- Nochtann LLMNR daoine do bhréagadóireacht agus do ghabháil haise; laghdaíonn sé rioscaí do dhaoine istigh.
- Díchumasú Éasca: GPO/Clárlann ar Windows agus Eagarthóireacht systemd-réitithe ar Linux.
- Comhlánaíonn sé NBT-NS a bhlocáil nó a dhíchumasú agus fíorú ag an gClárlann/trácht.
Is aghaidh aitheanta é an prótacal LLMNR i dtimpeallachtaí Microsoft. I líonraí ina bhfuil Windows mar phríomhghné, bíonn sé cumasaithe de réir réamhshocraithe, agus cé gur chiallmhar é tráth, is minic a bhíonn sé níos mó ina thinneas cinn ná ina chabhair inniu. Sin an fáth gur smaoineamh maith é a bheith ar an eolas faoi conas é a úsáid. conas LLMNR a dhíchumasú go háirithe má táimid ag úsáid líonra WiFi poiblí.
Sula ndéanann tú aon chinntí, is dea-smaoineamh é tuiscint a fháil ar a ndéanann sé agus cén fáth a moltar é a dhíchumasú. Is é an dea-scéal ná go bhfuil sé éasca é a dhíchumasú. ar Windows (lena n-áirítear Windows Server) agus Linux araon, trí bheartais, an Chlárlann, Intune, nó trí thiúnadh systemd-resolved.
Cad é LLMNR agus conas a oibríonn sé?
LLMNR Is é an t-acrainm do Réiteach Ainm Ilchraolacháin Nasc-ÁitiúilIs é an cuspóir atá leis ainmneacha óstacha a réiteach laistigh den deighleog áitiúil gan brath ar fhreastalaí DNSIs é sin le rá, mura féidir le meaisín ainm a réiteach trí DNS, is féidir leis iarracht a dhéanamh fiosrúcháin a dhéanamh ar an gcomharsanacht ag baint úsáide as ilchraoladh chun a fheiceáil an dtuigeann aon duine an leid.
Úsáideann an mheicníocht seo an calafort UDP 5355 saor in aisce, agus tá sé deartha chun oibriú laistigh den líonra áitiúil. Seoltar an fiosrúchán trí ilchraoladh leis an líonra láithreach, agus is féidir le haon ríomhaire a “aithníonn” an t-ainm freagra a thabhairt trí “sin mise.” Is cur chuige gasta agus simplí é seo do thimpeallachtaí beaga nó neamhfhoirfe nach raibh DNS ar fáil iontu nó nach raibh ciall le cumrú iontu.
Go praiticiúil, taistealaíonn an fiosrúchán LLMNR chuig an deighleog áitiúil, agus is féidir le gléasanna a éisteann leis an trácht sin freagairt má chreideann siad gurb iad an ceann scríbe ceart iad. Tá a raon feidhme teoranta don nasc áitiúil, agus dá bhrí sin a ainm agus a ghairm mar “paiste” nuair nach bhfuil aon sheirbhís ainmneacha foirmiúil ar an líonra.
Ar feadh na mblianta, go háirithe i líonraí níos lú nó imscaradh ad hoc, chruthaigh sé go raibh sé úsáideach. Sa lá atá inniu ann, le DNS forleathan agus saor, tá an cás úsáide chomh cúngaithe sin go bhfuil ciall leis beagnach i gcónaí LLMNR a mhúchadh agus maireachtáil níos síochánta.
An bhfuil an LLMNR riachtanach i ndáiríre? Rioscaí agus comhthéacs
An cheist mhór: ar cheart dom é a thógáil anuas nó é a fhágáil? I suíomh baile, is é an freagra is coitianta ná "tá, bíodh leisce ort é a thógáil anuas." I gcuideachta is áisiúil tionchar a bhailíochtúMá tá DNS an chomhshaoil suas i gceart agus má oibríonn cuardaigh, ní sholáthraíonn LLMNR aon rud agus nochtar rioscaí gan ghá.
Is í an fhadhb is mó ná sin Ní chuimsíonn LLMNR cosaint i gcoinne pearsantúIs féidir le hionsaitheoir ar do fho-líonra féin an gléas sprice a "phearsantú" agus freagairt go luath nó go roghnach, ag atreorú an naisc agus ag cruthú círéibe. Is cás ionsaithe clasaiceach sean-scoile "fear-sa-lár" (MitM) é.
Mar analaí, meabhraíonn sé don chaighdeán Wi-Fi WEP, a rugadh gan ionsaithe nua-aimseartha a chur san áireamh agus atá imithe i léig. Tarlaíonn rud éigin cosúil leis sin le LLMNRBhí sé úsáideach san am atá thart, ach inniu is doras oscailte é don mheabhlaireacht má fhágann tú beo é ar líonraí corparáideacha.
Ina theannta sin, i lámha namhaid leis na huirlisí cearta, is féidir leo a chur iallach ar do ríomhairí faisnéis íogair cosúil le haiseanna NTLMv2 a “chanadh” nuair a cheapann siad go bhfuil siad ag caint le freastalaí dlisteanach. Nuair a fhaigheann an t-ionsaitheoir na haiseanna sin, is féidir iarracht a dhéanamh iad a bhriseadh—le rath éagsúil ag brath ar bheartais agus ar chastacht pasfhocal—rud a mhéadaíonn an baol go ndéanfar fíor-ionraidh.
Cathain is ceart LLMNR a dhíchumasú?
I bhformhór mór na n-imscaradh nua-aimseartha, is féidir leat é a dhíchumasú gan aon rud a bhriseadh. Má réitíonn do chliaint i gcónaí le DNS Agus mura bhfuil tú ag brath ar "draíocht" ar an líonra áitiúil, níl aon ghá le LLMNR. Mar sin féin, déan bailíochtú i dtimpeallachtaí criticiúla sula gcuirtear an polasaí i bhfeidhm ar an eagraíocht ar fad.
Coinnigh i gcuimhne nach cinneadh teicniúil amháin atá ann: laghdaíonn sé do riosca oibríochtúil agus comhlíontachta freisin. Is rialú cruaithe simplí, intomhaiste agus tioncharach é LLMNR a dhíchumasú., díreach a éilíonn aon chreat slándála réasúnta.
Díchumasaigh LLMNR i Windows
Seo iad na príomhroghanna atá ar fáil chun LLMNR a dhíchumasú i Windows:
Rogha 1: Eagarthóir Beartais Grúpa Áitiúil (gpedit.msc)
Ar ríomhairí neamhspleácha nó le haghaidh tástála tapa, is féidir leat an Eagarthóir Beartas Grúpa Áitiúil a úsáid. Brúigh WIN + R, clóscríobh gpedit.msc agus glac leis é a oscailt.
Ansin, nascleanúint tríd: Cumraíocht Ríomhaire > Teimpléid Riaracháin > LíonraI roinnt eagrán, feictear an suíomh faoi Cliant DNS. Aimsigh an iontráil “Díchumasaigh réiteach ainm ilchraolta” (d’fhéadfadh an t-ainm a bheith beagán difriúil) agus socraigh an polasaí go “Cumasaithe”.
I Windows 10, léitear an téacs de ghnáth mar “Díchumasaigh réiteach ainm ilchraolta.” Cuir an t-athrú i bhfeidhm nó glac leis agus atosú do ríomhaire. chun a chinntiú go gcuirtear na socruithe taobh foirne i bhfeidhm i gceart.
Rogha 2: Clárlann Windows
Más fearr leat dul díreach go dtí an pointe nó más gá duit modh inscriptithe, is féidir leat an luach beartais a chruthú sa Chlárlann. Oscail CMD nó PowerShell le ceadanna riarthóra agus forghníomhaigh:
REG ADD "HKLM\Software\Policies\Microsoft\Windows NT\DNSClient" /f
REG ADD "HKLM\Software\Policies\Microsoft\Windows NT\DNSClient" /v "EnableMulticast" /t REG_DWORD /d 0 /fLeis seo, díchumasófar LLMNR ag leibhéal an pholasaí. Atosaigh an ríomhaire chun an timthriall a dhúnadh agus cosc a chur ar phróisis a bhfuil staid roimhe seo acu fanacht sa chuimhne.
Díchumasaigh LLMNR le GPO i bhfearann
Bealach eile chun LLMNR a dhíchumasú ná an t-athrú a chur i bhfeidhm go lárnach ó rialtóir fearainn tríd an gConsól Bainistíochta Polasaí Grúpa a oscailt. Cruthaigh GPO nua (mar shampla, “MO-GPO”) agus é a chur in eagar.
San eagarthóir, lean an cosán: Cumraíocht Ríomhaire > Teimpléid Riaracháin > Líonra > Cliant DNS. Cumasaigh an polasaí “Díchumasaigh réiteach ainmneacha ilchraolta” agus dún an eagarthóir le sábháil. Ansin, nasc an GPO leis an OU cuí agus cuir iallach ar athnuachan an pholasaí nó fan go dtí go ndéanfaí macasamhlú gnáth.
Déanta. Tá polasaí fearainn agat anois a laghdaíonn LLMNR go comhsheasmhach. Cuimhnigh go bhféadfadh ainmníocht chruinn an choigeartaithe a bheith éagsúil. beagán idir leaganacha de Windows Server, ach tá an suíomh mar a léirítear.
Intune: “Feidhmithe” ach taispeánann gpedit “Gan Chumrú”
Ceist choitianta: má bhrúnn tú próifíl chumraíochta ó Intune, insíonn sé duit gur cuireadh i bhfeidhm i gceart í, agus nuair a osclaíonn tú gpedit, feiceann tú an socrú mar “Gan Chumrú”. Ní chiallaíonn sé seo go bhfuil sé neamhghníomhach.Cuireann Intune socruithe i bhfeidhm trí CSP/Registry nach léirítear i gcónaí san eagarthóir áitiúil mar “Cumraithe”.
Is é an bealach iontaofa chun seo a sheiceáil ná dul i gcomhairle leis an Log Polasaí: Más ann dó agus más ionann é agus 0, an luach Cumasaigh Ilchraoladh ar siúl HKLM\Bogearraí\Polasaithe\Microsoft\Windows NT\DNSClient, Tá LLMNR díchumasaithe cé go léiríonn gpedit “Gan chumrú”.
Más fearr leat é seo a chinntiú trí script (úsáideach cosúil le Remediation in Intune), seo script PowerShell simplí chun an luach a chruthú agus é a fhíorú:
New-Item -Path "HKLM:\Software\Policies\Microsoft\Windows NT\DNSClient" -Force | Out-Null
New-ItemProperty -Path "HKLM:\Software\Policies\Microsoft\Windows NT\DNSClient" -Name "EnableMulticast" -PropertyType DWord -Value 0 -Force | Out-Null
(Get-ItemProperty -Path "HKLM:\Software\Policies\Microsoft\Windows NT\DNSClient").EnableMulticastClúdaíonn sé seo an cás ina ndeir Intune gur cuireadh i bhfeidhm é, ach go bhfuil an deimhneacht uasta uait nó go bhfuil tú ag iarraidh fabhtcheartú a dhéanamh ar ghléasanna “bradacha”. Chun iniúchadh mórchóir a dhéanamh, comhcheangail an script le d’uirlis fardail nó le Intune/Defender le haghaidh tuarascálacha Endpoint.
Díchumasaigh LLMNR ar Linux (réitithe ag systemd)
Ar dháiltí cosúil le Ubuntu nó Debian a úsáideann systemd-resolved, is féidir leat LLMNR a “mharú” go díreach. Cuir socruithe an réiteora in eagar Mar sin:
sudo nano /etc/systemd/resolved.confSa chomhad, socraigh an paraiméadar comhfhreagrach ionas go mbeidh sé soiléir. Mar shampla:
[Resolve]
LLMNR=noSábháil agus atosú an tseirbhís nó an ríomhaire: Is leor an tseirbhís a atosú de ghnáth, cé go bhfuil atosú bailí freisin má tá sé níos áisiúla duit.
sudo systemctl restart systemd-resolvedLeis sin, stopfaidh systemd-resolved ag úsáid LLMNR. Má úsáideann tú réiteach réitigh eile (nó dáiltí eile), seiceáil a ndoiciméadacht: níl an patrún ró-dhifriúil agus bíonn “lasc” coibhéiseach ann i gcónaí.
Maidir le NBT‑NS agus Balla Dóiteáin Windows
Is leath an chatha é LLMNR a dhíchumasú. Baineann Responder agus uirlisí comhchosúla leas as Seirbhís Ainm NetBIOS (NBT‑NS) freisin., a oibríonn thar chalafoirt chlasaiceacha NetBIOS (UDP 137/138 agus TCP 139). Ardaíonn sé seo an cheist a chuireann go leor daoine: an leor calafoirt a bhlocáil sa bhalla dóiteáin, nó an gcaithfidh tú NBT-NS a dhíchumasú go sainráite?
Má chuireann tú rialacha dochta i bhfeidhm ar do bhalla dóiteáin áitiúil—isteach agus amach araon—ag blocáil 137/UDP, 138/UDP, agus 139/TCP, laghdaíonn tú do nochtadh go mór. Mar sin féin, is é an cleachtas is fearr i dtimpeallachtaí fiontraíochta ná NetBIOS a dhíchumasú thar TCP/IP. i gcomhéadain, chun freagraí nó fógraí nach dteastaíonn a chosc má athraíonn nó má mhodhnaíonn feidhmchlár an polasaí balla dóiteáin.
I Windows, níl aon GPO “monarcha” chomh díreach agus atá i LLMNR, ach is féidir leat é a dhéanamh trí WMI nó an Chlárlann. Díchumasaíonn an PowerShell seo, atá bunaithe ar WMI, é ar gach oiriúntóir cumasaithe IP.:
Get-WmiObject -Class Win32_NetworkAdapterConfiguration -Filter "IPEnabled=TRUE" | ForEach-Object { $_.SetTcpipNetbios(2) } Más fearr leat rialacha balla dóiteáin, téigh ar aghaidh, ach déan cinnte go bhfuil siad déthreoch agus buan. Bloic 137/UDP, 138/UDP agus 139/TCP agus déanann sé monatóireacht nach bhfuil aon rialacha contrártha i GPOanna eile nó i réitigh EDR/AV a bhainistíonn an balla dóiteáin.
Fíorú: Conas a sheiceáil nach bhfuil LLMNR agus NBT-NS i bhfeidhm
I gcás LLMNR ar Windows, féach ar an gClárlann: HKLM\Software\Polasaithe\Microsoft\Windows NT\DNSClient\CumasaighMulticast ní mór dó a bheith ann agus a bheith cothrom le 0. Seiceáil Thapa i PowerShell bheadh:
(Get-ItemProperty -Path "HKLM:\Software\Policies\Microsoft\Windows NT\DNSClient").EnableMulticastAg leibhéal na tráchta, is teicníc shimplí í cuardach a dhéanamh ar ainm nach bhfuil ann agus Wireshark a úsáid chun a fheiceáil nach bhfuil aon phaicéid UDP 5355 á n-aschur. Mura bhfeiceann tú ilchraoladh chuig an deighleog áitiúil, tá tú ar an mbóthar ceart.
Ar Linux le systemd-resolved, seiceáil an stádas le resolvectl nó systemctl: Cinntigh go bhfuil LLMNR socraithe go “níl” sa chumraíocht éifeachtach agus gur atosaíodh an tseirbhís gan earráidí.
I gcás NBT-NS, deimhnigh go mblocálann do rialacha balla dóiteáin 137/UDP, 138/UDP, agus 139/TCP nó go bhfuil NetBIOS díchumasaithe ar na hoiriúnóirí. Is féidir leat an líonra a shníomh ar feadh tamaill freisin chun a sheiceáil nach bhfuil aon iarratais ná fógraí NetBIOS ar an aer.
Ceisteanna coitianta agus castachtaí úsáideacha
- An ndéanfaidh mé aon rud a bhriseadh trí LLMNR a dhíchumasú? I líonraí a bhfuil DNS dea-chothabháilte acu, ní hamhlaidh atá an cás de ghnáth. I dtimpeallachtaí speisialta nó oidhreachta, déan bailíochtú ar dtús i ngrúpa píolótach agus cuir an t-athrú in iúl don tacaíocht.
- Cén fáth a léiríonn gpedit “Gan Chumrú” cé go ndeir Intune “Forfheidhmiú”? Mar nach léiríonn an t-eagarthóir áitiúil na stáit a fhorchuireann MDM nó CSP i gcónaí. Tá an fhírinne sa Chlárlann agus sna torthaí iarbhír, ní sa téacs gpedit.
- An bhfuil sé éigeantach NBT‑NS a dhíchumasú má chuireann mé bac ar NetBIOS ar an mballa dóiteáin? Má tá an blocáil iomlán agus láidir, laghdaíonn tú an riosca go mór. Mar sin féin, má dhíchumasaítear NetBIOS thar TCP/IP, cuirtear deireadh le freagraí ar leibhéal an chairn agus seachnaítear iontas má athraíonn na rialacha, mar sin is é an rogha is fearr é.
- An bhfuil aon scripteanna réidh chun LLMNR a dhíchumasú? Sea, tríd an gClárlann nó PowerShell, mar a chonaic tú. I gcás Intune, pacáistigh an script mar Remediation agus cuir seiceáil chomhlíontachta leis.
Laghdaíonn múchadh LLMNR an dromchla bréige ar an líonra áitiúil agus cuireann sé cosc ar ionsaithe haise-ghabála le huirlisí cosúil le Responder go luath. Má chuireann tú bac ar NBT-NS nó má dhíchumasaíonn tú é agus má thugann tú aire do do DNSBeidh meascán slándála simplí agus éifeachtach agat: níos lú torainn, níos lú riosca, agus líonra atá i bhfad níos ullmhaithe le haghaidh úsáide laethúla.
Eagarthóir speisialaithe i gcúrsaí teicneolaíochta agus idirlín le níos mó ná deich mbliana de thaithí i meáin dhigiteacha éagsúla. D'oibrigh mé mar eagarthóir agus cruthaitheoir ábhair do ríomhthráchtáil, cumarsáid, margaíocht ar líne agus cuideachtaí fógraíochta. Scríobh mé freisin ar shuíomhanna gréasáin eacnamaíocht, airgeadais agus earnálacha eile. Is é mo chuid oibre freisin mo paisean. Anois, trí mo chuid alt i Tecnobits, Déanaim iarracht na nuacht agus na deiseanna nua go léir a chuireann saol na teicneolaíochta ar fáil dúinn gach lá chun ár saol a fheabhsú a fhiosrú.