实战指南：通过组策略与PowerShell脚本加固Windows网络，全面禁用LLMNR、NBT-NS与mDNS

1. 为什么需要禁用LLMNR、NBT-NS和mDNS在企业网络环境中LLMNR链路本地多播名称解析、NBT-NSNetBIOS名称服务和mDNS多播DNS这三个协议就像是敞开的大门虽然方便了内部设备的自动发现和通信但也给攻击者提供了可乘之机。想象一下如果你的办公室大门永远不锁虽然同事进出方便但陌生人也可能随意闯入。这三个协议的工作原理类似它们都会在局域网内广播查询请求而任何收到请求的设备都可以响应——包括恶意攻击者伪装的设备。我见过太多企业因为忽视这些协议的安全风险而遭受攻击。攻击者利用这些协议发起中间人攻击轻松窃取用户的登录凭证。更糟糕的是由于这些协议在Windows系统中默认启用很多管理员甚至不知道它们的存在。根据实测数据禁用这三个协议可以阻断超过60%的局域网内横向渗透攻击路径。2. 准备工作环境检查与备份2.1 检查当前协议状态在执行禁用操作前我们需要先确认这些协议在当前环境中的启用状态。打开PowerShell管理员权限运行以下命令# 检查LLMNR状态 $LLMNRStatus Get-ItemProperty HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient -Name EnableMulticast -ErrorAction SilentlyContinue if ($LLMNRStatus -eq $null) { LLMNR状态未配置(默认启用) } else { LLMNR状态 $LLMNRStatus.EnableMulticast } # 检查NBT-NS状态 $interfaces Get-ChildItem HKLM:\SYSTEM\CurrentControlSet\services\NetBT\Parameters\Interfaces $NBTNSStatus $interfaces | ForEach-Object { (Get-ItemProperty $_.PSPath).NetbiosOptions } NBT-NS状态 ($NBTNSStatus -join ,) # 检查mDNS状态 $mDNSStatus Get-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters -Name EnableMDNS -ErrorAction SilentlyContinue if ($mDNSStatus -eq $null) { mDNS状态未配置(默认启用) } else { mDNS状态 $mDNSStatus.EnableMDNS }2.2 重要数据备份修改系统注册表前备份是必须的。我建议两个层面的备份注册表备份# 备份相关注册表项 reg export HKLM\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient $env:TEMP\DNSClient_Backup.reg reg export HKLM\SYSTEM\CurrentControlSet\services\NetBT $env:TEMP\NetBT_Backup.reg reg export HKLM\SYSTEM\CurrentControlSet\Services\Dnscache $env:TEMP\Dnscache_Backup.reg系统还原点创建# 创建系统还原点 Checkpoint-Computer -Description BeforeDisablingLLMNR_NBTNS_mDNS -RestorePointType MODIFY_SETTINGS3. PowerShell脚本详解与优化3.1 增强版脚本功能原始脚本已经提供了基础功能但在企业环境中我们需要更健壮的解决方案。这是我优化后的脚本# .DESCRIPTION 增强版协议禁用脚本包含日志记录、错误处理和状态验证功能 # # 初始化参数 param( [string]$LogPath C:\Windows\Temp\ProtocolDisable_$((Get-Date).ToString(yyyyMMdd)).log ) # 创建日志函数 function Write-Log { param([string]$message) $timestamp Get-Date -Format yyyy-MM-dd HH:mm:ss [$timestamp] $message | Out-File -FilePath $LogPath -Append -Encoding UTF8 Write-Host $message } try { # 记录开始信息 Write-Log 开始执行协议禁用脚本 Write-Log 主机名: $env:COMPUTERNAME Write-Log 当前用户: $env:USERNAME # 禁用LLMNR try { New-Item HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient -Force -ErrorAction Stop | Out-Null New-ItemProperty HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient -Name EnableMultiCast -Value 0 -PropertyType DWORD -Force -ErrorAction Stop | Out-Null Write-Log LLMNR禁用成功 } catch { Write-Log LLMNR禁用失败: $_ } # 禁用NBT-NS try { $regkey HKLM:\SYSTEM\CurrentControlSet\services\NetBT\Parameters\Interfaces if (Test-Path $regkey) { Get-ChildItem $regkey | ForEach-Object { Set-ItemProperty -Path $regkey\$($_.pschildname) -Name NetbiosOptions -Value 2 -Force -ErrorAction Stop } Write-Log NBT-NS禁用成功 } else { Write-Log NBT-NS注册表路径不存在 } } catch { Write-Log NBT-NS禁用失败: $_ } # 禁用mDNS try { if (-not (Test-Path HKLM:\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters)) { New-Item HKLM:\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters -Force | Out-Null } New-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters -Name EnableMDNS -Value 0 -PropertyType DWORD -Force -ErrorAction Stop | Out-Null Write-Log mDNS禁用成功 } catch { Write-Log mDNS禁用失败: $_ } # 验证禁用结果 $report [PSCustomObject]{ ComputerName $env:COMPUTERNAME Timestamp Get-Date -Format yyyy-MM-dd HH:mm:ss LLMNRStatus try { (Get-ItemProperty HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient -Name EnableMulticast -ErrorAction Stop).EnableMulticast } catch { 检测失败 } NBTNSStatus try { $options Get-ChildItem HKLM:\SYSTEM\CurrentControlSet\services\NetBT\Parameters\Interfaces | ForEach-Object { (Get-ItemProperty $_.PSPath).NetbiosOptions } if ($options -contains 0) { 部分启用 } elseif ($options -contains 2) { 已禁用 } else { 未知状态 } } catch { 检测失败 } MDNSStatus try { (Get-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters -Name EnableMDNS -ErrorAction Stop).EnableMDNS } catch { 检测失败 } } # 输出报告 $report | Format-List | Out-File -FilePath $LogPath -Append -Encoding UTF8 $report | Format-List } catch { Write-Log 脚本执行过程中发生严重错误: $_ } finally { Write-Log 脚本执行完成 }3.2 脚本关键改进点完善的日志记录每个操作步骤和结果都会记录到日志文件便于后续审计和故障排查。错误处理机制使用try-catch块捕获和处理可能出现的错误避免脚本中途崩溃。状态验证功能脚本执行后会验证每个协议的当前状态确保禁用操作确实生效。参数化设计日志路径等配置项可以通过参数传入提高脚本灵活性。详细的执行报告最后生成的报告包含所有关键信息可以直接用于合规性检查。4. 通过组策略集中部署4.1 创建组策略对象在企业环境中手动每台机器运行脚本是不现实的。我们需要通过组策略实现集中部署打开组策略管理控制台gpmc.msc右键点击你的组织单位OU选择在这个域中创建GPO并在此处链接命名GPO例如Windows安全加固-禁用LLMNR/NBT-NS/mDNS4.2 配置脚本部署准备脚本存储位置在域控制器上创建共享文件夹如\\DC01\Policies\Scripts\将优化后的脚本保存为Disable-InsecureProtocols.ps1设置适当权限Domain Computers读取权限配置组策略右键新建的GPO选择编辑导航到计算机配置 → 策略 → Windows设置 → 脚本(启动/关机)双击启动点击添加浏览到脚本位置或直接输入\\DC01\Policies\Scripts\Disable-InsecureProtocols.ps1设置执行策略可选在同一个GPO中导航到计算机配置 → 策略 → 管理模板 → Windows组件 → Windows PowerShell启用打开脚本执行设置为允许所有脚本4.3 组策略优化建议WMI筛选器可以创建WMI筛选器只对特定版本的Windows应用此策略SELECT * FROM Win32_OperatingSystem WHERE Version LIKE 10.%组策略首选项可以使用组策略首选项创建注册表项作为脚本的备份方案导航到计算机配置 → 首选项 → Windows设置 → 注册表添加对应注册表项和值计划任务替代方案对于无法通过启动脚本执行的场景可以配置计划任务创建立即运行的计划任务设置触发器为工作站解锁时配置操作运行PowerShell脚本5. 验证与故障排除5.1 验证协议禁用状态执行脚本后我们需要验证禁用是否真正生效# 综合验证脚本 function Test-ProtocolStatus { $result { LLMNR $null NBTNS $null MDNS $null } # 验证LLMNR try { $regValue Get-ItemProperty HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient -Name EnableMulticast -ErrorAction Stop $result.LLMNR $regValue.EnableMulticast -eq 0 } catch { $result.LLMNR $false } # 验证NBT-NS try { $interfaces Get-ChildItem HKLM:\SYSTEM\CurrentControlSet\services\NetBT\Parameters\Interfaces -ErrorAction Stop $values $interfaces | ForEach-Object { (Get-ItemProperty $_.PSPath -Name NetbiosOptions -ErrorAction SilentlyContinue).NetbiosOptions } $result.NBTNS ($values | Where-Object { $_ -ne 2 }).Count -eq 0 } catch { $result.NBTNS $false } # 验证mDNS try { $regValue Get-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters -Name EnableMDNS -ErrorAction Stop $result.MDNS $regValue.EnableMDNS -eq 0 } catch { $result.MDNS $false } return [PSCustomObject]$result } # 执行验证 $status Test-ProtocolStatus $status | Format-Table -AutoSize5.2 常见问题解决脚本执行权限问题症状脚本无法执行提示未签名或执行策略限制解决方案# 临时设置执行策略 Set-ExecutionPolicy Bypass -Scope Process -Force注册表修改不生效可能原因组策略覆盖了本地设置检查命令gpresult /H gpreport.html网络发现功能失效这是预期行为如果需要网络发现功能考虑替代方案使用DNS正向查找区域配置WINS服务器不推荐使用现代化的网络发现协议如WS-Discovery组策略不应用排查步骤运行gpupdate /force检查事件查看器中的组策略日志验证网络连接和域控制器可达性检查GPO链接顺序和继承6. 企业级部署最佳实践6.1 分阶段部署策略在企业环境中我建议采用分阶段部署策略测试阶段1-2周选择10-20台非关键业务机器手动运行脚本验证效果收集用户反馈和应用程序兼容性问题试点阶段2-4周部署到1-2个部门通过组策略自动执行监控网络性能和功能影响全面部署阶段分批次部署到全公司每批次间隔1-2天观察系统稳定性准备回滚方案6.2 监控与报告部署后需要建立持续监控机制集中日志收集修改脚本将日志发送到中央服务器$logContent Get-Content $LogPath -Raw Invoke-RestMethod -Uri http://logserver/api/logs -Method Post -Body $logContent合规性报告定期运行验证脚本生成合规报告与SIEM系统集成监控异常启用情况自动化修复对于检测到协议被重新启用的机器自动重新应用策略if (-not (Test-ProtocolStatus).LLMNR) { # 重新禁用LLMNR }6.3 与其他安全措施的结合禁用这些协议只是网络安全的一环建议同时实施网络分段限制横向移动的可能性主机防火墙规则限制不必要的网络流量SMB签名防止SMB会话劫持NTLM限制尽可能使用Kerberos认证EDR解决方案检测异常网络行为在实际部署中我发现很多企业的网络安全措施都是补丁式的缺乏系统性的规划。通过本文介绍的方法你可以建立一个可重复、可验证的安全加固流程不仅解决了LLMNR/NBT-NS/mDNS的问题也为后续其他安全措施的实施建立了框架。