消耗CPU的，而且要等待较长时间。目前还未测试在该过程中是否会影响到主机访问网络，毕竟部分网络数据被发往127.0.0.1:80。
Potato的具体代码实现就不多说了，可以转换成其他语言编写，从而不依赖.NET，使其适用范围更大。
详细网址：https://www.freebuf.com/sectool/98316.html

来源：https://www.jb51.net/hack/771699.html
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！