A NetBIOS letiltása TCP / IP és LLMNR felett egy tartományban GPO használatával

Az elavult protokollok nyilvánvaló igény nélküli használata bármilyen számítógépes hálózat potenciális biztonsági kockázatát jelentheti. Ebben a tekintetben a WCry ransomware körüli utóbbi időben felmerült hype jelzi, amelynek legegyszerűbb védelme az elavult SMBv1 protokoll használatának megtagadása volt annak teljes letiltásával. Broadcast protokollok NetBIOS TCP / IP-n keresztül és LLMNR elavult protokollok is, és a legtöbb modern hálózatban csak kompatibilitási célokra használják őket. Ugyanakkor a hackerek eszköztárában különféle eszközök találhatók, amelyek lehetővé teszik a NetBIOS és az LLMNR protokollok sérülékenységeinek kihasználását a felhasználói hitelesítő adatok elfogására a helyi alhálózaton (beleértve az NTLMv2 kivonatokat). Ezért a domain hálózat biztonsági okokból ezeket a protokollokat le kell tiltani. Gondoljuk ki, hogyan lehet letiltani az LLMNR-t és a NetBIOS-t a csoportházirend segítségével.

Mindenekelőtt emlékeztetni kell arra, hogy milyen protokollokat.
Tartalom:

  • LLMNR protokoll
  • NetBIOS TCP / IP-n keresztül
  • Az LLMNR letiltása a csoportházirend használatával
  • A NetBIOS letiltása TCP / IP-n keresztül

LLMNR protokoll

LLMNR (UDP / 5355, Link-Local multicast névmegoldás - a sugárzott névfelbontás mechanizmusa) - a protokoll a Windows összes verziójában jelen van, Vista-től kezdve, és lehetővé teszi az IPv6 és IPv4 kliensek számára, hogy a szomszédos számítógépek nevét a DNS L használata nélkül, a helyi L2 hálózati szegmensben a műsorszórási kérelmekkel oldják meg. szerver. Ezt a protokollt automatikusan akkor is használják, ha a DNS nem érhető el. Ennek megfelelően a tartományban működő DNS-kiszolgálókkal egyáltalán nincs szükség erre a protokollra..

NetBIOS TCP / IP-n keresztül

NetBIOS protokoll TCP / IP-n keresztül vagy NBT-NS (UDP / 137,138; TCP / 139) - az LLMNR műsorszórás elődjének protokollja, amelyet a helyi hálózaton használnak erőforrások közzétételére és keresésére. A NetBIOS a TCP / IP támogatáson keresztül alapértelmezés szerint engedélyezve van az összes interfész számára az összes Windows operációs rendszerben.

Így ezek a protokollok lehetővé teszik a helyi hálózat számítógépeinek egymás közötti megtalálását, ha a DNS-kiszolgáló nem érhető el. Talán a munkacsoportban szükségük van rájuk, de a tartományi hálózatban mindkét protokollt le lehet tiltani.

tanács. A házirend-adatok tömeges végrehajtása előtt egy tartományban határozottan javasoljuk, hogy tesztelje a letiltott NetBIOS és LLMNR számítógépeket a tesztszámítógépek csoportjain és szerverein. És ha nincs probléma az LLMNR letiltásával, a NetBIOS letiltása megbéníthatja a régi rendszereket

Az LLMNR letiltása a csoportházirend használatával

Tartománykörnyezetben az LLMNR sugárzási kérelmeket a tartományi számítógépeknél le lehet tiltani a csoportházirend használatával. Ehhez:

  1. A GPMC.msc konzolon hozzon létre egy újat vagy módosítsa a meglévő házirendet, amely az összes munkaállomásra és kiszolgálóra vonatkozik.
  2. Menjen a szakaszba Számítógép konfigurálása -> Felügyeleti sablonok -> Hálózat -> DNS-ügyfél
  3. Házirend engedélyezése Kapcsolja ki a Multicast névfelbontást, értékének megváltoztatása Bekapcsolt

A NetBIOS letiltása TCP / IP-n keresztül

megjegyzés. A NetBIOS protokollt a Windows régebbi verziói és egyes nem Windows rendszerek is használhatják, tehát egy adott környezetben való letiltásának folyamata érdemes tesztelni..

Kézzel letilthatja a NetBIOS-t egy adott kliensen.

  1. Nyissa meg a hálózati kapcsolat tulajdonságait
  2. Válasszon protokollt TCP /IPv4 és nyissa meg tulajdonságait
  3. Nyomja meg a gombot fejlett, majd menjen a fülre WINS és válassza ki a lehetőséget Kapcsolja ki a NetBIOS-t a TCP-n keresztül (A NetBIOS letiltása TCP / IP-n keresztül)
  4. Mentés a változásokra

Letilthatja a NetBIOS támogatását egy adott hálózati adapterhez a beállításjegyzékből. Minden számítógépes hálózati adapterhez külön ág tartozik, TCPIP_GUID azonosítóval HKEY_LOCAL_GÉP \RENDSZER \CurrentControlSet \Szolgáltatások \NetBT \Paraméterek \interfészek.

Egy adott adapterhez a NetBIOS letiltásához meg kell nyitnia az ágat, és meg kell változtatnia a paraméter értékét NetbiosOptions tovább 2 (alapértelmezett érték 0).

A NetBIOS protokoll teljes letiltásához a fenti műveleteket minden számítógépes hálózati adapterre el kell végezni.

A DHCP-kiszolgálótól IP-címeket fogadó tartományi ügyfeleknél a DHCP-kiszolgáló beállításainak konfigurálásával letilthatja a NetBIOS-t..

  1. Ehhez nyissa meg a konzolt dhcpmgmt.msc, és válassza ki a Hatókör opció zóna (vagy a szerver - Szerver opciók) beállításait.
  2. Ugrás a fülre fejlett, a Szállító osztály legördülő listában válassza a lehetőséget Microsoft Windows 2000 Options
  3. Engedélyezés 001 Microsoft letiltása netbios opció és változtassa meg értékét 0x2

Nincs külön lehetőség a NETBIOS TCP / IP-n keresztüli letiltására az összes számítógépes hálózati adaptert csoportszabályokon keresztül. A NETBIOS összes számítógép-adapter letiltásához használja a következő PowerShell-parancsfájlt, amelyet be kell helyezni a házirendbe számítógép Konfiguráció -> Szabályzat -> A windows Beállítások ->Szkriptek ->Startup->PowerShell Scripts

$ regkey = "HKLM: SYSTEM \ CurrentControlSet \ services \ NetBT \ Paraméterek \ Interfészek"
Get-ChildItem $ regkey | foreach Set-ItemProperty -Path "$ regkey \ $ ($ _. Pschildname)" -Név NetbiosOptions -Érték 2 -Verbose

megjegyzés. A módosítások hatályba lépéséhez le kell tiltania / engedélyeznie kell a hálózati adaptereket, vagy újra kell indítania a számítógépet.