Bu rehberde Active Directory Group Policy ile LLMNR ve NetBIOS (NetBEUI) protokollerin nasıl devre dışı bırakılacağı anlatılmıştır.

LLMNR (Link Local Multicast Name Resolution), IPv4 ve IPv6 yerel ağlarında name resolution (ad çözümü) sağlamak için kullanılan bir protokoldür. 

NetBIOS (Network Basic Input/Output System), bir yerel ağ  üzerindeki farklı bilgisayarların birbirleriyle iletişim kurmasını sağlayan bir sistemdir. Microsoft tarafından Windows işletim sistemlerine uyarlanmıştır.

Bu protokoller MITM saldırısı ile istismara tamamen açıktır. Saldırgan, yerel ağdaki bilgisayarların erişim isteklerini dinlemeye başlar. Broadcast olarak ağa paketler gönderir. Kurban, ağda bulunmayan ve DNS sunucusu kayıtlarında olmayan bir cihaza erişim isteğinde bulunur. DNS sunucusundan, böyle bir kayıt olmadığına dair yanıt aldıktan sonra, kurban tarafından tüm ağa bu sunucuyu bilen birinin olup olmadığı sorulur. Tam o sırada saldırgan, bu isteğe yanıt verir. Kurban kimlik bilgilerini ve NTLMv2Hash değerini saldırgana iletir. Bu sayede saldırgan parola hash’ini ele geçirmiş olur.

1. LLMNR Devre Dışı Bırakma

Yeni bir GPO Role oluşturun

Sağ tuş ile policy’i Edit’leyin,

Aşağıdaki yolu izleyin;

Computer Configuration > Policies > Administrative Templates > Network > DNS Client > Turn off Multicast name resolution

İlkeyi etkinleştirin OK ile sayfayı kapatın.

2. NetBIOS Devre Dışı Bırakma

Aşağıdaki Powershell komut dosyanı kopyalın ve Powershell ISE aracını kullanarak DisableNetBIOS.ps1 dosyası olarak kaydedin.

PowerShell
If (-NOT ([Security.Principal.WindowsPrincipal][Security.Principal.WindowsIdentity]::GetCurrent()).IsInRole([Security.Principal.WindowsBuiltInRole] "Administrator"))
{  
$arguments = "& '" + $myinvocation.mycommand.definition + "'"
Start-Process powershell -Verb runAs -ArgumentList $arguments
Break
}
$regkey = "HKLM:SYSTEM\CurrentControlSet\services\NetBT\Parameters\Interfaces"
Get-ChildItem $regkey |foreach { Set-ItemProperty -Path "$regkey\$($_.pschildname)" -Name NetbiosOptions -Value 2 -Verbose}

Daha sonra policy üzerinden aşağıdaki yolu izleyin,

Computer Configuration > Policies > Windows Settings > Scripts (Startup/Shutdown) > Startup

Script sayfasında sırasıyla Startup>PowerShell Scripts>Add… butonu ile oluşturduğumuz Disable-NetBIOS.ps1 açılan Policies klasörünün içine kopyalayın.

Policy’yi test etmek için bir client’ta bağlanın ve ağ kartı özelliklerinden NetBIOS’un durumunu görebilirsiniz.

3. DHCP Server NetBIOS Devre Dışı Bırakma

Windows DHCP Server kullanıyorsanız NetBIOS’u kapatabilirsiniz. Üzerinde çalışmak istediğiniz kapsamı bulun ve sırasıyla Scope Options > Configure Options > Advanced  >Microsoft Windows 2000 options > Tick Option 001 > Change the entry to 0x2 > Apply > OK.

Hepsi bu kadar umarım yardımcı olmuştur. Bir sonraki yazıda görüşmek üzere…

Kaynak Bilişim Notları / Petenetlive

 

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Reklamları bizde sevmiyoruz fakat Bilişim Notları’nın devamlılığını sağlaması için
reklam gelirlerine ihtiyacı vardır.

Lütfen Adblock eklentisi üzerinden bilisimnotlari.com adresini whitelist’e ekleyiniz.