Закрытие широковещательных запросов

Серверы WINS давным-давно не используются, а из последних серверов Windows уже выпилены.

Как клиент Windows тем не менее использует разрешение имен NetBIOS в случае чего (после просмотра файла hosts и DNS-запроса).

Есть такой ключик в реестре, который контролирует поведение запросов разрешения имен NetBIOS:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters:NodeType (REG_DWORD)

Возможные значения:
1,2,4,8 (b узла, p узел, m узел, h узел)
1 — b-node, хост отправляет широковещательные запросы;
2 — p-node, хост отправляет только юникастовые запросы к настроенным WINS-серверам;
4 — m-node, хост сначала отправляет широковещательные запросы, а потом юникастовые;
8 — h-node, хост сначала отправляет юникастовые запросы, а потом широковещательные.

Проблема тут вся в широковещательных запросах, на которые может ответить любой шутник из локальной сети и подменить адреса каких-нибудь важных сервисов.

Делается это элементарно с помощью Responder.

Поэтому избавляемся от широковещательны запросов — просто ставим значение 2, то есть p-node.

Настройка сия не входит в стандартный набор административных шаблонов винды, так что прикладываю для нее admx в целях масштабирования.

Локация в групповых политиках: Конфигурация компьютера->Политики->Административные шаблоны->Сеть->DNS-клиент: NetBIOS Node Type.

Если вдруг меня читают школьники — файл .admx нужно положить в папку %SystemDrive%\Windows\PolicyDefinitions на контроллере домена, и там еще есть папочка en-US, в которую нужно пихнуть файл .adml.

Скачать Set-NetBIOS-node-type-KB160177

Источник: https://t.me/informhardening

cryptoparty

Cryptography is typically bypassed, not penetrated.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *