Perchè disattivà LLMNR sè utilizate Wi-Fi publicu?

U protocolu LLMNR hè una faccia familiare in l'ambienti Microsoft. In e rete induve Windows hè u pilastru, hè attivatu per difettu, è mentre una volta avia sensu, oghje hè spessu più un mal di testa chè un aiutu. Hè per quessa chì hè una bona idea di sapè cumu aduprà lu. cumu disattivà LLMNR soprattuttu s'è no usemu una rete WiFi publica.

Prima di piglià qualsiasi decisione, hè una bona idea di capisce ciò chì face è perchè hè cunsigliatu di disattivallu. A bona nutizia hè chì disattivallu hè faciule. sia in Windows (cumpresu Windows Server) sia in Linux, sia per mezu di pulitiche, Registru, Intune, sia per mezu di l'ottimisazione di systemd-resolved.

Chì ghjè LLMNR è cumu funziona?

LLMNR hè l'acronimu per Risoluzione di nomi multicast di ligame lucaleU so scopu hè risolve i nomi di host in u segmentu lucale senza affidà si à un servitore DNSIn altre parolle, se una macchina ùn pò micca risolve un nome via DNS, pò pruvà à interrogà u quartieru aduprendu multicast per vede se qualchissia "capisce l'indiziu".

Stu mecanismu usa u portu UDP 5355 è hè cuncipitu per operà in a rete lucale. A dumanda hè mandata per multicast à a rete immediata, è qualsiasi urdinatore chì "ricunnosce" u nome pò risponde dicendu "sò eiu". Questu hè un approcciu rapidu è simplice per ambienti chjuchi o improvisati induve u DNS ùn era micca dispunibule o ùn avia sensu da cunfigurà.

In pratica, a dumanda LLMNR viaghja versu u segmentu lucale, è i dispusitivi chì ascoltanu quellu trafficu ponu risponde s'elli credenu ch'elli sò a destinazione curretta. U so scopu hè limitatu à u ligame lucale, è dunque u so nome è a so vucazione cum'è "patch" quandu ùn ci hè micca un serviziu di nomi formale nantu à a rete.

Per anni, in particulare in rete più chjuche o implementazioni ad-hoc, s'hè rivelatu utile. Oghje ghjornu, cù DNS diffusu è economicu, u casu d'usu s'hè tantu riduttu chì guasi sempre hà sensu di disattivà LLMNR è campà più pacificamente.

Hè veramente necessariu u LLMNR ? Rischi è cuntestu

A quistione di un milione di dollari: devu cacciallu o lasciallu? In un ambiente domesticu, a risposta più cumuna hè "iè, sentitevi liberi di cacciallu". In una sucietà hè cunveniente validà l'impattuSè u DNS di l'ambiente hè cunfiguratu currettamente è e ricerche funzionanu, LLMNR ùn furnisce nunda è espone risichi innecessarii.

U prublema maiò hè quellu LLMNR ùn incorpora micca prutezzione contr'à l'impersonificazioneUn attaccante nant'à a vostra propria sotturete pò "impersonificà" u dispusitivu di destinazione è risponde prestu o preferenzialmente, ridirigendu a cunnessione è pruvucendu u caosu. Hè un scenariu classicu d'attaccu "man-in-the-middle" (MitM) di a vechja scola.

Cum'è analogia, richiama u standard Wi-Fi WEP, chì hè natu senza cunsiderà l'attacchi muderni è hè diventatu obsoletu. Qualcosa di simile accade cù LLMNREra utile in u passatu, ma oghje hè una porta aperta à l'ingannu s'ellu si lascia vivu nantu à e rete corporative.

Inoltre, in manu à un avversariu cù i strumenti adatti, ponu furzà i vostri urdinatori à "cantà" informazioni sensibili cum'è hash NTLMv2 quandu pensanu chì stanu parlendu cù un servitore legittimu. Una volta chì l'attaccante ottiene questi hash, ponu pruvà à craccalli - cù un successu variabile secondu e pulitiche è a cumplessità di e password - aumentendu u risicu di una vera intrusione.

Quandu disattivà LLMNR?

In a grande maggioranza di l'implementazioni muderne, pudete disattivallu senza rompe nunda. Sè i vostri clienti risolvenu sempre per DNS È s'è vo ùn vi fidate micca di a "magia" nant'à a reta lucale, LLMNR hè superfluu. Eppuru, validate in ambienti critichi prima di spinghje a pulitica à tutta l'urganizazione.

Tenite in mente chì a decisione ùn hè micca solu tecnica: riduce ancu u vostru risicu operativu è di cunfurmità. Disattivà LLMNR hè un cuntrollu di indurimentu simplice, misurabile è impattante., ghjustu ciò chì ogni quadru di sicurezza sensatu richiede.

Disattivà LLMNR in Windows

Eccu sò l'opzioni principali dispunibili per disattivà LLMNR in Windows:

Opzione 1: Editore di e pulitiche di gruppu lucale (gpedit.msc)

Nant'à l'urdinatori autonomi o per testi rapidi, pudete aduprà l'Editore di Politiche di Gruppu Locale. Appughjà WIN + R, scrive gpedit.msc è accettate per apre lu.

Dopu, navigate à traversu: Configurazione di l'urdinatore > Modelli amministrativi > ReteIn certe edizioni, l'ambiente appare sottu Cliente DNS. Truvate a voce "Disattivà a risoluzione di nomi multicast" (u nome pò varià ligeramente) è impostate a pulitica à "Attivata".

In Windows 10, u testu hè generalmente lettu cum'è "Disattivà a risoluzione di nomi multicast". Applicà o accettà u cambiamentu è riavvià u vostru urdinatore. per assicurà chì i paràmetri di a squadra sianu applicati currettamente.

Opzione 2: Registru di Windows

Sè vo preferite andà direttamente à u puntu o avete bisognu di un metudu scriptabile, pudete creà u valore di a pulitica in u Registru. Aprite CMD o PowerShell cù permessi di amministratore è eseguite:

REG ADD "HKLM\Software\Policies\Microsoft\Windows NT\DNSClient" /f
REG ADD "HKLM\Software\Policies\Microsoft\Windows NT\DNSClient" /v "EnableMulticast" /t REG_DWORD /d 0 /f

Cù questu, LLMNR serà disattivatu à u livellu di pulitica. Riavviate l'urdinatore per chjude u ciclu è impedisce chì i prucessi cù un statu precedente restinu in memoria.

Disattivà LLMNR cù GPO in un duminiu

Un altru modu per disattivà LLMNR hè di applicà u cambiamentu centralmente da un controller di duminiu aprendu a Console di Gestione di Policy di Gruppu. Crea un novu GPO (per esempiu, "MY-GPO") è editallu.

In l'editore, seguitate u percorsu: Configurazione di l'urdinatore > Modelli amministrativi > Rete > Client DNS. Attivate a pulitica "Disattivate a risoluzione di nomi multicast" è chjude l'editore per salvà. Dopu, ligate u GPO à l'OU adatta è furzate l'aghjurnamentu di a pulitica o aspettate a replicazione nurmale.

Fattu. Avà avete una pulitica di duminiu chì taglia sistematicamente LLMNR. Ricurdatevi chì a nomenclatura esatta di l'aghjustamentu pò varià. ligeramente trà e versioni di Windows Server, ma a situazione hè cum'è indicata.

Intune: "Applicatu" ma gpedit mostra "Micca cunfiguratu"

Una quistione cumuna: mandate un prufilu di cunfigurazione da Intune, vi dice ch'ellu hè statu applicatu currettamente, è quandu aprite gpedit, vedete l'impostazione cum'è "Micca cunfiguratu". Questu ùn significa micca necessariamente ch'ellu ùn sia micca attivu.Intune applica i paràmetri via CSP/Registry chì ùn sò micca sempre riflessi in l'editore lucale cum'è "Configurati".

U modu affidabile per verificà questu hè di cunsultà u Registru di e Pulitiche: S'ellu esiste è hè uguale à 0, u valore Attivà u Multicast HKLM\Software\Politiche\Microsoft\Windows NT\DNSClient, LLMNR hè disattivatu ancu s'è gpedit mostra "Micca cunfiguratu".

Sè preferite assicurà questu via script (utile cum'è Remediation in Intune), eccu un script PowerShell simplice per creà u valore è verificallu:

New-Item -Path "HKLM:\Software\Policies\Microsoft\Windows NT\DNSClient" -Force | Out-Null
New-ItemProperty -Path "HKLM:\Software\Policies\Microsoft\Windows NT\DNSClient" -Name "EnableMulticast" -PropertyType DWord -Value 0 -Force | Out-Null
(Get-ItemProperty -Path "HKLM:\Software\Policies\Microsoft\Windows NT\DNSClient").EnableMulticast

Questu copre u casu induve Intune dice chì hè statu applicatu, ma vulete a massima certezza o per risolve i prublemi di i dispositivi "candidati". Per verificà in massa, cumminà u script cù u vostru strumentu d'inventariu o cù i rapporti Intune/Defender per Endpoint.

Disattivà LLMNR in Linux (risoltu da systemd)

Nantu à distribuzioni cum'è Ubuntu o Debian chì utilizanu systemd-resolved, pudete "tumbà" LLMNR direttamente. Mudificà i paràmetri di u risolutore así:

sudo nano /etc/systemd/resolved.conf

In u schedariu, stabilisce u parametru currispundente in modu ch'ellu sia senza ambiguità. Per esempiu:

[Resolve]
LLMNR=no

Salvà è riavvià u serviziu o l'urdinatore: Riavvià u serviziu hè generalmente sufficiente, ancu s'è un riavviu hè ancu validu s'ellu hè più cunveniente per voi.

sudo systemctl restart systemd-resolved

Cù questu, systemd-resolved smetterà di utilizà LLMNR. Sè vo aduprate un'altra suluzione di risoluzione (o altre distribuzioni), verificate a so ducumentazione: u mudellu ùn differisce micca troppu è ci hè sempre un "switch" equivalente.

À propositu di NBT-NS è di u Firewall di Windows

Disattivà LLMNR hè a mità di a battaglia. Responder è strumenti simili sfruttanu ancu NetBIOS Name Service (NBT-NS), chì funziona nantu à i porti NetBIOS classici (UDP 137/138 è TCP 139). Questu face nasce a quistione chì parechje persone si ponenu: basta à bluccà i porti in u firewall, o ci vole à disattivà esplicitamente NBT-NS ?

Sè applicate regule strette à u vostru firewall lucale - sia in entrata sia in uscita - bluccendu 137/UDP, 138/UDP è 139/TCP, riducete assai a vostra esposizione. Tuttavia, a megliu pratica in l'ambienti d'impresa hè di disattivà NetBIOS via TCP/IP. in l'interfacce, per impedisce risposte o publicità indesiderate se a pulitica di u firewall cambia o hè mudificata da una applicazione.

In Windows, ùn ci hè micca un GPO "di fabbrica" ​​cusì direttu cum'è in LLMNR, ma pudete fà lu via WMI o Registru. Stu PowerShell basatu annantu à WMI u disattiva nantu à tutti l'adattatori abilitati per IP:

Get-WmiObject -Class Win32_NetworkAdapterConfiguration -Filter "IPEnabled=TRUE" | ForEach-Object { $_.SetTcpipNetbios(2) } 

Sè preferite e regule di firewall, andate avanti, ma assicuratevi ch'elle sianu bidirezionali è persistenti. Blocchi 137/UDP, 138/UDP è 139/TCP è surveglia chì ùn ci sò micca regule cunflittuali in altri GPO o suluzioni EDR/AV chì gestiscenu u firewall.

Verificazione: Cumu verificà chì LLMNR è NBT-NS sò fora di ghjocu

Per LLMNR in Windows, fighjate u Registru: HKLM\Software\Policies\Microsoft\Windows NT\DNSClient\EnableMulticast deve esiste è esse uguale à 0. Verificazione rapida in PowerShell averia:

(Get-ItemProperty -Path "HKLM:\Software\Policies\Microsoft\Windows NT\DNSClient").EnableMulticast

À u livellu di u trafficu, una tecnica simplice hè di fà una ricerca per un nome inesistente è aduprà Wireshark per osservà chì nisun pacchettu UDP 5355 hè emessu. Sè ùn vede micca multicast à u segmentu lucale, sì nantu à a bona strada.

Nant'à Linux cù systemd-resolved, verificate u statutu cù resolvectl o systemctl: Assicuratevi chì LLMNR sia impostu à "nò" in a cunfigurazione effettiva è chì u serviziu hè statu riavviatu senza errori.

Per NBT-NS, verificate chì e vostre regule di firewall bloccanu 137/UDP, 138/UDP è 139/TCP o chì NetBIOS hè disattivatu nantu à l'adattatori. Pudete ancu annusà a rete per un pezzu per verificà chì ùn ci sò micca richieste o publicità NetBIOS in onda.

Dumande frequenti è sfumature utili

• Romperaghju qualcosa disattivendu LLMNR? In e rete cù DNS ben mantenutu, questu ùn hè micca tipicamente u casu. In ambienti speciali o legacy, validate prima in un gruppu pilotu è cumunicate u cambiamentu à l'assistenza.
• Perchè gpedit mostra "Micca cunfiguratu" ancu s'è Intune dice "Applicatu"? Perchè l'editore lucale ùn riflette micca sempre i stati imposti da MDM o CSP. A verità hè in u Registru è in i risultati attuali, micca in u testu gpedit.
• Hè ubligatoriu di disattivà NBT-NS s'e bloccu NetBIOS nant'à u firewall ? Sè u bloccu hè cumpletu è robustu, riducete assai u risicu. Eppuru, disattivà NetBIOS via TCP/IP elimina e risposte à livellu di stack è evita sorprese se e regule cambianu, dunque hè l'opzione preferibile.
• Ci sò scripts pronti per disattivà LLMNR? Iè, via u Registru o PowerShell, cum'è avete vistu. Per Intune, imballate u script cum'è Remediation è aghjunghjite a verificazione di cunfurmità.

Disattivà LLMNR riduce a superficia di spoofing nantu à a rete lucale è impedisce l'attacchi di hash-grabbing cù strumenti cum'è Responder in the bud. Sè vo bluccate o disattivate ancu NBT-NS è pigliate cura di u vostru DNSAverete un cocktail di sicurezza simplice è efficace: menu rumore, menu risicu è una rete assai megliu preparata per l'usu cutidianu.