Używanie przestarzałych protokołów bez jawnej potrzeby może stać się potencjalną luką bezpieczeństwa w dowolnej sieci komputerowej. W tym kontekście najnowsze informacje na temat oprogramowania ransomware WCry są demonstracyjne, a najprostszym sposobem ochrony przed nim było zaprzestanie używania przestarzałego protokołu SMBv1 poprzez całkowite wyłączenie go. Protokoły szerokopasmowe, takie jak NetBIOS przez TCP / IP i LLMNR, są również przestarzałe i używane w większości nowoczesnych sieci tylko ze względu na kompatybilność. W tym samym czasie hakerzy mają różne narzędzia, które wykorzystują pewne słabe punkty w NetBIOS i LLMNR do przechwytywania poświadczeń użytkownika w sieci lokalnej (w tym hashy NTLMv2). Ze względów bezpieczeństwa te protokoły powinny być wyłączone w sieci domen. Zobaczmy, jak wyłączyć LLMNR i NetBIOS za pomocą zasad grupy.
dla przypomnienia:
Protokół LLMNR
LLMNR (UDP / 5355, Link-Local Multicast Name Resolution) jest używany we wszystkich wersjach systemu Windows począwszy od wersji Vista i umożliwia klientom IPv6 i IPv4 rozwiązywanie nazw sąsiednich komputerów bez korzystania z serwera DNS z powodu wysyłania żądań w lokalnym segmencie sieci L2 . Ten protokół jest automatycznie używany, jeśli usługa DNS jest niedostępna. Więc jeśli w domenie są serwery DNS, ten protokół nie jest potrzebny.
NetBIOS przez protokół TCP / IP
NetBIOS przez TCP / IP lub NBT-NS (UDP / 137,138, TCP / 139) jest protokołem rozgłoszeniowym będącym poprzednikiem LLMNR i wykorzystywanym w sieci lokalnej do publikowania i wyszukiwania zasobów. Domyślnie obsługa NetBIOS przez TCP / IP jest włączona dla wszystkich interfejsów we wszystkich wersjach systemu Windows.
Dzięki temu te protokoły umożliwiają komputerom w sieci lokalnej wyszukiwanie siebie nawzajem, jeśli serwer DNS jest niedostępny. Mogą być konieczne w grupie roboczej, ale w sieci domenowej oba mogą być wyłączone.
Wskazówka . Przed masową implementacją tych zasad w domenie zdecydowanie zalecamy przetestowanie komputerów i serwerów z wyłączonymi NetBIOS i LLMNR. Jeśli nie ma problemów z LLMNR, wyłączenie NetBIOS może sparaliżować działanie przestarzałych systemów.
Jak wyłączyć LLMNR przy użyciu GPO
W środowisku domeny żądania rozgłaszania LLMNR można wyłączyć za pomocą GPO. Aby to zrobić:
- W GPMC.msc utwórz nową zasadę lub zmodyfikuj istniejącą, która zostanie zastosowana do wszystkich stacji roboczych i serwerów.
- Przejdź do Konfiguracja komputera -> Szablony administracyjne -> Sieć -> Klient DNS
- Włącz opcję Wyłączanie polityki rozpoznawania nazw multiemisji, zmieniając jej wartość na Włączone
Jak wyłączyć NetBIOS przez TCP / IP
Uwaga . NetBIOS może być używany przez stare wersje systemu Windows i niektóre systemy inne niż Windows, dlatego proces jego wyłączania powinien być testowany w każdym środowisku.
Możesz wyłączyć NetBIOS ręcznie na określonym kliencie.
- Otwórz właściwości połączenia sieciowego
- Wybierz TCP / IPv4 i otwórz jego właściwości
- Kliknij Zaawansowane , a następnie przejdź do zakładki WINS i wybierz Wyłącz NetBIOS przez TCP
- Zapisz zmiany
Możesz również wyłączyć NetBIOS dla określonej karty sieciowej w rejestrze. Każda karta sieciowa ma osobną gałąź w HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ NetBT \ Parameters \ Interfaceszawierające jej TCPIP_GUID.
Aby powiązać NetBIOS dla konkretnego adaptera, otwórz jego gałąź i zmień wartość parametru NetbiosOptions na 2(domyślnie 0).
Aby całkowicie wyłączyć NetBIOS, powyższe operacje powinny zostać wykonane dla wszystkich kart sieciowych komputera.
Możesz wyłączyć NetBIOS na klientach domen pobierających adresy IP z serwera DHCP.
- Aby to zrobić, otwórz dhcpmgmt.msc , połącz się z serwerem DHCP i wybierz Scope Option zone settings (lub server – Server Options)
- Przejdź do zakładki Zaawansowane i wybierz Opcje Microsoft Windows 2000 na liście rozwijanej Klasa dostawcy
- Włącz 001 Microsoft Wyłącz opcję Netbios i zmień jej wartość na 0x2
Nie ma osobnej opcji, która pozwala wyłączyć NETBIOS przez TCP / IP dla wszystkich kart sieciowych komputera przy użyciu GPO. Aby wyłączyć NETBIOS dla wszystkich kart sieciowych komputera, można użyć zasad grupy do wdrożenia skryptu uruchamiania PowerShell. Otwórz edytor GPO i umieść skrypt * .ps1 w Computer Configuration -> Policies -> Windows Settings -> Scripts -> Startup-> PowerShell Scripts :
$regkey = "HKLM:SYSTEM\CurrentControlSet\services\NetBT\Parameters\Interfaces"
Get-ChildItem $regkey |foreach { Set-ItemProperty -Path "$regkey\$($_.pschildname)" -Name NetbiosOptions -Value 2 -Verbose}