如何通过 GPO 禁用 NetBIOS 和 LLMNR 协议

一些 Windows 用户对 TCP/IP 上的 NetBIOS 和 LLMNR 两种协议持怀疑态度。这些协议负责您的网络与旧版 Windows 版本的兼容性。然而，这些很容易受到 MITM 攻击。因此，为了提高网络的安全性，许多 Windows 用户倾向于禁用 NetBIOS 和 LLMNR 协议。在本文中，我们将了解如何使用组策略编辑器禁用 NetBIOS 和 LLMR 协议。

如果您想禁用 NetBIOS 和 LLMR 协议，最好了解一些有关它们的知识。

LLMNR或链路本地多播名称解析是 IPv6 和 IPv4 客户端使用的一种协议，无需使用 DNS 服务器即可了解相邻系统的名称。它在 Windows Vista 中引入，并在之后的版本中使用。因此，如果 DNS 不可用，该协议就会启动。

NetBIOS over TCP/IP是LLMNR的后续协议，用于在局域网中发布并查找资源。如果您想了解有关此协议的更多信息，请以管理员身份打开命令提示符并键入以下命令。

nbtstat

这将显示协议统计信息以及使用 TCP/IP 上的 NetBIOS 的当前 TCP/IP 连接。

使用组策略编辑器禁用 LLMR

您可以使用组策略编辑器轻松禁用计算机上的 LLMR 协议。为此，启动运行(Win + R)，输入“gpedit.msc”，并按Enter（确保 GPO适用于域中的所有工作站）。

现在，导航到以下位置。

Computer Configuration > Administrative Templates > Network > DNS Client

双击“关闭智能多宿主名称解析”，选择启用，然后点击应用 > 确定。

现在，请所有用户等待组策略更新。或者使用以下命令强制更新。

gpupdate /force

这样您就可以使用 GPO 禁用 LLMR。

您可以借助 PowerShell 命令在 Windows 计算机上本地禁用 LLMR。以管理员身份启动 PowerShell 并执行以下命令：

New-Item "HKLM:\SOFTWARE\Policies\Microsoft\Windows NT" -Name DNSClient  -Force

New-ItemProperty "HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient" -Name EnableMultiCast -Value 0 -PropertyType

DWORD  -Force

禁用 TCP/IP 上的 NetBIOS

如果您是 Windows 10 或 Server 用户，请使用以下步骤在计算机上禁用 TCP/IP 上的 NetBIOS。

1. 从“开始”菜单启动控制面板。

2. 确保您的查看方式设置为大图标，然后点击网络和共享中心 > 更改适配器设置

3. 右键点击连接的网络并选择属性。

4. 选择互联网协议版本 4 (TCP/IPv4)，然后点击属性。

5. 单击高级 > WINS > 禁用 TCP/IP 上的 NetBIOS > 确定。

这样，您就已经在 Windows 计算机上禁用了 TCP/IP 上的 NetBIOS

使用 GPO 禁用 TCP/IP 上的 NetBIOS

不幸的是，没有单独的方法可以使用 GPO 禁用 TCP/IP 上的 NetBIOS。不过，我们将创建一个.ps1文件来执行相同的操作。

将以下代码复制到记事本中，并将其命名为“disableNetbios.ps1”。

$regkey = "HKLM:SYSTEM\CurrentControlSet\services\NetBT\Parameters\Interfaces"

Get-ChildItem $regkey |foreach { Set-ItemProperty -Path "$regkey$($_.pschildname)" -Name NetbiosOptions -Value 2 -Verbose}

现在，打开本地组策略编辑器并转到以下位置。

Computer Configuration > Windows Settings > Script (Startup/Shutdown) > Startup

双击启动，转到PowerShell 脚本，然后将“对于此 GPO，按以下顺序运行脚本”更改为首先运行 Windows PowerShell 脚本。

点击添加 > 浏览器并从其位置选择“disableNetbios.ps1”文件。 最后，点击应用 > 确定运行脚本。

要强制更改，请重新启动计算机或重新启动网络适配器。如果您想查看更改，请使用以下命令检查网络适配器是否禁用 TCP/IP 上的 NetBIOS。

wmic nicconfig get caption,index,TcpipNetbiosOptions

希望在本文的帮助下，您将能够通过 GPO 禁用 NetBIOS 和 LLMR 协议。