Відключення NetBIOS через TCP / IP і LLMNR в домені за допомогою GPO

Використання застарілих протоколів без явної необхідності може бути потенційною проломом в безпеці будь-якої комп'ютерної мережі. У цьому плані показовою є недавня галас навколо шифрувальника WCry, найпростіша захист від якого полягала у відмові від використання застарілого протоколу SMBv1 шляхом його повного відключення. широкомовні протоколи NetBIOS через TCP / IP і LLMNR також є застарілими протоколами, і в більшості сучасних мереж вони використовуються тільки з цілями сумісності. Одночасно з цим в інструментарії хакерів є різні інструменти, що дозволяють використовувати уразливості в протоколах NetBIOS і LLMNR для перехоплення облікових даних користувачів в локальній підмережі (в т.ч. хеші NTLMv2). Тому з метою безпеки в доменній мережі ці протоколи слід відключати. Розберемося як відключити LLMNR і NetBIOS з допомогою групових політик.

Перш за все слід нагадати, що це за протоколи.
зміст:

  • протокол LLMNR
  • Протокол NetBIOS поверх TCP / IP
  • Відключення протоколу LLMNR за допомогою групової політики
  • Відключення протоколу NetBIOS over TCP / IP

протокол LLMNR

LLMNR (UDP / 5355, Link-Local Multicast Name Resolution - механізм широковещательного дозволу імен) - протокол присутній у всіх версіях Windows, починаючи з Vista і дозволяє IPv6 і IPv4 клієнтам за рахунок широкомовних запитів в локальному сегменті мережі L2 дозволяти імена сусідніх комп'ютерів без використання DNS сервера. Цей протокол також автоматично використовується при недоступності DNS. Відповідно, при працюючих DNS-серверах в домені, цей протокол абсолютно не потрібен.

Протокол NetBIOS поверх TCP / IP

Протокол NetBIOS over TCP / IP або NBT-NS (UDP / 137,138; TCP / 139) - є широкомовною протоколом-попередником LLMNR і використовується в локальній мережі для публікації і пошуку ресурсів. Підтримка NetBIOS over TCP / IP за замовчуванням включена для всіх інтерфейсів у всіх ОС Windows.

Таким чином ці протоколи дозволяють комп'ютерам в локальній мережі знайти один одного при недоступності DNS сервера. Можливо вони і потрібні в робочій групі, але в доменній мережі обидва цих протоколу можна відключити.

Порада. Перед масовим впровадженням даних політики в домені, настійно рекомендуємо протестувати роботу комп'ютерів з відключеними NetBIOS і LLMNR на тестових групах комп'ютерів і серверах. І якщо проблем з відключенням LLMNR немає, відключення NetBIOS може паралізувати роботу застарілих систем

Відключення протоколу LLMNR за допомогою групової політики

У доменній середовищі широкомовні запити LLMNR на комп'ютерах домену можна відключити за допомогою групової політики. Для цього:

  1. В консолі GPMC.msc створіть нову або відредагуйте наявну політику, яка застосовується до всіх робочих станцій і серверів.
  2. Перейдіть в розділ Computer Configuration -> Administrative Templates -> Network -> DNS Client
  3. Увімкніть політику Turn Off Multicast Name Resolution, змінивши її значення на Enabled

Відключення протоколу NetBIOS over TCP / IP

Примітка. Протокол NetBIOS може використовується старими версіями Windows і деякі не-Windows-системами, тому його процес його відключення в конкретному середовищі варто тестувати.

На конкретному клієнтові відключити NetBIOS можна вручну.

  1. Відкрийте властивості мережевого підключення
  2. Виберіть протокол TCP /IPv4 і відкрийте його властивості
  3. Натисніть кнопку Advanced, потім перейдіть на вкладку WINS і виберіть опцію Disable NetBIOS over TCP (Відключити NetBIOS через TCP / IP)
  4. збережіть зміни

Відключити підтримку NetBIOS для конкретного мережевого адаптера можна і з реєстру. Для кожного мережевого адаптера комп'ютера є окрема гілка з його TCPIP_GUID всередині HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services \NetBT \Parameters \Interfaces.

Щоб відключити NetBIOS для конкретного адаптера, потрібно відкрити його гілку і змінити значення параметра NetbiosOptions на 2 (За замовчуванням значення - 0).

Для повного відключення протоколу NetBIOS, розглянуті вище операції потрібно виконати для всіх мережевих адаптерів комп'ютера.

На клієнтах домену, які отримують IP адреси з DHCP сервера, відключити NetBIOS можна через налаштування опцій DHCP сервера.

  1. Для цього відкрийте консоль dhcpmgmt.msc і виберіть настройки зони Scope Option (або сервера - Server Options)
  2. Перейдіть на вкладку Advanced, в випадаючому списку Vendor class виберіть Microsoft Windows 2000 Options
  3. Увімкніть опцію 001 Microsoft Disable Netbios Option і змініть її значення на 0x2

Окремою опції, що дозволяє відключити NETBIOS over TCP / IP для всіх мережевих адаптерів комп'ютера через групові політики немає. Щоб відключити NETBIOS для всіх адаптерів комп'ютера скористайтеся наступним PowerShell скриптом, який потрібно помістити в політику Computer Configuration -> Policies -> Windows Settings ->Scripts ->Startup->PowerShell Scripts

$ Regkey = "HKLM: SYSTEM \ CurrentControlSet \ services \ NetBT \ Parameters \ Interfaces"
Get-ChildItem $ regkey | foreach Set-ItemProperty -Path "$ regkey \ $ ($ _. Pschildname)" -Name NetbiosOptions -Value 2 -Verbose

Примітка. Для вступу змін в силу, потрібно відключити / включити мережеві адаптери або перезавантажити комп'ютер.
Категорія