How to disable netbios and llmnr protocols via gpo in windows 11/10

Что такое протокол SMB v1

Прежде, чем начать перекрывать кислород для вирусов шифровальщиков, я хочу вас познакомить с источником, через который они лезут и называется он протокол Server Message Block (SMB).

Server Message Block — это сетевой протокол, работающий на прикладном уровне модели OSI, для доступа к сетевым ресурсам, принтерам, папкам, для взаимодействия процессов. Наверняка многие из вас знают, такое понятие как UNC пути, вида \\server\share, когда вы обращаетесь к сетевой папке или принтеру, так например, сервер печати Windows, расшаривает их.

Ранее SMB протокол работал и NetBIOS прослойкой, где использовал порты UDP 137-138 и TCP 137, 139, но это было до появления 2000-го Windows, где порт поменяли на 445, он так же применяется и для входа компьютеров в домен Active Directory. Самая первая версию данного протокола, имела название «Common Internet File System» (CIFS ), ее придумали еще в далеких 90-х, я тогда еще пешком под стол ходил. Протокол долго не развивался и приобрел вторую версию, лишь в 2006 году с выходом провальной Windows Vista. Windows 8 уже принесла нам SMB 3.0.

Каждая новая версия реализации протокола, привносила новые возможности, и это логично, необходимо было увеличивать скорость передачи данных, так как локальные сети, уже превращались в гигабитные и очень часто стали появляться твердотельные накопители. Новые версии по старинке, поддерживали предыдущие, для обратной совместимости операционных систем и устройств, это и является Ахиллесовой пятой у него, через который лезут wannacrypt и petya.

Ниже вы можете посмотреть, эволюцию протокола SMB v1 с выходом новых операционных систем.

Сброс протокола TCP/IP и Winsock

Первое, что стоит попробовать если диагностика неполадок сети пишет, что один или несколько сетевых протоколов Windows 10 отсутствуют — выполнить сброс WinSock и протокола TCP/IP.

Сделать это просто: запустите командную строку от имени администратора (правый клик мышью по кнопке «Пуск», выбрать нужный пункт меню) и по порядку введите следующие две команды (нажимая Enter после каждой):

После выполнения этих команд перезагрузите компьютер и проверьте, была ли решена проблема: с большой вероятностью проблем с отсутствующим сетевым протоколом не возникнет.

Если при выполнении первой из указанных команд вы увидите сообщение о том, что вам отказано в доступе, то откройте редактор реестра (клавиши Win+R, ввести regedit), перейдите к разделу (папке слева) HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\ Nsi\ \ 26 и кликните правой кнопкой мыши по этому разделу, выберите пункт «Разрешения». Предоставьте группе «Все» полный доступ для изменения этого раздела, после чего выполните команду снова (и не забудьте перезагрузить компьютер после этого).

Отключение протокола NetBIOS over TCP/IP в Windows 10

Примечание. NetBIOS может использоваться более старыми версиями Windows и некоторыми системами, отличными от Windows, поэтому стоит протестировать процесс деактивации в вашей конкретной среде.

Вы можете вручную отключить NetBIOS в Windows:

1. Откройте свойства сетевого подключения;
2. Выберите протокол TCP / IPv4 и откройте его свойства;
3. Нажмите кнопку «Дополнительно», затем перейдите на вкладку WINS и выберите параметр «Отключить NetBIOS через TCP);
4. Сохраните изменения.

Если у вас есть несколько сетевых интерфейсов (или отдельных VLAN) на вашем компьютере, вам нужно будет отключить NetBIOS в свойствах каждого из них.

проверить состояние NetBIOS через TCP / IP для сетевых адаптеров можно из командной строки Windows:

NetBIOS на Tcpip...............: отключено

вы также можете отключить поддержку NetBIOS для определенного сетевого адаптера из реестра. Для каждого сетевого адаптера компьютера существует отдельная ветка со своим TCPIP_GUID в HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ NetBT \ Parameters \ Interfaces.

Чтобы отключить NetBIOS для определенного сетевого адаптера, необходимо открыть его ветку и изменить значение параметра NetbiosOptions на 2 (по умолчанию значение равно 0).

На клиентах домена, получающих IP-адреса от DHCP на Windows Server, NetBIOS можно отключить, настроив параметры DHCP-сервера.

1. Для этого откройте консоль

   и выберите настройки для области параметров области (или параметров сервера);

2. Перейдите на вкладку «Дополнительно», в раскрывающемся списке «Класс поставщика» выберите «Параметры Microsoft Windows 2000;
3. Включите 001 Microsoft Disable Netbios Option и измените его значение на 0x2.

Разведка

Начальная стадия — сбор информации об объекте исследования для дальнейшего анализа. От качества этой фазы во многом зависит успешность планируемой атаки. Мы соберем необходимые сведения, которые определят вектор проникновения в систему.

Nmap

Следуя хорошему тону, сперва аккуратно «прощупаем» виртуалку на предмет открытых портов с помощью Nmap: пока не используем тяжелую артиллерию — скриптовые обвесы NSE и определение версий запущенных сервисов, иначе время сканирования существенно увеличилось бы. Задаем интенсивность в 5000 пакетов в секунду (имеет смысл, когда работаешь с хостом на Windows, к которому, помимо тебя, одновременно стучится еще сотня-другая пользователей HTB) и на всякий случай запросим отчеты во всех форматах (, , ) с помощью флага .

Смотрим отчет.

Значение TTL еще раз подтверждает, что это тачка с Windows. Много открытых портов, много сервисов. Повысим детализацию и узнаем версии всего того, что запущено, задействовав заодно флаг . Он добавит к сканированию дефолтные скрипты из арсенала NSE.

Защита от ARP spoofing и поддельных DHCP серверов

Два механизма, на языке технологий Cisco: DHCP snooping и ARP Inspection, помогут расстроить разных шутников-пользователей и реальных злоумышленников. После их внедрения вы получите предотвращение появлений ложных DHCP серверов в сети (которые могут появиться как по ошибке — кто-то перепутал настольный «домашний» маршрутизатор форм-фактора «мыльница советская» с такого же типа коммутатором, так и в результате атаки), и атак типа «человек посередине» через ARP протокол. В сочетании с малыми размерами VLAN (предыдущий пункт) это отлично снизит возможный ущерб.

Если такие функции невозможно настроить, как минимум стоит указать жесткую привязку MAC адреса шлюза сети с физическим портом коммутатора.

Great! So how can I exploit this?

When a computer requests access to a legitimate network resource, it usually follows a set of pre-defined queries. LLMNR and NetBIOS come into play as last resort options when other methods (such as DNS or local hosts files) don’t prove helpful. Since LLMNR & NetBIOS will attempt name resolution via broadcasted requests to the broadcast-domain, we can set up tools to listen for these requests and respond back pretending to be the intended recipient.

If you’re interested in learning how attackers abuse this protocol, check out one of my guides below.

• Part One: Capture Net-NTLM Hashes.
• Part Two: Crack Net-NTLM Hashes.
• Part Three: Relay Net-NTLM Hashes.

Оглавление

У каждого компьютера Windows есть Имя компьютера. Если даже вы его не устанавливали, то значит там записано сгенерированное при установке операционной системы имя.

Это имя компьютера в локальной сети можно использовать как полную альтернативу локальному IP адресу:

• обращаться к совместным ресурсам (сетевые папки и принтеры)
• обращаться к запущенным сетевым службам (веб-сервер, FTP и др.)

Больше подробностей смотрите в статье «Имя компьютера Windows: как изменить и использовать».

При этом не требуется какая-либо настройка DNS или файла hosts, поскольку такое распознавание имён обеспечивается NetBIOS. Мы уже сталкивались с NetBIOS, а точнее с одной из трёх его служб — NBT-NS — в статье «Взлом сетевой аутентификации Windows». Это одна из служб, которая эксплуатировалась для выполнения атаки.

То есть, NetBIOS имеет важное значение для Windows, а также для изучения устройства Windows, анализа сетевой активности Windows и в вопросах безопасности локальных сетей и компьютеров с Windows.

Естественно, в лучших в традициях HackWare.ru, в статье будет только необходимая теория и максимум практики — мы будем «щупать» протокол NetBIOS в Wireshark, встроенной утилите Windows и в специализированных инструментах для аудита безопасности. Но начнём всё-таки с теории.

Полностью изолированный гостевой WiFi

Гостевой WiFi должен быть максимально изолирован от основной сети (отдельный VLAN, отдельный провод от маршрутизатора интернет до точки доступа, и т. д.). Дополнительно, по возможности, выключайте гостевой WiFi в нерабочее время по расписанию на оборудовании.

Здесь есть один нюанс. Многие правильно выделяют гостевой WiFi в отдельный изолированный VLAN, но при этом зачем-то выдают клиентам адреса DNS серверов Active Directory. Наиболее рациональное оправдание — «чтобы работали ресурсы из DMZ по внутренним адресам». Однако, это является уязвимостью, и это хорошо помогает злоумышленнику при несанкционированном анализе внутреннего устройства сети, ведь запросы к DNS (PTR по внутренним диапазонам IP) обычно никак не ограничиваются.

Решение — создать легкий внутренний DNS сервер специально для WiFi, либо использовать публичные DNS в Интернет.

Распространенные сообщения об ошибках в Netbios.sys

Большинство ошибок %% knowledgebase_file_name%%, с которыми вам придется столкнуться, связано с ошибками типа «синий экран» (также известными как «BSOD» или «ошибка ОСТАНОВКИ»), которые появляются в Windows XP, Vista, 7, 8 и 10:

• «Была обнаружена проблема, и Windows была выгружена, чтобы предотвратить повреждения компьютера. Очевидно, проблема вызвана следующим файлом: Netbios.sys.»
• «:( Ваш компьютер столкнулся с проблемой и нуждается в перезагрузке. Мы соберем необходимую информацию и осуществим перезагрузку. Если вам нужна дополнительная информация, вы можете позже поискать в Интернете по названию ошибки: netbios.sys.»
• «STOP 0x0000000A: IRQL_NOT_LESS_EQUAL – netbios.sys»
• «STOP 0x0000001E: KMODE_EXCEPTION_NOT_HANDLED – netbios.sys»
• «STOP 0×00000050: PAGE_FAULT_IN_NONPAGED_AREA – netbios.sys»

В большинстве случаев вы сталкиваетесь в ошибками типа «синий экран» netbios.sys после установки нового аппаратного или программного обеспечения. Синие экраны netbios.sys могут появляться при установке программы, если запущена программа, связанная с netbios.sys (например, Windows), когда загружается драйвер Microsoft или во время запуска или завершения работы Windows

Отслеживание момента появления ошибки ОСТАНОВКИ является важной информацией при устранении проблемы

Использование широковещательных протоколов LLMNR и NetBios

Еще одна проблема настроек сетей организаций — использование подверженных спуфингу протоколов LLMNR и NetBios. Данные протоколы позволяют за счет широковещательных запросов в локальном сегменте сети L2 разрешать имена соседних компьютеров без использования DNS сервера. Эти протоколы также автоматически используются при недоступности DNS. В случае проникновения злоумышленника во внутреннюю сеть компании, он сможет провести атаку «человек посередине» (англ. Man in the middle, MITM). Злоумышленник может ответить на широковещательный запрос и тем самым перенаправить запросы жертвы на подконтрольный злоумышленнику сервер. Проведение данной атаки позволит перехватить аутентификационные данные.

Видео:

Чтобы устранить эту ошибку, нужно:

1. Отключить LLMNR. Для этого необходимо предварительно на клиентах произвести настройку DNS. Произвести отключение LLMNR можно с помощью групповой политики «Turn Off Multicast Name Resolution» в разделе «Computer Configuration -> Administrative Templates -> Network -> DNS Client». Для отключения значение политики должно быть выставлено в «Enabled».

По клику картинка откроется в полном размере

2. Отключить NetBios. Для этого необходимо воспользоваться оснасткой dhcpmgmt.msc. Server Options: Вкладка Advanced -> Microsoft Windows 2000 Options -> Microsoft Disable Netbios Option. Выставить значение 0x2.

3. Также поддержку NetBios можно отключить через запуск PowerShell скрипта на узлах с помощью групповой политики «Scripts» в разделе «Computer Configuration -> Policies-> Windows Settings». Требуется добавить startup PowerShell script с следующим содержимым:

Данный скрипт для всех сетевых адаптеров в ветке реестра установит значение параметра NetbiosOptions на 2.

Включить/отключить SMB 1.0 в Windows 10

Как мы уже говорили, начиная с Windows 10 1709, во всех новых билдах поддержка протокола SMB1 отключена (также отключен гостевой доступ по протоколу SMBv2).

В Windows 10 вы можете проверить статус компонентов SMBv1 протокола командой DISM:

Dism /online /Get-Features /format:table | find «SMB1Protocol»

В нашем примере видно, что все компоненты SMBv1 отключены:

SMB1Protocol | Disabled SMB1Protocol-Client | Disabled SMB1Protocol-Server | Disabled SMB1Protocol-Deprecation | Disabled

В Windows 10 также можно управлять компонентами SMB 1 из панели управления компонентами (optionalfeatures.exe). Разверните ветку Поддержка общего доступа к файлам SMB 1.0 /CIFS. Как вы видите здесь также доступны 3 компонента:

• Клиент SMB0/CIFS
• Сервер SMB0/CIFS
• Автоматическое удаление протокола SMB0/CIFS

Вы можете включить клиент и сервер SMBv1 в Windows 10 из окна управления компонентами или командой:

Dism /online /Enable-Feature /FeatureName:»SMB1Protocol» Dism /online /Enable-Feature /FeatureName:»SMB1Protocol-Client» Dism /online /Enable-Feature /FeatureName:»SMB1Protocol-Server»

Также можно включить сервер и клиент SMBv1 с помощью PowerShell: Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol-Server Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol-Client

Если после включения SMBv1 клиента, он не используется более 15 дней, он автоматически отключается.

Автоматическое отключение клиента SMBv1 это разовая операция. Если администратор включит SMBv1 вручную еще раз, он не будет отключаться автоматически.

Чтобы отключить поддержку клиента и сервера SMB1 в Windows 10, выполните следующие команды DISM:

Dism /online /Disable-Feature /FeatureName:»SMB1Protocol» Dism /online /Disable-Feature /FeatureName:»SMB1Protocol-Client» Dism /online /Disable-Feature /FeatureName:»SMB1Protocol-Server»

Если вы отключили поддержку SMBv1 клиента в Windows 10, то при доступе к сетевой папке на файловом сервере, который поддерживает только SMBv1 (протоколы SMBv2 и v3 отключены или не поддерживаются), появятся ошибки вида:

• 0x80070035 — не найден сетевой путь;
• Вы не можете подключиться к общей папке, так как она небезопасна. Эта общая папка работает по устаревшему протоколу SMB1, который небезопасен и может подвергнуть вашу систему риску атаки. Вашей системе необходимо использовать SMB2 или более позднюю версию. Unable to connect to file shares because it is not secure. This share requires the obsolete SMB1 protocol, which is not secure and could expose your system to attacks ;
• Вы не можете подключиться к общей папке, так как она небезопасна. Эта общая папка работает по устаревшему протоколуSMB1, который небезопасен и может подвергнуть вашу систему риску атаки. Вашей системе необходимо использовать SMB2 или более позднюю версию. You can’t connect to the file share because it’s not secure. This share requires the obsolete SMB1 protocol, which is unsafe and could expose your system to attack. Your system requires SMB2 or higher). Подробнее это написано в статье Не открываются общие сетевые папки в Windows 10.

Также при отключении клиента SMBv1 на компьютере перестает работать служба Computer Browser (Обозреватель компьютеров), которая используется устаревшим протоколом NetBIOS для обнаружения устройств в сети. Для корректгого отобрражения соседних компьютеров в сети Windows 10 нужно настроить службу Function Discovery Provider Host (см. статью).

Отключаем smb v1 через реестр

Перед тем как править реестр Windows я советую вам сделать резервную копию, так на всякий случай. Открываем реестр, делается это через нажатие кнопок Win+R и ввода команды regedit.

Находим ветку:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\LanmanServer\Parameters

Тут будет параметр SMB1 , по умолчанию там стоит 1, значит включено, меняем его на 0 и закрываем, после перезагрузки все будет выключено. Wannacrypt вас теперь не побеспокоит.

Если нужно отключить SMB2, то находим ветку и меняем там параметр SMB2, так же на ноль.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\LanmanServer\Parameters

Отключить через DISM

Откройте командную стоку от имени администратора и введите команду:

dism /online /norestart /disable-feature /featurename:SMB1Protocol

Как видите еще один метод защититься от wannacrypt.

Отключение через sc.exe config

Начиная с Windows 7 вы можете выполнить внутри системы вот такие команды через cmd запущенного от имени администратора:

Чтобы отключить протокол SMB версии 1 на SMB-клиенте, выполните следующие команды:
sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsisc.exe config mrxsmb10 start= disabled

Чтобы включить протокол SMB версии 1 на SMB-клиенте, выполните следующие команды:
sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi sc.exe config mrxsmb10 start= auto

Чтобы отключить протоколы SMB версии 2 и 3 на SMB-клиенте, выполните следующие команды:
sc.exe config lanmanworkstation depend= bowser/mrxsmb10/nsi sc.exe config mrxsmb20 start= disabled

Чтобы включить протоколы SMB версии 2 и 3 на SMB-клиенте, выполните следующие команды:
sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi sc.exe config mrxsmb20 start= auto

Как защититься от wannacrypt в Active Directory

Когда речь идет о домене Active Directory, то у системного администратора сразу это ассоциируется с групповыми политиками. Давайте посмотрим как GPO поможет нам в массовом отключении smb v1. По сути групповая политика это изменение ключей реестра на клиентах. Открываем редактор и создаем новую политику, прилинковываем ее к нужному организационному подразделению и изменяем.

Политика для серверных ОС

Нас будет интересовать объект «Конфигурация компьютера — Настройка — Конфигурация Windows — Реестр», создаем элемент реестра.

• Действие: Создать
• Куст: HKEY_LOCAL_MACHINE
• Путь к разделу: SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
• Имя параметра: SMB1
• Тип значения: REG_DWORD.
• Значение: 0

Политика для клиентских ОС

Для отключения поддержки SMB v1 на клиентах понадобится изменить значение двух параметров. Сначала отключим службу протокола SMB v1:

• путь: HKLM:\SYSTEM\CurrentControlSet\services\mrxsmb10;
• параметр: REG_DWORD c именем Start;
• значение: 4.

Потом поправим зависимость службы LanmanWorkstation, чтоб она не зависела от SMB v1:

• путь: HKLM:\SYSTEM\CurrentControlSet\Services\LanmanWorkstation;
• параметр: REG_MULTI_SZ с именем DependOnService;
• значение: три строки – Bowser, MRxSmb20 и NSI.

Клиентским компьютерам осталось только перезагрузиться и все будет отключено

Учтите, что выключив smb v1, вы защититесь конечно от wannacrypt  и petya, но будьте осторожны, если у вас в локальной сети остались старые компьютеры, они не смогут связаться с контроллерами домена и не смогут пройти аутентификацию, так как не умеют работать по SMB 2

Организуйте DMZ

Организуйте DMZ, и навсегда перестаньте «пробрасывать» порты из Интернет в основную сеть. Правильная DMZ эта та, ресурсы в которой с двух сторон закрыты файерволами (как от внутренней сети, так и от Интернет), а трафик разрешен крайне выборочно, и только минимально необходимый. На мой взгляд, настоящий специалист по ИБ должен думать, что его хост из DMZ по уже взломан, и оценивать риски исходя из этого. На такие мысли наводит тот факт, что в DMZ очень часто оказываются нестандартные приложения, которые несут специфичную бизнес-логику, ставятся подрядчиками на потоке, как вариант — делаются на заказ и очень плохо проверяются, например, на банальные для WEB уязвимости. Штатный специалист по ИБ чаще всего в состоянии создать DMZ, но не в состоянии проверить приложения на уязвимости. Исходя из этого и нужно действовать.

Типичный вариант правильно организованной DMZ и общий принцип движения трафика. Стрелки — направления инициации трафика из/в DMZ.

Бюджетный дизайн DMZ для параноиков, в которой каждый ресурс находится в отдельной изолированной сети, и ресурсы не «кушают» много трафика:

Что касается «проброса» портов, то помимо риска «взлома» сервиса, существует неявный риск сбора информации о внутренней сети. Например, в ходе пентестов зачастую видно порты RDP, которые были «скрыты» путем смены со стандартного 3389 на какой-нибудь 12 345. Разумеется, они легко обнаруживаются сканерами, легко идентифицируются именно как RDP, но помимо простого обнаружения, они могут, например, предоставить информацию об имени компьютера и домена (путем просмотра сертификата службы RDP), или информацию о логинах пользователей.

7 типовых ошибок сетевой безопасности

Как показывает наша практика, в 9 из 10 организаций, независимо от их размера и сферы деятельности, наиболее часто встречаются следующие ошибки:

1. Передача учетных данных по сети в открытом виде.
2. Нешифрованные почтовые сообщения.
3. Использование утилит для удаленного доступа.
4. Использование широковещательных протоколов LLMNR и NetBios.
5. Ошибки конфигурирования сетей.
6. TOR, VPN-туннели и прочие инструменты сокрытия активности в сети.
7. Нецелевое использование систем (майнеры криптовалют, торренты).

Причины ошибок в недостаточном внимании к обеспечению ИБ, в отсутствии или нарушении регламентов ИБ и IТ в организации, ошибок при настройке систем, а в больших корпоративных сетях еще из-за того, что сложно контролировать корректность конфигураций.

Далее мы поговорим о каждой ошибке, к каким последствиям они могут привести, покажем, как их можно выявить и дадим рекомендации по их устранению.

Открытие редактора групповой политики из консоли управления — 4 способ

Еще один способ: использование консоли управления Microsoft — MMC (Microsoft Management Console). Мы запустим политику локального компьютера в качестве оснастки консоли.

Выполните последовательные шаги:

1. Нажмите на клавиши клавиатуры «Win» «R».
2. В окне «Выполнить» введите «mmc» (без кавычек).
3. Нажмите на клавишу «Enter».
4. В открывшемся окне «Консоль 1 – » войдите в меню «Файл», выберите пункт «Добавить или удалить оснастку…».
5. В окне «Добавление и удаление оснасток», в области «Доступные оснастки» выберите «Редактор объектов групповой политики», а затем нажмите на кнопку «Добавить».

1. В окне «Выбор объекта групповой политики» нажмите на кнопку «Готово».

1. В окне «Добавление и удаление оснасток» нажмите на кнопку «ОК».
2. В окне «Консоль 1 – » щелкните по оснастке «Политика “Локальный компьютер”» для открытия редактора локальной групповой политики в окне консоли управления.

Настройка доступа к сетевой папке для каждого пользователя

Все настройки должны выполняться на том компьютере или ресурсе, на котором хранится содержимое папки. Чтобы настроить доступ пользователей к папке, необходимо:

1. Зайти в управление компьютером (зависимо от версии операционной системы, кликните правой кнопкой мыши по иконке Мой компьютер на рабочем столе Windows либо по кнопке Пуск, после чего выберите Управление либо Управление компьютером) и выбрать пункт Общие папки — Общие ресурсы.
2. Найти в списке ресурсов папку, доступ к которой вы не можете получить, и посмотреть её расположение на жёстком диске.
3. Открыть Проводник и найти нужную папку (пользователи Windows 10 могут выполнять дальнейшие действия, не переходя в Проводник, просто кликнув правой кнопки мыши прямо в меню утилиты Управление компьютером).
4. Кликнуть по ней правой кнопкой мыши, выбрать Свойства — Доступ — Расширенные настройки — Разрешения (либо же Свойства — Разрешения для общего ресурса).
5. Вы увидите как минимум два пункта — Администраторы и Все. Навести стрелочку курсора на пункт Все и убедиться, что стоят галочки напротив всех пунктов в столбике Разрешить (полный доступ, изменение, чтение). Если же напротив какого-то пункта стоит галочка в столбике Запретить, следует убрать его отсюда и поставить в столбик Разрешить.
6. Подтвердить изменения, нажав Применить — OK, после чего повторить попытку воспользоваться сетевым ресурсом.

Кликните правой кнопкой по «Компьютер» и выберите «Управление» в контекстном меню

Очистка кеша DNS в Windows 10

Чтобы изучить список записей ресурсов, находящихся в кэше DNS Windows 10, в командную строку с повышенными привилегиями (От имени Администратора) впишите команду ipconfig /displaydns. Для сброса кэша просто введите команду:

Правая клавиша на кнопке «Пуск»

И потом вписываем представленные выше команды.

При успешной очистке должен появиться ответ: Кэш распознавателя ДНС успешно сброшен.

Альтернативные способы

Через команду netsh winsock reset или с помощью перезапуска службы клиента DNS. Перезапуск выполняется посредством консоли services.msc. Правой кнопкой мыши кликните на DNS Client, после чего нажмите на «Перезапустить».

• Нажимаем WIN+R
• Вписываем services.msc и жмем Enter

Второй вариант перезапуска — из командной строки, в которую нужно вписать net stop Dnscache && net start Dnscache.

Запустив команду ipconfig /flushdns, можно увидеть ошибку «Не удалось очистить кэш распознавателя DNS: функция была прервана во время выполнения». Обычно это обусловлено тем, что в Windows 10 отключена DNS-служба. Для решения данной задачи просто перезапустите службу DNS-клиента.

Временные файлы

В Windows 10 предусмотрен системный каталог для временных файлов. В нем могут скапливаться ненужные компоненты и данные. Для их удаления нужно:

1. открыть «Пуск», затем «Все приложения», перейти в «Средства администрирования и выбрать «Очистку диска»;
2. указать диск с установленной Windows 10 и подождать, пока анализируется файловая система;
3. в окне очистки снять все галочки, оставив только пункт временных файлов, и нажать OK.

Нецелевое использование систем

К нецелевому использованию систем относятся применение майнеров криптовалют, Bittorent-клиентов, онлайн-игры. Несмотря на то, что это не создает непосредственных угроз безопасности, это увеличивает нагрузку на вычислительные системы и каналы передачи информации, а также влечет за собой риск установки вредоносного ПО. Выявить майнеры поможет репутационный список miners, в который попадают адреса известных майнинг-пулов, а также узлов блокчейна различных криптовалют. В результате мы видим большое количество DNS-запросов, что свидетельствует о работе криптомайнера. Еще одним индикатором работы криптомайнера может служить сработавшие правила.

С Bittorent и онлайн-играми все еще проще — для поиска торрент-трафика воспользуемся фильтром по протоколу Bittorent, а для онлайн-игр — по серверам популярных онлайн-игр. Это помогает вычислить сотрудников, использующих свое рабочее время не так, как хотелось бы работодателю.

Средства противодействия почти те же, что и в пунктах выше:

1. Разграничить права локальных пользователей.
2. Политика белых списков для ПО.
3. Обновить антивирус и его базы.

Протокол NetBIOS over TCP/IP

Протокол NetBIOS over TCP/IP или NBT-NS (UDP/137,138;TCP/139) – является широковещательным протоколом-предшественником LLMNR и используется в локальной сети для публикации и поиска ресурсов. Поддержка NetBIOS over TCP/IP по умолчанию включена для всех интерфейсов во всех версиях Windows.

В Windows вы можете вывести статистику протокола NetBIOS и текущий подключений TCP/IP по NBT с помощью команды nbtstat. Чтобы по IP адресу получить имя компьютера, выполните:

nbtstat -A 192.168.31.90

Как вы видите, утилита с помощью NetBIOS обнаружила в локальной сети компьютер и вернула его имя.

Можете вывести все записи о соседних компьютерах в локальных сети в кэше NetBIOS:

Протоколы NetBIOS и LLMNR позволяют компьютерам в локальной сети найти друг друга при недоступности DNS сервера. Возможно они и нужны в рабочей группе, но в доменной сети оба этих протокола можно отключить.

Отключение NetBIOS через TCP/IP в Windows 10/Windows Server 2019

Примечание. NetBIOS может использоваться устаревшими версиями Windows (2000, XP и т. д.) и некоторыми устройствами, отличными от Windows, поэтому перед отключением его следует протестировать в каждой конкретной среде.

Вы можете вручную отключить NetBIOS в Windows следующим образом:

1. Открыть свойства сетевого подключения
2. Выберите TCP/IPv4 и откройте его свойства.
3. Нажмите «Дополнительно», затем перейдите на вкладку WINS и выберите «Отключить NetBIOS через TCP».
4. Сохраните изменения.

Если на вашем компьютере установлено несколько сетевых адаптеров (или VLAN), вам потребуется отключить NetBIOS в свойствах каждого из них.

Вы можете проверить состояние NetBIOS через TCP/IP для сетевых адаптеров из командной строки Windows:

ipconfig /all |найти «NetBIOS»

Вы также можете отключить NetBIOS для определенного сетевого адаптера через реестр. У каждого сетевого адаптера есть отдельный раздел реестра в разделе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters\Interfaces, содержащий его TCPIP_GUID.

Чтобы отключить NetBIOS для конкретного адаптера, перейдите к его регистровому ключу и измените значение параметра NetbiosOptions на 2 (по умолчанию 0).

Вы можете отключить NetBIOS на клиентах домена, получающих IP-адреса от DHCP-сервера Windows, с помощью специальной опции DHCP.

1. Запустите консоль dhcpmgmt.msc, подключитесь к DHCP-серверу и выберите настройки зоны Scope Option (или server — Server Options);
2. Перейдите на вкладку «Дополнительно» и выберите «Параметры Microsoft Windows 2000» в раскрывающемся списке «Класс поставщика»;
3. Включите 001 Microsoft Disable Netbios Option и измените его значение на 0x2.

Отключить NetBIOS на DHCP-сервере

1. Нажмите кнопку «Пуск» > «Программы» > «Инструменты администрирования» и выберите DHCP.
2. На панели навигации разверните server_name, разверните Область, щелкните правой кнопкой мыши Параметры области и выберите Настроить параметры.
3. Перейдите на вкладку «Дополнительно», а затем выберите параметр «Имя сервера» в списке классов поставщика.
4. Убедитесь, что в списке классов пользователей выбран класс пользователей по умолчанию.
5. Установите флажок 001 Microsoft Disable Netbios Option в столбце «Доступные параметры».
6. В области ввода данных введите 0x2 в поле «Длинное» и нажмите «ОК».

Примечание к шагу 2; заполнитель server_name указывает имя DHCP-сервера.

Дата: 2 декабря 2020 г. Теги: Сеть

Нешифрованные почтовые сообщения

Следующая типичная ошибка — использование открытых почтовых протоколов на пути от сервера организации к внешнему почтовому серверу. Это приводит к тому, что письма, передающиеся в защищенном виде внутри сети в дальнейшем могут передаваться по интернету в открытом виде. В результате злоумышленник, имея доступ к внешнему сетевому трафику (например, через интернет-провайдера), может беспрепятственно получать любую информацию из писем.

Для поиска незащищенной исходящей почты, которая передается во внешнюю сеть, мы воспользовались в PT NAD фильтрами по протоколу SMTP, адресу источника и получателя. Для того, чтобы исключить зашифрованные соединения, мы добавили фильтр по команде STARTTLS. В результате было обнаружено письмо с вложением, переданное в открытом виде.

Подробнее на видео:

Возможные варианты устранения ошибки:

1. Настроить сервер на принудительное использование TLS при отправке почты (но в этом случае письма могут быть не доставлены на серверы, не поддерживающие шифрование).
2. Настроить использование S/MIME — стандарта для отправки зашифрованных сообщений и сообщений с цифровой подписью. Требует настройки почтового клиента и S/MIME сертификата. Подробнее по ссылке.
3. Применять PGP. Принудительное использование PGP также исключит передачу писем в открытом виде, однако это требует дополнительной настройки на клиентах и передачи открытого ключа получателям. Данный вариант больше подходит для использования в частных случаях.

Как избежать популярных ошибок сетевой безопасности +8

•
ptsecurity
•
#480984
•
Хабрахабр

•

•

4800

Информационная безопасность, Блог компании Positive Technologies

В середине сентября стало известно об утечке почти 2Тб данных, в которых содержалась информация о работе системы оперативно-розыскных мероприятий (СОРМ) в сети одного российского оператора связи. Утечка произошла из-за неправильно настроенной утилиты резервного копирования rsync. Подобные ошибки – частая причина проблем крупных компаний. В этой статье мы разберем семь самых популярных ошибок сетевой безопасности: расскажем, как их можно обнаружить и устранить.
Распространенная причина успеха развития атак внутри сети — ошибки конфигурирования каналов связи или систем обработки и хранения данных, а также нарушения регламентов ИБ. Все это снижает эффективность используемых средств защиты и увеличивает шансы злоумышленников на взлом и развитие атаки. Во время проектов по расследованию инцидентов и анализа трафика наша команда PT Expert Security Center регулярно находит типичные ошибки в конфигурациях информационных систем и нарушения корпоративных регламентов ИБ. Давайте посмотрим, что это за ошибки.

Conclusion

Organizations nowadays have combinations of Azure AD joined, Hybrid AD Joined, Active Directory joined devices to be managed. Some devices always remain on the internet while others always or intermittently connect to corporate network. Considering this, administrators may have to go with a solution which is a combination of methods describes to disable NetBIOS over TCP/IP. Having said that, modern device management tools like SCCM and Intune give administrator more flexibility as device configuration can be pushed to the devices as they have internet connection, not matter they are on corporate network or public network.

I hope this post has been helpful to you. Please fee free to reach out if you have any further questions/comments/feedback.

Thank you.