Menonaktifkan NetBIOS melalui TCP / IP dan LLMNR dalam domain menggunakan GPO

Menggunakan protokol usang tanpa kebutuhan yang jelas dapat menjadi risiko keamanan potensial untuk jaringan komputer mana pun. Dalam hal ini, hype baru-baru ini di sekitar WCry ransomware bersifat indikatif, pertahanan paling sederhana yang menentangnya adalah penolakan untuk menggunakan protokol SMBv1 yang sudah ketinggalan zaman dengan sepenuhnya menonaktifkannya. Protokol siaran NetBIOS melalui TCP / IP dan LLMNR mereka juga protokol usang, dan di sebagian besar jaringan modern mereka hanya digunakan untuk tujuan kompatibilitas. Pada saat yang sama, ada berbagai alat dalam toolkit peretas yang memungkinkan mengeksploitasi kerentanan dalam protokol NetBIOS dan LLMNR untuk mencegat kredensial pengguna pada subnet lokal (termasuk hash NTLMv2). Oleh karena itu, untuk alasan keamanan di jaringan domain, protokol ini harus dinonaktifkan. Mari kita cari tahu cara menonaktifkan LLMNR dan NetBIOS menggunakan kebijakan grup.

Pertama-tama, harus diingat protokol seperti apa.
Konten:

  • Protokol LLMNR
  • NetBIOS melalui TCP / IP
  • Menonaktifkan LLMNR menggunakan Kebijakan Grup
  • Menonaktifkan NetBIOS melalui TCP / IP

Protokol LLMNR

LLMNR (UDP / 5355, Link-Local Multicast Name Resolution - mekanisme untuk resolusi nama broadcast) - protokol hadir di semua versi Windows, dimulai dengan Vista, dan memungkinkan klien IPv6 dan IPv4 untuk menyelesaikan nama-nama komputer tetangga melalui permintaan broadcast di segmen jaringan L2 lokal tanpa menggunakan DNS server. Protokol ini juga secara otomatis digunakan ketika DNS tidak tersedia. Dengan demikian, dengan server DNS yang berfungsi dalam domain, protokol ini sama sekali tidak diperlukan..

NetBIOS melalui TCP / IP

Protokol NetBIOS melalui TCP / IP atau NBT-NS (UDP / 137.138; TCP / 139) - adalah protokol pendahulu siaran LLMNR dan digunakan pada jaringan lokal untuk menerbitkan dan mencari sumber daya. NetBIOS melalui dukungan TCP / IP diaktifkan secara default untuk semua antarmuka di semua OS Windows.

Dengan demikian, protokol ini memungkinkan komputer di jaringan lokal untuk menemukan satu sama lain ketika server DNS tidak tersedia. Mungkin mereka diperlukan di workgroup, tetapi di jaringan domain, kedua protokol ini dapat dinonaktifkan.

Kiat. Sebelum implementasi massal data kebijakan dalam domain, kami sangat menyarankan Anda menguji komputer dengan NetBIOS dan LLMNR yang dinonaktifkan pada kelompok dan server komputer uji. Dan jika tidak ada masalah menonaktifkan LLMNR, menonaktifkan NetBIOS dapat melumpuhkan sistem lama

Menonaktifkan LLMNR menggunakan Kebijakan Grup

Dalam lingkungan domain, permintaan siaran LLMNR di komputer domain dapat dinonaktifkan menggunakan Kebijakan Grup. Untuk melakukan ini:

  1. Di konsol GPMC.msc, buat yang baru atau edit kebijakan yang ada yang berlaku untuk semua workstation dan server.
  2. Pergi ke bagian ini Konfigurasi Komputer -> Template Administratif -> Jaringan -> Klien DNS
  3. Aktifkan Kebijakan Matikan Resolusi Nama Multicast, mengubah nilainya menjadi Diaktifkan

Menonaktifkan NetBIOS melalui TCP / IP

Catatan. Protokol NetBIOS dapat digunakan oleh versi Windows yang lebih lama dan beberapa sistem non-Windows, sehingga proses penonaktifannya dalam lingkungan tertentu layak untuk diuji.

Anda dapat menonaktifkan NetBIOS secara manual pada klien tertentu.

  1. Buka properti koneksi jaringan
  2. Pilih protokol TCP /IPv4 dan buka propertinya
  3. Tekan tombol Mahir, lalu buka tab MENANG dan pilih opsi Nonaktifkan NetBIOS melalui TCP (Nonaktifkan NetBIOS melalui TCP / IP)
  4. Simpan perubahan

Anda dapat menonaktifkan dukungan NetBIOS untuk adaptor jaringan tertentu dari registri. Ada cabang terpisah untuk setiap adaptor jaringan komputer dengan TCPIP_GUID di dalamnya HKEY_LOCAL_MESIN \SISTEM \CurrentControlSet \Layanan \NetBT \Parameter \Antarmuka.

Untuk menonaktifkan NetBIOS untuk adaptor tertentu, Anda perlu membuka cabangnya dan mengubah nilai parameter Pilihan Netbios pada 2 (nilai default adalah 0).

Untuk sepenuhnya menonaktifkan protokol NetBIOS, operasi di atas harus dilakukan untuk semua adapter jaringan komputer.

Pada klien domain yang menerima alamat IP dari server DHCP, Anda dapat menonaktifkan NetBIOS dengan mengkonfigurasi opsi server DHCP.

  1. Untuk melakukan ini, buka konsol dhcpmgmt.msc dan pilih pengaturan zona Opsi Lingkup (atau server - Opsi Server)
  2. Buka tab Mahir, dalam daftar drop-down kelas Vendor, pilih Microsoft Windows 2000 Opsi
  3. Aktifkan opsi 001 Microsoft Nonaktifkan Netbios Opsi dan ubah nilainya menjadi 0x2

Tidak ada opsi terpisah untuk menonaktifkan NETBIOS melalui TCP / IP untuk semua adapter jaringan komputer melalui kebijakan grup. Untuk menonaktifkan NetBIOS untuk semua adaptor komputer, gunakan skrip PowerShell berikut, yang harus ditempatkan dalam kebijakan Komputer Konfigurasi -> Kebijakan -> Windows Pengaturan ->Script ->Startup->Powerhell Skrip

$ regkey = "HKLM: SYSTEM \ CurrentControlSet \ services \ NetBT \ Parameters \ Interfaces"
Dapatkan-ChildItem $ regkey | foreach Set-ItemProperty -Path "$ regkey \ $ ($ _. Pschildname)" -Nama NetbiosPilihan-Nilai 2 -Verbose

Catatan. Agar perubahan diterapkan, Anda perlu menonaktifkan / mengaktifkan adapter jaringan atau me-restart komputer.
Kategori