Windows Server
 Computer >> コンピューター >  >> システム >> Windows Server

GPOを使用してWindowsでNetBIOSおよびLLMNRプロトコルを無効にする方法は?

ブロードキャストプロトコルNetBIOSover TCP / IP およびLLMNR 最近のほとんどのネットワークでは、レガシーWindowsバージョンとの互換性のためにのみ使用されています。どちらのプロトコルも、なりすましやMITM攻撃の影響を受けやすくなっています。 Metasploitには、ブロードキャストNetBIOSおよびLLMNRプロトコルの脆弱性を簡単に悪用して、ローカルネットワーク(NTLMv2ハッシュを含む)のユーザー資格情報を傍受できる既製のモジュールがあります。ネットワークセキュリティを向上させるには、ドメインネットワークでこれらのプロトコルを無効にする必要があります。手動またはグループポリシーを使用して、Windows 10 / WindowsServer2019でLLMNRおよびNetBIOSプロトコルを無効にする方法を理解しましょう。

内容:

  • リンク-ローカルマルチキャスト名解決(LLMNR)プロトコル
  • NetBIOS Over TCP/IPプロトコル
  • GPOを使用したWindowsでのLLMNRの無効化
  • Windows 10 / WindowsServer2019でNetBIOSoverTCP/IPを無効にする
  • グループポリシーを介してNetBIOSOverTCP /IPを無効にする方法

リンク-ローカルマルチキャスト名解決(LLMNR)プロトコル

LLMNR (UDP / 5355、リンク-ローカルマルチキャスト名解決)は、Vista以降のすべてのWindowsバージョンで使用され、IPv6およびIPv4クライアントは、ローカルL2ネットワークセグメントでのブロードキャスト要求により、DNSサーバーを使用せずに隣接するコンピューターの名前を解決できます。このプロトコルは、DNSが使用できない場合に自動的に使用されます(Windowsワークグループでは、このプロトコルはネットワーク検出に使用されます)。したがって、ドメインにDNSサーバーがある場合、このプロトコルは必要ありません。

NetBIOS Over TCP/IPプロトコル

NetBIOS over TCP / IP またはNBT-NS(UDP / 137,138; TCP / 139)は、LLMNRの前身であるブロードキャストプロトコルであり、ローカルネットワークでリソースの公開と検索に使用されます。デフォルトでは、NetBIOS over TCP / IPのサポートは、すべてのWindowsバージョンのすべてのネットワークインターフェイスで有効になっています。

Windowsでは、nbtstatコマンドを使用して、NBTを介したNetBIOS統計と現在のTCP/IP接続を表示できます。コンピュータ名をIPアドレスで取得するには:

nbtstat -A 192.168.131.190

GPOを使用してWindowsでNetBIOSおよびLLMNRプロトコルを無効にする方法は?

ご覧のとおり、nbtstatは、NetBIOSプロトコルを使用してローカルネットワーク上でコンピューターを検出し、その名前を返しました。

NetBIOSキャッシュ内の同じローカルネットワーク上の隣接するコンピューターに関するすべてのレコードを表示できます。

nbtstat -c

NetBIOS およびLLMNR プロトコルを使用すると、DNSサーバーが利用できない場合でも、ローカルネットワーク上のコンピューターがお互いを見つけることができます。おそらく、ワークグループ環境では必要ですが、ドメインネットワークでは、これらのプロトコルの両方を無効にすることができます。

ヒント 。ドメインにこれ​​らのポリシーを大量に実装する前に、NetBIOSとLLMNRが無効になっているコンピューターとサーバーをテストすることを強くお勧めします。また、LLMNRを無効にしても通常問題がない場合は、NetBIOSを無効にすると、レガシーデバイスの動作が麻痺する可能性があります。

GPOを使用したWindowsでのLLMNRの無効化

次のPowerShellコマンドを使用して、レジストリを介してローカルでWindowsコンピューターのLLMNRプロトコルを無効にできます。

New-Item "HKLM:\SOFTWARE\Policies\Microsoft\Windows NT" -Name DNSClient  -Force
New-ItemProperty "HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient" -Name EnableMultiCast -Value 0 -PropertyType DWORD  -Force

ドメイン環境では、グループポリシーを使用して、コンピューターとサーバーでLLMNRブロードキャストを無効にすることができます。それを行うには:

  1. gpmc.mscを開きます 、新しいGPOを作成するか、すべてのワークステーションとサーバーに適用される既存のGPOを編集します。
  2. コンピューターの構成->管理用テンプレート->ネットワーク->DNSクライアントに移動します ;
  3. 有効にするマルチキャスト名の解決をオフにする 値を有効に変更してポリシーを設定します ;
  4. クライアントのGPO設定が更新されるまで待つか、コマンドgpupdate /forceを使用して手動で更新します。
または、GPPを使用して、EnableMulticast =0レジストリパラメータをドメインコンピュータ(regキーHKLM \ SOFTWARE \ Policies \ Microsoft \ Windows NT \ DNSClient)に展開できます。

Windows 10 / WindowsServer2019でのNetBIOSoverTCP/IPの無効化

注。 NetBIOSは、従来のWindowsバージョン(2000、XPなど)および一部のWindows以外のデバイスで使用される可能性があるため、無効にする前に特定の各環境でテストする必要があります。

次のように、WindowsでNetBIOSを手動で無効にすることができます。

  1. ネットワーク接続のプロパティを開く
  2. TCP / IPv4を選択します プロパティを開きます
  3. 詳細をクリックします 、次に WINSに移動します タブをクリックし、 NetBIOSoverTCPを無効にするを選択します
  4. 変更を保存します。

GPOを使用してWindowsでNetBIOSおよびLLMNRプロトコルを無効にする方法は?

コンピュータに複数のネットワークアダプタ(またはVLAN)がある場合は、それぞれのプロパティでNetBIOSを無効にする必要があります。

ネットワークアダプタのNetBIOSoverTCP / IPステータスは、Windowsコマンドプロンプトから確認できます。

ipconfig /all |find "NetBIOS" 

NetBIOS over Tcpip . . . . . : Disabled

レジストリを介して、特定のネットワークアダプタのNetBIOSを無効にすることもできます。各ネットワークアダプタには、 HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ NetBT \ Parameters \ Interfacesの下に個別のレジストリキーがあります。 TCPIP_GUIDを含みます。

特定のアダプタのNetBIOSを無効にするには、そのregキーに移動し、 NetbiosOptionsの値を変更します。 2へのパラメータ (デフォルトでは0です。)

GPOを使用してWindowsでNetBIOSおよびLLMNRプロトコルを無効にする方法は?

特別なDHCPオプションを使用して、WindowsDHCPサーバーからIPアドレスを受信するドメインクライアントでNetBIOSを無効にすることができます。

  1. dhcpmgmt.mscを実行します コンソールで、DHCPサーバーに接続し、スコープオプションゾーン設定(またはサーバー–サーバーオプション)を選択します。
  2. 詳細に移動します タブをクリックし、 MicrosoftWindows2000オプションを選択します ベンダークラス ドロップダウンリスト;
  3. 001 Microsoft DisableNetbiosOptionを有効にする その値を0x2に変更します

GPOを使用してWindowsでNetBIOSおよびLLMNRプロトコルを無効にする方法は?

グループポリシーを介してNetBIOSOverTCP /IPを無効にする方法

グループポリシーエディターのすべてのネットワークアダプターに対してNetBIOSoverTCP / IPを無効にする、またはWindows 10 / Windows Server 2019の最新バージョンの管理用テンプレートを無効にする個別のGPOオプションはありません。次のPowerShellログオンスクリプトを使用して、すべてのNetBIOSを完全に無効にします。ネットワークアダプター:

$regkey = "HKLM:SYSTEM\CurrentControlSet\services\NetBT\Parameters\Interfaces"
Get-ChildItem $regkey |foreach { Set-ItemProperty -Path "$regkey\$($_.pschildname)" -Name NetbiosOptions -Value 2 -Verbose}

このコードをdisableNetbios.ps1に保存します ファイルをGPOディレクトリにコピーし、[コンピューターの構成]->[ポリシー]->[Windowsの設定]->[スクリプト]->[スタートアップ]->[PowerShellスクリプト]を介してクライアントで実行します。

現在のPowerShell実行ポリシーがこのスクリプトのWindowsコンピューターでの実行をブロックしている場合は、PS1スクリプトに署名するか、バイパスモードで実行する必要があります。

GPOを使用してWindowsでNetBIOSおよびLLMNRプロトコルを無効にする方法は?

。この変更を有効にするには、ネットワークアダプターを有効/無効にするか、コンピューターを再起動する必要があります。

次に、コマンドプロンプトを開き、次のコマンドを実行して、ネットワークアダプタ(トンネルインターフェイスを除く)でNetBIOSが無効になっていることを確認します。

wmic nicconfig get caption,index,TcpipNetbiosOptions


  1. Windows 10 でテレメトリとデータ収集を無効にする方法

    Windows テレメトリとは プライバシーを維持するために、Windows 10 でテレメトリとデータ収集を無効にするにはどうすればよいですか?この記事では、プロセス全体を通して説明します。 マイクロソフトによると: 「Windows テレメトリは、デバイスと Windows および関連ソフトウェアのパフォーマンスに関する Windows デバイスからの重要な技術データです。次のように使用されます: Windows を最新の状態に保つ Windows の安全性、信頼性、パフォーマンスを維持する Windows の使用状況を総合的に分析して Windows を改善する Windo

  2. Windows 10 の StartMenuExperienceHost.exe とは何ですか?また、それを無効にする方法は?

    StartMenuExperienceHost.exe は、Windows オペレーティング システムのコア プログラム ファイルです。これは、MS Windows 10 ビルド 1903 で導入され、後に Windows 10 2004 ビルドに含まれました。実行可能ファイルは、Windows 10 タスク マネージャーで実行中のタスクとして表示されます。これにより、Windows 10 コンピューターのスタート メニューがスムーズかつ独立して実行されるようになり、スタート メニューに関連するエラーやクラッシュの可能性がなくなります。 ただし、一般的なエラーには、StartMenuExpe