لماذا تقوم بتعطيل LLMNR إذا كنت تستخدم شبكة Wi-Fi عامة؟

بروتوكول LLMNR شائع الاستخدام في بيئات مايكروسوفت. في الشبكات التي يعتمد فيها نظام ويندوز بشكل أساسي، يكون مُفعّلاً افتراضياً، ورغم أنه كان منطقياً في السابق، إلا أنه اليوم أصبح مُزعجاً أكثر منه مُفيداً. لذلك، من الجيد معرفة كيفية استخدامه. كيفية تعطيل LLMNR وخاصة إذا كنا نستخدم شبكة واي فاي عامة.

قبل اتخاذ أي قرار، من الجيد أن تفهم ما يفعله ولماذا يوصى بتعطيله. والخبر السار هو أن تعطيله أمر سهل. على كل من Windows (بما في ذلك Windows Server) وLinux، إما من خلال السياسات أو السجل أو Intune أو عن طريق ضبط systemd-resolved.

ما هو LLMNR وكيف يعمل؟

LLMNR هو اختصار ل حل اسم البث المتعدد المحلي للرابطغرضه هو حل أسماء المضيفين داخل القطاع المحلي دون الاعتماد على خادم DNSبعبارة أخرى، إذا لم يتمكن الجهاز من حل اسم عبر DNS، فيمكنه محاولة الاستعلام عن الجوار باستخدام البث المتعدد لمعرفة ما إذا كان أي شخص "يفهم التلميح".

تستخدم هذه الآلية المنفذ UDP 5355 وهو مصمم للعمل ضمن الشبكة المحلية. يتم إرسال الاستعلام عن طريق البث المتعدد إلى الشبكة المباشرة، ويمكن لأي جهاز كمبيوتر يتعرف على الاسم أن يرد قائلاً: "هذا أنا". هذه طريقة سريعة وبسيطة للبيئات الصغيرة أو غير المجهزة حيث لم يكن نظام أسماء النطاقات (DNS) متاحًا أو لم يكن من المنطقي تكوينه.

في الممارسة العملية، ينتقل استعلام LLMNR إلى الجزء المحلي، ويمكن للأجهزة التي تستمع إلى هذا المرور الاستجابة إذا كانت تعتقد أنها الوجهة الصحيحة. يقتصر نطاقه على الرابط المحليومن هنا جاء اسمها ومهمتها باعتبارها "رقعة" عندما لا توجد خدمة اسم رسمية على الشبكة.

لقد أثبتت هذه التقنية فائدتها لسنوات عديدة، وخاصة في الشبكات الأصغر أو عمليات النشر المخصصة. في الوقت الحاضر، مع انتشار DNS ورخص ثمنهلقد تقلصت حالة الاستخدام بشكل كبير لدرجة أنه من المنطقي دائمًا إيقاف تشغيل LLMNR والعيش بشكل أكثر سلامًا.

هل برنامج ماجستير إدارة الموارد الطبيعية ضروري حقًا؟ المخاطر والسياق

السؤال الأهم: هل أزيله أم أتركه؟ في بيئة منزلية، الإجابة الأكثر شيوعًا هي: "نعم، لا تتردد في إزالته". في الشركة من المناسب التحقق من التأثير:إذا تم إعداد DNS للبيئة بشكل صحيح وعملت عمليات البحث، فإن LLMNR لا يوفر أي شيء ويعرض مخاطر غير ضرورية.

أكبر مشكلة هي ذلك لا يتضمن LLMNR الحماية ضد انتحال الشخصيةيمكن لمهاجم على شبكتك الفرعية انتحال شخصية الجهاز المستهدف والرد مبكرًا أو تفضيليًا، مما يُعيد توجيه الاتصال ويُسبب فوضى. إنه سيناريو هجوم "الرجل في المنتصف" (MitM) التقليدي.

وعلى سبيل المقارنة، فإنه يذكرنا بمعيار Wi-Fi WEP، الذي وُلد دون مراعاة الهجمات الحديثة وأصبح عتيقًا. يحدث شيء مماثل مع LLMNR:لقد كان مفيدًا في الماضي، لكنه اليوم أصبح بابًا مفتوحًا للخداع إذا تركته على قيد الحياة على شبكات الشركات.

بالإضافة إلى ذلك، في أيدي خصم لديه الأدوات المناسبة، يمكنه إجبار أجهزة الكمبيوتر الخاصة بك على "تسجيل" معلومات حساسة مثل تجزئات NTLMv2 عندما يعتقد أنه يتحدث إلى خادم شرعي. بمجرد حصول المهاجم على تلك التجزئاتيمكن للمهاجمين محاولة اختراقها - مع درجات متفاوتة من النجاح اعتمادًا على السياسات وتعقيد كلمة المرور - مما يزيد من خطر حدوث اختراق حقيقي.

متى يتم تعطيل LLMNR؟

في الغالبية العظمى من عمليات النشر الحديثة، يمكنك تعطيله دون إحداث أي ضرر. إذا كان عملاؤك يحلون دائمًا عن طريق DNS وإذا لم تعتمد على "السحر" في الشبكة المحلية، فإن LLMNR غير ضروري. مع ذلك، تحقق من صحة البيانات في البيئات الحرجة قبل تطبيق السياسة على المؤسسة بأكملها.

ضع في اعتبارك أن القرار ليس فنيًا فحسب: بل إنه يقلل أيضًا من مخاطر التشغيل والامتثال. يعد تعطيل LLMNR عنصر تحكم في التصلب بسيطًا وقابلًا للقياس ومؤثرًا.، وهو ما يتطلبه أي إطار أمني معقول.

تعطيل LLMNR في Windows

فيما يلي الخيارات الرئيسية المتاحة لتعطيل LLMNR في Windows:

الخيار 1: محرر نهج المجموعة المحلي (gpedit.msc)

بالنسبة لأجهزة الكمبيوتر المستقلة أو لإجراء اختبار سريع، يمكنك استخدام محرر نهج المجموعة المحلي. اضغط على WIN + R، واكتب gpedit.msc ووافق على فتحه.

ثم انتقل عبر: تكوين الكمبيوتر > قوالب الإدارة > الشبكةفي بعض الإصدارات، يظهر الإعداد أسفل عميل DNS. ابحث عن الإدخال "تعطيل حل اسم البث المتعدد" (قد يختلف الاسم قليلاً) وقم بتعيين السياسة على "ممكّن".

في نظام التشغيل Windows 10، يُقرأ النص عادةً على النحو التالي "تعطيل حل اسم البث المتعدد". قم بتطبيق التغيير أو قبوله ثم أعد تشغيل الكمبيوتر. للتأكد من تطبيق إعدادات جانب الفريق بشكل صحيح.

الخيار 2: سجل Windows

إذا كنت تفضل الوصول إلى النقطة مباشرة أو تحتاج إلى طريقة قابلة للبرمجة النصية، فيمكنك إنشاء قيمة السياسة في السجل. افتح CMD أو بوويرشيل مع أذونات المسؤول وتنفيذ:

REG ADD "HKLM\Software\Policies\Microsoft\Windows NT\DNSClient" /f
REG ADD "HKLM\Software\Policies\Microsoft\Windows NT\DNSClient" /v "EnableMulticast" /t REG_DWORD /d 0 /f

وبهذا سيتم تعطيل LLMNR على مستوى السياسة. أعد تشغيل الكمبيوتر لإغلاق الدورة ومنع العمليات التي لها حالة سابقة من البقاء في الذاكرة.

تعطيل LLMNR باستخدام GPO في المجال

هناك طريقة أخرى لتعطيل LLMNR وهي تطبيق التغيير مركزيًا من وحدة تحكم المجال عن طريق فتح وحدة التحكم في إدارة نهج المجموعة. إنشاء GPO جديد (على سبيل المثال، "MY-GPO") وتحريره.

في المحرر، اتبع المسار: تكوين الكمبيوتر > القوالب الإدارية > الشبكة > عميل DNS. تمكين سياسة "تعطيل حل اسم البث المتعدد" وأغلق المحرر للحفظ. بعد ذلك، اربط كائن نهج المجموعة (GPO) بالوحدة التنظيمية (OU) المناسبة، وافرض تحديث السياسة أو انتظر التكرار العادي.

تم. لديك الآن سياسة نطاق تقطع LLMNR باستمرار. تذكر أن التسمية الدقيقة للتعديل قد تختلف. هناك اختلاف طفيف بين إصدارات Windows Server، ولكن الموقع كما هو موضح.

Intune: "تم التطبيق" ولكن gpedit يظهر "غير مُهيأ"

سؤال شائع: تقوم بدفع ملف تعريف التكوين من Intune، ويخبرك أنه تم تطبيقه بشكل صحيح، وعندما تفتح gpedit، ترى الإعداد على أنه "غير مُكوّن". وهذا لا يعني بالضرورة أنه غير نشط.يطبق Intune الإعدادات عبر CSP/Registry والتي لا تنعكس دائمًا في المحرر المحلي على أنها "مُهيأة".

الطريقة الموثوقة للتحقق من ذلك هي الرجوع إلى سجل السياسة: إذا كان موجودًا ويساوي 0، فإن القيمة تمكين البث المتعدد على HKLM\Software\Policies\Microsoft\Windows NT\DNSClientتم تعطيل LLMNR على الرغم من أن gpedit يظهر "غير مُهيأ".

إذا كنت تفضل التأكد من ذلك عبر البرنامج النصي (مفيد مثل Remediation في Intune)، فإليك برنامج نصي PowerShell بسيط لإنشاء القيمة والتحقق منها:

New-Item -Path "HKLM:\Software\Policies\Microsoft\Windows NT\DNSClient" -Force | Out-Null
New-ItemProperty -Path "HKLM:\Software\Policies\Microsoft\Windows NT\DNSClient" -Name "EnableMulticast" -PropertyType DWord -Value 0 -Force | Out-Null
(Get-ItemProperty -Path "HKLM:\Software\Policies\Microsoft\Windows NT\DNSClient").EnableMulticast

يغطي هذا الحالة التي يقول فيها Intune أنه تم تطبيقه، ولكنك تريد أقصى قدر من اليقين أو استكشاف أخطاء الأجهزة "المارقة" وإصلاحها. لإجراء تدقيق مجمع، قم بدمج البرنامج النصي مع أداة المخزون لديك أو مع Intune/Defender لتقارير Endpoint.

تعطيل LLMNR على Linux (systemd-resolved)

في التوزيعات مثل Ubuntu أو Debian التي تستخدم systemd-resolved، يمكنك "قتل" LLMNR بشكل مباشر. تعديل إعدادات المُحلِّل وبالتالي:

sudo nano /etc/systemd/resolved.conf

في الملف، قم بتعيين المعلمة المقابلة بحيث تكون واضحة. على سبيل المثال:

[Resolve]
LLMNR=no

احفظ وأعد تشغيل الخدمة أو الكمبيوتر: عادة ما تكون إعادة تشغيل الخدمة كافية، على الرغم من أن إعادة التشغيل صالحة أيضًا إذا كان ذلك أكثر ملاءمة لك.

sudo systemctl restart systemd-resolved

مع هذا، سيتوقف systemd-resolved عن استخدام LLMNR. إذا كنت تستخدم حلاً آخر (أو توزيعات أخرى)، تحقق من وثائقها: لا يختلف النمط كثيرًا وهناك دائمًا "تبديل" مكافئ.

حول NBT‑NS وجدار حماية Windows

إن تعطيل LLMNR هو نصف المعركة. يستغل Responder والأدوات المشابهة أيضًا خدمة NetBIOS Name Service (NBT‑NS)يعمل هذا النظام عبر منافذ NetBIOS التقليدية (UDP 137/138 وTCP 139). يثير هذا تساؤلاً لدى الكثيرين: هل يكفي حظر المنافذ في جدار الحماية، أم يجب تعطيل NBT‑NS صراحةً؟

إذا قمت بتطبيق قواعد صارمة على جدار الحماية المحلي لديك - سواء الوارد أو الصادر - من خلال حظر 137/UDP، و138/UDP، و139/TCP، فإنك تقلل من تعرضك للخطر بشكل كبير. ومع ذلك، فإن أفضل ممارسة في بيئات المؤسسات هي تعطيل NetBIOS عبر TCP/IP. في الواجهات، لمنع الاستجابات أو الإعلانات غير المرغوب فيها إذا تغيرت سياسة جدار الحماية أو تم تعديلها بواسطة تطبيق.

في Windows، لا يوجد GPO "مصنع" مباشر كما هو الحال في LLMNR، ولكن يمكنك القيام بذلك عبر WMI أو السجل. يقوم PowerShell المستند إلى WMI بتعطيله على جميع المحولات التي تدعم IP:

Get-WmiObject -Class Win32_NetworkAdapterConfiguration -Filter "IPEnabled=TRUE" | ForEach-Object { $_.SetTcpipNetbios(2) } 

إذا كنت تفضل قواعد جدار الحماية، فاستمر في ذلك، ولكن تأكد من أنها ثنائية الاتجاه ومستمرة. الكتل 137/UDP و138/UDP و139/TCP ويراقب عدم وجود قواعد متضاربة في GPOs الأخرى أو حلول EDR/AV التي تدير جدار الحماية.

التحقق: كيفية التحقق من أن LLMNR و NBT-NS خارج اللعب

بالنسبة لـ LLMNR على Windows، انظر إلى السجل: HKLM\Software\Policies\Microsoft\Windows NT\DNSClient\EnableMulticast يجب أن يكون موجودًا ويكون مساويًا لـ 0. التحقق السريع في PowerShell سيكون:

(Get-ItemProperty -Path "HKLM:\Software\Policies\Microsoft\Windows NT\DNSClient").EnableMulticast

على مستوى حركة المرور، هناك تقنية بسيطة تتمثل في تشغيل بحث عن اسم غير موجود واستخدام Wireshark لملاحظة عدم إخراج أي حزم UDP 5355. إذا لم تشاهد البث المتعدد إلى القطاع المحليأنت على الطريق الصحيح.

في Linux مع systemd-resolved، تحقق من الحالة باستخدام resolvectl أو systemctl: تأكد من ضبط LLMNR على "لا" في التكوين الفعال وأن الخدمة أعيد تشغيلها دون أخطاء.

بالنسبة لـ NBT‑NS، تأكد من أن قواعد جدار الحماية لديك تحظر 137/UDP، و138/UDP، و139/TCP أو أن NetBIOS معطل على المحولات. يمكنك أيضًا شم الشبكة لفترة من الوقت للتحقق من عدم وجود طلبات NetBIOS أو إعلانات على الهواء.

الأسئلة الشائعة والفروق الدقيقة المفيدة

• هل سأتسبب في أي ضرر عن طريق تعطيل LLMNR؟ في الشبكات ذات نظام DNS المُصان جيدًا، لا ينطبق هذا عادةً. في البيئات الخاصة أو القديمة، يُرجى التحقق من صحة البيانات أولًا في مجموعة تجريبية وإبلاغ فريق الدعم بالتغيير.
• لماذا يظهر gpedit "غير مُهيأ" على الرغم من أن Intune يقول "مُنفذ"؟ لأن المحرر المحلي لا يعكس دائمًا الحالات التي يفرضها MDM أو CSP. الحقيقة موجودة في السجل والنتائج الفعلية، وليس في نص gpedit.
• هل من الضروري تعطيل NBT‑NS إذا قمت بحظر NetBIOS على جدار الحماية؟ إذا كان الحظر كاملاً وقوياً، فإنك تقلل المخاطر بشكل كبير. مع ذلك، فإن تعطيل NetBIOS عبر TCP/IP يُلغي الاستجابات على مستوى المكدس ويتجنب المفاجآت في حال تغير القواعد، لذا فهو الخيار الأمثل.
• هل هناك أي نصوص جاهزة لتعطيل LLMNR؟ نعم، عبر سجل النظام أو PowerShell، كما رأيت. بالنسبة لـ Intune، قم بحزم البرنامج النصي كـ Remediation وأضف التحقق من التوافق.

يؤدي إيقاف تشغيل LLMNR إلى تقليل سطح التزييف على الشبكة المحلية ويمنع هجمات الاستيلاء على التجزئة باستخدام أدوات مثل Responder في مهدها. إذا قمت أيضًا بحظر أو تعطيل NBT‑NS والعناية بـ DNS الخاص بكسيكون لديك مزيج أمان بسيط وفعال: ضوضاء أقل ومخاطر أقل وشبكة مستعدة بشكل أفضل للاستخدام اليومي.