Carson a chuireas tu LLMNR dheth ma chleachdas tu Wi-Fi poblach?

Tha am pròtacal LLMNR na aghaidh eòlach ann an àrainneachdan Microsoft. Ann an lìonraidhean far a bheil Windows mar am prìomh shiostam, tha e air a chomasachadh gu bunaiteach, agus ged a bha e ciallach uaireigin, an-diugh is tric a bhios e na cheann goirt seach na chuideachadh. Sin as coireach gur e deagh bheachd a th’ ann fios a bhith agad ciamar a chleachdas tu e. mar a chuireas tu LLMNR dheth gu h-àraidh ma bhios sinn a’ cleachdadh lìonra WiFi poblach.

Mus dèan thu co-dhùnaidhean sam bith, ’s e deagh bheachd a th’ ann tuigsinn dè a bhios e a’ dèanamh agus carson a thathar a’ moladh a dhì-chomasachadh. Is e an deagh naidheachd gu bheil e furasta a dhì-chomasachadh. air Windows (a’ gabhail a-steach Windows Server) agus Linux, an dàrna cuid tro phoileasaidhean, Clàradh, Intune, no le bhith a’ gleusadh systemd-resolved.

Dè a th’ ann an LLMNR agus ciamar a tha e ag obair?

LLMNR tha an acronaim airson Fuasgladh Ainmean Ioma-chraolaidh Ceangail-IonadailIs e an t-adhbhar a th’ aige fuasgladh ainmean aoigheachd taobh a-staigh na h-earrainn ionadail gun a bhith an urra ri frithealaiche DNSAnn am faclan eile, mura h-urrainn do inneal ainm fhuasgladh tro DNS, faodaidh e feuchainn ri ceistean a chur air an nàbachd le bhith a’ cleachdadh multicast gus faicinn a bheil duine sam bith “a’ gabhail a’ chomharra.”

Bidh an uidheam seo a’ cleachdadh a’ phort CDU 5355 agus tha e air a dhealbhadh gus obrachadh taobh a-staigh an lìonra ionadail. Tha an t-iarrtas air a chur le ioma-chraoladh ris an lìonra dìreach, agus faodaidh coimpiutair sam bith a “dh’aithnicheas” an t-ainm freagairt le bhith ag ràdh “is mise sin.” Is e dòigh-obrach luath is sìmplidh a tha seo airson àrainneachdan beaga no neo-ullaichte far nach robh DNS ri fhaighinn no nach robh e ciallach a rèiteachadh.

Ann an cleachdadh, bidh an t-iarrtas LLMNR a’ siubhal chun roinn ionadail, agus faodaidh innealan a bhios ag èisteachd ris an trafaic sin freagairt ma tha iad den bheachd gur iad an ceann-uidhe ceart. Tha a raon-obrach cuingealaichte ris a’ cheangal ionadail, agus mar sin a ainm agus a ghairm mar “phaiste” nuair nach eil seirbheis ainmean foirmeil air an lìonra.

Airson bhliadhnaichean, gu h-àraidh ann an lìonraidhean nas lugha no cleachdaidhean ad hoc, sheall e gu robh e feumail. An-diugh, le DNS farsaing agus saor, tha an cùis cleachdaidh air a lughdachadh cho mòr is gu bheil e cha mhòr an-còmhnaidh ciallach LLMNR a chuir dheth agus a bhith beò nas sìtheile.

A bheil an LLMNR dha-rìribh riatanach? Cunnartan agus co-theacsa

A’ cheist mhillean dolar: am bu chòir dhomh a thoirt sìos no fhàgail? Ann an suidheachadh dachaigheil, is e am freagairt as cumanta “tha, faodaidh tu a thoirt sìos.” Ann an companaidh tha e goireasach buaidh a dhearbhadhMura h-eil DNS na h-àrainneachd air a stèidheachadh ceart agus ma tha rannsachaidhean ag obair, chan eil LLMNR a’ toirt seachad dad agus a’ nochdadh chunnartan neo-riatanach.

Is e an duilgheadas as motha gu bheil Chan eil dìon an aghaidh aithris pearsantachd ann an LLMNRFaodaidh ionnsaighear air an fho-lìonra agad fhèin “aithris” a dhèanamh air an inneal targaid agus freagairt tràth no gu roghnach, ag ath-stiùireadh a’ cheangail agus ag adhbhrachadh mì-riaghailt. ’S e suidheachadh ionnsaigh clasaigeach seann-fhasanta “fear-anns-a’-mheadhan” (MitM) a th’ ann.

Mar choimeas, tha e a’ toirt nar cuimhne inbhe Wi-Fi WEP, a rugadh gun ionnsaighean an latha an-diugh a thoirt fa-near agus a tha air fàs seann-fhasanta. Tha rudeigin coltach ris a’ tachairt le LLMNRBha e feumail san àm a dh'fhalbh, ach an-diugh tha e na dhoras fosgailte do mhealladh ma dh'fhàgas tu beò e air lìonraidhean corporra.

A bharrachd air sin, ann an làmhan nàmhaid leis na h-innealan ceart, faodaidh iad toirt air na coimpiutairean agad fiosrachadh mothachail leithid hashes NTLMv2 a “sheinn” nuair a tha iad a’ smaoineachadh gu bheil iad a’ bruidhinn ri frithealaiche dligheach. Cho luath ‘s a gheibh an ionnsaighear na hashes sin, faodaidh iad feuchainn rin briseadh – le soirbheachas eadar-dhealaichte a rèir phoileasaidhean agus iom-fhillteachd facal-faire – a’ meudachadh chunnart fìor ionnsaigh.

Cuin a bu chòir LLMNR a dhì-cheadachadh?

Anns a’ mhòr-chuid de shuidheachaidhean ùr-nodha, faodaidh tu a dhì-chomasachadh gun dad a bhriseadh. Ma bhios na teachdaichean agad an-còmhnaidh a’ fuasgladh le DNS Agus mura h-eil thu an urra ri "draoidheachd" air an lìonra ionadail, chan eil feum air LLMNR. Ach a dh’aindeoin sin, dèan dearbhadh ann an àrainneachdan èiginneach mus cuir thu am poileasaidh air adhart chun na buidhne gu lèir.

Cumaibh cuimhne nach e co-dhùnadh teicnigeach a-mhàin a th’ ann: tha e cuideachd a’ lughdachadh cunnart obrachaidh is gèillidh. Tha LLMNR a dhì-chomasachadh na smachd cruadhachaidh sìmplidh, tomhaiste agus buadhmhor., dìreach na tha frèam tèarainteachd reusanta sam bith ag iarraidh.

Cuir dheth LLMNR ann an Windows

Seo na prìomh roghainnean a tha rim faighinn gus LLMNR a dhì-cheadachadh ann an Windows:

Roghainn 1: Deasaiche Poileasaidh Buidhne Ionadail (gpedit.msc)

Air coimpiutairean leotha fhèin no airson deuchainnean luath, faodaidh tu an Deasaiche Poileasaidh Buidhne Ionadail a chleachdadh. Brùth WIN + R, taip gpedit.msc agus aontaich ri fhosgladh.

An uairsin, seòl tro: Rèiteachadh Coimpiutair > Teamplaidean Rianachd > LìonraAnn an cuid de na deasachaidhean, nochdaidh an suidheachadh fo Neach-dèiligidh DNS. Lorg an inntrig “Cuir dheth fuasgladh ainmean ioma-chraolaidh” (dh’fhaodadh an t-ainm atharrachadh beagan) agus suidhich am poileasaidh gu “Comasaichte”.

Ann an Windows 10, mar as trice bidh an teacsa air a leughadh mar “Cuir dheth fuasgladh ainmean ioma-chraolaidh.” Cuir an t-atharrachadh an sàs no gabh ris agus ath-thòisich do choimpiutair. gus dèanamh cinnteach gu bheil na roghainnean taobh na sgioba air an cur an sàs gu ceart.

Roghainn 2: Clàr Windows

Ma tha thu airson faighinn dìreach chun a’ phuing no ma tha feum agad air dòigh sgriobtaichte, faodaidh tu luach a’ phoileasaidh a chruthachadh anns a’ Chlàr. Fosgail CMD no PowerShell le ceadan rianaire agus cuir an gnìomh:

REG ADD "HKLM\Software\Policies\Microsoft\Windows NT\DNSClient" /f
REG ADD "HKLM\Software\Policies\Microsoft\Windows NT\DNSClient" /v "EnableMulticast" /t REG_DWORD /d 0 /f

Le seo, thèid LLMNR a dhì-chomasachadh aig ìre poileasaidh. Ath-thòisich an coimpiutair gus an cearcall a dhùnadh agus casg a chur air pròiseasan le staid roimhe bho bhith a’ fuireach sa chuimhne.

Cuir dheth LLMNR le GPO ann an àrainn

Is e dòigh eile air LLMNR a dhì-cheadachadh an t-atharrachadh a chur an sàs gu meadhanach bho rianadair àrainn le bhith a’ fosgladh Consól Riaghlaidh Poileasaidh Buidhne. Cruthaich GPO ùr (mar eisimpleir, “MY-GPO”) agus deasaich e.

Anns an deasaiche, lean an t-slighe: Rèiteachadh Coimpiutair > Teamplaidean Rianachd > Lìonra > Neach-dèiligidh DNS. Cuir an comas am poileasaidh “Cuir dheth fuasgladh ainmean ioma-chraolaidh” agus dùin an deasaiche gus a shàbhaladh. An uairsin, ceangail an GPO ris an OU iomchaidh agus cuir an gnìomh ùrachadh a’ phoileasaidh no feith airson ath-riochdachadh àbhaisteach.

Deiseil. Tha poileasaidh àrainn agad a-nis a bhios a’ gearradh LLMNR gu cunbhalach. Cuimhnich gum faod ainmean mionaideach an atharrachaidh a bhith eadar-dhealaichte. beagan eadar dreachan de Windows Server, ach tha an t-àite mar a tha air a chomharrachadh.

Intune: “Air a chur an sàs” ach tha gpedit a’ sealltainn “Gun rèiteachadh”

Ceist chumanta: ma chuireas tu pròifil rèiteachaidh a-mach à Intune, tha e ag innse dhut gun deach a chur an sàs gu ceart, agus nuair a dh’fhosglas tu gpedit, chì thu an suidheachadh mar “Gun rèiteachadh”. Chan eil seo gu riatanach a’ ciallachadh nach eil e gnìomhach.Bidh Intune a’ cur roghainnean an sàs tro CSP/Registry nach eil an-còmhnaidh air an nochdadh san deasaiche ionadail mar “Air a rèiteachadh”.

Is e an dòigh earbsach air seo a dhearbhadh sùil a thoirt air Log a’ Phoileasaidh: Ma tha e ann agus co-ionann ri 0, an luach Cuir Multicast an gnìomh HKLM\Software\Poileasaidhean\Microsoft\Windows NT\DNSClient, tha LLMNR à comas eadhon ged a tha gpedit a’ sealltainn “Gun rèiteachadh”.

Ma tha thu airson seo a dhèanamh cinnteach tro sgriobt (feumail mar Remediation ann an Intune), seo sgriobt PowerShell sìmplidh gus an luach a chruthachadh agus a dhearbhadh:

New-Item -Path "HKLM:\Software\Policies\Microsoft\Windows NT\DNSClient" -Force | Out-Null
New-ItemProperty -Path "HKLM:\Software\Policies\Microsoft\Windows NT\DNSClient" -Name "EnableMulticast" -PropertyType DWord -Value 0 -Force | Out-Null
(Get-ItemProperty -Path "HKLM:\Software\Policies\Microsoft\Windows NT\DNSClient").EnableMulticast

Tha seo a’ còmhdach a’ chùis far a bheil Intune ag ràdh gun deach a chur an sàs, ach gu bheil thu ag iarraidh a’ chinnt as motha no gus fuasgladh fhaighinn air duilgheadasan le innealan “meallta”. Gus sgrùdadh mòr a dhèanamh ann am mòr-chuid, cuir an sgriobt còmhla ris an inneal clàr-stuthan agad no le Intune/Defender airson aithisgean Endpoint.

Cuir LLMNR à comas air Linux (air fhuasgladh le systemd)

Air sgaoilidhean mar Ubuntu no Debian a bhios a’ cleachdadh systemd-resolved, faodaidh tu LLMNR a “mharbhadh” gu dìreach. Deasaich roghainnean an fhuasglaidh Mar sin:

sudo nano /etc/systemd/resolved.conf

Anns an fhaidhle, suidhich am paramadair co-fhreagarrach gus am bi e soilleir. Mar eisimpleir:

[Resolve]
LLMNR=no

Sàbhail agus ath-thòisich an t-seirbheis no an coimpiutair: Mar as trice tha ath-thòiseachadh na seirbheis gu leòr, ged a tha ath-thòiseachadh dligheach cuideachd ma tha e nas goireasaiche dhut.

sudo systemctl restart systemd-resolved

Le sin, sguiridh systemd-resolved de bhith a’ cleachdadh LLMNR. Ma chleachdas tu fuasgladh eile (no distros eile), thoir sùil air na sgrìobhainnean aca: chan eil am pàtran ro eadar-dhealaichte agus tha “suidse” co-ionann ann an-còmhnaidh.

Mu NBT-NS agus Balla-teine ​​Windows

Tha cuir às do LLMNR leth na h-obrach. Bidh Responder agus innealan coltach ris cuideachd a’ cleachdadh Seirbheis Ainm NetBIOS (NBT‑NS), a bhios ag obair thairis air puirt NetBIOS clasaigeach (UDP 137/138 agus TCP 139). Tha seo a’ togail na ceiste a bhios mòran dhaoine a’ faighneachd: a bheil e gu leòr puirt a bhacadh anns a’ bhalla-teine, no am feum thu NBT-NS a dhì-cheadachadh gu soilleir?

Ma chuireas tu riaghailtean teann an sàs air a’ bhalla-teine ​​ionadail agad—a-steach agus a-mach—a’ bacadh 137/UDP, 138/UDP, agus 139/TCP, lughdaichidh tu an nochd gu mòr. Ach, ’s e an cleachdadh as fheàrr ann an àrainneachdan iomairt NetBIOS a dhì-chomasachadh thairis air TCP/IP. ann an eadar-aghaidhean, gus casg a chur air freagairtean no sanasan nach eilear ag iarraidh ma dh’atharraicheas no ma thèid am poileasaidh balla-teine ​​atharrachadh le aplacaid.

Ann an Windows, chan eil GPO “factaraidh” cho dìreach ri LLMNR, ach faodaidh tu a dhèanamh tro WMI no Clàradh. Bidh am PowerShell stèidhichte air WMI seo ga dhì-chomasachadh air a h-uile inneal-atharrachaidh le comas IP.:

Get-WmiObject -Class Win32_NetworkAdapterConfiguration -Filter "IPEnabled=TRUE" | ForEach-Object { $_.SetTcpipNetbios(2) } 

Ma tha thu ag iarraidh riaghailtean balla-teine, dèan cinnteach gu bheil iad dà-shligheach agus maireannach. Blocaichean 137/UDP, 138/UDP agus 139/TCP agus a’ cumail sùil air nach eil riaghailtean connspaideach ann an GPOan no fuasglaidhean EDR/AV eile a bhios a’ riaghladh a’ bhalla-teine.

Dearbhadh: Mar a nì thu sgrùdadh nach eil LLMNR agus NBT-NS ri fhaighinn

Airson LLMNR air Windows, thoir sùil air a’ Chlàr-lann: HKLM\Software\Poileasaidhean\Microsoft\Windows NT\DNSClient\CumasaichMulticast feumaidh e a bhith ann agus a bhith co-ionann ri 0. Sgrùdadh Luath ann an PowerShell Bhithinn:

(Get-ItemProperty -Path "HKLM:\Software\Policies\Microsoft\Windows NT\DNSClient").EnableMulticast

Aig ìre an trafaic, is e dòigh shìmplidh rannsachadh a dhèanamh airson ainm nach eil ann agus Wireshark a chleachdadh gus faicinn nach eil pacaidean UDP 5355 air an cur a-mach. Mura faic thu ioma-chraoladh chun roinn ionadail, tha thu air an t-slighe cheart.

Air Linux le systemd-resolved, thoir sùil air an inbhe le resolvectl no systemctl: Dèan cinnteach gu bheil LLMNR air a shuidheachadh gu “chan eil” anns an rèiteachadh èifeachdach agus gun deach an t-seirbheis ath-thòiseachadh gun mhearachdan.

Airson NBT-NS, dearbhaich gu bheil riaghailtean a’ bhalla-teine ​​agad a’ bacadh 137/UDP, 138/UDP, agus 139/TCP no gu bheil NetBIOS air a dhì-chomasachadh air na h-innealan-atharrachaidh. Faodaidh tu cuideachd an lìon a shnìomh airson greis gus dèanamh cinnteach nach eil iarrtasan no sanasan NetBIOS air an èadhar.

Ceistean tric air an cur agus mion-fhiosrachadh feumail

• Am bris mi rud sam bith le bhith a’ cur dheth LLMNR? Ann an lìonraidhean le DNS air a chumail suas gu math, mar as trice chan eil seo fìor. Ann an àrainneachdan sònraichte no dìleab, dearbhaich an toiseach ann am buidheann pìleat agus cuir an t-atharrachadh an cèill don luchd-taic.
• Carson a tha gpedit a’ sealltainn “Gun rèiteachadh” eadhon ged a tha Intune ag ràdh “Air a chur an gnìomh”? Leis nach eil an deasaiche ionadail an-còmhnaidh a’ nochdadh nan staidean a chuir MDM no CSP an sàs. Tha an fhìrinn anns a’ Chlàr agus anns na fìor thoraidhean, chan ann anns an teacsa gpedit.
• A bheil e èigneachail NBT‑NS a dhì-cheadachadh ma chuireas mi bacadh air NetBIOS air a’ bhalla-teine? Ma tha am bacadh coileanta agus làidir, lughdaichidh tu an cunnart gu mòr. A dh’aindeoin sin, ma chuireas tu dheth NetBIOS thairis air TCP/IP, cuiridh sin às do fhreagairtean aig ìre na cruachaidh agus seachnaidh e iongnadh ma dh’atharraicheas na riaghailtean, agus mar sin ’s e seo an roghainn as fheàrr.
• A bheil sgriobtaichean deiseil ann airson LLMNR a dhì-cheadachadh? 'S e, tro Chlàr no PowerShell, mar a chunnaic thu. Airson Intune, pacaich an sgriobt mar Remediation agus cuir sgrùdadh gèillidh ris.

Le bhith a’ cur dheth LLMNR, bidh an uachdar meallta air an lìonra ionadail a’ lughdachadh agus a’ cur stad air ionnsaighean hash-grabbing le innealan mar Responder sa bhad. Ma chuireas tu bacadh no casg air NBT-NS cuideachd agus ma bheir thu aire don DNS agadBidh measgachadh tèarainteachd sìmplidh is èifeachdach agad: nas lugha fuaim, nas lugha cunnart, agus lìonra a tha tòrr nas ullaichte airson a chleachdadh gach latha.