Zakázanie systému NetBIOS cez TCP / IP a LLMNR v doméne pomocou GPO

Používanie zastaralých protokolov bez zjavnej potreby môže predstavovať potenciálne bezpečnostné riziko pre akúkoľvek počítačovú sieť. V tomto ohľade nedávny humbuk okolo rutinného softvéru WCry naznačuje, že najjednoduchšou obhajobou bolo odmietnutie používania zastaralého protokolu SMBv1 jeho úplným vypnutím. Vysielacie protokoly NetBIOS cez TCP / IP a LLMNR sú to aj zastarané protokoly a vo väčšine moderných sietí sa používajú iba na účely kompatibility. Zároveň v nástroji hacker toolkit existujú rôzne nástroje, ktoré umožňujú zneužívať zraniteľné miesta v protokoloch NetBIOS a LLMNR na zachytenie poverení používateľa v miestnej podsieti (vrátane hashov NTLMv2). Z bezpečnostných dôvodov v doménovej sieti by sa preto tieto protokoly mali zakázať. Poďme zistiť, ako zakázať LLMNR a NetBIOS pomocou skupinových politík.

V prvom rade by sa malo pripomenúť, aký druh protokolov.
obsah:

  • Protokol LLMNR
  • NetBIOS cez TCP / IP
  • Zakázanie LLMNR pomocou skupinovej politiky
  • Zakázanie systému NetBIOS cez TCP / IP

Protokol LLMNR

LLMNR (UDP / 5355, Link-Local Multicast Name Resolution - mechanizmus pre rozlišovanie názvov vysielaných názvov) - protokol je prítomný vo všetkých verziách Windows, začínajúc na Vista, a umožňuje klientom IPv6 a IPv4 prekladať názvy susedných počítačov pomocou požiadaviek na vysielanie v segmente lokálnej siete L2 bez použitia DNS serverov. Tento protokol sa tiež automaticky používa, keď DNS nie je k dispozícii. Preto s pracujúcimi servermi DNS v doméne tento protokol absolútne nie je potrebný..

NetBIOS cez TCP / IP

Protokol NetBIOS cez TCP / IP alebo NBT-NS (UDP / 137,138; TCP / 139) - je protokol predchodcu vysielania LLMNR a používa sa v miestnej sieti na publikovanie a vyhľadávanie zdrojov. Podpora rozhrania NetBIOS cez TCP / IP je v predvolenom nastavení povolená pre všetky rozhrania vo všetkých operačných systémoch Windows.

Tieto protokoly teda umožňujú počítačom v lokálnej sieti nájsť sa navzájom, keď server DNS nie je k dispozícii. Možno sú potrebné v pracovnej skupine, ale v doménovej sieti môžu byť oba tieto protokoly deaktivované.

rada. Pred hromadnou implementáciou údajov politiky v doméne dôrazne odporúčame otestovať počítače so zakázanými sieťami NetBIOS a LLMNR na testovacích skupinách počítačov a serveroch. A ak nie sú problémy so zakázaním LLMNR, zakázanie NetBIOS môže paralyzovať staršie systémy

Zakázanie LLMNR pomocou skupinovej politiky

V doménovom prostredí môžu byť požiadavky na vysielanie LLMNR na počítačoch domény zakázané pomocou skupinovej politiky. Postupujte takto:

  1. V konzole GPMC.msc vytvorte novú alebo upravte existujúcu politiku, ktorá sa vzťahuje na všetky pracovné stanice a servery.
  2. Prejdite do sekcie Konfigurácia počítača -> Šablóny pre správu -> Sieť -> Klient DNS
  3. Povoliť pravidlá Vypnite rozlíšenie názvu multicast, zmena jeho hodnoty na povolené

Zakázanie systému NetBIOS cez TCP / IP

poznámka. Protokol NetBIOS môžu používať staršie verzie systému Windows a niektoré systémy iné ako Windows, takže jeho proces deaktivácie v konkrétnom prostredí sa oplatí otestovať..

NetBIOS môžete manuálne zakázať na konkrétnom klientovi.

  1. Otvorte vlastnosti sieťového pripojenia
  2. Vyberte protokol TCP /IPv4 a otvoriť jeho vlastnosti
  3. Stlačte tlačidlo pokročilý, potom prejdite na kartu WINS a vyberte požadovanú možnosť Zakázať NetBIOS cez TCP (Zakázať NetBIOS cez TCP / IP)
  4. Uložte zmeny

Z databázy Registry môžete zakázať podporu systému NetBIOS pre konkrétny sieťový adaptér. Pre každý sieťový adaptér počítača je vo vnútri samostatná vetva s TCPIP_GUID stručne povedané HKEY_CURRENT_USERlocal_STROJ \SYSTÉM \CurrentControlSet \Služby \NetBT \Parametre \rozhranie.

Ak chcete vypnúť systém NetBIOS pre konkrétny adaptér, musíte otvoriť jeho vetvu a zmeniť hodnotu parametra NetbiosOptions na 2 (predvolená hodnota je 0).

Ak chcete úplne zakázať protokol NetBIOS, vyššie uvedené operácie sa musia vykonať pre všetky počítačové sieťové adaptéry.

Na klientoch domény, ktorí prijímajú adresy IP zo servera DHCP, môžete vypnúť systém NetBIOS nakonfigurovaním možností servera DHCP.

  1. Otvorte konzolu dhcpmgmt.msc a vyberte nastavenia zóny Scope Option (alebo servera - Server Options)
  2. Prejdite na kartu pokročilý, v rozbaľovacom zozname Trieda dodávateľa vyberte položku Microsoft Windows 2000 možnosti
  3. Povoliť možnosť 001 Microsoft zakázať netbios voľba a zmeňte jeho hodnotu na 0x2

Neexistuje žiadna samostatná možnosť zakázať NETBIOS cez TCP / IP pre všetky sieťové adaptéry počítačovej politiky prostredníctvom skupinových politík. Ak chcete zakázať NETBIOS pre všetky počítačové adaptéry, použite nasledujúci skript PowerShell, ktorý musí byť umiestnený v politike počítačový Konfigurácia -> Pravidlá -> windows Nastavenia ->Skripty ->Startup->PowerShell skripty

$ regkey = "HKLM: SYSTEM \ CurrentControlSet \ services \ NetBT \ Parameters \ Interfaces"
Get-ChildItem $ regkey | foreach Set-ItemProperty -Path "$ regkey \ $ ($ _. Pschildname)" -Name NetbiosOptions -Value 2 -Verbose

poznámka. Aby sa zmeny prejavili, musíte vypnúť / zapnúť sieťové adaptéry alebo reštartovať počítač.
Kategórie