Cómo deshabilitar los protocolos NetBIOS, LLMNR y mDNS en Windows

Cómo deshabilitar los protocolos de resolución de nombres de difusión en Windows

Si utiliza una red Windows que no usa DNS o simplemente busca reforzar la seguridad, le recomendamos deshabilitar esos molestos protocolos de difusión como LLMNR, NetBIOS sobre TCP/IP y mDNS. Son útiles en algunas configuraciones domésticas, pero pueden ser un verdadero vector de ataque en entornos empresariales, como suplantación de identidad, ataques MITM o simplemente interferencias innecesarias en la red. Además, a veces causan búsquedas lentas o problemas de red inusuales. Tras haberlo hecho yo mismo (más de una vez), puedo afirmar que vale la pena probar estas mejoras en varias máquinas antes de implementarlas, ya que a veces los dispositivos antiguos fallan si se deshabilita NetBIOS a ciegas.

Cómo desactivar LLMNR con la política de grupo

Método 1: usar GPO para deshabilitar la transmisión LLMNR

Esta es la opción más sencilla si trabajas en un entorno de dominio. Deshabilitar LLMNR mediante la directiva de grupo hace que todas las máquinas Windows conectadas al dominio dejen de responder a las resoluciones de nombres de multidifusión. Es genial, ya que Windows tiende a usar LLMNR de forma predeterminada, especialmente en grupos de trabajo o configuraciones sin AD. Funciona bien si no quieres modificar el registro directamente.

1. Abra gpmc.msc, la Consola de administración de directivas de grupo. Cree una nueva GPO o seleccione una existente que se aplique a todos sus destinos.
2. Vaya a Configuración del equipo > Políticas > Plantillas administrativas > Red > Cliente DNS.
3. Habilite las políticas: Desactivar la resolución de nombres de multidifusión y Desactivar la resolución de nombres de host múltiple inteligente.
4. Ejecútelo gpupdate /forceen las máquinas cliente o espere la actualización automática para aplicar la configuración.

Por qué ayuda: Impide que Windows transmita esas solicitudes LLMNR, lo que reduce la superficie de ataque. Al aplicarlo, notará que la resolución de nombres vuelve a DNS o mDNS siempre que estos protocolos estén activos. Normalmente, tras habilitarlo, las búsquedas de nombres de red se vuelven un poco más fiables en redes saturadas. En algunas configuraciones, es necesario reiniciar o, al menos, restablecer la red para que funcione por completo.

Método 2: Deshabilitar LLMNR a través del Registro con PowerShell

Más directo y programable: si desea implementarlo en varios equipos sin complicarse con la interfaz de GPO, crea las claves de registro necesarias para desactivar la resolución de nombres de multidifusión. No entiendo por qué Windows no permite activarlo en todas las GPO, pero, claro, tiene que ser más complejo.

New-Item "HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient" -Force New-ItemProperty "HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient" -Name "EnableMulticast" -Value 0 -PropertyType DWORD -Force New-ItemProperty "HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient" -Name "DisableSmartNameResolution" -Value 1 -PropertyType DWORD -Force 

Ejecútalo como administrador en PowerShell. Es rápido, pero ten cuidado con la necesidad de reiniciar después, ya que los cambios en el registro suelen requerir un reinicio o un restablecimiento de la red. A veces, la configuración no se activa hasta el siguiente inicio de sesión o después de un reinicio, así que planifica con antelación.

Desactivación de NetBIOS sobre TCP/IP

NetBIOS es el protocolo más antiguo, y aún se utiliza en dispositivos antiguos o configuraciones antiguas de Windows XP. Si no los usa, deshabilitarlo puede reducir el tráfico de difusión innecesario y los vectores de ataque. Pero tenga cuidado: en algunos equipos antiguos o que no sean de Windows, esto podría interrumpir la conectividad o el acceso a recursos compartidos de red.

Desactivación manual a través de la configuración del adaptador de red

1. Abra ncpa.cpl (ya sabe, Conexiones de red).
2. Haga clic derecho en su adaptador de red y seleccione Propiedades.
3. Desplácese hasta Protocolo de Internet versión 4 (TCP/IPv4) y haga clic en Propiedades.
4. Haga clic en Avanzado… luego vaya a la pestaña WINS.
5. Seleccione Deshabilitar NetBIOS sobre TCP/IP.
6. Haga esto para todas las NIC si tiene varias interfaces.

¿Quieres volver a comprobarlo? Ejecuta ipconfig /ally revisa la línea «NetBIOS sobre TCPIP»; debería indicar «Deshabilitado» si lo hiciste correctamente. O bien, puedes modificar el registro manualmente en HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters\Interfaces\y configure NetbiosOptions en 2 (desactivado).Recuerde: modificar el registro directamente es arriesgado, así que primero haga una copia de seguridad.

Automatizar con PowerShell

Si estás haciendo esto en masa, aquí tienes un script útil:

Get-WmiObject -Class Win32_NetworkAdapterConfiguration | % { $_. SetTcpipNetbios(2) }

Esto configura todas las interfaces de red para que desactiven NetBIOS. Guárdelo como disabledNetbios.ps1 e impleméntelo mediante el script de inicio de su GPO o SCCM. La configuración tardará un poco en aplicarse y podría ser necesario reiniciar. Además, si tiene clientes DHCP configurados para obtener la configuración de NetBIOS mediante las opciones de DHCP, considere desactivarla también en su servidor DHCP.

Desactivación completa de NetBIOS mediante PowerShell para todos los adaptadores

Dado que no existe una opción de GPO específica para desactivar NetBIOS en todas partes, la solución es usar scripts. Aquí hay un ejemplo que desactiva las opciones de NetBIOS para todas las interfaces de red:

$regkey = "HKLM:\SYSTEM\CurrentControlSet\services\NetBT\Parameters\Interfaces" Get-ChildItem $regkey | ForEach-Object { Set-ItemProperty -Path "$_" -Name "NetbiosOptions" -Value 2 } 

O mejor aún, un enfoque WMI:

Get-WmiObject -Class Win32_NetworkAdapterConfiguration | % { $_. SetTcpipNetbios(2) }

Guárdelo en un script y configúrelo para que se ejecute durante el inicio. Recuerde: los cambios suelen requerir reiniciar o deshabilitar/habilitar adaptadores para que la configuración se mantenga. Además, verifique wmic nicconfig get caption, index, TcpipNetbiosOptionsque se aplique.

Desactivación de mDNS (DNS de multidifusión)

mDNS (como Bonjour o el servicio de detección de servicios de Apple) es útil si necesitas detección automática para impresoras, dispositivos Apple o equipos compatibles con AirPlay. Sin embargo, en un entorno exclusivamente Windows, o si la seguridad es una prioridad, deshabilitarlo puede ahorrarte dolores de cabeza y posibles vectores de ataque.

Para deshabilitar mDNS, modifique su registro o implemente mediante la directiva de grupo. La clave de registro es:

REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters" /v "EnableMDNS" /t REG_DWORD /d 0 /f

Para la implementación de GPO, cree una nueva preferencia de registro: establezca Action: Update, subárbol HKEY_LOCAL_MACHINE, ruta de clave SYSTEM\CurrentControlSet\Services\Dnscache\Parameters y el valor EnableMDNS con datos 0. Esto desactiva las respuestas de mDNS.

Nota: Deshabilitar mDNS puede causar problemas con la pantalla compartida inalámbrica o con las impresoras de red que dependen de él. Le recomendamos probarlo en su entorno antes de implementarlo masivamente.

Si desea verificar que los protocolos estén deshabilitados, ejecute:

netstat -nao | FIND /i ":137" netstat -nao | FIND /i ":5353" netstat -nao | FIND /i ":5355"

Si estos puertos no están abiertos, estos protocolos se han deshabilitado correctamente.

Resumen

Eliminar estos protocolos de difusión puede hacer que los entornos de red sean un poco más silenciosos y mucho más seguros. Normalmente, una combinación de configuraciones de GPO, ajustes del registro y scripts es suficiente. Solo recuerda realizar pruebas con cuidado: deshabilitar NetBIOS puede afectar a dispositivos antiguos, y la desactivación de mDNS podría afectar la detección de funciones en dispositivos Windows y Apple. La clave está en equilibrar la seguridad y la funcionalidad.

Resumen

• Deshabilite LLMNR a través de GPO o ajustes de registro para detener las transmisiones de resolución de nombres de multidifusión.
• Desactive NetBIOS en la configuración de red o con scripts de PowerShell, especialmente si no hay dispositivos heredados involucrados.
• Deshabilite mDNS si no necesita el descubrimiento de servicios, pero pruébelo primero: podría interrumpir el uso compartido inalámbrico o las impresoras.
• Verifique siempre los cierres de puertos con netstatcomandos.

Conclusión

Deshabilitar estos protocolos no es complicado, pero es cuestión de encontrar el equilibrio. En una configuración funciona a la perfección; en otra, podrías perder algo de comodidad en la red o encontrarte con problemas inesperados. Prueba primero, haz una copia de seguridad antes de cambiar el registro o las GPO, y vigila cualquier hardware antiguo que pueda presentar problemas. Crucemos los dedos para que esto ayude a reforzar la seguridad de la red sin dañar demasiado.¡Mucha suerte!