Onemogočanje NetBIOS prek TCP / IP in LLMNR v domeni z uporabo GPO

Uporaba zastarelih protokolov brez očitne potrebe lahko predstavlja morebitno varnostno tveganje za katero koli računalniško omrežje. V zvezi s tem kaže nedavni razplet okoli izsiljevalne opreme WCry, najpreprostejša obramba, ki je bila zavrnitev uporabe zastarelega protokola SMBv1, ki ga je popolnoma onemogočila. Oddajajo protokole NetBIOS prek TCP / IP in LLMNR so tudi zastareli protokoli, v večini sodobnih omrežij pa se uporabljajo samo za namene združljivosti. Hkrati so v zbirki orodij za hekerje različna orodja, ki omogočajo izkoriščanje ranljivosti v protokolih NetBIOS in LLMNR za prestrezanje uporabniških poverilnic v lokalni podomreži (vključno z hešami NTLMv2). Zato je treba zaradi varnostnih razlogov v domenskem omrežju te protokole onemogočiti. Ugotovimo, kako onemogočiti LLMNR in NetBIOS z uporabo skupinskih pravilnikov.

Najprej je treba spomniti, kakšni protokoli.
Vsebina:

  • Protokol LLMNR
  • NetBIOS prek TCP / IP
  • Onemogočanje LLMNR z uporabo pravilnika skupine
  • Onemogočanje NetBIOS prek TCP / IP

Protokol LLMNR

LLMNR (UDP / 5355, Link-Local Multicast Resolution Name - mehanizem za razrešitev imena oddaj) - protokol je prisoten v vseh različicah sistema Windows, začenši z Vista in omogoča odjemalcem IPv6 in IPv4, da razrešijo imena sosednjih računalnikov s pomočjo oddajnih zahtev v lokalnem segmentu omrežja L2 brez uporabe DNS strežnik. Ta protokol se samodejno uporablja tudi, ko DNS ni na voljo. Skladno s tem, pri delujočih strežnikih DNS v domeni ta protokol absolutno ni potreben..

NetBIOS prek TCP / IP

NetBIOS protokol preko TCP / IP ali NBT-NS (UDP / 137,138; TCP / 139) - je protokol predhodnika oddaje LLMNR in se uporablja v lokalnem omrežju za objavljanje in iskanje virov. Podpora NetBIOS prek TCP / IP je privzeto omogočena za vse vmesnike v vseh sistemih Windows.

Tako ti protokoli omogočajo računalnikom v lokalnem omrežju, da se med seboj poiščejo, ko strežnik DNS ni na voljo. Morda jih potrebujejo v delovni skupini, toda v domenskem omrežju je mogoče oba ta protokola onemogočiti.

Namig. Pred množično implementacijo podatkov o politikah na neki domeni toplo priporočamo, da preizkusite računalnike z onemogočenimi NetBIOS in LLMNR na skupinah in strežnikih testnih računalnikov. In če ni težav z onemogočanjem LLMNR, lahko onemogočanje NetBIOS paralizira stare sisteme

Onemogočanje LLMNR z uporabo pravilnika skupine

V domenskem okolju je zahteve za oddajanje LLMNR v domenskih računalnikih mogoče onemogočiti s skupinsko politiko. Če želite to narediti:

  1. Na konzoli GPMC.msc ustvarite novega ali uredite obstoječo politiko, ki velja za vse delovne postaje in strežnike.
  2. Pojdite na razdelek Konfiguracija računalnika -> Administrativne predloge -> Omrežje -> Odjemalec DNS
  3. Omogoči pravilnik Izklopite ločljivost imena večpredstavnosti, spreminjanje njegove vrednosti v Omogočeno

Onemogočanje NetBIOS prek TCP / IP

Opomba. Protokol NetBIOS lahko uporabljajo starejše različice sistema Windows in nekaterih sistemov, ki niso Windows, zato je njegov postopek onemogočanja v določenem okolju vredno preizkusiti.

NetBIOS lahko ročno onemogočite na določenem odjemalcu.

  1. Odprite lastnosti omrežne povezave
  2. Izberite protokol TCP /IPv4 in odprite njegove lastnosti
  3. Pritisnite gumb Napredno, nato pojdite na zavihek ZMAGA in izberite možnost Onemogoči NetBIOS prek TCP (Onemogoči NetBIOS prek TCP / IP)
  4. Spremembe shranite

Iz registra lahko onemogočite podporo za NetBIOS za določen omrežni adapter. Za vsakega računalniškega omrežnega adapterja je ločena veja, v kateri je njen TCPIP_GUID HKEY_LOCAL_STROJ \SISTEM \CurrentControlSet \Storitve \NetBT \Parametri \Vmesniki.

Če želite NetBIOS onemogočiti za določen adapter, morate odpreti njegovo vejo in spremeniti vrednost parametra NetbiosOptions naprej 2 (privzeta vrednost je 0).

Za popolno onemogočanje protokola NetBIOS je treba za vse adapterje računalniškega omrežja opraviti zgornje operacije.

Pri odjemalcih domene, ki prejemajo naslove IP od strežnika DHCP, lahko onemogočite NetBIOS s konfiguracijo možnosti strežnika DHCP.

  1. Če želite to narediti, odprite konzolo dhcpmgmt.msc in izberite nastavitve območja možnosti obsega (ali strežnika - možnosti strežnika)
  2. Pojdite na zavihek Napredno, na spustnem seznamu razreda prodajalca izberite Microsoft Windows 2000 Možnosti
  3. Omogoči možnost 001 Microsoft Onemogoči Netbios Možnost in spremenite svojo vrednost v 0x2

Ni nobene možnosti, da prek skupinskih pravilnikov onemogočite NETBIOS prek TCP / IP za vse adapterje računalniškega omrežja. Če želite onemogočiti NETBIOS za vse računalniške adapterje, uporabite naslednji skript PowerShell, ki ga je treba umestiti v pravilnik Računalnik Konfiguracija -> Politike -> Windows Nastavitve ->Skripti ->Zagon->Powerhell Skripti

$ regkey = "HKLM: SISTEM \ CurrentControlSet \ services \ NetBT \ Parametri \ Vmesniki"
Get-ChildItem $ regkey | foreach Set-ItemProperty -Path "$ regkey \ $ ($ _. Pschildname)" -Name NetbiosOptions -Value 2 -Verbose

Opomba. Da spremembe začnejo veljati, morate onemogočiti / omogočiti omrežne adapterje ali znova zagnati računalnik.