Включить netbios

Отключение NetBIOS через TCP/IP и LLMNR в домене с помощью GPO

Включить netbios

Использование устаревших протоколов без явной необходимости может являться потенциальной брешью в безопасности любой компьютерной сети.

В этом плане показательна недавняя шумиха вокруг шифровальщика WCry, простейшая защита от которого заключалась в отказе от использования устаревшего протокола SMBv1  путем его полного отключения.

Широковещательные протоколы NetBIOS через TCP/IP и LLMNR также являются устаревшими протоколами, и в большинстве современных сетей они используются только с целями совместимости.

Одновременно с этим в инструментарии хакеров есть различные инструменты, позволяющие использовать уязвимости в протоколах NetBIOS и LLMNR для перехвата учетных данных пользователей в локальной подсети (в т.ч. хэши NTLMv2). Поэтому в целях безопасности в доменной сети эти протоколы следует отключать. Разберемся как отключить LLMNR и NetBIOS с помощью групповых политик.

Прежде всего следует напомнить, что это за протоколы.

Протокол LLMNR

LLMNR (UDP/5355, Link-Local Multicast Name Resolution — механизм широковещательного разрешения имен) – протокол присутствует во всех версиях Windows, начиная с Vista и позволяет IPv6 и IPv4 клиентам за счет широковещательных запросов в локальном сегменте сети L2 разрешать имена соседних компьютеров без использования DNS сервера. Этот протокол также автоматически используется при недоступности DNS. Соответственно, при работающих DNS-серверах в домене, этот протокол абсолютно не нужен.

Протокол NetBIOS поверх TCP/IP

Протокол NetBIOS over TCP/IP или NBT-NS (UDP/137,138;TCP/139) – является широковещательным протоколом-предшественником LLMNR и используется в локальной сети  для публикации и поиска ресурсов. Поддержка NetBIOS over TCP/IP по умолчанию включена для всех интерфейсов во всех ОС Windows.

Таким образом эти протоколы позволяют компьютерам в локальной сети найти друг друга при недоступности DNS сервера. Возможно они и нужны в рабочей группе, но в доменной сети оба этих протокола можно отключить.

Отключение протокола LLMNR с помощью групповой политики

В доменной среде широковещательные запросы LLMNR на компьютерах домена можно отключить с помощью групповой политики. Для этого:

  1. В консоли GPMC.msc создайте новую или отредактируйте имеющуюся политику, применяемую ко всем рабочим станциям и серверам.
  2. Перейдите в раздел Computer Configuration -> Administrative Templates -> Network -> DNS Client
  3. Включите политику Turn Off Multicast Name Resolution, изменив ее значение на Enabled

Отключение протокола NetBIOS over TCP/IP

Примечание. Протокол NetBIOS может используется старыми версиями Windows и некоторыми не-Windows-системами, поэтому его процесс его отключения в конкретной среде стоит тестировать.

На конкретном клиенте отключить NetBIOS можно вручную.

  1. Откройте свойства сетевого подключения
  2. Выберите протокол TCP/IPv4 и откройте его свойства
  3. Нажмите кнопку Advanced, затем перейдите на вкладку WINS и выберите опцию Disable NetBIOS over TCP (Отключить NetBIOS через TCP/IP)
  4. Сохраните изменения

Отключить поддержку NetBIOS для конкретного сетевого адаптера можно и из реестра.

  Для каждого сетевого адаптера компьютера есть отдельная ветка с его TCPIP_GUID внутри HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters\Interfaces.

Чтобы отключить NetBIOS для конкретного адаптера, нужно открыть его ветку и изменить значение параметра NetbiosOptions на 2 (по умолчанию значение – 0).

Для полного отключение протокола NetBIOS, рассмотренные выше операции нужно выполнить для всех сетевых адаптеров компьютера.

На клиентах домена, получающих IP адреса с DHCP сервера, отключить NetBIOS можно через настройку опций DHCP сервера.

  1. Для этого откройте консоль dhcpmgmt.msc и выберите настройки зоны Scope Option (или сервера – Server Options)
  2. Перейдите на вкладку Advanced, в выпадающем списке Vendor class выберите Microsoft Windows 2000 Options
  3. Включите опцию 001 Microsoft Disable Netbios Option и измените ее значение на 0x2

Отдельной опции, позволяющей отключить NETBIOS over TCP/IP для всех сетевых адаптеров компьютера через групповые политики нет.

Чтобы отключить NETBIOS для всех адаптеров компьютера воспользуйтесь следующим PowerShell скриптом, который нужно поместить в политику Computer Configuration ->Policies ->Windows Settings ->Scripts ->Startup->PowerShell Scripts

$regkey = “HKLM:SYSTEM\CurrentControlSet\servicesetBT\Parameters\Interfaces”
Get-ChildItem $regkey |foreach { Set-ItemProperty -Path “$regkey\$($_.pschildname)” -Name NetbiosOptions -Value 2 -Verbose}

Примечание. Для вступления изменений в силу, нужно отключить/включить сетевые адаптеры или перезагрузить компьютер.

Источник: https://winitpro.ru/index.php/2017/08/21/otklyuchenie-netbios-cherez-tcpip-i-llmnr-v-domene-s-pomoshhyu-gpo/

Решение проблемы сетевых протоколов в Windows 10

Включить netbios
Если при попытке диагностики неполадок при неработающем Интернете или локальной сети в Windows 10 вы получаете сообщение о том, что на этом компьютере отсутствуют один или несколько сетевых протоколов, в инструкции ниже предлагается несколько способов исправить проблему, один из которых, надеюсь вам поможет.

Однако, прежде чем начать, рекомендую отключить и подключить заново кабель к сетевой карте ПК и (или) к роутеру (в том числе проделать то же самое с кабелем WAN к роутеру, если у вас подключение по Wi-Fi), так как случается, что проблема «отсутствуют сетевые протоколы» вызвана именно плохим подключением сетевого кабеля.

Примечание: если у вас есть подозрение, что проблема появилась после автоматической установки обновлений драйверов сетевой карты или беспроводного адаптера, то обратите внимание также на статьи Не работает Интернет в Windows 10 и Соединение Wi-Fi не работает или ограничено в Windows 10.

Установить в Windows 10 меню пуск от Windows 7

Сброс протокола TCP/IP и Winsock

Первое, что стоит попробовать если диагностика неполадок сети пишет, что один или несколько сетевых протоколов Windows 10 отсутствуют — выполнить сброс WinSock и протокола TCP/IP.

Сделать это просто: запустите командную строку от имени администратора (правый клик мышью по кнопке «Пуск», выбрать нужный пункт меню) и по порядку введите следующие две команды (нажимая Enter после каждой):

  • netsh int ip reset
  • netsh winsock reset

После выполнения этих команд перезагрузите компьютер и проверьте, была ли решена проблема: с большой вероятностью проблем с отсутствующим сетевым протоколом не возникнет.

Скачать образ Windows 10 ISO с сайта Майкрософт / 4 варианта

Если при выполнении первой из указанных команд вы увидите сообщение о том, что вам отказано в доступе, то откройте редактор реестра (клавиши Win+R, ввести regedit), перейдите к разделу (папке слева) HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\ Nsi\ {eb004a00-9b1a-11d4-9123-0050047759bc}\ 26 и кликните правой кнопкой мыши по этому разделу, выберите пункт «Разрешения». Предоставьте группе «Все» полный доступ для изменения этого раздела, после чего выполните команду снова (и не забудьте перезагрузить компьютер после этого).

Отключение NetBIOS

Еще один способ исправить проблему с подключением и Интернетом в данной ситуации, срабатывающий для некоторых пользователей Windows 10 — отключение NetBIOS для сетевого подключения.

Попробуйте по шагам выполнить следующее:

  1. Нажмите клавиши Win+R на клавиатуре (клавиша Win — та, что с эмблемой Windows) и введите ncpa.cpl после чего нажмите Ок или Enter.
  2. Кликните правой кнопкой мыши по вашему Интернет-подключению (по локальной сети или Wi-Fi), выберите пункт «Свойства».
  3. В списке протоколов выберите IP версии 4 (TCP/IPv4) и нажмите кнопку «Свойства» ниже (заодно, кстати, посмотрите, включен ли этот протокол, должен быть включен).
  4. Внизу окна свойств нажмите «Дополнительно».
  5. Откройте вкладку WINS и установите «Отключить NetBIOS через TCP/IP».

Нет активации Windows 10 / есть ли ограничения

Примените сделанные настройки и перезагрузите компьютер, а затем проверьте, заработало ли подключение так, как нужно.

Программы, вызывающие ошибку с сетевыми протоколами Windows 10

Подобные проблемы с Интернетом могут вызывать и сторонние программы, устанавливаемые на компьютер или ноутбук и какими-либо хитрыми способами использующие сетевые подключения (мосты, создание виртуальных сетевых устройств и т.д.).

Среди замеченных в вызывающих описываемую проблему — LG Smart Share, но это могут быть и другие похожие программы, а также виртуальные машины, эмуляторы Android и подобного рода ПО. Так же, если в последнее время в Windows 10 что-то менялось в части антивируса или фаервола, это тоже могло вызывать проблему, проверьте.

Как установить Windows 10 на Mac

Другие способы исправить проблему

Прежде всего, если проблема у вас возникла внезапно (т.е. ранее все работало, а систему вы не переустанавливали), возможно, вам смогут помочь точки восстановления Windows 10.

В остальных же случаях чаще всего причиной проблемы с сетевыми протоколами (если вышеописанные методы не помогли) являются не те драйвера на сетевой адаптер (Ethernet или Wi-Fi). При этом в диспетчере устройств вы все так же будете видеть, что «устройство работает нормально», а драйвер не нуждается в обновлении.

Как правило, помогает либо откат драйвера (в диспетчере устройств — правый клик по устройству — свойства, кнопка «откатить» на вкладке «драйвер», либо принудительная установка «старого» официального драйвера производителя ноутбука или материнской платы компьютера. Подробные шаги описаны в двух руководствах, которые упомянуты в начале этой статьи.

источник-remontka

Источник: https://windows10w.ru/help/reshenie-problemy-setevyh-protokolov-v-windows-10.html

NetBIOS в руках хакера

Включить netbios

В данной статье пойдёт краткое повествование о том, что нам может рассказать такая привычная с виду вещь как NetBIOS. Какую он может предоставить информацию для потенциального злоумышленника/пентестера.

Продемонстрированная область применения разведывательных техник относится к внутренним, то есть изолированным и недоступным извне сетям. Такие сети есть как правило у любой даже у самой крошечной компании.

Сам по себе NetBIOS используется, как правило, для получения сетевого имени. И этого будет достаточно, чтобы сделать как минимум 4 вещи.

Обнаружение хостов

Благодаря тому, что NetBIOS может использовать UDP в качестве транспорта, скорость его работы позволяет обнаруживать хосты в очень больших сетях. Так, например, инструмент nbtscan, входящий в одноимённый пакет, может всего за 2 секунды (может положить сеть) разресолвить адреса сети вида 192.168.0.

0/16, тогда как традиционное TCP-сканирование займёт десятки минут. Эту особенность можно использовать как технику обнаружения хостов (host sweep) в очень больших сетях, о которых ничего не известно, перед тем как запускать nmap. Хотя результат и не гарантирует 100% обнаружения, т. к.

преимущественно отвечать будут windows-хосты и то не все, он всё же позволит определить, в каких примерно диапазонах находятся живые хосты.

Идентификация хостов

Используя результаты получения имён из ip-адресов:

можно видеть: помимо того что имя раскрывает владельца рабочей станции (хотя такое кстати бывает далеко не всегда), один из адресов явно выделяется на фоне других.

Мы можем видеть, что было получено имя KALI. Такое поведение характерно, как правило, для unix-реализации SMB/NetBIOS в составе программного пакета samba или очень старых Windows 2000.

Получение имени KALI, в то время как на других хостах это свидетельствует о наличии так называемой null-session. При дефолтных настройках SMB-сервера на linux склонны к ней.

Null-session лишь позволяет абсолютно анонимно (а мы ни какие пароли не вводили, как видно на скрине) получить достаточно много дополнительной информации, такой как локальная парольная политика, список локальных пользователей, групп и список расшаренных ресурсов (шар):

Зачастую на linux SMB-серверах бывают публично доступные шары не то что на чтение, но даже на запись. Наличие и той, и другой несут в себе различные угрозы, использование которых выходит за рамки данной статьи.

NetBIOS так же позволяет получить имена всех типов, которые хранит рабочая станция:

в данном случае это позволяет узнать, что хост является ещё и контроллером домена ARRIVA.

Так же стоит еще дополнительно обратить внимание, что NetBIOS позволяет получить mac-адрес. При чём в отличие от arp-запросов, NetBIOS-запросы способны выйти за пределы подсети.

Это может быть полезно если, например, требуется отыскать в сети какой-нибудь ноутбук или специфичное железо, зная его производителя.

Так как первые три октета mac-адреса идентифицируют производителя, то можно рассылая подобные NetBIOS-запросы во все известные подсети попытаться найти нужное устройство (http://standards-oui.ieee.org/oui.txt).

Определение принадлежности к домену

Часто при перемещении по внутренним корпоративным сетям требуется атаковать именно рабочую станцию, включенную в домен (например, для поднятия привилегий до уровня доменного администратора) или наоборот.

В данном случае NetBIOS опять-таки может помочь:

В данном случае с помощью NetBIOS были получены все имена всех типов. Среди них можно увидеть, помимо имени ПК (то что уже было получено до этого), ещё и имя рабочей группы.

По дефолту для windows оно как правило что-то вроде WORKGROUP или IVAN-PC, но если рабочая станция в домене, то её рабочая группа — это и есть имя домена.

Таким образом, с помощью NetBIOS можно узнать в домене ли рабочая станция и, если да, то в каком.

Если же требуется получить список доменных хостов в пределах подсети, то хватит и одного широковещательного запроса с именем нужного домена: в результате ответят все хосты, состоящие в данном домене.

Обнаружение multihomed хостов

И наконец ещё одна вероятно очень мало известная техника, которая является просто незаменимой для нахождения путей в защищённые, возможно даже изолированные физически, сети. Это могут быть цеховые сети предприятий, напичканные контроллерами.

Доступ к этой сети для злоумышленника означает возможностью влиять на технологический процесс, а для предприятия риск понести колоссальные убытки. Итак, суть в том, что даже если сеть изолирована из корпоративной сети, то зачастую некоторые администраторы, то ли по своей лени, то ли ещё как то, любят поднимать ещё одну сетевую карту на своих ПК для доступа в эту самую сеть.

При этом всё это происходит конечно же в обход всяческих правил корпоративных сетевых экранов. Удобно, да, но не очень безопасно, в случае если вас взломают, тогда вы станете мостом в данную сеть и понесёте ответственность. Однако для злоумышленника тут есть одна проблема — найти того самого администратора, который включился в защищённую сеть подобным нелегальным образом.

Более того, это непростая проблема и для самих безопасников сети. На больших предприятиях это поистине сложная задача, словно отыскать иголку в стоге сена. В данной ситуации очевидных варианта для злоумышленника было бы два:

  1. попытаться использовать каждый ПК в корпоративной подсети в качестве шлюза до требуемой сети. Это было бы очень удобно, но такое редко встречается, т.

    к. на windows хостах ip forwarding почти всегда отключен. Более того подобная проверка возможна только внутри своей подсети, а также она требует от злоумышленника точно знать целевой адрес из изолированной сети

  2. пытаться удалённо заходить на каждый хост и выполнять банальную команду ipconfig/ifconfig. И тут не всё так гладко.

    Даже если злоумышленник заручился правами доменного администратора, то сетевые экраны и локальные фаерволы никто не отменял. Так что данная задача не на 100% автоматизируется. В результате остаётся мучительно заходить на каждый хост, преодолевая сетевые экраны (часто блокирующие именно 445/tcp порт), в надежде увидеть наконец желанный сетевой интерфейс.

Однако всё куда проще. Существует один чрезвычайно простой приём, который позволяет получить с того или иного хоста список сетевых интерфейсов. Допустим у нас есть некий хост: это обратный ресолв ip-адрес → сетевое имя.

Если же мы теперь попытаемся сделать прямой ресолв сетевое имя → ip-адрес: то мы узнаем, что данный хост — это ещё и шлюз (по-видимому) в какой то другой сети. Стоит отметить, что в данном случае запрос шёл широковещательно. Иными словами, его услышат хосты только из подсети злоумышленника.

Если же целевой хост находится за пределами подсети, то можно послать таргетированный запрос: В данном случае видно, что цель находится за пределами подсети злоумышленника. С помощью ключа -B было указано, что запрос следует слать на конкретный адрес, а не на широковещательный.

Теперь осталось лишь быстро собрать информацию со всей интересующей подсети, а не с одного адреса. Для этого можно использовать небольшой python-скрипт:

И через несколько секунд: Именно выделенный хост, в данном импровизированном случае стал бы первой мишенью злоумышленника, если бы он преследовал сеть 172.16.1/24.

Повторяющиеся имена на разных ip свидетельствуют о том, что хост имеет так же две сетевые карты, но уже в одной подсети. Тут стоит отметить, что NetBIOS не разглашает alias-ы (которые легко могут быть вычислены через arp-запросы как ip с одинаковым mac). В данном случае ip-адреса имеют разные mac.

Другой пример использования данного приёма — общественный Wi-Fi. Иногда можно встретить ситуацию, когда среди гостевых устройств к общественной сети подключается персонал, работающий в закрытом корпоративном сегменте. Тогда с помощью данной разведывательной техники злоумышленник очень быстро сможет наметить себе путь для прохождения в закрытую сеть: В данном случае среди 65 клиентов общественного Wi-Fi оказались две рабочие станции, имеющие дополнительный интерфейс, вероятно относящийся к корпоративной сети.

Если иногда между сетевыми сегментами или прямо на рабочих станциях наблюдается фильтрация трафика на 445/tcp порт, препятствующая удалённому входу на систему (удалённому исполнению кода), то в данном случае для разрешения имён по NetBIOS используется 137/udp порт, сознательное блокирование которого почти не встречается, т. к. от этого сильно пострадает удобство работы в сети, например, может исчезнуть сетевое окружение и т.п.

Как говорится, enumeration is the key

Есть ли от этого защита? Её нет, т. к. это и не уязвимость во все. Это лишь штатный функционал того немного что есть по умолчанию у windowslinux поведение немного отличается). И если вы, вдруг несогласованно, в обход правил сетевой маршрутизации включились в закрытый сегмент, то злоумышленник вас обязательно найдет и сделает это очень быстро.

  • netbios
  • unix
  • windows
  • enumeration
  • recon
  • разведка
  • информационная безопасность

Хабы:

  • Информационная безопасность
  • IT-инфраструктура
  • *nix
  • Сетевые технологии

Источник: https://habr.com/ru/post/445212/

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.