Отключение протоколов NetBIOS и LLMNR в Windows с помощью GPO

Широковещательные протоколы NetBIOS over TCP/IP и LLMNR являются устаревшими и в большинстве современных сетей они используются только для совместимости с legacy версиями Windows. Оба протокола подвержены спуфингу и атакам MITM. В том же Metasploit есть готовые модули, позволяющие легко использовать уязвимости в широковещательных протоколах NetBIOS и LLMNR для перехвата учетных данных пользователей в локальной подсети (в т.ч. можно получить хэши NTLMv2). Для повышения безопасности необходимо отключать эти старые протоколы в доменной сети. Разберемся, как отключить протоколы LLMNR и NetBIOS в Windows 10/Windows 2016 вручную или через групповые политики.

Протокол LLMNR

LLMNR (UDP/5355, Link-Local Multicast Name Resolution — механизм широковещательного разрешения имен) – протокол присутствует во всех версиях Windows, начиная с Vista и позволяет IPv6 и IPv4 клиентам разрешать имена соседних компьютеров без использования DNS сервера за счет широковещательных запросов в локальном сегменте сети L2. Этот протокол также автоматически используется при недоступности DNS (в рабочих группах Windows этот протокол используется для сетевого обнаружения/Network Discovery). Соответственно, при работающих DNS-серверах в домене, этот протокол абсолютно не нужен.

Протокол NetBIOS over TCP/IP

Протокол NetBIOS over TCP/IP или NBT-NS (UDP/137,138;TCP/139) – является широковещательным протоколом-предшественником LLMNR и используется в локальной сети для публикации и поиска ресурсов. Поддержка NetBIOS over TCP/IP по умолчанию включена для всех интерфейсов во всех версиях Windows.

В Windows вы можете вывести статистику протокола NetBIOS и текущий подключений TCP/IP по NBT с помощью команды nbtstat. Чтобы по IP адресу получить имя компьютера, выполните:

nbtstat -A 192.168.31.90

Как вы видите, утилита с помощью NetBIOS обнаружила в локальной сети компьютер и вернула его имя.

Можете вывести все записи о соседних компьютерах в локальных сети в кэше NetBIOS:

Протоколы NetBIOS и LLMNR позволяют компьютерам в локальной сети найти друг друга при недоступности DNS сервера. Возможно они и нужны в рабочей группе, но в доменной сети оба этих протокола можно отключить.

Отключение протокола LLMNR с помощью GPO

Можно отключить LLMNR на компьютере Windows локально через реестр с помощью следующей команды PowerShell:

New-Item «HKLM:\SOFTWARE\Policies\Microsoft\Windows NT» -Name DNSClient -Force
New-ItemProperty «HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient» -Name EnableMultiCast -Value 0 -PropertyType DWORD -For ce

В доменной среде широковещательные запросы LLMNR на компьютерах и серверах домена проще отключить с помощью групповой политики. Для этого:

1. В консоли GPMC.msc создайте новую или отредактируйте имеющуюся политику, применяемую ко всем рабочим станциям и серверам;
2. Перейдите в раздел Computer Configuration -> Administrative Templates -> Network -> DNS Client;
3. Включите политику Turn off smart multi-homed name resolution, изменив ее значение на Enabled;
   
4. Дождитесь обновления параметров GPO на клиентах или обновите их вручную командой gpupdate /force .

Отключение протокола NetBIOS over TCP/IP в Windows 10

Вы можете отключить NetBIOS в Windows вручную:

1. Откройте свойства сетевого подключения;
2. Выберите протокол TCP/IPv4 и откройте его свойства;
3. Нажмите кнопку Advanced, затем перейдите на вкладку WINS и выберите опцию Disable NetBIOS over TCP (Отключить NetBIOS через TCP/IP);
4. Сохраните изменения.

Если у вас на компьютере несколько сетевых интерфейсов (или отдельных VLAN), нужно будет отключить NetBIOS в свойствах каждого их них.

Вы можете проверить статус NetBIOS over TCP/IP для сетевых адаптеров из командной строки Windows:

ipconfig /all |find «NetBIOS»

Отключить поддержку NetBIOS для конкретного сетевого адаптера можно и из реестра. Для каждого сетевого адаптера компьютера есть отдельная ветка с его TCPIP_GUID внутри HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters\Interfaces.

Чтобы отключить NetBIOS для конкретного сетевого адаптера, нужно открыть его ветку и изменить значение параметра NetbiosOptions на 2 (по умолчанию значение – 0).

На клиентах домена, получающих IP адреса с DHCP на Windows Server, вы можете отключить NetBIOS через настройку опций DHCP сервера.

1. Для этого откройте консоль dhcpmgmt.msc и выберите настройки зоны Scope Option (или сервера – Server Options);
2. Перейдите на вкладку Advanced, в выпадающем списке Vendor class выберите Microsoft Windows 2000 Options;
3. Включите опцию 001 Microsoft Disable Netbios Option и измените ее значение на 0x2.

Как отключить NetBIOS через групповые политики?

В редакторе групповых политик или последней версии административных шаблонов для Windows 10/Windows Server 2019 нет отдельного параметра, позволяющего отключить протокол NETBIOS over TCP/IP для всех сетевых адаптеров компьютера. Чтобы отключить NETBIOS для всех адаптеров компьютера воспользуйтесь таким логон скриптом PowerShell.

$regkey = «HKLM:SYSTEM\CurrentControlSet\services\NetBT\Parameters\Interfaces»
Get-ChildItem $regkey |foreach

Сохраните этот код в файл disableNetbios.ps1, скопируйте его в каталог вашей GPO и запускайте на клиентах через Computer Configuration -> Policies -> Windows Settings -> Scripts -> Startup- > PowerShell Scripts.

Затем откройте командную строку и проверьте, что NetBIOS отключен для ваших сетевых адаптеров (кроме туннельных интерфейсов):

wmic nicconfig get caption,index,TcpipNetbiosOptions

Список служб Windows 10 которые можно отключить для повышения производительности.

Но это не точно, не абсолютно и относительно, так как каждый пользуется функционалом Windows по-разному, у кого-то есть рабочий принтер дома, а у кого-то нет, кто-то пользуется обновлениями Windows, а кто-то не хочет введу того, что порой это оборачивается фатальной ошибкой для системы, вплоть до BSoD (или синий экран смерти).

На такую разницу и нужно смотреть в первую очередь, чем именно пользуетесь вы, так же обязательно знать составные службы, название которых «не говорящие», пример «Диспетчер печати» — всё понятно, если есть принтер не трогаем и ничего не меняем, если нет, то можно отключить, если вам будет так спокойней, «DNS-клиент» — в названии этой службы уже не так всё очевидно, эта служба является очень важной для работы в сети, и без неё вы не получите доступ в интернет грубо говоря, именно поэтому я опишу ещё один способ, кроме того, что я приводил в одной из своих статей по отключению не нужных служб для повышения производительности операционной системы.

Конкретно для Windows 10 и так шаг первый:

Правкой кнопкой мыши по значку пуск, выбираем из раскрывшегося меню пункт «Диспетчер задачи»

В открывшемся окне, выбираем вкладку «Службы», после чего в нижнем левом углу, нажимаем на «Открыть службы» для перехода в меню управления службами где мы уже сможем отключать службы, при этом видеть их описание, к несчастью для нас порой его не достаточно, чтобы понять за что конкретно отвечает служба, но примерное представление «трогать вам эту службу или нет» вы получите.

И так теперь ниже я приведу список служб, которые вы можете отключить, с небольшим описанием:

Xbox Accessory Management Service – если вы не пользуетесь, как я, магазином или другими «причудами» Microsoft-магазина и программы Xbox, отключайте.

Сохранение игр на Xbox Live – аналогичная ситуация, что и с прошлой службой.

Диспетчер проверки подлинности Xbox Live – отключаем.

Центр обновления Windows – служба вообще нужная, введу выпуска разных обновлений безопасности системы и тому подобное, отключайте на своё усмотрение, однако знайте, что порой она любит включаться обратно, для этого рекомендую сначала отключить службу кликнув правой кнопкой, далее свойства и в открывшемся меню поставить «Тип запуска» Отключена.

Опять же нажатием на полосу пуска, не на значок, правой кнопкой мыши, выбрать «Параметры панели задач», выбираем меню «Обновление и безопасность»

В открывшемся окне кликаем на «Дополнительные параметры» и отключаем всё, что видим.

Windows Search – из описания можно понять для чего примерно нужна эта служба, можно отключить.

Центр обеспечения безопасности – отвечает так же за программу «Защитник Windows», рекомендую отключать эту службу только достаточно опытным пользователям уровня Администратор, так как, по сути, это встроенный антивирус со своими причудами, описание службы достаточно подробно, чтобы разобраться во всей важности или неважности для вас.

Родительский контроль – думаю не следует объяснять для чего она нужно, в моём случаи она отключена, я большой ребёнок!

Служба общих сетевых ресурсов проигрывателя Windows Media – отключаем если не пользуемся данным проигрывателем и не хотим раздавать по внутренней сети свою музыку.

Служба удаленного управления Windows (WS-Management) – важная служба для сетевого удалённого управления, в домашних компьютерах редко нужна, и всё же отключайте её понимая, что в вашем случаи она вам не понадобится.

Биометрическая служба Windows – само название этой службы с той шумихой, что была в преддверии выхода Windows 10, говорит о том что её необходимо сразу же отключить, по сути служба сбора ваших данных для ведения статистки и всего того, что можно делать с вашими данными.

Служба времени Windows – ещё одна служба для корпоративных сетей, для синхронизации времени с сервером, чтобы на каждом компьютере, подключённом в вашей сети, было идентичное время, вы на домашнем компьютере, смело отключайте.

Теневое копирование тома – важная служба, которой можно пренебречь, если вы опытный пользователь и сами делаете точку восстановления системы в нужно для вас время, в противном случаи иной раз лучше не отключать, так как автоматически создаёт такие точки для восстановления системы.

Служба запросов на теневое копирование томов Hyper-V

Служба Hyper-V PowerShell Direct

Служба синхронизации времени Hyper-V

Служба завершения работы в качестве гостя (Hyper-V)

Служба виртуализации удаленных рабочих столов Hyper-V

Служба обмена данными (Hyper-V)

Служба пульса (Hyper-V)

Интерфейс гостевой службы Hyper-V

Все вышеперечисленные службы относятся к виртуальной машине, если вы знаете, что это, и пользуетесь, то службы оставляем включёнными или ставим параметр запуска «Вручную», в своём случаи у меня всё отключено, так как я не пользуюсь данным функционалом.

Перенаправитель портов пользовательского режима служб удаленных рабочих столов – говорящее название из него можно сделать вывод, что, если вы не пользуетесь удалёнными рабочими столами и это вам никогда не понадобится, можно смело отключать.

Настройка сервера удаленных рабочих столов – аналогично.

Служба Advanced Threat Protection в Защитнике Windows

Служба «Безопасность Windows» – я уже описал службу центра обеспечения безопасности, поступайте аналогично.

Служба управления радио – думаю с ней всё понятно, если вы не в самолёте с ноутбуком, и вам не нужно радио, можно отключить!

Служба демонстрации магазина – из описания следует, что служба работает, когда работает демонстрация магазина, я не пользуюсь магазином Windows, поэтому она у меня отключена.

Удаленный реестр – позволяет администраторам менять реестр удалённо с центрального компьютера, отключаем если вы домашний «пк-боярин».

Маршрутизация и удаленный доступ – если вы противник удалённого доступа к компьютеру, то можно отключить, однако как я писал выше у каждого может быть разная ситуация, поэтому функция удалённого доступа и виртуальной машины могут вам понадобится при удалённом администрировании, однако я считаю, что системные администраторы, работающие удалённо и так всё это, прекрасно знают.

Телефонная связь – скайпом я не пользуюсь, звоню через сотовый телефон, поэтому при таком раскладе, можно отключить.

Модуль поддержки NetBIOS через TCP/IP – очередная служба, больше относящаяся к удалённому администрированию, выбор за вами.

Служба географического положения – служба благодаря которой работают программы погоды встроенные в Windows и прочее, я предпочёл отключить.

Служба установки Microsoft Store – в моём компьютере вырезан на уровне реестра магазин Windows, следовательно, и служба выключена.

Функциональные возможности для подключенных пользователей и телеметрия – коротко, это служба для сбора данных, отключаем.

Information Security Squad

stay tune stay secure

• Home
• 2018
• Январь
• 12
• Закрытие широковещательных запросов

Закрытие широковещательных запросов

Серверы WINS давным-давно не используются, а из последних серверов Windows уже выпилены.

Как клиент Windows тем не менее использует разрешение имен NetBIOS в случае чего (после просмотра файла hosts и DNS-запроса).

Есть такой ключик в реестре, который контролирует поведение запросов разрешения имен NetBIOS:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters:NodeType (REG_DWORD)

Возможные значения:
1,2,4,8 (b узла, p узел, m узел, h узел)
1 – b-node, хост отправляет широковещательные запросы;
2 – p-node, хост отправляет только юникастовые запросы к настроенным WINS-серверам;
4 – m-node, хост сначала отправляет широковещательные запросы, а потом юникастовые;
8 – h-node, хост сначала отправляет юникастовые запросы, а потом широковещательные.

Проблема тут вся в широковещательных запросах, на которые может ответить любой шутник из локальной сети и подменить адреса каких-нибудь важных сервисов.

Делается это элементарно с помощью Responder.

Поэтому избавляемся от широковещательны запросов – просто ставим значение 2, то есть p-node.

Настройка сия не входит в стандартный набор административных шаблонов винды, так что прикладываю для нее admx в целях масштабирования.

Локация в групповых политиках: Конфигурация компьютера->Политики->Административные шаблоны->Сеть->DNS-клиент: NetBIOS Node Type.

Если вдруг меня читают школьники – файл .admx нужно положить в папку %SystemDrive%\Windows\PolicyDefinitions на контроллере домена, и там еще есть папочка en-US, в которую нужно пихнуть файл .adml.