Zašto isključiti LLMNR ako koristite javni Wi-Fi?

LLMNR protokol je poznato lice u Microsoft okruženjima. U mrežama gdje je Windows glavni oslonac, omogućen je po defaultu i, iako je nekada imao smisla, danas je često više glavobolja nego pomoć. Zato je dobra ideja znati kako ga koristiti. Kako onemogućiti LLMNR posebno ako koristimo javnu WiFi mrežu.

Prije donošenja bilo kakvih odluka, dobro je razumjeti čemu služi i zašto se preporučuje njegovo onemogućavanje. Dobra vijest je da je njegovo onemogućavanje jednostavno. i na Windowsu (uključujući Windows Server) i na Linuxu, bilo putem politika, registra, Intunea ili podešavanjem systemd-resolved.

Šta je LLMNR i kako funkcioniše?

LLMNR je akronim za Razrješenje naziva lokalnog multicasta vezeNjegova svrha je razrješava imena hostova unutar lokalnog segmenta bez oslanjanja na DNS serverDrugim riječima, ako mašina ne može razriješiti ime putem DNS-a, može pokušati upitati susjedstvo koristeći multicast kako bi vidjela da li je neko "shvatio nagovještaj".

Ovaj mehanizam koristi port UDP 5355 i dizajniran je za rad unutar lokalne mreže. Upit se šalje putem multicasta neposrednoj mreži, a svaki računar koji "prepozna" ime može odgovoriti rekavši "to sam ja". Ovo je brz i jednostavan pristup za mala ili improvizirana okruženja gdje DNS nije bio dostupan ili nije imalo smisla konfigurisati ga.

U praksi, LLMNR upit putuje do lokalnog segmenta, a uređaji koji slušaju taj promet mogu odgovoriti ako vjeruju da su ispravno odredište. Njegov opseg je ograničen na lokalnu vezu, te otuda i njegovo ime i njegova svrha kao "zakrpe" kada na mreži ne postoji formalna usluga imenovanja.

Godinama se pokazao korisnim, posebno u manjim mrežama ili ad-hoc implementacijama. Danas, sa široko rasprostranjenim i jeftinim DNS-om, slučaj upotrebe se toliko suzio da gotovo uvijek ima smisla isključiti LLMNR i živjeti mirnije.

Da li je LLMNR zaista potreban? Rizici i kontekst

Pitanje od milion dolara: da li da ga skinem ili da ga ostavim? U domaćinstvu, najčešći odgovor je "da, slobodno ga skinite". U kompaniji je zgodno validirati uticajAko je DNS okruženja ispravno postavljen i pretrage rade, LLMNR ne pruža ništa i izlaže nepotrebnim rizicima.

Najveći problem je u tome LLMNR ne uključuje zaštitu od lažnog predstavljanjaNapadač na vašoj vlastitoj podmreži može "implicirati" ciljni uređaj i reagirati rano ili preferencijalno, preusmjeravajući vezu i uzrokujući haos. To je klasičan scenarij napada stare škole "čovjek u sredini" (MitM).

Kao analogija, podsjeća na Wi-Fi WEP standard, koji je nastao bez razmatranja modernih napada i postao je zastario. Nešto slično se dešava sa LLMNR-om.U prošlosti je bilo korisno, ali danas je otvoreno za obmanu ako ga ostavite aktivnog na korporativnim mrežama.

Osim toga, u rukama protivnika s pravim alatima, mogu prisiliti vaše računare da "pjevaju" osjetljive informacije poput NTLMv2 heševa kada misle da komuniciraju s legitimnim serverom. Nakon što napadač dobije te heševe, mogu pokušati da ih probiju - sa različitim uspjehom u zavisnosti od politika i složenosti lozinke - povećavajući rizik od stvarnog upada.

Kada onemogućiti LLMNR?

U velikoj većini modernih implementacija, možete ga onemogućiti bez ikakvog oštećenja. Ako vaši klijenti uvijek rješavaju putem DNS-a A ako se ne oslanjate na "magiju" na lokalnoj mreži, LLMNR je suvišan. Ipak, provjerite u kritičnim okruženjima prije nego što politiku primijenite na cijelu organizaciju.

Imajte na umu da odluka nije samo tehničke prirode: ona također smanjuje vaš operativni rizik i rizik usklađenosti. Onemogućavanje LLMNR-a je jednostavna, mjerljiva i utjecajna kontrola pojačavanja., upravo ono što svaki razuman sigurnosni okvir zahtijeva.

Onemogućite LLMNR u Windowsu

Evo glavnih opcija dostupnih za onemogućavanje LLMNR-a u Windowsu:

Opcija 1: Uređivač lokalnih grupnih pravila (gpedit.msc)

Na samostalnim računarima ili za brzo testiranje možete koristiti Uređivač lokalnih grupnih pravila. Pritisnite WIN + R, upišite gpedit.msc i prihvatite da biste ga otvorili.

Zatim, krećite se kroz: Konfiguracija računara > Administrativni predlošci > MrežaU nekim izdanjima, postavka se pojavljuje pod Cliente DNS. Pronađite unos „Onemogući razrješenje imena za multicast“ (naziv se može neznatno razlikovati) i postavite pravilo na "Omogućeno".

U Windowsu 10 tekst se obično čita kao „Onemogući razrješenje imena za multicast“. Primijenite ili prihvatite promjenu i ponovo pokrenite računar. kako bi se osiguralo da se postavke na strani tima ispravno primjenjuju.

Opcija 2: Windows registar

Ako želite odmah prijeći na stvar ili vam je potrebna skriptna metoda, vrijednost politike možete kreirati u Registru. Otvorite CMD ili PowerShell sa administratorskim dozvolama i izvrši:

REG ADD "HKLM\Software\Policies\Microsoft\Windows NT\DNSClient" /f
REG ADD "HKLM\Software\Policies\Microsoft\Windows NT\DNSClient" /v "EnableMulticast" /t REG_DWORD /d 0 /f

Ovim će LLMNR biti onemogućen na nivou pravila. Ponovo pokrenite računar da biste zatvorili ciklus i spriječiti procese s prethodnim stanjem da ostanu u memoriji.

Onemogućite LLMNR pomoću GPO-a u domenu

Drugi način za onemogućavanje LLMNR-a je centralna primjena promjene s kontrolera domene otvaranjem konzole za upravljanje grupnim politikama. Kreirajte novi GPO (na primjer, „MY-GPO“) i uredite ga.

U editoru slijedite putanju: Konfiguracija računara > Administrativni predlošci > Mreža > DNS klijent. Omogućite pravilo "Onemogući razrješenje imena za multicast" i zatvorite uređivač da biste sačuvali promjene. Zatim povežite GPO s odgovarajućom organizacijskom jedinicom i prisilno osvježite pravila ili pričekajte normalnu replikaciju.

Gotovo. Sada imate politiku domene koja dosljedno smanjuje LLMNR. Imajte na umu da tačna nomenklatura podešavanja može varirati. neznatno se razlikuje između verzija Windows Servera, ali lokacija je kao što je naznačeno.

Intune: „Primijenjeno“, ali gpedit prikazuje „Nije konfigurirano“

Često pitanje: šaljete konfiguracijski profil iz Intunea, on vam kaže da je ispravno primijenjen, a kada otvorite gpedit, vidite postavku kao "Nije konfigurirano". To ne mora nužno značiti da nije aktivno.Intune primjenjuje postavke putem CSP-a/registra koje se ne prikazuju uvijek u lokalnom uređivaču kao „Konfigurisano“.

Pouzdan način da se ovo provjeri je da se konsultuje Dnevnik pravila: Ako postoji i jednaka je 0, vrijednost Omogući multicast HKLM\Softver\Politike\Microsoft\Windows NT\DNSClient, LLMNR je onemogućen iako gpedit prikazuje "Nije konfigurirano".

Ako želite da ovo osigurate putem skripte (korisno kao Remediation u Intuneu), evo jednostavne PowerShell skripte za kreiranje vrijednosti i njenu provjeru:

New-Item -Path "HKLM:\Software\Policies\Microsoft\Windows NT\DNSClient" -Force | Out-Null
New-ItemProperty -Path "HKLM:\Software\Policies\Microsoft\Windows NT\DNSClient" -Name "EnableMulticast" -PropertyType DWord -Value 0 -Force | Out-Null
(Get-ItemProperty -Path "HKLM:\Software\Policies\Microsoft\Windows NT\DNSClient").EnableMulticast

Ovo pokriva slučaj gdje Intune kaže da je primijenjeno, ali želite maksimalnu sigurnost ili rješavanje problema s "lažnim" uređajima. Za masovnu reviziju, kombinujte skriptu sa svojim alatom za inventuru ili pomoću Intune/Defender izvještaja za krajnje tačke.

Onemogući LLMNR na Linuxu (rješeno systemd-om)

Na distribucijama poput Ubuntua ili Debiana koje koriste systemd-resolved, možete direktno "ubiti" LLMNR. Uredite postavke resolvera así:

sudo nano /etc/systemd/resolved.conf

U datoteci postavite odgovarajući parametar tako da bude nedvosmislen. Na primjer:

[Resolve]
LLMNR=no

Sačuvajte i ponovo pokrenite servis ili računar: Ponovno pokretanje usluge je obično dovoljno, iako je i ponovno pokretanje sistema valjano ako vam je tako zgodnije.

sudo systemctl restart systemd-resolved

S tim u vezi, systemd-resolved će prestati koristiti LLMNR. Ako koristite drugo rješenje za razrješenje (ili druge distribucije), provjerite njihovu dokumentaciju: obrazac se ne razlikuje previše i uvijek postoji ekvivalentan "prekidač".

O NBT-NS-u i Windows zaštitnom zidu

Onemogućavanje LLMNR-a je pola bitke. Responder i slični alati također koriste NetBIOS Name Service (NBT‑NS), koji radi preko klasičnih NetBIOS portova (UDP 137/138 i TCP 139). Ovo postavlja pitanje koje mnogi ljudi postavljaju: da li je dovoljno blokirati portove u zaštitnom zidu ili morate eksplicitno onemogućiti NBT-NS?

Ako primijenite stroga pravila na vašem lokalnom zaštitnom zidu (firewall) - i dolaznom i odlaznom - blokirajući 137/UDP, 138/UDP i 139/TCP, znatno smanjujete svoju izloženost. Međutim, najbolja praksa u poslovnim okruženjima je onemogućavanje NetBIOS-a preko TCP/IP-a. u interfejsima, kako bi se spriječili neželjeni odgovori ili reklame ako se politika zaštitnog zida promijeni ili je izmijeni neka aplikacija.

U Windowsu ne postoji "fabrički" GPO tako direktan kao u LLMNR-u, ali to možete uraditi putem WMI-ja ili Registra. Ovaj PowerShell zasnovan na WMI-ju ga onemogućava na svim adapterima koji podržavaju IP.:

Get-WmiObject -Class Win32_NetworkAdapterConfiguration -Filter "IPEnabled=TRUE" | ForEach-Object { $_.SetTcpipNetbios(2) } 

Ako više volite pravila zaštitnog zida, samo naprijed, ali provjerite da su dvosmjerna i trajna. Blokovi 137/UDP, 138/UDP i 139/TCP i prati da nema konfliktnih pravila u drugim GPO-ima ili EDR/AV rješenjima koja upravljaju zaštitnim zidom.

Verifikacija: Kako provjeriti da li su LLMNR i NBT-NS izvan igre

Za LLMNR na Windowsu, pogledajte Registar: HKLM\Softver\Politike\Microsoft\Windows NT\DNSClient\EnableMulticast mora postojati i biti jednak 0. Brza provjera u PowerShellu bi:

(Get-ItemProperty -Path "HKLM:\Software\Policies\Microsoft\Windows NT\DNSClient").EnableMulticast

Na nivou saobraćaja, jednostavna tehnika je pokrenuti pretragu za nepostojećim imenom i koristiti Wireshark da bi se uočilo da se ne šalju UDP 5355 paketi. Ako ne vidite multicast prema lokalnom segmentu, na pravom si putu.

Na Linuxu sa systemd-resolved, provjerite status pomoću resolvectl ili systemctl: Provjerite je li LLMNR postavljen na "ne" u efektivnoj konfiguraciji i da je servis ponovo pokrenut bez grešaka.

Za NBT-NS, potvrdite da pravila vašeg zaštitnog zida blokiraju 137/UDP, 138/UDP i 139/TCP ili da je NetBIOS onemogućen na adapterima. Također možete neko vrijeme njuškati mrežu provjeriti da nema NetBIOS zahtjeva ili reklama u eteru.

Često postavljana pitanja i korisne nijanse

• Hoću li nešto pokvariti onemogućavanjem LLMNR-a? U mrežama s dobro održavanim DNS-om, ovo obično nije slučaj. U posebnim ili naslijeđenim okruženjima, prvo provjerite u pilot grupi i obavijestite podršku o promjeni.
• Zašto gpedit prikazuje "Nije konfigurirano" iako Intune prikazuje "Primijenjeno"? Zato što lokalni editor ne odražava uvijek stanja nametnuta od strane MDM-a ili CSP-a. Istina je u Registru i stvarnim rezultatima, a ne u gpedit tekstu.
• Da li je obavezno onemogućiti NBT-NS ako blokiram NetBIOS na zaštitnom zidu (firewall-u)? Ako je blokiranje potpuno i robusno, znatno smanjujete rizik. Ipak, onemogućavanje NetBIOS-a preko TCP/IP-a eliminira odgovore na nivou steka i izbjegava iznenađenja ako se pravila promijene, tako da je to bolja opcija.
• Postoje li gotovi skripti za onemogućavanje LLMNR-a? Da, putem Registra ili PowerShella, kao što ste vidjeli. Za Intune, spakujte skriptu kao Remediation i dodajte provjeru usklađenosti.

Isključivanje LLMNR-a smanjuje površinu za lažiranje podataka na lokalnoj mreži i sprječava napade krađe heša pomoću alata poput Respondera u samom početku. Ako također blokirate ili onemogućite NBT-NS i brinete o svom DNS-uImat ćete jednostavan i efikasan sigurnosni koktel: manje buke, manji rizik i mrežu koja je mnogo bolje pripremljena za svakodnevnu upotrebu.