禁用LLMNR、NBT-NS 和 mDNS

最新推荐文章于 2026-04-22 13:06:48 发布
原创 最新推荐文章于 2026-04-22 13:06:48 发布 · 2.2k 阅读 · 7 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#运维
本文介绍了如何通过PowerShell脚本和组策略在Windows环境中禁用LLMNR、NBT-NS和mDNS,以增强网络安全并减少潜在攻击面。操作包括创建脚本、配置组策略和禁用WPAD,同时提醒了注意事项和权限需求。

目的

为了增强网络安全并减少潜在的攻击面,根据总部要求在Windows环境中通过组策略和PowerShell脚本禁用LLMNR、NBT-NS和mDNS。

方法概述

  • 使用PowerShell脚本来禁用LLMNR、NBT-NS和mDNS。
  • 通过组策略执行PowerShell脚本,并禁用WPAD。

详细操作方法

  1. 准备PowerShell脚本

创建一个PowerShell脚本(例如,LMS-Disable NBT-NS&mDNS.ps1),包含以下命令:

# 获取当前日期、计算机名和用户
$date = Get-Date -Format "yyyy-MM-dd"
$pcname = $env:computername
$user = $env:USERNAME

# 创建一个自定义对象数组来保存所有收集到的信息
$reportData = @()

# 禁用LLMNR
New-Item "HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient" -Force
New-ItemProperty "HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient" -Name EnableMultiCast -Value 0 -PropertyType DWORD -Force

# 禁用NBT-NS
$regkey = "HKLM:SYSTEM\CurrentControlSet\services\NetBT\Parameters\Interfaces"
Get-ChildItem $regkey | ForEach-Object { Set-ItemProperty -Path "$regkey\$($_.pschildname)" -Name NetbiosOptions -Value 2 -Verbose }

# 禁用mDNS
New-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters" -Name EnableMDNS -Value 0 -PropertyType DWORD -Force

# 检查禁用结果
$LLMNR = (Get-ItemProperty "HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient" -Name "EnableMulticast" -ErrorAction SilentlyContinue).EnableMulticast
$NBTNS = (ipconfig /all | Select-String "NetBIOS") -ne $null
$mdnsEnabled = (Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters" -Name "EnableMDNS").EnableMDNS

# 创建一个自定义对象来保存所有收集到的信息
$reportItem = [PSCustomObject]@{
    Date = $date
    ComputerName = $pcname
    CurrentUser = $user
    LLMNR = $LLMNR
    mdnsEnabled = $mdnsEnabled
    NBTNS = $NBTNS
}

# 将报告数据追加到 CSV 文件(路径已屏蔽处理)
$csvFilePath = "路径已屏蔽"
$reportItem | Export-Csv -Path $csvFilePath -Encoding UTF8 -NoTypeInformation -Append

# 输出成功提示
Write-Host "Information collected and exported to $csvFilePath."

  1. 配置组策略以执行PowerShell脚本

  • 打开“组策略管理编辑器”(gpedit.msc),新建组策略。
  • 将先前准备的脚本添加到相应的策略设置中,确保:
      - ps1文件复制到默认文件夹。
      - 脚本添加在PowerShell脚本选项卡中。

  1. 禁用WPAD

  • 在本地DNS中创建一个WPAD记录以禁用Web Proxy Auto-discovery Protocol (WPAD)。

注意事项

  • 执行前,请确保已备份注册表和重要数据。
  • 部分操作可能需要管理员权限。
  • 禁用这些协议可能会影响网络发现和其他网络服务。在禁用之前,请在小范围测试。

请注意,上述脚本中的$csvFilePath变量的值已被屏蔽,以防止敏感信息泄露。在实际使用中,您需要提供具体的文件路径。此外,执行这些操作之前,请确保您有适当的权限,并且已经理解了这些更改对系统可能产生的影响。

皓凯
关注
内网渗透之Responder攻防(上)1
08-08
内网渗透之Responder攻防(上)1
LLMNR Poison技术详解
不忘初心,护天下安全!
06-05 2209
从 Windows Vista 起,Windows 操作系统开始支持一种新的名称解析协议 —— LLMNR,主要用于局域网中的名称解析。LLMNR 能够很好的支持 IPv4 IPv6,因此在 Windows 名称解析顺序中是一个仅次于 DNS 的名称解析方式,更重要的是在 Linux 操作系统中也实现了 LLMNRLLMNR 协议定义在 RFC 4795 中。文档里详细的介绍了有关于 LLMNR 协议的结构,配置以及安全性等内容。LLMNR 的协议结构如下图所示: LLMNR 协议结构
在 Windows 系统层面禁用 mDNS(永久生效)
weixin_40388758的博客
01-27 95
摘要:解决Android调试桥(ADB)问题的最佳方案是在Windows系统层面永久禁用mDNS。具体步骤为:1)在Windows搜索"编辑账户的环境变量";2)新建用户变量"ADB_MDNS_ENABLED",值为0;3)保存后返回WSL终端,执行adb kill-server重启ADB服务。该方法通过修改Windows环境变量彻底解决问题,相比其他方案更持久有效。执行后需确保杀掉的是Windows的ADB进程。
LLMNR协议、MDNS协议、NBNS协议
banliyaoguai的博客
05-01 5538
MDNS全称Multicast DNSMDNS协议是一种在局域网内实现设备服务自动发现的协议。具体来说,它允许设备在无需依赖中央服务器或配置文件的情况下,通过组播地址发送接收DNS查询响应,从而发现局域网中的其他设备服务。MDNS协议基于DNS(协议,但使用组播地址来进行通信,因此能够在局域网中快速且高效地实现服务发现。当设备启动时,它会发送一个MDNS查询,询问局域网中是否有其他设备或服务可用。如果其他设备知道所需的名称,它们会回复一个MDNS响应,提供相应的IP地址。
LLMNR-MDNS-NBNS协议详解
2301_77129266的博客
04-13 1794
LLMNR欺骗攻击:攻击者可以发送虚假的LLMNR响应,诱导主机将数据发送到攻击者控制的主机上。(1)NBNS欺骗攻击:攻击者可以发送虚假的NBNS响应,欺骗其他设备将数据发送到错误的地址。(2)如果有其他主机知道所需的名称,则它们可以回复一个LLMNR响应,提供相应的IP地址。(1)当主机需要解析本地主机名时,它会向网络上的多播地址发送LLMNR查询。(2)其他设备可以回复mDNS响应,提供所需的服务或资源的IP地址。(2)NBNS服务器回复响应,提供NetBIOS名的IP地址。
渗透测试中的LLMNR/NBT-NS欺骗攻击
大方子
06-30 2006
简介 LLMNRNBT-NS欺骗攻击是一种经典的内部网络攻击,然而由于一方面了解它的人很少,另一方面在Windows中它们是默认启用的,所以该攻击到现在仍然是有效的。在本文中,我们首先为读者解释什么是LLMNRNBT-NS攻击,然后介绍如何通过该攻击进行渗透测试,最后,给出针对该漏洞的防御措施。 什么是LLMNRNetBIOS名称服务器广播? 当DNS名称服务器请求失败时,Micr...
LLMNR/NBTNS/mDNS协议 poisoning:icebreaker中间人攻击技术解析
gitblog_00393的博客
03-14 1103
icebreaker是一款专注于在内部网络但非AD环境中获取Active Directory明文凭证的安全工具,核心功能围绕LLMNRNBTNSmDNS协议的中间人攻击技术展开,为网络安全测试人员提供了高效的渗透测试方案。 ## 一、什么是LLMNR/NBTNS/mDNS协议 poisoning? LLMNR(链路本地多播名称解析)、NBTNS(NetBIOS名称服务)mDNS(多播DN
Responder与LLMNR投毒:AD网络中的中间人攻击实战
gitblog_01161的博客
04-06 598
Active Directory(AD)网络中,LLMNR(链路本地多播名称解析)NBT-NS(NetBIOS名称服务)协议的设计缺陷常被攻击者利用。本文将通过实战案例,详细介绍如何使用Responder工具实施LLMNR投毒攻击,以及防御此类攻击的关键策略。 ## 什么是LLMNR投毒攻击? LLMNR投毒是一种针对Windows网络的中间人攻击技术。当客户端无法通过DNS解析主机名时,会
终极指南:如何用Responder的Analyze模式进行被动网络侦察
最新发布
gitblog_00213的博客
04-22 799
Responder是一款功能强大的LLMNRNBT-NSMDNS投毒工具,内置HTTP/SMB/MSSQL/FTP/LDAP恶意认证服务器,支持NTLMv1/NTLMv2/LMv2、扩展安全NTLMSSP基本HTTP认证。本指南将详细介绍如何使用其Analyze模式进行被动网络侦察,帮助你在不干扰网络的情况下收集关键信息。 ## 🕵️‍♂️ 什么是Analyze模式? Analyze模
Responder代码架构解析:深入理解服务器与投毒器模块设计
gitblog_01020的博客
12-24 927
Responder是一个功能强大的LLMNRNBT-NSMDNS投毒工具,内置多种认证服务器支持NTLMv1/NTLMv2/LMv2等多种认证方式。本文将从代码架构角度深入分析其核心模块设计原理。 ## 🔍 核心架构概览 Responder采用模块化设计,主要分为两大核心组件: ### 投毒器模块(Poisoners) 位于 `poisoners/` 目录,负责网络协议层面的欺骗攻击:
win 开启mDNS服务最简单的办法
sanitizer的专栏
08-04 4623
这个服务安装,就OK了。
llmnr协议 名称解析缺陷劫持内网指定主机会话
whatday的专栏
06-23 4679
0x00 LLMNR 简介 从 Windows Vista 起,Windows 操作系统开始支持一种新的名称解析协议 —— LLMNR,主要用于局域网中的名称解析。LLMNR 能够很好的支持 IPv4 IPv6,因此在 Windows 名称解析顺序中是一个仅次于 DNS 的名称解析方式,更重要的是在 Linux 操作系统中也实现了 LLMNR。 0x01 LLMNR 协议分析 LLMNR 协议定义在RFC 4795中。文档里详细的介绍了有关于 LLMNR 协议的结构,配置以及安全性等内容。 ..
关闭mDNS/netBIOS服务方法
热门推荐
li_liu10的博客
10-12 1万+
关闭mDNS/netBIOS服务方法 mDNS即为avahi-daemon服务,此服务对我司系统无意义,且易引发网络安全隐患,请及时关闭。 1.Redhat关闭此服务 /etc/init.d/avahi-daemon stop 2.取消开机自启动 chkconfig avahi-daemon off 3.检查配置修改后的情况 ,红框内每一项均为off即为关闭自启动。 chkconfig –list 2. 关闭netBIOS方法 netBIOS为windows文件共享服...
mDNS Module
qq_24429681的博客
07-05 2119
mDNS 模块 nodemcu
【内网学习笔记】18、LLMNR NetBIOS 欺骗攻击
TeamsSix 的 CSDN 空间
07-30 1248
0、前言 如果已经进入目标网络,但是没有获得凭证,可以使用 LLMNR NetBIOS 欺骗攻击对目标进行无凭证条件下的权限获取。 1、基本概念 LLMNR 本地链路多播名称解析(LLMNR)是一种域名系统数据包格式,当局域网中的 DNS 服务器不可用时,DNS 客户端就会使用 LLMNR 解析本地网段中机器的名称,直到 DNS 服务器恢复正常为止。 从 Windows Vista 开始支持 LLMNR ,Linux 系统也通过 systemd 实现了此协议,同时 LLMNR 也支持 IPv6。 Net
LLMNRNetBIOS欺骗攻击分析及防范
hongduilanjun的博客
06-08 1112
本文首发于先知社区:https://xz.aliyun.com/t/9714链路本地多播名称解析(LLMNR)是一个基于域名系统(DNS)数据包格式的协议,IPv4IPv6的主机可以通过此协议对同一本地链路上的主机执行名称解析。在DNS 服务器不可用时,DNS 客户端计算机可以使用本地链路多播名称解析 (LLMNR—Link-Local Multicast Name Resolution)(也称为多播 DNSmDNS)来解析本地网段上的名称。例如,如果路由器出现故障,从网络上的所有 DNS 服务器切
Responder与Active Directory:域环境下的渗透测试
gitblog_01149的博客
11-30 1037
在Active Directory域环境中进行渗透测试时,**Responder工具**是网络安全专家不可或缺的利器。这款强大的渗透测试工具专门用于捕获利用网络认证凭据,帮助安全团队发现修复域环境中的安全漏洞。🎯 ## 什么是Responder渗透测试工具? Responder是一款开源的LLMNR/NBT-NS/MDNS毒化工具,能够监听并响应网络中的名称解析请求。当目标网络中的设备尝
Responder与evil-winRM配合远程登录Windows
蚁景网安学院
08-16 515
evil-winrm是Windows远程管理(WinRM) Shell的终极版本。Windows远程管理是WS 管理协议的 Microsoft 实施,该协议是基于标准 SOAP、不受防火墙影响的协议,允许不同供应商的硬件操作系统相互操作。而微软将其包含在他们的系统中,是为了便于系统管理员在日常工作中,远程管理服务器,或通过脚本同时管理多台服务器,以提高他们的工作效率。
LLMNR与NetBIOS欺骗攻击:内网渗透的隐形杀手与防御之道
Bruce_xiaowei的博客
07-27 1486
在内部网络渗透测试中,攻击者往往无需复杂漏洞利用即可获取高价值凭证。LLMNR(链路本地多播名称解析)NetBIOS欺骗攻击便是此类经典却高效的攻击手段。尽管这两种协议已存在多年,但由于默认启用且缺乏足够防护,它们仍是内网横向移动的利器。微软报告显示,超过85%的企业网络仍存在LLMNR或NetBIOS服务启用的情况,这为攻击者提供了可乘之机。Windows系统在名称解析时遵循严格的层次结构,当标准DNS解析失败时,系统会“降级”使用替代协议:这种设计本意是增强网络鲁棒性,却引入了重大安全风险——最后两个
Windows常用协议
hello
02-26 1724
链路本地多播名称解析(LLMNR)是一个基于域名系统(DNS)数据包格式的协议,可用于解析局域网中本地链路上的主机名称。它可以很好地支持IPv4IPv6,是仅次于DNS 解析的名称解析协议。NetBIOS(Network Basic Input/Output System,网络基本输入输出系统)是一种接入服务网络的接口标准。主机系统通过WINS服务、广播及lmhosts 文件等多种模式,把NetBIOS名解析成对应的IP地址,实现信息通信。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值