經我司安全部門研究分析，近期利用NTLM重放機制入侵Windows 系統事件增多，入侵者主要通過Potato程序攻擊擁有SYSTEM權限的端口偽造網絡身份認證過程，利用NTLM重放機制騙取SYSTEM身份令牌，最終取得系統權限，該安全風險微軟并不認為存在漏洞，所以不會進行修復，為了您的服務器安全，我們建議您進行一下安全調整：

1、關閉DCOM功能

下面列出關閉DCOM步驟win2008/2012/2016/2019均適用

打開 [code]控制面板[/code]->[code]管理工具[/code]->[code]組件服務[/code]

展開 [code]組件服務[/code]-[code]計算機[/code] ，右擊 [code]我的電腦[/code] 選擇 [code]屬性[/code]

點擊 [code]默認屬性[/code]選項卡，取消勾選 “在此計算機上啟用分布式COM”的，再確定即可

建議使用windows的都關閉此項以減小被入侵風險。
您也可以直接在命令行執行 reg add HKLM\SOFTWARE\Microsoft\Ole /v EnableDCOM /t REG_SZ /d N /f 進行關閉。

2、如果在使用iis，建議刪除IIS中的IIS6管理兼容

服務器管理-[code]角色服務[/code]管理-[code]刪除角色和功能[/code]

如上圖所示就可以了

提權案例

提權案例： https://mp.weixin.qq.com/s/qxCoQ9Zne6CibRbJMURiFA 請務必重視做好安全設置

Potato – 本地特權提升工具

這是又一個本地特權提升工具，從Windows服務帳戶到NT AUTHORITY\SYSTEM ，如果用戶擁有SeImpersonate 或擁有SeAssignPrimaryToken 權限，那么你就可以獲取到SYSTEM。

Potato首先是想辦法使自己成為一個中間人，再找到一種觸發Windows更新機制的方法，或者干脆等待Windows定時檢查更新。檢查更新時實際上是系統的更新服務作為具有高權限的客戶端，發出http請求，Potato中間人在響應中重定向并要求客戶端進行認證，利用高權限的客戶端向本地假http服務的認證過程，將認證數據轉發給系統的RPC服務，迫使系統RPC服務認為Potato中間人是個具有高權限的客戶，從而完成提權！

簡單分析下Potato的缺點：

在Windows 7下，Potato利用Windows Defender的更新機制可以做到立即。而在其他環境下，Potato在提權時第一階段會使用NBNS Spoofer技術，會快速發送大量的數據包，測試來看還是比較消耗CPU的，而且要等待較長時間。目前還未測試在該過程中是否會影響到主機訪問網絡，畢竟部分網絡數據被發往127.0.0.1:80。

Potato的具體代碼實現就不多說了，可以轉換成其他語言編寫，從而不依賴.NET，使其適用范圍更大。