Wyłączanie NetBIOS przez TCP / IP i LLMNR w domenie korzystającej z GPO

Korzystanie z przestarzałych protokołów bez oczywistej potrzeby może stanowić potencjalne zagrożenie bezpieczeństwa dla dowolnej sieci komputerowej. W związku z tym niedawny szum wokół ransomware WCry ma charakter orientacyjny, najprostszą obroną przed którą była odmowa użycia przestarzałego protokołu SMBv1 poprzez całkowite wyłączenie go. Protokoły transmisji NetBIOS przez TCP / IP i LLMNR są to również przestarzałe protokoły, aw większości nowoczesnych sieci są one wykorzystywane wyłącznie do celów kompatybilności. Jednocześnie istnieją różne narzędzia w zestawie narzędzi hakerów, które umożliwiają wykorzystanie luk w protokołach NetBIOS i LLMNR w celu przechwycenia poświadczeń użytkownika w lokalnej podsieci (w tym skrótów NTLMv2). Dlatego ze względów bezpieczeństwa w sieci domeny te protokoły powinny zostać wyłączone. Zastanówmy się, jak wyłączyć LLMNR i NetBIOS za pomocą zasad grupy.

Przede wszystkim należy przypomnieć, jakie protokoły.
Treść

  • Protokół LLMNR
  • NetBIOS przez TCP / IP
  • Wyłączanie LLMNR przy użyciu zasad grupy
  • Wyłączanie NetBIOS przez TCP / IP

Protokół LLMNR

LLMNR (UDP / 5355, Link-Local Multicast Name Resolution - mechanizm rozpoznawania nazw emisji) - protokół jest obecny we wszystkich wersjach systemu Windows, poczynając od Vista, i pozwala klientom IPv6 i IPv4 rozpoznawać nazwy sąsiednich komputerów za pomocą żądań rozgłaszania w lokalnym segmencie sieci L2 bez użycia DNS serwer. Ten protokół jest również automatycznie używany, gdy DNS jest niedostępny. W związku z tym w przypadku działających serwerów DNS w domenie ten protokół nie jest absolutnie potrzebny..

NetBIOS przez TCP / IP

Protokół NetBIOS przez TCP / IP lub NBT-NS (UDP / 137,138; TCP / 139) - jest to poprzedni protokół transmisji LLMNR i jest używany w sieci lokalnej do publikowania i wyszukiwania zasobów. Obsługa NetBIOS przez TCP / IP jest domyślnie włączona dla wszystkich interfejsów we wszystkich systemach operacyjnych Windows.

Dlatego te protokoły pozwalają komputerom w sieci lokalnej znajdować się nawzajem, gdy serwer DNS jest niedostępny. Być może są potrzebne w grupie roboczej, ale w sieci domen oba protokoły można wyłączyć.

Wskazówka. Przed masową implementacją danych zasad w domenie zdecydowanie zalecamy przetestowanie komputerów z wyłączonym NetBIOS i LLMNR na testowych grupach komputerów i serwerach. A jeśli nie ma problemów z wyłączeniem LLMNR, wyłączenie NetBIOS może sparaliżować starsze systemy

Wyłączanie LLMNR przy użyciu zasad grupy

W środowisku domeny żądania emisji LLMNR na komputerach domeny można wyłączyć za pomocą Zasad grupy. Aby to zrobić:

  1. W konsoli GPMC.msc utwórz nową lub edytuj istniejące zasady, które dotyczą wszystkich stacji roboczych i serwerów.
  2. Przejdź do sekcji Konfiguracja komputera -> Szablony administracyjne -> Sieć -> Klient DNS
  3. Włącz zasady Wyłącz rozpoznawanie nazw multiemisji, zmieniając jego wartość na Włączone

Wyłączanie NetBIOS przez TCP / IP

Uwaga. Protokół NetBIOS może być używany przez starsze wersje systemu Windows i niektóre systemy inne niż Windows, dlatego warto go wyłączyć w określonym środowisku.

Możesz ręcznie wyłączyć NetBIOS na określonym kliencie.

  1. Otwórz właściwości połączenia sieciowego
  2. Wybierz protokół TCP /IPv4 i otwórz jego właściwości
  3. Naciśnij przycisk Zaawansowane, następnie przejdź do zakładki WINS i wybierz opcję Wyłącz NetBIOS przez TCP (Wyłącz NetBIOS przez TCP / IP)
  4. Zapisz zmiany

Możesz wyłączyć obsługę NetBIOS dla określonej karty sieciowej z rejestru. Istnieje osobna gałąź dla każdej karty sieciowej komputera z wewnątrz jej TCPIP_GUID HKEY_LOKALNIEMASZYNA \SYSTEM \CurrentControlSet \Usługi \NetBT \Parametry \Interfejsy.

Aby wyłączyć NetBIOS dla konkretnego adaptera, musisz otworzyć jego gałąź i zmienić wartość parametru NetbiosOptions na 2) (wartość domyślna to 0).

Aby całkowicie wyłączyć protokół NetBIOS, powyższe operacje należy wykonać dla wszystkich kart sieciowych komputera.

Na klientach domeny odbierających adresy IP z serwera DHCP można wyłączyć NetBIOS, konfigurując opcje serwera DHCP.

  1. Aby to zrobić, otwórz konsolę dhcpmgmt.msc i wybierz ustawienia strefy Zakres opcji (lub serwer - Opcje serwera)
  2. Idź do zakładki Zaawansowane, z listy rozwijanej Klasa dostawcy wybierz Microsoft Windows 2000 Opcje
  3. Włącz opcję 001 Microsoft Wyłącz Netbios Opcja i zmień jego wartość na 0x2

Nie ma osobnej opcji wyłączenia NETBIOS przez TCP / IP dla wszystkich kart sieciowych komputera za pomocą zasad grupy. Aby wyłączyć NETBIOS dla wszystkich kart komputerowych, użyj następującego skryptu PowerShell, który należy umieścić w zasadach Komputer Konfiguracja -> Zasady -> Windows Ustawienia ->Skrypty ->Uruchomienie->Powerhell Skrypty

$ regkey = "HKLM: SYSTEM \ CurrentControlSet \ services \ NetBT \ Parameters \ Interfaces"
Get-ChildItem $ regkey | foreach Set-ItemProperty -Path "$ regkey \ $ ($ _. Pschildname)" -Name NetbiosOptions -Value 2 -Verbose

Uwaga. Aby zmiany odniosły skutek, musisz wyłączyć / włączyć karty sieciowe lub ponownie uruchomić komputer.
Kategoria