Онемогућавање НетБИОС-а преко ТЦП / ИП-а и ЛЛМНР-а у домену помоћу ГПО-а

Коришћење застарелих протокола без очигледне потребе може бити потенцијални сигурносни ризик за било коју рачунарску мрежу. С тим у вези, показатељ је недавне препирке око ВЦ-ове рансомваре-а, најједноставнија одбрана против које је било одбијање коришћења застарелог СМБв1 протокола потпуним деактивирањем. Емитовање протокола НетБИОС преко ТЦП / ИП и ЛЛМНР они су такође застарјели протоколи, а у већини савремених мрежа користе се само у сврху компатибилности. У исто вријеме, у пакету алата за хакере постоје разни алати који омогућују искориштавање рањивости у НетБИОС и ЛЛМНР протоколима за пресретање корисничких акредитива у локалној подмрежи (укључујући НТЛМв2 хасхе). Због сигурносних разлога у доменској мрежи ови протоколи би требали бити онемогућени. Размислимо како да онемогућимо ЛЛМНР и НетБИОС користећи групне смернице.

Прије свега, треба подсјетити какве протоколе.
Садржај:

  • ЛЛМНР Протоцол
  • НетБИОС преко ТЦП / ИП
  • Онемогућавање ЛЛМНР-а коришћењем Гроуп Полици
  • Онемогућавање НетБИОС-а преко ТЦП / ИП-а

ЛЛМНР Протоцол

ЛЛМНР (УДП / 5355, Линк-Лоцал Мултицаст Наме Ресолутион - механизам за разрешавање имена емитовања) - протокол је присутан у свим верзијама Виндовс-а, почевши од Висте и омогућава клијентима ИПв6 и ИПв4 да разреше имена суседних рачунара путем преноса захтева у локалном сегменту Л2 мреже без коришћења ДНС-а сервер. Овај се протокол такође аутоматски користи када ДНС није доступан. Сходно томе, с радом ДНС сервера у домену, овај протокол апсолутно није потребан..

НетБИОС преко ТЦП / ИП

НетБИОС протокол преко ТЦП / ИП или НБТ-НС (УДП / 137,138; ТЦП / 139) - протокол предходника емитирања ЛЛМНР и користи се на локалној мрежи за објављивање и тражење ресурса. Подршка за НетБИОС преко ТЦП / ИП омогућена је подразумевано за све интерфејсе у свим Виндовс оперативним системима.

Стога ови протоколи омогућавају рачунарима у локалној мрежи да се међусобно пронађу када ДНС сервер није доступан. Можда су потребни у радној групи, али у доменској мрежи оба ова протокола могу бити онемогућена.

Савет. Пре масовне примене података о полисама у домену, топло препоручујемо да тестирате рачунаре са онеспособљеним НетБИОС-ом и ЛЛМНР-ом на групама и серверима тестирања рачунара. А ако нема проблема са онемогућавањем ЛЛМНР-а, онемогућавање НетБИОС-а може парализовати наслеђене системе

Онемогућавање ЛЛМНР-а коришћењем Гроуп Полици

У доменском окружењу ЛЛМНР захтеви за емитовање на рачунарима домена могу се онемогућити помоћу групних смерница. Да бисте то урадили:

  1. На ГПМЦ.мсц конзоли направите нову или уредите постојећу политику која се односи на све радне станице и сервере.
  2. Идите на одељак Конфигурација рачунара -> Административни предлошци -> Мрежа -> ДНС клијент
  3. Омогући политику Искључите резолуцију имена вишеструке поште, мењајући вредност у Омогућено

Онемогућавање НетБИОС-а преко ТЦП / ИП-а

Напомена. НетБИОС протокол могу користити старије верзије оперативног система Виндовс и неке не-Виндовс системе, тако да је његов поступак онеспособљавања у одређеном окружењу вредан тестирања..

Можете ручно онемогућити НетБИОС на одређеном клијенту.

  1. Отворите својства мрежне везе
  2. Изаберите протокол ТЦП /ИПв4 и отворити своја својства
  3. Притисните дугме Напредно, а затим идите на картицу ВИНС и изаберите опцију Онемогућите НетБИОС преко ТЦП-а (Онемогући НетБИОС преко ТЦП / ИП)
  4. Сачувај промене

Можете да онемогућите НетБИОС подршку за одређени мрежни адаптер из регистра. Постоји посебна грана за сваки адаптер рачунарске мреже са ТЦПИП_ГУИД унутра ХКЕИ_ЛОЦАЛ_МАШИНА \СИСТЕМ \ЦуррентЦонтролСет \Услуге \НетБТ \Параметри \Интерфејси.

Да бисте онемогућили НетБИОС за одређени адаптер, морате да отворите његову грану и промените вредност параметра НетбиосОптионс на 2 (подразумевана вредност је 0).

Да бисте у потпуности онемогућили НетБИОС протокол, горе наведене операције морају бити изведене за све адаптере рачунарске мреже.

На клијентима домена који примају ИП адресе са ДХЦП сервера, можете онемогућити НетБИОС конфигурирањем опција ДХЦП сервера.

  1. Да бисте то учинили, отворите конзолу дхцпмгмт.мсц и изаберите подешавања зоне опције опсега (или сервера - Опције сервера)
  2. Идите на картицу Напредно, на падајућој листи Вендор класе изаберите Мицрософт Виндовс 2000 Опције
  3. Омогући опцију 001 Мицрософт Онемогући Нетбиос Опција и промените вредност у 0к2

Не постоји посебна опција за онемогућавање НЕТБИОС-а преко ТЦП / ИП-а за све адаптере рачунарске мреже путем групних смерница. Да бисте онемогућили НЕТБИОС за све рачунарске адаптере, користите следећу ПоверСхелл скрипту која мора бити смештена у правилима Компјутер Конфигурација -> Правила -> Виндовс Подешавања ->Скрипте ->Покретање->Поверхелл Скрипте

$ регкеи = "ХКЛМ: СИСТЕМ \ ЦуррентЦонтролСет \ сервицес \ НетБТ \ Параметри \ Интерфејси"
Гет-ЦхилдИтем $ регкеи | фореацх Сет-ИтемПроперти -Патх "$ регкеи \ $ ($ _. Псцхилднаме)" -Наме НетбиосОптионс -Валуе 2 -Вербосе

Напомена. Да би промене ступиле на снагу, морате да онемогућите / омогућите мрежне адаптере или поново покренете рачунар.
Категорија