Деактивиране на NetBIOS през TCP / IP и LLMNR в домейн с използване на GPO

Използването на остарели протоколи без очевидна нужда може да бъде потенциален риск за сигурността на всяка компютърна мрежа. Във връзка с това неотдавнашният свръх около извличащия софтуер WCry е показателен, най-простата защита срещу която беше отказът да се използва остарелият протокол SMBv1, като го деактивира напълно. Излъчване на протоколи NetBIOS през TCP / IP и LLMNR те също са остарели протоколи и в повечето съвременни мрежи се използват само за целите на съвместимостта. В същото време в инструментарита на хакерите има различни инструменти, които позволяват използване на уязвимости в протоколите NetBIOS и LLMNR за прехващане на потребителски идентификационни данни в локалната подмрежа (включително хешовете на NTLMv2). Следователно, от съображения за сигурност в домейна мрежа, тези протоколи трябва да бъдат деактивирани. Нека да разберем как да деактивираме LLMNR и NetBIOS с помощта на групови правила.

На първо място, трябва да се припомни какъв вид протоколи.
Съдържание:

  • LLMNR протокол
  • NetBIOS през TCP / IP
  • Деактивиране на LLMNR с помощта на групови правила
  • Деактивиране на NetBIOS през TCP / IP

LLMNR протокол

LLMNR (UDP / 5355, Link-Local Multicast Name Resolution - механизъм за разделителна способност на имената) - протоколът присъства във всички версии на Windows, като се започне от Vista и позволява на IPv6 и IPv4 клиенти да разрешават имената на съседни компютри, без да използват DNS чрез заявки за излъчване в сегмента на локалната мрежа L2 сървър. Този протокол също се използва автоматично, когато DNS не е наличен. Съответно, при работещите DNS сървъри в домейна този протокол абсолютно не е необходим..

NetBIOS през TCP / IP

NetBIOS протокол през TCP / IP или NBT-NS (UDP / 137,138; TCP / 139) - е протоколът за излъчване на предшественика на LLMNR и се използва в локалната мрежа за публикуване и търсене на ресурси. Поддръжката на NetBIOS през TCP / IP е активирана по подразбиране за всички интерфейси във всички Windows OS.

По този начин тези протоколи позволяват на компютрите в локалната мрежа да се намират един друг, когато DNS сървърът не е наличен. Може би са необходими в работната група, но в мрежата на домейни и двата протокола могат да бъдат деактивирани.

съвет. Преди масово внедряване на данни за политики в даден домейн, силно препоръчваме да тествате компютри с деактивирани NetBIOS и LLMNR на тестови компютърни групи и сървъри. И ако няма проблеми с деактивирането на LLMNR, деактивирането на NetBIOS може да парализира наследените системи

Деактивиране на LLMNR с помощта на групови правила

В домейна среда заявките за излъчване на LLMNR на компютри с домейни могат да бъдат деактивирани с помощта на групови правила. За да направите това:

  1. В конзолата GPMC.msc създайте нова или редактирайте съществуващата политика, която се отнася за всички работни станции и сървъри.
  2. Отидете в секцията Конфигурация на компютъра -> Административни шаблони -> Мрежа -> DNS клиент
  3. Активиране на политиката Изключете разделителната способност на имената на множествено съобщение, променяйки стойността си на Enabled

Деактивиране на NetBIOS през TCP / IP

забележка. Протоколът NetBIOS може да се използва от по-стари версии на Windows и някои системи извън Windows, така че процесът му на деактивиране в определена среда си струва да се тества.

Можете да деактивирате ръчно NetBIOS на конкретен клиент.

  1. Отворете свойствата на мрежовата връзка
  2. Изберете протокол TCP /IPv4 и отворете неговите свойства
  3. Натиснете бутона напреднал, след това отидете на раздела WINS и изберете опцията Деактивирайте NetBIOS през TCP (Деактивиране на NetBIOS през TCP / IP)
  4. Запазване на промените

Можете да деактивирате поддръжката на NetBIOS за конкретен мрежов адаптер от системния регистър. Има отделен клон за всеки компютърен мрежов адаптер с неговия TCPIP_GUID вътре HKEY_LOCAL_МАШИНА \СИСТЕМА \CurrentControlSet \Услуги \NetBT \Параметри \Интерфейси.

За да деактивирате NetBIOS за конкретен адаптер, трябва да отворите неговия клон и да промените стойността на параметъра NetbiosOptions за 2 (стойността по подразбиране е 0).

За да деактивирате напълно протокола NetBIOS, горните операции трябва да бъдат извършени за всички адаптери на компютърната мрежа.

На клиенти на домейн, получаващи IP адреси от DHCP сървър, можете да деактивирате NetBIOS, като конфигурирате опциите на DHCP сървъра.

  1. За целта отворете конзолата dhcpmgmt.мсc и изберете настройките на зоната за обхват на обхвата (или на сървъра - Опции на сървъра)
  2. Отидете в раздела напреднал, в падащия списък за клас доставчик изберете Microsoft Windows 2000 Опции
  3. Опция за активиране 001 Microsoft Изключване Netbios опция и променете стойността си на 0x2

Няма отделна опция за деактивиране на NETBIOS през TCP / IP за всички адаптери на компютърната мрежа чрез групови правила. За да деактивирате NETBIOS за всички компютърни адаптери, използвайте следния скрипт PowerShell, който трябва да бъде поставен в правилото компютър Конфигурация -> Политики -> Windows Настройки ->Сценарии ->Startup->PowerShell Scripts

$ regkey = "HKLM: СИСТЕМА \ CurrentControlSet \ services \ NetBT \ Параметри \ Интерфейси"
Get-ChildItem $ regkey | foreach Set-ItemProperty -Path "$ regkey \ $ ($ _. Pschildname)" -име NetbiosOptions -Value 2 -Verbose

забележка. За да влязат в сила промените, трябва да деактивирате / активирате мрежовите адаптери или да рестартирате компютъра.