ເປັນຫຍັງປິດການໃຊ້ງານ LLMNR ຖ້າທ່ານໃຊ້ Wi-Fi ສາທາລະນະ?

ໂປຣໂຕຄໍ LLMNR ເປັນໃບໜ້າທີ່ຄຸ້ນເຄີຍໃນສະພາບແວດລ້ອມຂອງ Microsoft. ໃນເຄືອຂ່າຍທີ່ Windows ເປັນຕົ້ນຕໍ, ມັນຖືກເປີດໃຊ້ໂດຍຄ່າເລີ່ມຕົ້ນ, ແລະໃນຂະນະທີ່ມັນມີຄວາມຫມາຍ, ມື້ນີ້ມັນມັກຈະເຈັບຫົວຫຼາຍກ່ວາການຊ່ວຍເຫຼືອ. ນັ້ນແມ່ນເຫດຜົນທີ່ວ່າມັນເປັນຄວາມຄິດທີ່ດີທີ່ຈະຮູ້ວິທີການໃຊ້ມັນ. ວິທີການປິດການໃຊ້ງານ LLMNR ໂດຍສະເພາະຖ້າພວກເຮົາໃຊ້ເຄືອຂ່າຍ WiFi ສາທາລະນະ.

ກ່ອນທີ່ຈະຕັດສິນໃຈໃດໆ, ມັນເປັນຄວາມຄິດທີ່ດີທີ່ຈະເຂົ້າໃຈສິ່ງທີ່ມັນເຮັດແລະເປັນຫຍັງມັນຈຶ່ງແນະນໍາໃຫ້ປິດມັນ. ຂ່າວດີແມ່ນວ່າການປິດການໃຊ້ງານມັນງ່າຍ. ຢູ່ໃນທັງສອງ Windows (ລວມທັງ Windows Server) ແລະ Linux, ໂດຍຜ່ານນະໂຍບາຍ, Registry, Intune, ຫຼືໂດຍການປັບແຕ່ງລະບົບການແກ້ໄຂ.

LLMNR ແມ່ນຫຍັງ ແລະມັນເຮັດວຽກແນວໃດ?

LLMNR ແມ່ນຫຍໍ້ສໍາລັບ Link-Local Multicast ຊື່ການແກ້ໄຂ. ຈຸດປະສົງຂອງມັນແມ່ນ ແກ້ໄຂ hostnames ພາຍໃນພາກສ່ວນທ້ອງຖິ່ນໂດຍບໍ່ມີການອີງໃສ່ເຄື່ອງແມ່ຂ່າຍ DNSໃນຄໍາສັບຕ່າງໆອື່ນໆ, ຖ້າເຄື່ອງຈັກບໍ່ສາມາດແກ້ໄຂຊື່ຜ່ານ DNS, ມັນສາມາດລອງສອບຖາມເຂດໃກ້ຄຽງໂດຍໃຊ້ multicast ເພື່ອເບິ່ງວ່າມີໃຜ "ເອົາຄໍາແນະນໍາ."

ກົນໄກນີ້ໃຊ້ພອດ PDU 5355 ແລະຖືກອອກແບບເພື່ອດໍາເນີນການພາຍໃນເຄືອຂ່າຍທ້ອງຖິ່ນ. ຄໍາຖາມຖືກສົ່ງໂດຍ multicast ກັບເຄືອຂ່າຍທັນທີ, ແລະຄອມພິວເຕີໃດໆທີ່ "ຮັບຮູ້" ຊື່ສາມາດຕອບສະຫນອງໂດຍການເວົ້າວ່າ "ນັ້ນແມ່ນຂ້ອຍ." ນີ້ແມ່ນວິທີການທີ່ໄວ ແລະງ່າຍດາຍສຳລັບສະພາບແວດລ້ອມຂະໜາດນ້ອຍ ຫຼື improvised ທີ່ DNS ບໍ່ສາມາດໃຊ້ໄດ້ ຫຼືບໍ່ມີເຫດຜົນໃນການຕັ້ງຄ່າ.

ໃນທາງປະຕິບັດ, ການສອບຖາມ LLMNR ເດີນທາງໄປຫາພາກສ່ວນທ້ອງຖິ່ນ, ແລະອຸປະກອນທີ່ຟັງການຈະລາຈອນນັ້ນສາມາດຕອບສະຫນອງຖ້າພວກເຂົາເຊື່ອວ່າພວກເຂົາເປັນຈຸດຫມາຍປາຍທາງທີ່ຖືກຕ້ອງ. ຂອບເຂດຂອງມັນຖືກຈໍາກັດຢູ່ໃນການເຊື່ອມຕໍ່ທ້ອງຖິ່ນ, ແລະເພາະສະນັ້ນຊື່ແລະອາຊີບຂອງຕົນເປັນ "patch" ໃນເວລາທີ່ບໍ່ມີການບໍລິການຊື່ຢ່າງເປັນທາງການໃນເຄືອຂ່າຍ.

ເປັນເວລາຫຼາຍປີ, ໂດຍສະເພາະໃນເຄືອຂ່າຍທີ່ນ້ອຍກວ່າ ຫຼື ການໃຊ້ວຽກສະເພາະ, ມັນໄດ້ພິສູດວ່າເປັນປະໂຫຍດ. ໃນປັດຈຸບັນ, ມີ DNS ທີ່ກວ້າງຂວາງແລະລາຄາຖືກ, ກໍລະນີການນໍາໃຊ້ໄດ້ແຄບລົງຫຼາຍຈົນເກືອບສະເຫມີເຮັດໃຫ້ຄວາມຮູ້ສຶກທີ່ຈະປິດ LLMNR ແລະດໍາລົງຊີວິດຢ່າງສະຫງົບສຸກ.

LLMNR ແມ່ນມີຄວາມຈໍາເປັນແທ້ໆບໍ? ຄວາມສ່ຽງແລະສະພາບການ

ຄໍາຖາມເງິນລ້ານ: ຂ້ອຍຄວນເອົາມັນລົງຫຼືປ່ອຍມັນ? ໃນສະຖານທີ່ພາຍໃນປະເທດ, ຄໍາຕອບທີ່ພົບເລື້ອຍທີ່ສຸດແມ່ນ "ແມ່ນແລ້ວ, ຮູ້ສຶກບໍ່ເສຍຄ່າທີ່ຈະເອົາມັນລົງ." ໃນບໍລິສັດມັນສະດວກໃນການກວດສອບຜົນກະທົບ: ຖ້າ DNS ຂອງສະພາບແວດລ້ອມຖືກຕັ້ງຢ່າງຖືກຕ້ອງແລະຄົ້ນຫາເຮັດວຽກ, LLMNR ໃຫ້ບໍ່ມີຫຍັງແລະເປີດເຜີຍຄວາມສ່ຽງທີ່ບໍ່ຈໍາເປັນ.

ບັນຫາໃຫຍ່ທີ່ສຸດແມ່ນວ່າ LLMNR ບໍ່ໄດ້ລວມເອົາການປົກປ້ອງຕໍ່ການປອມຕົວຜູ້ໂຈມຕີຢູ່ໃນເຄືອຂ່າຍຍ່ອຍຂອງເຈົ້າເອງສາມາດ "ປອມຕົວ" ອຸປະກອນເປົ້າຫມາຍດັ່ງກ່າວແລະຕອບສະຫນອງກ່ອນໄວອັນຄວນຫຼືພິເສດ, ການປ່ຽນເສັ້ນທາງເຊື່ອມຕໍ່ແລະເຮັດໃຫ້ຄວາມວຸ່ນວາຍ. ມັນເປັນສະຖານະການການໂຈມຕີແບບເກົ່າແກ່ແບບຄລາສສິກ "ຜູ້ຊາຍໃນກາງ" (MitM).

ໃນຖານະເປັນການປຽບທຽບ, ມັນຈື່ຈໍາມາດຕະຖານ Wi-Fi WEP, ເຊິ່ງເກີດມາໂດຍບໍ່ໄດ້ພິຈາລະນາການໂຈມຕີທີ່ທັນສະໄຫມແລະໄດ້ກາຍເປັນສິ່ງທີ່ລ້າສະໄຫມ. ບາງສິ່ງບາງຢ່າງທີ່ຄ້າຍຄືກັນເກີດຂຶ້ນກັບ LLMNR: ມັນເປັນປະໂຫຍດໃນອະດີດ, ແຕ່ມື້ນີ້ມັນເປັນການເປີດປະຕູທີ່ຈະຫຼອກລວງຖ້າທ່ານປ່ອຍໃຫ້ມັນມີຊີວິດຢູ່ໃນເຄືອຂ່າຍຂອງບໍລິສັດ.

ນອກຈາກນັ້ນ, ໃນມືຂອງສັດຕູທີ່ມີເຄື່ອງມືທີ່ເຫມາະສົມ, ພວກເຂົາສາມາດບັງຄັບໃຫ້ຄອມພິວເຕີຂອງທ່ານ "ຮ້ອງເພງ" ຂໍ້ມູນທີ່ລະອຽດອ່ອນເຊັ່ນ NTLMv2 hashes ເມື່ອພວກເຂົາຄິດວ່າພວກເຂົາເວົ້າກັບເຄື່ອງແມ່ຂ່າຍທີ່ຖືກຕ້ອງ. ເມື່ອຜູ້ໂຈມຕີໄດ້ຮັບ hashes ເຫຼົ່ານັ້ນ, ສາມາດພະຍາຍາມແຕກພວກມັນ - ດ້ວຍຜົນສໍາເລັດທີ່ແຕກຕ່າງກັນຂຶ້ນກັບນະໂຍບາຍແລະຄວາມຊັບຊ້ອນລະຫັດຜ່ານ - ເພີ່ມຄວາມສ່ຽງຕໍ່ການບຸກລຸກທີ່ແທ້ຈິງ.

ເມື່ອໃດທີ່ຈະປິດການໃຊ້ງານ LLMNR?

ໃນສ່ວນໃຫຍ່ຂອງການນໍາໃຊ້ທີ່ທັນສະໄຫມ, ທ່ານສາມາດປິດມັນໄດ້ໂດຍບໍ່ມີການທໍາລາຍຫຍັງ. ຖ້າລູກຄ້າຂອງທ່ານສະເຫມີແກ້ໄຂໂດຍ DNS ແລະຖ້າທ່ານບໍ່ອີງໃສ່ " magic" ໃນເຄືອຂ່າຍທ້ອງຖິ່ນ, LLMNR ແມ່ນ superfluous. ຢ່າງໃດກໍຕາມ, ຢືນຢັນໃນສະພາບແວດລ້ອມທີ່ສໍາຄັນກ່ອນທີ່ຈະຊຸກຍູ້ນະໂຍບາຍໄປສູ່ອົງການຈັດຕັ້ງທັງຫມົດ.

ຈົ່ງຈື່ໄວ້ວ່າການຕັດສິນໃຈບໍ່ແມ່ນພຽງແຕ່ດ້ານວິຊາການເທົ່ານັ້ນ: ມັນຍັງຊ່ວຍຫຼຸດຜ່ອນຄວາມສ່ຽງຕໍ່ການປະຕິບັດງານແລະການປະຕິບັດຕາມຂອງທ່ານ. ການປິດການນຳໃຊ້ LLMNR ແມ່ນການຄວບຄຸມການແຂງຕົວແບບງ່າຍດາຍ, ສາມາດວັດແທກໄດ້ ແລະມີຜົນກະທົບ., ພຽງແຕ່ສິ່ງທີ່ກອບຄວາມປອດໄພທີ່ສົມເຫດສົມຜົນຮຽກຮ້ອງ.

ປິດໃຊ້ງານ LLMNR ໃນ Windows

ນີ້ແມ່ນທາງເລືອກຫຼັກທີ່ມີຢູ່ເພື່ອປິດການໃຊ້ງານ LLMNR ໃນ Windows:

ທາງເລືອກ 1: ຕົວແກ້ໄຂນະໂຍບາຍກຸ່ມທ້ອງຖິ່ນ (gpedit.msc)

ໃນຄອມພິວເຕີແບບດ່ຽວ ຫຼືສໍາລັບການທົດສອບໄວ, ທ່ານສາມາດນໍາໃຊ້ຕົວແກ້ໄຂນະໂຍບາຍກຸ່ມທ້ອງຖິ່ນ. ກົດ WIN + R, ພິມ gpedit.msc ແລະຍອມຮັບທີ່ຈະເປີດມັນ.

ຫຼັງຈາກນັ້ນ, ທ່ອງໄປຫາ: ການຕັ້ງຄ່າຄອມພິວເຕີ > ແມ່ແບບບໍລິຫານ > ເຄືອຂ່າຍ. ໃນບາງສະບັບ, ການຕັ້ງຄ່າຈະປາກົດຢູ່ພາຍໃຕ້ ລູກຄ້າ DNS. ຊອກຫາລາຍການ "ປິດການແກ້ໄຂຊື່ multicast" (ຊື່ອາດຈະແຕກຕ່າງກັນເລັກນ້ອຍ) ແລະຕັ້ງນະໂຍບາຍເປັນ “ເປີດໃຊ້ງານ”.

ໃນ Windows 10 ຂໍ້ຄວາມມັກຈະຖືກອ່ານເປັນ "ປິດການແກ້ໄຂຊື່ multicast." ສະຫມັກຫຼືຍອມຮັບການປ່ຽນແປງແລະ restart ຄອມພິວເຕີຂອງທ່ານ. ເພື່ອຮັບປະກັນວ່າການຕັ້ງຄ່າຝ່າຍທີມຖືກນຳໃຊ້ຢ່າງຖືກຕ້ອງ.

ທາງ​ເລືອກ 2​: Windows Registry​

ຖ້າທ່ານຕ້ອງການທີ່ຈະກົງໄປຫາຈຸດຫຼືຕ້ອງການວິທີການຂຽນ, ທ່ານສາມາດສ້າງມູນຄ່ານະໂຍບາຍໃນ Registry. ເປີດ CMD ຫຼື PowerShell ກັບການອະນຸຍາດຂອງຜູ້ເບິ່ງແຍງລະບົບ ແລະ​ປະ​ຕິ​ບັດ​:

REG ADD "HKLM\Software\Policies\Microsoft\Windows NT\DNSClient" /f
REG ADD "HKLM\Software\Policies\Microsoft\Windows NT\DNSClient" /v "EnableMulticast" /t REG_DWORD /d 0 /f

ດ້ວຍນີ້, LLMNR ຈະຖືກປິດໃຊ້ງານໃນລະດັບນະໂຍບາຍ. ຣີສະຕາດຄອມພິວເຕີເພື່ອປິດວົງຈອນ ແລະປ້ອງກັນບໍ່ໃຫ້ຂະບວນການທີ່ມີສະຖານະກ່ອນຫນ້າຈາກການຍັງເຫຼືອຢູ່ໃນຫນ່ວຍຄວາມຈໍາ.

ປິດໃຊ້ງານ LLMNR ກັບ GPO ໃນໂດເມນ

ອີກວິທີຫນຶ່ງທີ່ຈະປິດການໃຊ້ງານ LLMNR ແມ່ນເພື່ອນໍາໃຊ້ການປ່ຽນແປງສູນກາງຈາກຕົວຄວບຄຸມໂດເມນໂດຍການເປີດ Group Policy Management Console. ສ້າງ GPO ໃໝ່ (ຕົວຢ່າງ, "MY-GPO") ແລະແກ້ໄຂມັນ.

ໃນບັນນາທິການ, ປະຕິບັດຕາມເສັ້ນທາງ: ການຕັ້ງຄ່າຄອມພິວເຕີ > ແມ່ແບບບໍລິຫານ > ເຄືອຂ່າຍ > DNS Client. ເປີດໃຊ້ນະໂຍບາຍ “ປິດການທໍາງານການແກ້ໄຂຊື່ multicast” ແລະປິດບັນນາທິການເພື່ອບັນທຶກ. ຫຼັງຈາກນັ້ນ, ເຊື່ອມຕໍ່ GPO ກັບ OU ທີ່ເຫມາະສົມແລະບັງຄັບໃຫ້ປັບປຸງນະໂຍບາຍໃຫມ່ຫຼືລໍຖ້າການຈໍາລອງແບບປົກກະຕິ.

ສຳເລັດແລ້ວ. ຕອນນີ້ທ່ານມີນະໂຍບາຍໂດເມນທີ່ຕັດ LLMNR ຢ່າງຕໍ່ເນື່ອງ. ຈື່ໄວ້ວ່າຊື່ທີ່ແນ່ນອນຂອງການປັບຕົວອາດຈະແຕກຕ່າງກັນ. ເລັກນ້ອຍລະຫວ່າງເວີຊັນຂອງ Windows Server, ແຕ່ສະຖານທີ່ແມ່ນຕາມທີ່ລະບຸ.

Intune: “ນຳໃຊ້” ແຕ່ gpedit ສະແດງວ່າ “ບໍ່ໄດ້ກຳນົດຄ່າ”

ຄໍາຖາມທົ່ວໄປ: ທ່ານຍູ້ໂປຣໄຟລ໌ການຕັ້ງຄ່າຈາກ Intune, ມັນບອກທ່ານວ່າມັນຖືກນໍາໃຊ້ຢ່າງຖືກຕ້ອງ, ແລະເມື່ອທ່ານເປີດ gpedit, ທ່ານຈະເຫັນການຕັ້ງຄ່າເປັນ "ບໍ່ໄດ້ຕັ້ງຄ່າ." ນີ້ບໍ່ໄດ້ຫມາຍຄວາມວ່າມັນບໍ່ມີການເຄື່ອນໄຫວ.. Intune ນຳໃຊ້ການຕັ້ງຄ່າຜ່ານ CSP/Registry ທີ່ບໍ່ສະທ້ອນຢູ່ໃນຕົວແກ້ໄຂທ້ອງຖິ່ນສະເໝີເປັນ “Configured.”

ວິທີທີ່ຫນ້າເຊື່ອຖືໃນການກວດສອບນີ້ແມ່ນການປຶກສາຫາລືບັນທຶກນະໂຍບາຍ: ຖ້າມັນມີຢູ່ແລະເທົ່າກັບ 0, ຄ່າ ເປີດMulticast HKLM\Software\Policies\Microsoft\Windows NT\DNSClient, LLMNR ຖືກປິດໃຊ້ງານເຖິງແມ່ນວ່າ gpedit ສະແດງໃຫ້ເຫັນວ່າ "ບໍ່ໄດ້ຕັ້ງຄ່າ".

ຖ້າທ່ານຕ້ອງການຮັບປະກັນອັນນີ້ຜ່ານສະຄຣິບ (ທີ່ເປັນປະໂຫຍດເຊັ່ນການແກ້ໄຂໃນ Intune), ນີ້ແມ່ນສະຄິບ PowerShell ງ່າຍໆເພື່ອສ້າງມູນຄ່າແລະກວດສອບມັນ:

New-Item -Path "HKLM:\Software\Policies\Microsoft\Windows NT\DNSClient" -Force | Out-Null
New-ItemProperty -Path "HKLM:\Software\Policies\Microsoft\Windows NT\DNSClient" -Name "EnableMulticast" -PropertyType DWord -Value 0 -Force | Out-Null
(Get-ItemProperty -Path "HKLM:\Software\Policies\Microsoft\Windows NT\DNSClient").EnableMulticast

ນີ້ກວມເອົາກໍລະນີທີ່ Intune ບອກວ່າມັນຖືກນໍາໃຊ້, ແຕ່ທ່ານຕ້ອງການຄວາມແນ່ນອນສູງສຸດຫຼືເພື່ອແກ້ໄຂບັນຫາ "rogue" ອຸປະກອນ. ເພື່ອກວດສອບເປັນຈຳນວນຫຼາຍ, ສົມທົບສະຄຣິບເຂົ້າກັບເຄື່ອງມືສາງຂອງເຈົ້າ ຫຼືກັບ Intune/Defender ສໍາລັບລາຍງານ Endpoint.

ປິດໃຊ້ງານ LLMNR ໃນ Linux (ແກ້ໄຂດ້ວຍລະບົບ)

ກ່ຽວກັບການແຈກຢາຍເຊັ່ນ Ubuntu ຫຼື Debian ທີ່ໃຊ້ລະບົບການແກ້ໄຂ, ທ່ານສາມາດ "ຂ້າ" LLMNR ໂດຍກົງ. ແກ້ໄຂການຕັ້ງຄ່າຕົວແກ້ໄຂ ດັ່ງນັ້ນ:

sudo nano /etc/systemd/resolved.conf

ໃນໄຟລ໌, ກໍານົດພາລາມິເຕີທີ່ສອດຄ້ອງກັນເພື່ອໃຫ້ມັນບໍ່ມີຄວາມຊັດເຈນ. ຕົວຢ່າງ:

[Resolve]
LLMNR=no

ບັນທຶກ ແລະເປີດບໍລິການ ຫຼືຄອມພິວເຕີຄືນໃໝ່: ການເປີດບໍລິການຄືນໃໝ່ແມ່ນປົກກະຕິພຽງພໍ, ເຖິງແມ່ນວ່າການ reboot ແມ່ນຍັງຖືກຕ້ອງຖ້າຫາກວ່າມັນສະດວກກວ່າສໍາລັບທ່ານ.

sudo systemctl restart systemd-resolved

ດ້ວຍວ່າ, ການແກ້ໄຂດ້ວຍລະບົບຈະຢຸດການໃຊ້ LLMNR. ຖ້າທ່ານໃຊ້ການແກ້ໄຂການແກ້ໄຂອື່ນ (ຫຼື distros ອື່ນໆ), ກວດເບິ່ງເອກະສານຂອງເຂົາເຈົ້າ: ຮູບແບບບໍ່ແຕກຕ່າງກັນຫຼາຍແລະສະເຫມີມີ "ສະຫຼັບ" ທຽບເທົ່າ.

ກ່ຽວກັບ NBT‑NS ແລະ Windows Firewall

ການປິດການໃຊ້ງານ LLMNR ແມ່ນເຄິ່ງຫນຶ່ງຂອງການສູ້ຮົບ. ຕົວຕອບສະໜອງ ແລະເຄື່ອງມືທີ່ຄ້າຍຄືກັນຍັງນຳໃຊ້ບໍລິການຊື່ NetBIOS (NBT‑NS), ເຊິ່ງເຮັດວຽກຫຼາຍກວ່າພອດ NetBIOS ຄລາສສິກ (UDP 137/138 ແລະ TCP 139). ອັນນີ້ເຮັດໃຫ້ເກີດຄໍາຖາມທີ່ຫຼາຍຄົນຖາມວ່າ: ມັນພຽງພໍທີ່ຈະບລັອກພອດໃນໄຟວໍ, ຫຼືທ່ານຕ້ອງປິດ NBT‑NS ຢ່າງຈະແຈ້ງບໍ?

ຖ້າທ່ານໃຊ້ກົດລະບຽບທີ່ເຂັ້ມງວດໃນ Firewall ທ້ອງຖິ່ນຂອງທ່ານ - ທັງຂາເຂົ້າແລະຂາອອກ - ການຂັດຂວາງ 137 / UDP, 138 / UDP, ແລະ 139 / TCP, ທ່ານຫຼຸດລົງຢ່າງຫຼວງຫຼາຍ. ຢ່າງໃດກໍ່ຕາມ, ການປະຕິບັດທີ່ດີທີ່ສຸດໃນສະພາບແວດລ້ອມວິສາຫະກິດແມ່ນການປິດການໃຊ້ງານ NetBIOS ຜ່ານ TCP/IP. ໃນການໂຕ້ຕອບ, ເພື່ອປ້ອງກັນການຕອບສະຫນອງທີ່ບໍ່ຕ້ອງການຫຼືການໂຄສະນາຖ້ານະໂຍບາຍໄຟວໍມີການປ່ຽນແປງຫຼືຖືກແກ້ໄຂໂດຍແອັບພລິເຄຊັນ.

ໃນ Windows, ບໍ່ມີ "ໂຮງງານ" GPO ໂດຍກົງຄືກັບໃນ LLMNR, ແຕ່ທ່ານສາມາດເຮັດໄດ້ຜ່ານ WMI ຫຼື Registry. PowerShell ທີ່ອີງໃສ່ WMI ນີ້ປິດໃຊ້ງານມັນຢູ່ໃນອະແດັບເຕີທີ່ເປີດໃຊ້ IP ທັງໝົດ:

Get-WmiObject -Class Win32_NetworkAdapterConfiguration -Filter "IPEnabled=TRUE" | ForEach-Object { $_.SetTcpipNetbios(2) } 

ຖ້າທ່ານຕ້ອງການກົດລະບຽບຂອງ Firewall, ສືບຕໍ່ເດີນຫນ້າ, ແຕ່ໃຫ້ແນ່ໃຈວ່າພວກມັນເປັນສອງທິດທາງແລະຄົງຢູ່. ບລັອກ 137/UDP, 138/UDP ແລະ 139/TCP ແລະຕິດຕາມກວດກາວ່າບໍ່ມີກົດລະບຽບທີ່ຂັດແຍ້ງຢູ່ໃນ GPOs ຫຼື EDR/AV ວິທີແກ້ໄຂອື່ນໆທີ່ຈັດການໄຟວໍ.

ການກວດສອບ: ວິທີກວດສອບວ່າ LLMNR ແລະ NBT-NS ບໍ່ໄດ້ຫຼິ້ນ

ສໍາລັບ LLMNR ໃນ Windows, ເບິ່ງ Registry: HKLM\Software\Policies\Microsoft\Windows NT\DNSClient\EnableMulticast ຕ້ອງມີຢູ່ ແລະເທົ່າກັບ 0. ກວດສອບດ່ວນໃນ PowerShell ຈະ:

(Get-ItemProperty -Path "HKLM:\Software\Policies\Microsoft\Windows NT\DNSClient").EnableMulticast

ໃນລະດັບການຈະລາຈອນ, ເຕັກນິກງ່າຍໆແມ່ນດໍາເນີນການຄົ້ນຫາຊື່ທີ່ບໍ່ມີຢູ່ແລະໃຊ້ Wireshark ເພື່ອສັງເກດເຫັນວ່າບໍ່ມີແພັກເກັດ UDP 5355 ແມ່ນຜົນຜະລິດ. ຖ້າທ່ານບໍ່ເຫັນ multicast ໄປຫາພາກສ່ວນທ້ອງຖິ່ນ, ທ່ານຢູ່ໃນເສັ້ນທາງທີ່ຖືກຕ້ອງ.

ໃນ Linux ທີ່ມີການແກ້ໄຂດ້ວຍລະບົບ, ໃຫ້ກວດເບິ່ງສະຖານະດ້ວຍການແກ້ໄຂctl ຫຼື systemctl: ໃຫ້ແນ່ໃຈວ່າ LLMNR ຖືກຕັ້ງເປັນ "ບໍ່" ໃນ​ການ​ຕັ້ງ​ຄ່າ​ທີ່​ມີ​ປະ​ສິດ​ທິ​ພາບ​ແລະ​ການ​ບໍ​ລິ​ການ​ໄດ້​ເລີ່ມ​ຕົ້ນ​ໃຫມ່​ໂດຍ​ບໍ່​ມີ​ຄວາມ​ຜິດ​ພາດ​.

ສໍາລັບ NBT‑NS, ຢືນຢັນວ່າກົດລະບຽບໄຟວໍຂອງທ່ານປິດກັ້ນ 137/UDP, 138/UDP, ແລະ 139/TCP ຫຼືວ່າ NetBIOS ຖືກປິດໃຊ້ງານຢູ່ໃນອະແດັບເຕີ. ທ່ານຍັງສາມາດ sniff ສຸດທິສໍາລັບການໃນຂະນະທີ່ ເພື່ອກວດເບິ່ງວ່າບໍ່ມີການຮ້ອງຂໍ NetBIOS ຫຼືການໂຄສະນາຢູ່ໃນອາກາດ.

ຄໍາຖາມທີ່ຖາມເລື້ອຍໆແລະ nuances ທີ່ເປັນປະໂຫຍດ

• ຂ້ອຍຈະທໍາລາຍສິ່ງໃດໂດຍການປິດການໃຊ້ງານ LLMNR? ໃນເຄືອຂ່າຍທີ່ມີ DNS ທີ່ຖືກຮັກສາໄວ້ດີ, ນີ້ບໍ່ແມ່ນກໍລະນີ. ໃນສະພາບແວດລ້ອມພິເສດ ຫຼືແບບເກົ່າ, ໃຫ້ກວດສອບກ່ອນໃນກຸ່ມທົດລອງ ແລະສື່ສານການປ່ຽນແປງເພື່ອສະໜັບສະໜູນ.
• ເປັນຫຍັງ gpedit ສະແດງໃຫ້ເຫັນ "ບໍ່ໄດ້ຕັ້ງຄ່າ" ເຖິງແມ່ນວ່າ Intune ເວົ້າວ່າ "ບັງຄັບໃຊ້"? ເນື່ອງຈາກວ່າບັນນາທິການທ້ອງຖິ່ນບໍ່ໄດ້ສະທ້ອນເຖິງລັດທີ່ຖືກບັງຄັບໂດຍ MDM ຫຼື CSP. ຄວາມຈິງແມ່ນຢູ່ໃນ Registry ແລະຜົນໄດ້ຮັບຕົວຈິງ, ບໍ່ແມ່ນຢູ່ໃນຂໍ້ຄວາມ gpedit.
• ມັນເປັນການບັງຄັບທີ່ຈະປິດການທໍາງານ NBT‑NS ຖ້າຂ້ອຍບລັອກ NetBIOS ໃນໄຟວໍ? ຖ້າການຂັດຂວາງແມ່ນສົມບູນແລະແຂງແຮງ, ທ່ານຫຼຸດຜ່ອນຄວາມສ່ຽງຢ່າງຫຼວງຫຼາຍ. ຢ່າງໃດກໍຕາມ, ການປິດ NetBIOS ຜ່ານ TCP/IP ກໍາຈັດການຕອບໂຕ້ລະດັບ stack ແລະຫຼີກເວັ້ນຄວາມແປກໃຈຖ້າກົດລະບຽບມີການປ່ຽນແປງ, ດັ່ງນັ້ນມັນເປັນທາງເລືອກທີ່ເຫມາະສົມ.
• ມີສະຄຣິບທີ່ກຽມພ້ອມທີ່ຈະປິດການໃຊ້ງານ LLMNR ບໍ? ແມ່ນແລ້ວ, ຜ່ານ Registry ຫຼື PowerShell, ດັ່ງທີ່ເຈົ້າໄດ້ເຫັນ. ສໍາລັບ Intune, ຫຸ້ມຫໍ່ສະຄິບເປັນການແກ້ໄຂແລະເພີ່ມການກວດສອບການປະຕິບັດຕາມ.

ການປິດ LLMNR ຈະຊ່ວຍຫຼຸດຜ່ອນການຫຼອກລວງໃນເຄືອຂ່າຍທ້ອງຖິ່ນ ແລະ ສະກັດການໂຈມຕີທີ່ມີຮອຍແປ້ວດ້ວຍເຄື່ອງມືເຊັ່ນ: Responder in the bud. ຖ້າທ່ານປິດກັ້ນ ຫຼືປິດການນຳໃຊ້ NBT‑NS ແລະເບິ່ງແຍງ DNS ຂອງທ່ານທ່ານຈະມີຄັອກເທນຄວາມປອດໄພທີ່ງ່າຍດາຍ ແລະມີປະສິດທິພາບ: ສຽງຫນ້ອຍ, ຄວາມສ່ຽງຫນ້ອຍ, ແລະເຄືອຂ່າຍທີ່ກະກຽມທີ່ດີກວ່າສໍາລັບການນໍາໃຊ້ປະຈໍາວັນ.