¿Cómo deshabilitar los protocolos NetBIOS y LLMNR en Windows usando GPO?

por | Jun 27, 2021 | Tips

Los protocolos de transmisión NetBIOS sobre TCP / IP y LLMNR se utilizan en la mayoría de las redes modernas solo por compatibilidad con versiones heredadas de Windows. Ambos protocolos son susceptibles de suplantación de identidad y ataques MITM. En Metasploit hay módulos listos para usar que le permiten explotar fácilmente las vulnerabilidades en los protocolos de transmisión NetBIOS y LLMNR para interceptar las credenciales de usuario en la red local (incluidos los hash NTLMv2). Para mejorar la seguridad de su red, debe deshabilitar estos protocolos en la red del dominio. Averigüemos cómo deshabilitar los protocolos LLMNR y NetBIOS en Windows 10 / Windows Server 2019 manualmente o mediante políticas de grupo.

Protocolo de resolución de nombres de multidifusión local de enlace (LLMNR)

LLMNR (UDP / 5355, Link-Local Multicast Name Resolution) se utiliza en todas las versiones de Windows a partir de Vista y permite a los clientes IPv6 e IPv4 resolver los nombres de las computadoras vecinas sin usar el servidor DNS debido a las solicitudes de transmisión en el segmento de red L2 local. Este protocolo se usa automáticamente si DNS no está disponible (en grupos de trabajo de Windows, este protocolo se usa para Network Discovery). Entonces, si hay servidores DNS en el dominio, este protocolo no es necesario.

Protocolo NetBIOS sobre TCP / IP

NetBIOS sobre TCP / IP o NBT-NS (UDP / 137,138; TCP / 139) es un protocolo de transmisión que es un predecesor de LLMNR y se usa en la red local para publicar y buscar recursos. De forma predeterminada, la compatibilidad con NetBIOS sobre TCP / IP está habilitada para todas las interfaces de red en todas las versiones de Windows.

En Windows, puede mostrar las estadísticas de NetBIOS y las conexiones TCP / IP actuales a través de NBT mediante el comando nbtstat. Para obtener el nombre de la computadora por su dirección IP:

nbtstat -A 192.168.131.190

Como puede ver, nbtstat encontró una computadora en la red local usando el protocolo NetBIOS y devolvió su nombre.

Puede mostrar todos los registros sobre equipos vecinos en la misma red local en la caché NetBIOS:

nbtstat -c

NetBIOS y LLMNR Los protocolos permiten que las computadoras de la red local se encuentren entre sí si el servidor DNS no está disponible. Quizás sean necesarios en un entorno de grupo de trabajo, pero en una red de dominio, ambos protocolos pueden desactivarse.

Consejo. Antes de la implementación masiva de estas políticas en el dominio, recomendamos encarecidamente probar las computadoras y servidores con NetBIOS y LLMNR desactivados. Y si por lo general no hay problemas al deshabilitar LLMNR, deshabilitar NetBIOS puede paralizar el funcionamiento de los dispositivos heredados.

Desactivación de LLMNR en Windows mediante GPO

Puede deshabilitar el protocolo LLMNR en una computadora con Windows localmente a través del registro usando los siguientes comandos de PowerShell:

New-Item "HKLM:SOFTWAREPoliciesMicrosoftWindows NT" -Name DNSClient  -Force
New-ItemProperty "HKLM:SOFTWAREPoliciesMicrosoftWindows NTDNSClient" -Name EnableMultiCast -Value 0 -PropertyType DWORD  -Force

En el entorno de dominio, las difusiones LLMNR se pueden deshabilitar en equipos y servidores mediante la política de grupo. Para hacerlo:

  1. Abre el gpmc.msc, cree un nuevo GPO o edite uno existente que se aplique a todas las estaciones de trabajo y servidores;
  2. Ir Configuración de la computadora -> Plantillas administrativas -> Red -> Cliente DNS;
  3. Permitir Desactivar la resolución de nombres inteligente de múltiples hogares política cambiando su valor a Activado;DIsbale LLMNR a través de GPO: desactive la resolución de nombres inteligente de múltiples hogares
  4. Espere mientras se actualizan las configuraciones de GPO en los clientes, o actualícelas manualmente usando el comando: gpupdate /force

Deshabilitar NetBIOS sobre TCP / IP en Windows 10 / Windows Server 2019

Nota. NetBIOS puede ser utilizado por versiones heredadas de Windows (2000, XP, etc.) y algunos dispositivos que no son de Windows, por lo tanto, debe probarse en cada entorno específico antes de deshabilitarlo.

Puede deshabilitar manualmente NetBIOS en Windows de la siguiente manera:

  1. Propiedades de conexión de red abierta
  2. Seleccione TCP / IPv4 y abre sus propiedades
  3. Hacer clic Avanzado, luego ve a Gana pestaña y seleccione Deshabilitar NetBIOS sobre TCP
  4. Guarde los cambios.

Deshabilite NetBIOS sobre TCP en las propiedades de conexión

Si tiene varios adaptadores de red (o VLAN) en su computadora, deberá deshabilitar NetBIOS en las propiedades de cada uno de ellos.

Puede comprobar el estado de NetBIOS sobre TCP / IP para adaptadores de red desde el símbolo del sistema de Windows:

ipconfig /all |find "NetBIOS"

NetBIOS over Tcpip . . . . . : Disabled

También puede deshabilitar NetBIOS para el adaptador de red específico a través del registro. Cada adaptador de red tiene una clave de registro independiente en HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services NetBT Parameters Interfaces que contiene su TCPIP_GUID.

Para deshabilitar NetBIOS para el adaptador específico, vaya a su clave reg y cambie el valor de NetbiosOptions parámetro a 2 (es 0 por defecto).

NetbiosOptions: deshabilitar netbios a través del registro

Puede deshabilitar NetBIOS en los clientes de dominio que reciben direcciones IP de un servidor DHCP de Windows mediante una opción DHCP especial.

  1. Ejecutar el dhcpmgmt.msc consola, conéctese al servidor DHCP y seleccione la configuración de zona de Opción de alcance (o servidor - Opciones de servidor);
  2. Ve a la Avanzado pestaña y seleccione Opciones de Microsoft Windows 2000 en el Clase de proveedor la lista desplegable;
  3. Permitir 001 Microsoft Deshabilitar la opción Netbios y cambia su valor a 0x2.

001 Microsoft deshabilita la opción Netbios - dhcp

¿Cómo deshabilitar NetBIOS sobre TCP / IP a través de la directiva de grupo?

No existe una opción de GPO separada que permita deshabilitar NetBIOS sobre TCP / IP para todos los adaptadores de red en el Editor de políticas de grupo o la última versión de Plantillas administrativas para Windows 10 / Windows Server 2019. Utilice el siguiente script de inicio de sesión de PowerShell para deshabilitar completamente NetBIOS para todos adaptadores de red:

$regkey = "HKLM:SYSTEMCurrentControlSetservicesNetBTParametersInterfaces"
Get-ChildItem $regkey |foreach { Set-ItemProperty -Path "$regkey$($_.pschildname)" -Name NetbiosOptions -Value 2 -Verbose}

Guarde este código en disableNetbios.ps1 archivo, cópielo en su directorio de GPO y ejecútelo en los clientes a través de Configuración de la computadora -> Políticas -> Configuración de Windows -> Scripts -> Inicio-> Scripts de PowerShell.

deshabilitar netbios usando el script de powershell en gpo

Nota. Para que este cambio surta efecto, debe habilitar / deshabilitar los adaptadores de red o reiniciar la computadora.

Luego, abra un símbolo del sistema y ejecute el siguiente comando para verificar que NetBIOS esté deshabilitado para sus adaptadores de red (excepto para las interfaces de túnel):

wmic nicconfig get caption,index,TcpipNetbiosOptions

Recomendado para ti

Bestseller No. 1
Wscoficey 35 Teclas de Teclado una Mano, Teclado de Juego retroiluminado RGB, Mini portátil Juego Controlador con reposamuñecas, diseño ergonómico Compatible con PC/Mac / PS4 / Xbox (Negro)
Wscoficey 35 Teclas de Teclado una Mano, Teclado de Juego retroiluminado RGB, Mini portátil Juego Controlador con reposamuñecas, diseño ergonómico Compatible con PC/Mac / PS4 / Xbox (Negro)
  • Este teclado profesional de 35 teclas con una sola mano con control avanzado programable te hace sentir más cómodo y crea tu propio teclado especial
  • Mini portátil de 35 teclas, diseño mini que ofrece una experiencia de funcionamiento con una sola mano extremadamente simple
  • Adecuado para tus manos y muñeca, simplifica el complejo procedimiento operativo, vence al rival más rápido en los juegos
  • Teclado compatible con MAC, Win 2000, Win XP, Win ME, Vista, Win7, Win8, Android, Linux y más
  • Brillante: retroiluminación LED, más fresco por la noche
29,99 EUR
Ver en Amazon
RebajasBestseller No. 2
Temario y Supuestos prácticos (Bloque III) Técnicos Auxiliares de Informática de la Administración General del Estado: 2 (Cuerpo de Técnicos ... de la Administración General del Estado)
Temario y Supuestos prácticos (Bloque III) Técnicos Auxiliares de Informática de la Administración General del Estado: 2 (Cuerpo de Técnicos ... de la Administración General del Estado)
49,40 EUR
Ver en Amazon
RebajasBestseller No. 3
Bases de datos (INFORMATICA)
Bases de datos (INFORMATICA)
30,87 EUR
Ver en Amazon

Artículos relacionados: