LLMNR ve NetBIOS protokolleri çoğu kuruluşta eski Windows OS için kullanılmaktadır, bu iki eski protokolde MITM saldırılarına karşı hassas çalışmaktadır. (LLMNR ve NetBIOS IPv4 ve IPv6 için ad çözümlemesi için kullanılmaktadır.)
Bu yazımızda GPO kullanarak LLMNR ve NetBIOS protokellerini devre dışı bırakacağız.
nbstat parametresi ile ağ ortamında bulunan NetBIOS protokolü ile konuşan cihazlar için detay bilgi görebilirsiniz.
GPO Kullanarak LLMNR Protokolünü Kapatma
GPO ile LLMNR protokolünü kapatmak çok zahmetli bir işlem değildir, bu işlemi öncelikle test etmeniz gerekebilir ortamınızın sağlığı için. NetBIOS protokülünü kapatmak LLMNR’ye göre daha zor bir işlemdir.
Öncelikle Group Policy Management üzerinden yeni bir GPO oluşturıyoruz, ben bu işlemi tüm ortamım için kullanacağım için domain bazında oluşturuyorum.
Oluşturmuş olduğumuz GPO üzerinde takip etmemiz gereken yol aşağıdaki gibidir;
Computer Configuration - Policies - Administrative Template - Network - Turn off Multicast name resolution
Turn off Multicast name resolution seçeneği etkinleştirmemiz gerekmektedir.
Turn off Multicast name resolution
Bu işlemle beraber LLMNR protokolünü GPO kullanarak kapatmış olduk.
LLMNR protokolünü Regedit kullanarak da kapatabilmekteyiz, bu işlem için aşağıdaki anahtarı powershell üzerinde çalıştırmanız yeterli olacaktır;
New-Item "HKLM:SOFTWAREPoliciesMicrosoftWindows NT" -Name DNSClient -Force
New-ItemProperty "HKLM:SOFTWAREPoliciesMicrosoftWindows NTDNSClient" -Name EnableMultiCast -Value 0 -PropertyType DWORD -Force
NetBIOS Protokünü Kapatma Adımları
NetBIOS protokolünü kapatmadan önce ortamınızı çok iyi analiz etmeniz gerekmektedir, ilgili protokol XP, Vista vb. eski sürüm OS üzerinde halen kullanılmaktadır.
Bu protokol için özel bir GPO bulunmamakta OS üzerinden veya GPO ile powershell, regedit çalıştırarak yapabilmektesiniz. İlgili protokol TCP/IPV4 kullanmaktadır.
TCP/IPv4 - Advanced - WINS - Disabled NetBIOS over TCP adımlarını takip etmeniz yeterli olacaktır.
| **ipconfig /all | find “NetBIOS”** komutu ile cihaz üzerinde NetBIOS durumunu kontrol edebilirsiniz. |
Windows DHCP Server üzerinden de NetBIOS protokolün kapatabilmekteyiz;
Burda ise takip etmemiz gereken adımlar;
Scope Options - Advanced - Microsoft Disable NetBIOS Option adımını takip ediyoruz ve Long bölümüne 0X2 yapılandırma sağlıyoruz.
GPO kullanarak ortamımızda bulunan cihazlara Regedit kaydı ile NetBIOS protokolünün kapatılmasını sağlayabiliriz. Aşağıda bulunan kaydı powershell ile kaydedebilir ve GPO ile tüm cihazlarımızda çalıştırtabiliriz.
$reg = "HKLM:SYSTEMCurrentControlSetservicesNetBTParametersInterfaces"
Get-ChildItem $reg |foreach { Set-ItemProperty -Path "$reg$($_.pschildname)" -Name NetbiosOptions -Value 2 -Verbose}
Computer Configuration - Policies - Windows Settings - Scripts - Startup adımlarını takip ederek kaydetmiş olduğumuz powershell scriptini yolunu göstermemiz yeterli olacaktır.
Cihazlara Policy uygulandıktan sonra LOGIN işlemi ile birlikte script çalışacak ve NetBIOS işlemini kapatacaktır.
