セキュリティ部門の調査と分析によると、最近、NTLM 再生メカニズムを使用して Windows システムに侵入する事件が増加しています。侵入者は主に Potato プログラムを使用して、SYSTEM 権限を持つポートを攻撃し、ネットワーク ID 認証プロセスを偽造します。 、NTLM 再生メカニズムを使用して SYSTEM ID トークンをだまし、最終的にシステム アクセス許可を取得するこのセキュリティ リスクについては、Microsoft は脆弱性があるとは考えていないため、修正しません。サーバーのセキュリティのために、次のことをお勧めします。次のセキュリティ調整を行います。
1. DCOM機能をオフにする
DCOMとはどういう意味ですか? DCOM サービスは、実際には、ソフトウェア コンポーネントが信頼性が高く、安全で効率的な方法でネットワーク上で直接通信できるようにするプロトコルです。以前は Web OLE として知られていた DCOM は、HTTP などのインターネット プロトコルを含むさまざまなネットワーク トランスポートで動作するように設計されています。DCOM は Open Software Foundation の DCERPC 仕様に基づいており、コンポーネント オブジェクト モデル COM を通じて Java 言語アプレットおよび ActiveXreg コンポーネントに使用できます。
(win2008/2012/2016/2019が適用可能)
1. [コントロール パネル] -> [管理ツール] -> [コンポーネント サービス] を開きます。
2. 「コンポーネント サービス - コンピュータ」を展開し、「マイ コンピュータ」を右クリックして「プロパティ」を選択します
3. [デフォルトのプロパティ] タブをクリックし 、[このコンピュータで分散 COM を有効にする] のチェックを外して確認します。
侵入のリスクを軽減するために、Windows を使用する場合はこのオプションをオフにすることをお勧めします。
4. コマンド ラインで reg add HKLM\SOFTWARE\Microsoft\Ole /v EnableDCOM /t REG_SZ /d N /f を直接実行して閉じることもできます。
2. iis を使用している場合は、[IISサーバー管理] - [管理] - [役割と機能の削除]で IIS6 管理の互換性を削除することをお勧めします。
セキュリティ設定には必ずご注意ください。不明な点がございましたら、メッセージを残してプライベートメッセージをお送りください。読んでいただきありがとうございます。サーバーテクノロジーの乾物品についてもっと知りたい場合は、私のホームページをフォローしてください。