Onemogućivanje NetBIOS-a preko TCP / IP-a i LLMNR-a u domeni pomoću GPO-a

Korištenje zastarjelih protokola bez očite potrebe može predstavljati potencijalni sigurnosni rizik za bilo koju računalnu mrežu. U vezi s tim, pokazatelj je nedavnog prepucavanja oko WCry ransomwarea, najjednostavnija obrana protiv koje je bilo odbijanje korištenja zastarjelog SMBv1 protokola potpunim onesposobljavanjem. Prijenos protokola NetBIOS preko TCP / IP i LLMNR Oni su također zastarjeli protokoli, a u većini modernih mreža koriste se samo za kompatibilnost. U isto vrijeme, u paketu alata za hakere postoje različiti alati koji omogućuju iskorištavanje ranjivosti u NetBIOS i LLMNR protokolima za presretanje korisničkih vjerodajnica u lokalnoj podmreži (uključujući i hese NTLMv2). Zbog sigurnosnih razloga u domeni ove protokole treba onemogućiti. Razmislimo kako onemogućiti LLMNR i NetBIOS koristeći grupna pravila.

Prije svega, treba se podsjetiti kakvi protokoli.
sadržaj:

  • LLMNR protokol
  • NetBIOS preko TCP / IP
  • Onemogućavanje LLMNR-a pomoću grupnih pravila
  • Onemogućavanje NetBIOS-a preko TCP / IP-a

LLMNR protokol

LLMNR (UDP / 5355, Link-Local Multicast Resolution Name - mehanizam za razlučivanje imena emitiranja) - protokol je prisutan u svim verzijama Windowsa počevši od Viste i omogućava klijentima IPv6 i IPv4 da razriješe imena susjednih računala bez korištenja DNS-a putem zahtjeva za emitiranje u segmentu lokalne L2 mreže poslužitelj. Ovaj se protokol automatski koristi i kada DNS nije dostupan. Prema tome, s radom DNS poslužitelja u domeni ovaj protokol apsolutno nije potreban..

NetBIOS preko TCP / IP

NetBIOS protokol preko TCP / IP ili NBT-NS (UDP / 137,138; TCP / 139) - protokol prethodnog emitiranja LLMNR-a i koristi se na lokalnoj mreži za objavljivanje i traženje resursa. Podrška za NetBIOS preko TCP / IP omogućena je zadano za sva sučelja u svim Windows OS-ovima.

Dakle, ovi protokoli omogućuju računalima u lokalnoj mreži da se međusobno pronađu kada DNS poslužitelj nije dostupan. Možda su potrebni u radnoj skupini, ali u domeni mreže oba ova protokola mogu biti onemogućena.

vijeće. Prije masovne primjene podataka o pravilima u domeni, toplo preporučujemo da testirate računala s onemogućenim NetBIOS i LLMNR na grupama i poslužiteljima testnih računala. A ako nema problema s onemogućavanjem LLMNR-a, onemogućavanje NetBIOS-a može paralizirati naslijeđene sustave

Onemogućavanje LLMNR-a pomoću grupnih pravila

U domenskom okruženju LLMNR zahtjevi za emitiranje na računalima domena mogu se onemogućiti pomoću grupnih pravila. Da biste to učinili:

  1. Na GPMC.msc konzoli izradite novo ili uredite postojeće pravilo koje se odnosi na sve radne stanice i poslužitelje.
  2. Idite na odjeljak Konfiguracija računala -> Administrativni predlošci -> Mreža -> DNS klijent
  3. Omogući politiku Isključite razlučivost imena višestruke pošte, mijenjajući svoju vrijednost u Omogućeno

Onemogućavanje NetBIOS-a preko TCP / IP-a

primjedba. NetBIOS protokol mogu koristiti starije verzije sustava Windows i neki ne-Windows sustavi, pa je njegov postupak onesposobljavanja u određenom okruženju vrijedan testiranja..

Možete ručno onemogućiti NetBIOS na određenom klijentu.

  1. Otvorite svojstva mrežne veze
  2. Odaberite protokol TCP /IPv4 i otvoriti svoja svojstva
  3. Pritisnite gumb napredan, a zatim idite na karticu WINS i odaberite opciju Onemogućite NetBIOS preko TCP-a (Onemogući NetBIOS preko TCP / IP)
  4. Spremite promjene

Možete isključiti podršku za NetBIOS za određeni mrežni adapter iz registra. Za svaki mrežni adapter računala postoji zasebna grana s TCPIP_GUID HKEY_LOCAL_STROJ \SUSTAV \CurrentControlSet \Usluge \NetBT \Parametri \sučelja.

Da biste isključili NetBIOS za određeni adapter, morate otvoriti njegovu granu i promijeniti vrijednost parametra NetbiosOptions na 2 (zadana vrijednost je 0).

Da biste potpuno onemogućili protokol NetBIOS, gore navedene operacije moraju biti izvedene za sve adaptere računalne mreže.

Na klijentima domene koji primaju IP adrese s DHCP poslužitelja, možete onemogućiti NetBIOS konfiguriranjem opcija DHCP poslužitelja..

  1. Da biste to učinili, otvorite konzolu dhcpmgmt.msc i odaberite postavke zone Scope Option (ili poslužitelja - Opcije poslužitelja)
  2. Idite na karticu napredan, na padajućem popisu klase dobavljača odaberite Microsoft Windows 2000 Opcije
  3. Omogući opciju 001 Microsoft Onemogući NetBIOS opcija i promijeni svoju vrijednost u 0x2

Ne postoji posebna opcija za onemogućavanje NETBIOS-a preko TCP / IP-a za sve adaptere računalne mreže putem grupnih pravila. Da biste onemogućili NETBIOS za sve računalne adaptere, koristite sljedeću skriptu PowerShell-a koja se mora staviti u pravilo računalo Konfiguracija -> Pravila -> Windows Postavke ->Skripte ->Startup->PowerShell skripte

$ regkey = "HKLM: SUSTAV \ CurrentControlSet \ usluge \ NetBT \ Parametri \ Sučelja"
Get-ChildItem $ regkey | foreach Set-ItemProperty -Path "$ regkey \ $ ($ _. Pschildname)" -Name NetbiosOptions -Value 2 -Verbose

primjedba. Da bi promjene stupile na snagu, morate onemogućiti / omogućiti mrežne adaptere ili ponovno pokrenuti računalo.
Kategorija