Zakázání systému NetBIOS přes TCP / IP a LLMNR v doméně pomocí GPO

Použití zastaralých protokolů bez zjevné potřeby může představovat potenciální bezpečnostní riziko pro jakoukoli počítačovou síť. V tomto ohledu je nedávný humbuk kolem toaletního ransomwaru indikativní, nejjednodušší obranou, proti níž bylo odmítnutí používat zastaralý protokol SMBv1 jeho úplným deaktivací. Vysílací protokoly NetBIOS přes TCP / IP a LLMNR jsou to také zastaralé protokoly a ve většině moderních sítí se používají pouze pro účely kompatibility. Zároveň v sadě hackerských nástrojů existují různé nástroje, které umožňují zneužití zranitelnosti v protokolech NetBIOS a LLMNR k zachycení pověření uživatele v místní podsíti (včetně hashů NTLMv2). Proto by z bezpečnostních důvodů v doménové síti měly být tyto protokoly deaktivovány. Podívejme se, jak zakázat LLMNR a NetBIOS pomocí skupinových zásad.

Nejprve je třeba připomenout, jaké protokoly.
Obsah:

  • Protokol LLMNR
  • NetBIOS přes TCP / IP
  • Zakázání LLMNR pomocí zásad skupiny
  • Zakázání NetBIOS přes TCP / IP

Protokol LLMNR

LLMNR (UDP / 5355, Link-Local Multicast Name Resolution - mechanismus pro rozlišení názvů vysílání) - protokol je přítomen ve všech verzích Windows, počínaje Vista a umožňuje klientům IPv6 a IPv4 překládat názvy sousedních počítačů pomocí požadavků na vysílání v segmentu místní L2 sítě bez použití DNS server. Tento protokol se také automaticky používá, když DNS není k dispozici. Proto s fungujícími DNS servery v doméně není tento protokol absolutně nutný..

NetBIOS přes TCP / IP

Protokol NetBIOS přes TCP / IP nebo NBT-NS (UDP / 137,138; TCP / 139) - je protokol předchůdce vysílání LLMNR a používá se v místní síti k publikování a vyhledávání zdrojů. Podpora rozhraní NetBIOS přes TCP / IP je ve výchozím nastavení povolena pro všechna rozhraní ve všech operačních systémech Windows.

Tyto protokoly tedy umožňují počítačům v místní síti vzájemně se najít, když není server DNS nedostupný. Možná jsou potřeba v pracovní skupině, ale v doménové síti mohou být oba tyto protokoly deaktivovány.

Tip. Před hromadnou implementací dat zásad v doméně důrazně doporučujeme otestovat počítače s deaktivovanými NetBIOS a LLMNR na testovacích skupinách počítačů a serverech. A pokud nejsou problémy se zakázáním LLMNR, deaktivace NetBIOS může paralyzovat starší systémy

Zakázání LLMNR pomocí zásad skupiny

V prostředí domény lze požadavky na vysílání LLMNR v počítačích domény zakázat pomocí zásad skupiny. Postupujte takto:

  1. V konzole GPMC.msc vytvořte novou nebo upravte existující zásadu, která platí pro všechny pracovní stanice a servery.
  2. Přejděte do sekce Konfigurace počítače -> Šablony pro správu -> Síť -> Klient DNS
  3. Povolit zásady Vypněte rozlišení názvu vícesměrového vysílání, změnou jeho hodnoty na Povoleno

Zakázání NetBIOS přes TCP / IP

Poznámka:. Protokol NetBIOS mohou používat starší verze systému Windows a některé systémy jiné než Windows, takže jeho proces deaktivace v konkrétním prostředí stojí za testování..

NetBIOS můžete ručně zakázat na konkrétním klientovi.

  1. Otevřete vlastnosti síťového připojení
  2. Zvolte protokol TCP /IPv4 a otevřít jeho vlastnosti
  3. Stiskněte tlačítko Pokročilé, pak přejděte na kartu VYHRAJE a vyberte možnost Zakázat NetBIOS přes TCP (Zakázat NetBIOS přes TCP / IP)
  4. Uložit změny

Z registru můžete zakázat podporu NetBIOS pro konkrétní síťový adaptér. Pro každý síťový adaptér počítače je uvnitř samostatná větev s TCPIP_GUID HKEY_LOCAL_STROJ \SYSTÉM \CurrentControlSet \Služby \NetBT \Parametry \Rozhraní.

Chcete-li zakázat systém NetBIOS pro konkrétní adaptér, musíte otevřít jeho větev a změnit hodnotu parametru NetbiosOptions dál 2 (výchozí hodnota je 0).

Chcete-li úplně zakázat protokol NetBIOS, musí být výše uvedené operace provedeny pro všechny počítačové síťové adaptéry.

U klientů domény, kteří přijímají adresy IP ze serveru DHCP, můžete zakázat systém NetBIOS konfigurací možností serveru DHCP.

  1. Chcete-li to provést, otevřete konzolu dhcpmgmt.msc a vyberte nastavení zóny Scope Option (nebo serveru - Server Options)
  2. Přejděte na kartu Pokročilé, v rozevíracím seznamu Třída dodavatele vyberte Microsoft Windows 2000 Možnosti
  3. Povolit možnost 001 Microsoft Zakázat Netbios Možnost a změňte jeho hodnotu na 0x2

Neexistuje žádná samostatná možnost zakázat NETBIOS přes TCP / IP pro všechny síťové adaptéry počítačové prostřednictvím skupinových zásad. Chcete-li zakázat NETBIOS pro všechny počítačové adaptéry, použijte následující skript PowerShell, který musí být umístěn do zásady Počítač Konfigurace -> Zásady -> Windows Nastavení ->Skripty ->Spuštění->Powerhell Skripty

$ regkey = "HKLM: SYSTEM \ CurrentControlSet \ services \ NetBT \ Parameters \ Interfaces"
Get-ChildItem $ regkey | foreach Set-ItemProperty -Path "$ regkey \ $ ($ _. Pschildname)" -Name NetbiosOptions -Value 2 -Verbose

Poznámka:. Aby se změny projevily, musíte deaktivovat / povolit síťové adaptéry nebo restartovat počítač.
Kategorie