NetBIOS in Windows-Netzwerken deaktivieren

    , 20.10.2021
    Tags: , ,

    NetBIOS-NamensauflösungNetBIOS arbeitet auf der Sitzungs­schicht, also auf Layer 5 des OSI-Modells, und bietet mehrere Services. Wie bei anderen Legacy-Techno­logien ist Sicher­heit der wichtigste Grund, um NetBIOS zu deak­tivieren. Dieses Ziel lässt sich entweder über DHCP-Bereichs­optionen oder einen Regi­strierungs­schlüssel erreichen.

    Die ursprünglichen NetBIOS-Implemen­tierungen nutzten einen von NetBEUI bereitgestellten Frame, da NetBIOS selbst kein Netzwerk­protokoll ist. Am häufigsten setzen Unter­nehmen es heute noch NetBIOS over TCP/IP (NBT) ein. TCP/IP überwand für NetBIOS eine wesentliche Einschränkung von NetBEUI, das nicht Routing-fähig ist. NetBIOS wird nur in IPv4-Netzen unterstützt und ist nicht mit IPv6 kompatibel.

    NetBIOS bietet drei wesentliche Funktionen:

    • Namensauflösung: TCP oder UDP über Port 137 bieten Namens­auflösung und Registrierungs­dienste
    • Datagram Services: UDP-Port 138 ermöglicht Broadcasts an alle Computer im Netz und eine verbindungs­lose Kommunikation, beispielsweise für Fehler­berichte.
    • Session Services: TCP-Port 139 stellt den Kanal bereit, über den Computer miteinander kommunizieren können.

    Obwohl NetBIOS schon in den 1980er Jahren entwickelt wurde, ist es auch heute noch in Windows 10 zu finden.

    NetBIOS-Einstellungen in Windows 10

    Gründe für die Deaktivierung von NetBIOS

    NetBIOS ist eine alte Netzwerk­technologie und letztlich eine Altlast, die trotz der Aktualisierung von Anwendungen und andere Technologien zurückbleibt. Das Netzwerk ist nämlich ein Bereich der Infrastruktur, der sich besonders langsam ändert.

    Es gibt gute Gründe, NetBIOS zu deaktivieren, der wichtigste dafür ist die Sicherheit. NBT ist anfällig für Poisoning-Angriffe, da es sich nicht um ein authentifiziertes Protokoll handelt. Ein geschickter Hacker kann die Identität von NBT-Frames vortäuschen bzw. fälschen und den Datenverkehr umleiten, wodurch sensible Informationen in die falschen Hände gerieten. Dazu kann auch der NTLM-Hash von Anmelde­daten gehören.

    Mit dem Deaktivieren von NetBIOS über TCP/IP lässt sich zudem die Netzwerk­leistung verbessern. Diese Maßnahme empfiehlt sich insbesondere für Knoten im Windows-Cluster und auf Hyper-V-Hosts mit dedizierten NICs für iSCSI oder Live Migration.

    Nutzung von NetBIOS prüfen

    Wie bei jeder Änderung der Infrastruktur oder im Netzwerk müssen Administratoren vor dem Abschalten von NetBIOS erst herausfinden, ob irgendwelche Systeme dieses aktiv nutzen. Damit stellt man sicher, dass es keine älteren Anwendungen oder Clients gibt, die auf NetBIOS angewiesen sind, um ordnungs­gemäß zu funktionieren.

    Darüber hinaus muss die DNS-Infrastruktur korrekt implementiert und auf ihre Funktions­tüchtigkeit geprüft werden, bevor die die Namens­auflösung durch NetBIOS wegfällt.

    Man kann ein Tool wie Wireshark verwenden, um den NetBIOS-Verkehr im Netzwerk zu beobachten. Damit lassen sich alle unbekannten oder versteckten Abhängigkeiten von NetBIOS aufdecken.

    Mit Wireshark kann man herausfinden, ob es tatsächlich keinen NetBIOS-Traffic im Netzwerk gibt.

    Alternativ kann man unter Windows auch nbtstat.exe verwenden, um etwa Einträge im Cache zu finden.

    Mit nbtstat zwischengespeicherte Ergebnisse der NetBIOS-Namensauflösung finden

    Deaktivieren von NetBIOS

    Es gibt zwei Möglichkeiten, NetBIOS auf einem Windows-Rechner effektiv abzuschalten. Da die meisten Unter­nehmen einen DHCP-Server unter Windows verwenden, kann man NetBIOS über eine Bereichsoption steuern.

    Öffnen Sie dazu die DHCP-Verwaltungs­konsole mit dem Befehl dhcpmgmt.msc. Navigieren Sie zum betreffenden DHCP-Bereich und dort zu Bereichsoptionen => Optionen konfigurieren.

    Bereichsoptionen in der DHCP-Konsole konfigurieren

    Wechseln Sie zur Registerkarte Erweitert. Wählen Sie im Dropdown-Menü Herstellerklasse den Eintrag Microsoft Windows 2000-Optionen. Setzen Sie dann ein Häkchen in das Kästchen neben 001 Microsoft Disable Netbios.

    Um NetBIOS zu deaktivieren, tragen Sie unter Dateneingabe den Wert 0x2 ein. Alle neuen Leases erhalten ab nun die neue Bereichsoption.

    NetBIOS über eine DHCP-Bereichsoption deaktivieren

    Auf der Client-Seite ist in Windows 10 unter der Registerkarte WINS der erweiterten TCP/IP-Einstellungen standard­mäßig die Einstellung aktiviert, um die NetBIOS-Konfiguration vom DHCP-Server zu beziehen:

    NetBIOS-Einstellung des DHCP-Servers verwenden. Falls die statische IP-Adresse verwendet wird oder der DHCP-Server keine NetBIOS-Einstellung anbietet, wird NetBIOS über TCP/IP aktiviert.

    Wenn also Ihr DHCP-Server eine Konfiguration für NetBIOS sendet, verwendet Windows 10 diese per Voreinstellung.

    NetBIOS-Einstellungen in Windows 10

    Sie können NetBIOS folgender­maßen auch über die Windows-Registrierung deaktivieren:

    1. Starten Sie den Registrierungseditor (regedit.exe).
    2. Öffnen Sie HKLM\SYSTEM\CurrentControlSet\services\NetBT\Parameter\Interfaces
    3. Wählen Sie die GUID des Netzwerk­adapters aus. Um diese zu finden, starten Sie den Windows-Dienst Wired Autoconfig (falls er nicht läuft), und führen Sie den folgenden Befehl aus:
      netsh lan show interfaces
    4. Bei GUIDs, wo der Wert für NetbiosOptions auf 0 (verwendet die NetBIOS-Einstellung vom DHCP-Server) oder 1 (aktiviert NetBIOS über TCP/IP) steht, ändern Sie diesen auf 2.

    NetBIOS über die Windows-Registry deaktivieren

    Zusammenfassung

    NetBIOS ist ein Netzwerkdienst, den es schon seit Jahrzehnten gibt. Da ihn viele Unternehmen nicht mehr benötigen und zudem über einen stabilen DNS-Dienst für die Namens­auflösung verfügen, sollten sie NetBIOS vor allem aus Sicherheits­gründen deaktivieren. Es sollte jedoch geprüft werden, ob wirkliche keine Anwendungen mehr davon abhängen.

    Wie gezeigt, eignet sich der DHCP-Server, um die NetBIOS-Einstellungen der Clients zu konfigurieren. IT-Administratoren können auch die Windows-Registrierung anpassen, um NetBIOS abzuschalten.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Brandon Lee

    Brandon Lee ist seit mehr als 18 Jahren in der IT-Branche tätig und konzen­triert sich auf Networking und Virtua­lisie­rung. Er ver­öffent­licht auf ver­schie­denen Blogs und ver­fasst tech­nische Doku­men­ta­tionen, haupt­sächlich auf Virtualizationhowto.com.
    // Kontakt: Web, E-Mail, LinkedIn //

    Verwandte Beiträge

    Weitere Links

    1 Kommentar

    Karl Wester-Ebb... (Besucher) sagt:
    21. Oktober 2021 - 12:22

    Es ist wirklich schade, dass dies immer noch aktiv ist, auch in Windows Server 2022. Danke für den Artikel Brandon. Es wird sehr oft nicht abgeschaltet und im Default belassen.