Tags: Netzwerk, Sicherheit, DHCP
NetBIOS arbeitet auf der Sitzungsschicht, also auf Layer 5 des OSI-Modells, und bietet mehrere Services. Wie bei anderen Legacy-Technologien ist Sicherheit der wichtigste Grund, um NetBIOS zu deaktivieren. Dieses Ziel lässt sich entweder über DHCP-Bereichsoptionen oder einen Registrierungsschlüssel erreichen.
Die ursprünglichen NetBIOS-Implementierungen nutzten einen von NetBEUI bereitgestellten Frame, da NetBIOS selbst kein Netzwerkprotokoll ist. Am häufigsten setzen Unternehmen es heute noch NetBIOS over TCP/IP (NBT) ein. TCP/IP überwand für NetBIOS eine wesentliche Einschränkung von NetBEUI, das nicht Routing-fähig ist. NetBIOS wird nur in IPv4-Netzen unterstützt und ist nicht mit IPv6 kompatibel.
NetBIOS bietet drei wesentliche Funktionen:
- Namensauflösung: TCP oder UDP über Port 137 bieten Namensauflösung und Registrierungsdienste
- Datagram Services: UDP-Port 138 ermöglicht Broadcasts an alle Computer im Netz und eine verbindungslose Kommunikation, beispielsweise für Fehlerberichte.
- Session Services: TCP-Port 139 stellt den Kanal bereit, über den Computer miteinander kommunizieren können.
Obwohl NetBIOS schon in den 1980er Jahren entwickelt wurde, ist es auch heute noch in Windows 10 zu finden.
Gründe für die Deaktivierung von NetBIOS
NetBIOS ist eine alte Netzwerktechnologie und letztlich eine Altlast, die trotz der Aktualisierung von Anwendungen und andere Technologien zurückbleibt. Das Netzwerk ist nämlich ein Bereich der Infrastruktur, der sich besonders langsam ändert.
Es gibt gute Gründe, NetBIOS zu deaktivieren, der wichtigste dafür ist die Sicherheit. NBT ist anfällig für Poisoning-Angriffe, da es sich nicht um ein authentifiziertes Protokoll handelt. Ein geschickter Hacker kann die Identität von NBT-Frames vortäuschen bzw. fälschen und den Datenverkehr umleiten, wodurch sensible Informationen in die falschen Hände gerieten. Dazu kann auch der NTLM-Hash von Anmeldedaten gehören.
Mit dem Deaktivieren von NetBIOS über TCP/IP lässt sich zudem die Netzwerkleistung verbessern. Diese Maßnahme empfiehlt sich insbesondere für Knoten im Windows-Cluster und auf Hyper-V-Hosts mit dedizierten NICs für iSCSI oder Live Migration.
Nutzung von NetBIOS prüfen
Wie bei jeder Änderung der Infrastruktur oder im Netzwerk müssen Administratoren vor dem Abschalten von NetBIOS erst herausfinden, ob irgendwelche Systeme dieses aktiv nutzen. Damit stellt man sicher, dass es keine älteren Anwendungen oder Clients gibt, die auf NetBIOS angewiesen sind, um ordnungsgemäß zu funktionieren.
Darüber hinaus muss die DNS-Infrastruktur korrekt implementiert und auf ihre Funktionstüchtigkeit geprüft werden, bevor die die Namensauflösung durch NetBIOS wegfällt.
Man kann ein Tool wie Wireshark verwenden, um den NetBIOS-Verkehr im Netzwerk zu beobachten. Damit lassen sich alle unbekannten oder versteckten Abhängigkeiten von NetBIOS aufdecken.
Alternativ kann man unter Windows auch nbtstat.exe verwenden, um etwa Einträge im Cache zu finden.
Deaktivieren von NetBIOS
Es gibt zwei Möglichkeiten, NetBIOS auf einem Windows-Rechner effektiv abzuschalten. Da die meisten Unternehmen einen DHCP-Server unter Windows verwenden, kann man NetBIOS über eine Bereichsoption steuern.
Öffnen Sie dazu die DHCP-Verwaltungskonsole mit dem Befehl dhcpmgmt.msc. Navigieren Sie zum betreffenden DHCP-Bereich und dort zu Bereichsoptionen => Optionen konfigurieren.
Wechseln Sie zur Registerkarte Erweitert. Wählen Sie im Dropdown-Menü Herstellerklasse den Eintrag Microsoft Windows 2000-Optionen. Setzen Sie dann ein Häkchen in das Kästchen neben 001 Microsoft Disable Netbios.
Um NetBIOS zu deaktivieren, tragen Sie unter Dateneingabe den Wert 0x2 ein. Alle neuen Leases erhalten ab nun die neue Bereichsoption.
Auf der Client-Seite ist in Windows 10 unter der Registerkarte WINS der erweiterten TCP/IP-Einstellungen standardmäßig die Einstellung aktiviert, um die NetBIOS-Konfiguration vom DHCP-Server zu beziehen:
NetBIOS-Einstellung des DHCP-Servers verwenden. Falls die statische IP-Adresse verwendet wird oder der DHCP-Server keine NetBIOS-Einstellung anbietet, wird NetBIOS über TCP/IP aktiviert.
Wenn also Ihr DHCP-Server eine Konfiguration für NetBIOS sendet, verwendet Windows 10 diese per Voreinstellung.
Sie können NetBIOS folgendermaßen auch über die Windows-Registrierung deaktivieren:
- Starten Sie den Registrierungseditor (regedit.exe).
- Öffnen Sie HKLM\SYSTEM\CurrentControlSet\services\NetBT\Parameter\Interfaces
- Wählen Sie die GUID des Netzwerkadapters aus. Um diese zu finden, starten Sie den Windows-Dienst Wired Autoconfig (falls er nicht läuft), und führen Sie den folgenden Befehl aus:
netsh lan show interfaces - Bei GUIDs, wo der Wert für NetbiosOptions auf 0 (verwendet die NetBIOS-Einstellung vom DHCP-Server) oder 1 (aktiviert NetBIOS über TCP/IP) steht, ändern Sie diesen auf 2.
Zusammenfassung
NetBIOS ist ein Netzwerkdienst, den es schon seit Jahrzehnten gibt. Da ihn viele Unternehmen nicht mehr benötigen und zudem über einen stabilen DNS-Dienst für die Namensauflösung verfügen, sollten sie NetBIOS vor allem aus Sicherheitsgründen deaktivieren. Es sollte jedoch geprüft werden, ob wirkliche keine Anwendungen mehr davon abhängen.
Wie gezeigt, eignet sich der DHCP-Server, um die NetBIOS-Einstellungen der Clients zu konfigurieren. IT-Administratoren können auch die Windows-Registrierung anpassen, um NetBIOS abzuschalten.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- IP-Adresse und DNS-Server mit PowerShell ändern
- Fortgeschrittene Techniken mit Nmap: TCP-Window-, FIN-, NULL- und XMAS-Scans
- Nmap: Firewalls umgehen mit Ping- und TCP-ACK-Scans
- Portscanner Nmap: die wichtigsten Funktionen im Überblick
- IP-Adressen in Azure: öffentlich versus privat, dynamisch versus statisch
Weitere Links
1 Kommentar
Es ist wirklich schade, dass dies immer noch aktiv ist, auch in Windows Server 2022. Danke für den Artikel Brandon. Es wird sehr oft nicht abgeschaltet und im Default belassen.