Comment désactiver les protocoles de résolution de noms de diffusion sous Windows
Si vous gérez un réseau Windows sans DNS ou si vous souhaitez simplement renforcer sa sécurité, il peut être judicieux de désactiver les protocoles de diffusion indésirables tels que LLMNR, NetBIOS sur TCP/IP et mDNS. Utiles dans certaines configurations domestiques, ils peuvent constituer une véritable faille de sécurité en entreprise (usurpation d’identité, attaques de type « homme du milieu » ou simple prolifération de messages inutiles sur le réseau).De plus, ils peuvent parfois entraîner des ralentissements ou des problèmes de réseau inattendus. Pour l’avoir moi-même expérimenté (à plusieurs reprises), je recommande de tester ces modifications sur quelques machines avant de les déployer, car la désactivation de NetBIOS peut parfois rendre certains périphériques anciens inopérants.
Comment désactiver LLMNR via la stratégie de groupe
Méthode 1 : Utiliser une stratégie de groupe pour désactiver la diffusion LLMNR
C’est la solution la plus simple si vous êtes dans un environnement de domaine. Désactiver LLMNR via la stratégie de groupe empêche toutes les machines Windows connectées au domaine de répondre aux requêtes de résolution de noms multicast. Pratique, car Windows a tendance à utiliser LLMNR par défaut, notamment dans les groupes de travail ou les configurations hors Active Directory. C’est une bonne solution si vous ne souhaitez pas modifier directement le registre.
- Ouvrez gpmc.msc (la console de gestion des stratégies de groupe).Créez un nouvel objet de stratégie de groupe ou sélectionnez-en un existant qui s’applique à toutes vos cibles.
- Accédez à Configuration ordinateur > Stratégies > Modèles d’administration > Réseau > Client DNS.
- Activez les stratégies : Désactiver la résolution de noms multicast et Désactiver la résolution de noms multihomed intelligente.
- Exécutez la commande
gpupdate /forcesur les machines clientes ou attendez l’actualisation automatique pour appliquer le paramètre.
Pourquoi c’est utile : Cela empêche Windows de diffuser les requêtes LLMNR, réduisant ainsi la surface d’attaque. Une fois activé, la résolution de noms s’appuiera sur DNS ou mDNS tant que ces protocoles sont opérationnels. Généralement, après l’activation de cette option, la résolution de noms réseau devient plus fiable sur les réseaux encombrés. Sur certaines configurations, un redémarrage ou une réinitialisation du réseau est nécessaire pour que les modifications soient pleinement effectives.
Méthode 2 : Désactiver LLMNR via le Registre avec PowerShell
Plus direct et automatisable par script : idéal pour déployer cette solution sur plusieurs PC sans passer par l’interface des GPO. Ce script crée les clés de registre nécessaires pour désactiver la résolution de noms multicast. On se demande pourquoi Windows ne permet pas simplement d’activer ou de désactiver cette option dans les GPO, mais il faut bien sûr que ce soit plus compliqué.
New-Item "HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient" -Force New-ItemProperty "HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient" -Name "EnableMulticast" -Value 0 -PropertyType DWORD -Force New-ItemProperty "HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient" -Name "DisableSmartNameResolution" -Value 1 -PropertyType DWORD -Force
Exécutez cette commande en tant qu’administrateur dans PowerShell. L’opération est rapide, mais il est conseillé de redémarrer votre ordinateur ou votre réseau après la modification du registre. Parfois, le paramètre n’est pris en compte qu’à la prochaine connexion ou après un redémarrage ; prévoyez-le en conséquence.
Désactivation de NetBIOS sur TCP/IP
NetBIOS est un protocole ancien, encore principalement utilisé sur des appareils anciens ou d’anciennes installations de Windows XP. Si vous n’utilisez pas ces systèmes, sa désactivation peut réduire considérablement le trafic de diffusion inutile et limiter les risques d’attaque. Attention cependant : sur certains équipements anciens ou non Windows, cela peut interrompre la connectivité ou l’accès aux partages réseau.
Désactivation manuelle via les paramètres de la carte réseau
- Ouvrez ncpa.cpl (vous savez, Connexions réseau).
- Faites un clic droit sur votre carte réseau, sélectionnez Propriétés.
- Défilez jusqu’à Protocole Internet version 4 (TCP/IPv4), puis cliquez sur Propriétés.
- Cliquez sur Avancé… puis accédez à l’ onglet WINS.
- Sélectionnez Désactiver NetBIOS sur TCP/IP.
- Faites-le pour toutes les cartes réseau si vous en avez plusieurs.
Vous souhaitez vérifier ? Exécutez la commande ipconfig /allet consultez la ligne « NetBIOS over Tcpip » : elle devrait indiquer « Désactivé » si vous avez suivi correctement les instructions. Vous pouvez également modifier manuellement la base de registre sous HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters\Interfaces\
Automatisez avec PowerShell
Si vous effectuez cette opération à grande échelle, voici un script pratique :
Get-WmiObject -Class Win32_NetworkAdapterConfiguration | % { $_. SetTcpipNetbios(2) }
Cette commande désactive NetBIOS sur toutes les interfaces réseau. Enregistrez le script sous le nom disableNetbios.ps1 et déployez-le via votre script de démarrage GPO ou SCCM. L’application des modifications peut prendre un certain temps et un redémarrage peut être nécessaire. Par ailleurs, si des clients DHCP sont configurés pour obtenir les paramètres NetBIOS via les options DHCP, pensez à désactiver également cette fonctionnalité sur votre serveur DHCP.
Désactivation complète de NetBIOS via PowerShell pour toutes les cartes réseau
Comme il n’existe pas de stratégie de groupe dédiée pour désactiver NetBIOS partout, il faut utiliser un script. Voici un exemple qui désactive les options NetBIOS pour chaque interface réseau :
$regkey = "HKLM:\SYSTEM\CurrentControlSet\services\NetBT\Parameters\Interfaces" Get-ChildItem $regkey | ForEach-Object { Set-ItemProperty -Path "$_" -Name "NetbiosOptions" -Value 2 }
Ou mieux encore, une approche WMI :
Get-WmiObject -Class Win32_NetworkAdapterConfiguration | % { $_. SetTcpipNetbios(2) }
Enregistrez le script et configurez-le pour qu’il s’exécute au démarrage. Attention : les modifications nécessitent généralement un redémarrage ou la désactivation/activation des adaptateurs pour être prises en compte. Vérifiez également wmic nicconfig get caption, index, TcpipNetbiosOptionsque les modifications ont bien été appliquées.
Désactivation de mDNS (DNS multicast)
mDNS (équivalent de Bonjour ou du service de découverte de services d’Apple) est pratique pour la détection automatique des imprimantes, des appareils Apple ou des périphériques compatibles AirPlay. Cependant, dans un environnement exclusivement Windows ou si la sécurité est primordiale, sa désactivation peut éviter bien des problèmes et des failles de sécurité potentielles.
Pour désactiver mDNS, modifiez votre registre ou déployez la solution via une stratégie de groupe. La clé de registre est :
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters" /v "EnableMDNS" /t REG_DWORD /d 0 /f
Pour le déploiement d’une stratégie de groupe (GPO), créez une nouvelle préférence de registre : définissez l’action sur « Mise à jour », la ruche sur « HKEY_LOCAL_MACHINE », le chemin de clé sur « SYSTEM\CurrentControlSet\Services\Dnscache\Parameters » et la valeur sur « EnableMDNS » avec la donnée « 0 ». Cela désactive les réponses mDNS.
Remarque : La désactivation de mDNS peut entraîner des problèmes avec le partage d’écran sans fil ou les imprimantes réseau qui en dépendent. Il est conseillé de tester cette configuration dans votre environnement avant un déploiement à grande échelle.
Pour vérifier que les protocoles sont désactivés, exécutez :
netstat -nao | FIND /i ":137" netstat -nao | FIND /i ":5353" netstat -nao | FIND /i ":5355"
Si ces ports ne sont pas ouverts, cela signifie que ces protocoles ont été désactivés avec succès.
Conclure
Supprimer ces protocoles de diffusion permet de réduire le trafic réseau et d’améliorer considérablement la sécurité. En général, une combinaison de paramètres de stratégie de groupe, de modifications du registre et de scripts suffit. Il est important de procéder à des tests rigoureux : la désactivation de NetBIOS peut impacter les appareils anciens, et la désactivation de mDNS peut perturber la découverte de certaines fonctionnalités sur les appareils Windows et Apple. L’objectif est de trouver le juste équilibre entre sécurité et fonctionnalité.
Résumé
- Désactivez LLMNR via une stratégie de groupe ou des modifications du registre pour arrêter les diffusions de résolution de noms multicast.
- Désactivez NetBIOS dans les paramètres réseau ou via des scripts PowerShell, surtout si aucun périphérique ancien n’est impliqué.
- Désactivez mDNS si vous n’avez pas besoin de la découverte de services, mais effectuez d’abord un test : cela pourrait perturber le partage sans fil ou les imprimantes.
- Vérifiez toujours la fermeture des ports à l’aide
netstatde commandes.
Conclusion
Désactiver ces protocoles n’est pas compliqué, mais il faut trouver le bon équilibre. Sur une configuration, cela fonctionne parfaitement ; sur une autre, vous risquez de perdre en praticité réseau ou de rencontrer des problèmes inattendus. Faites des tests au préalable, sauvegardez vos données avant de modifier le registre ou les GPO, et surveillez tout matériel ancien susceptible de présenter des dysfonctionnements. Croisons les doigts pour que cela contribue à renforcer la sécurité du réseau sans trop perturber le système. Bonne chance !