जर तुम्ही सार्वजनिक वाय-फाय वापरत असाल तर LLMNR का बंद करायचे?

मायक्रोसॉफ्ट वातावरणात LLMNR प्रोटोकॉल हा एक परिचित चेहरा आहे. ज्या नेटवर्क्समध्ये विंडोज हा मुख्य आधार आहे, तिथे ते डीफॉल्टनुसार सक्षम केलेले असते आणि जरी ते एकेकाळी अर्थपूर्ण होते, परंतु आज ते मदतीपेक्षा डोकेदुखीचे कारण बनते. म्हणूनच ते कसे वापरायचे हे जाणून घेणे ही एक चांगली कल्पना आहे. LLMNR कसे अक्षम करायचे विशेषतः जर आपण सार्वजनिक वायफाय नेटवर्क वापरत असाल तर.

कोणताही निर्णय घेण्यापूर्वी, ते काय करते आणि ते अक्षम करण्याची शिफारस का केली जाते हे समजून घेणे चांगले. चांगली बातमी अशी आहे की ते अक्षम करणे सोपे आहे. विंडोज (विंडोज सर्व्हरसह) आणि लिनक्स दोन्हीवर, पॉलिसीज, रजिस्ट्री, इंट्यून किंवा सिस्टमडी-रेझोल्ड ट्यूनिंगद्वारे.

एलएलएमएनआर म्हणजे काय आणि ते कसे काम करते?

एलएलएमएनआर चे परिवर्णी शब्द आहे लिंक-लोकल मल्टीकास्ट नाव रिझोल्यूशनत्याचा उद्देश आहे DNS सर्व्हरवर अवलंबून न राहता स्थानिक विभागातील होस्टनावे सोडवणेदुसऱ्या शब्दांत, जर एखादे मशीन DNS द्वारे नाव सोडवू शकत नसेल, तर ते मल्टीकास्ट वापरून परिसराची चौकशी करण्याचा प्रयत्न करू शकते की कोणी "इशारा घेतो" का.

ही यंत्रणा पोर्ट वापरते UDP 5355 आणि स्थानिक नेटवर्कमध्ये काम करण्यासाठी डिझाइन केलेले आहे. क्वेरी मल्टीकास्ट द्वारे पाठवली जाते. तात्काळ नेटवर्कवर, आणि कोणताही संगणक जो नाव "ओळखतो" तो "तो मी आहे" असे म्हणून प्रतिसाद देऊ शकतो. लहान किंवा सुधारित वातावरणासाठी हा एक जलद आणि सोपा मार्ग आहे जिथे DNS उपलब्ध नव्हते किंवा कॉन्फिगर करणे अर्थपूर्ण नव्हते.

प्रत्यक्षात, LLMNR क्वेरी स्थानिक विभागात जाते आणि त्या ट्रॅफिक ऐकणारी उपकरणे जर त्यांना वाटत असतील की ते योग्य गंतव्यस्थान आहेत तर ते प्रतिसाद देऊ शकतात. त्याची व्याप्ती स्थानिक दुव्यापुरती मर्यादित आहे, आणि म्हणूनच त्याचे नाव आणि नेटवर्कवर कोणतीही औपचारिक नाव सेवा नसताना "पॅच" म्हणून त्याचा व्यवसाय.

वर्षानुवर्षे, विशेषतः लहान नेटवर्क्स किंवा अॅड-हॉक डिप्लॉयमेंट्समध्ये, ते उपयुक्त ठरले. आजकाल, व्यापक आणि स्वस्त DNS सह, वापराचे प्रमाण इतके कमी झाले आहे की LLMNR बंद करणे आणि अधिक शांततेने जगणे जवळजवळ नेहमीच अर्थपूर्ण ठरते.

LLMNR खरोखर आवश्यक आहे का? जोखीम आणि संदर्भ

लाखो डॉलर्सचा प्रश्न: मी ते काढून टाकावे की सोडून द्यावे? घरगुती वातावरणात, सर्वात सामान्य उत्तर म्हणजे "हो, ते काढून टाकण्यास मोकळ्या मनाने." कंपनीमध्ये परिणाम प्रमाणित करणे सोयीचे असते: जर वातावरणाचा DNS योग्यरित्या सेट केला असेल आणि शोध कार्य करत असेल, तर LLMNR काहीही देत ​​नाही आणि अनावश्यक धोके उघड करतो.

सर्वात मोठी समस्या ही आहे LLMNR मध्ये तोतयागिरी विरुद्ध संरक्षण समाविष्ट नाही.तुमच्या स्वतःच्या सबनेटवरील आक्रमणकर्ता लक्ष्य डिव्हाइसचे "नक्कल" करू शकतो आणि लवकर किंवा प्राधान्याने प्रतिसाद देऊ शकतो, कनेक्शन पुनर्निर्देशित करू शकतो आणि गोंधळ निर्माण करू शकतो. हा एक क्लासिक जुन्या काळातील "मॅन-इन-द-मिडल" (MitM) हल्ला परिस्थिती आहे.

एक साधर्म्य म्हणून, ते वाय-फाय WEP मानकाची आठवण करून देते, जे आधुनिक हल्ल्यांचा विचार न करता जन्माला आले होते आणि ते कालबाह्य झाले आहे. LLMNR सोबतही असेच काहीसे घडते.: पूर्वी ते उपयुक्त होते, पण आज जर तुम्ही ते कॉर्पोरेट नेटवर्क्सवर जिवंत ठेवले तर ते फसवणुकीचे एक उघडे दार आहे.

याव्यतिरिक्त, योग्य साधने असलेल्या शत्रूच्या हातात, ते तुमच्या संगणकांना जेव्हा ते कायदेशीर सर्व्हरशी बोलत आहेत असे वाटतात तेव्हा त्यांना NTLMv2 हॅश सारखी संवेदनशील माहिती "गाणे" करण्यास भाग पाडू शकतात. एकदा हल्लेखोराला त्या हॅश मिळाल्या की, त्यांना क्रॅक करण्याचा प्रयत्न करू शकतात—पॉलिसीज आणि पासवर्डच्या जटिलतेनुसार वेगवेगळ्या यशासह—खऱ्या घुसखोरीचा धोका वाढवतात.

LLMNR कधी बंद करायचे?

बहुतेक आधुनिक उपयोजनांमध्ये, तुम्ही काहीही न खंडित करता ते अक्षम करू शकता. जर तुमचे क्लायंट नेहमी DNS द्वारे निराकरण करत असतील तर आणि जर तुम्ही स्थानिक नेटवर्कवर "जादू" वर अवलंबून नसाल, तर LLMNR अनावश्यक आहे. तरीही, संपूर्ण संस्थेला धोरण पाठवण्यापूर्वी गंभीर वातावरणात पडताळणी करा.

लक्षात ठेवा की हा निर्णय केवळ तांत्रिक नाही: तो तुमचा ऑपरेशनल आणि अनुपालन धोका देखील कमी करतो. LLMNR अक्षम करणे हे एक सोपे, मोजता येण्याजोगे आणि प्रभावी कडकपणा नियंत्रण आहे., कोणत्याही सुज्ञ सुरक्षा चौकटीसाठी जे आवश्यक आहे तेच.

विंडोजमध्ये LLMNR अक्षम करा

विंडोजमध्ये LLMNR अक्षम करण्यासाठी येथे मुख्य पर्याय उपलब्ध आहेत:

पर्याय १: स्थानिक गट धोरण संपादक (gpedit.msc)

स्वतंत्र संगणकांवर किंवा जलद चाचणीसाठी, तुम्ही स्थानिक गट धोरण संपादक वापरू शकता. WIN + R दाबा, टाइप करा gpedit.msc आणि ते उघडण्यास स्वीकारा.

नंतर, याद्वारे नेव्हिगेट करा: संगणक कॉन्फिगरेशन > प्रशासकीय टेम्पलेट > नेटवर्क. काही आवृत्त्यांमध्ये, सेटिंग खाली दिसते Cliente DNS. "मल्टीकास्ट नेम रिझोल्यूशन अक्षम करा" ही नोंद शोधा. (नाव थोडे बदलू शकते) आणि धोरण "सक्षम" वर सेट करा.

विंडोज १० मध्ये मजकूर सहसा "मल्टीकास्ट नेम रिझोल्यूशन अक्षम करा" असा वाचला जातो. बदल लागू करा किंवा स्वीकारा आणि तुमचा संगणक रीस्टार्ट करा. टीम-साइड सेटिंग्ज योग्यरित्या लागू केल्या आहेत याची खात्री करण्यासाठी.

पर्याय २: विंडोज रजिस्ट्री

जर तुम्हाला थेट मुद्द्यावर जायचे असेल किंवा स्क्रिप्टेबल पद्धत हवी असेल, तर तुम्ही रजिस्ट्रीमध्ये पॉलिसी व्हॅल्यू तयार करू शकता. सीएमडी उघडा किंवा पॉवरशेल प्रशासक परवानग्या सह आणि कार्यान्वित करा:

REG ADD "HKLM\Software\Policies\Microsoft\Windows NT\DNSClient" /f
REG ADD "HKLM\Software\Policies\Microsoft\Windows NT\DNSClient" /v "EnableMulticast" /t REG_DWORD /d 0 /f

यामुळे, पॉलिसी पातळीवर LLMNR अक्षम होईल. सायकल बंद करण्यासाठी संगणक रीस्टार्ट करा. आणि मागील स्थिती असलेल्या प्रक्रिया मेमरीमध्ये राहण्यापासून रोखतात.

डोमेनमध्ये GPO सह LLMNR अक्षम करा.

LLMNR अक्षम करण्याचा दुसरा मार्ग म्हणजे ग्रुप पॉलिसी मॅनेजमेंट कन्सोल उघडून डोमेन कंट्रोलरमधून मध्यवर्ती बदल लागू करणे. एक नवीन GPO तयार करा (उदाहरणार्थ, “MY-GPO”) आणि ते संपादित करा.

एडिटरमध्ये, खालील मार्गाचे अनुसरण करा: संगणक कॉन्फिगरेशन > प्रशासकीय टेम्पलेट्स > नेटवर्क > DNS क्लायंट. "मल्टीकास्ट नेम रिझोल्यूशन अक्षम करा" धोरण सक्षम करा. आणि सेव्ह करण्यासाठी एडिटर बंद करा. नंतर, GPO ला योग्य OU शी लिंक करा आणि पॉलिसी सक्तीने रिफ्रेश करा किंवा सामान्य प्रतिकृतीची वाट पहा.

झाले. आता तुमच्याकडे एक डोमेन पॉलिसी आहे जी सतत LLMNR कमी करते. लक्षात ठेवा की समायोजनाचे नेमके नाव बदलू शकते. विंडोज सर्व्हरच्या आवृत्त्यांमध्ये थोडेसे अंतर आहे, परंतु स्थान दर्शविल्याप्रमाणे आहे.

इंट्यून: “लागू” पण gpedit “कॉन्फिगर केलेले नाही” दाखवते.

एक सामान्य प्रश्न: तुम्ही इंट्यून वरून कॉन्फिगरेशन प्रोफाइल पुश करता, ते तुम्हाला सांगते की ते योग्यरित्या लागू केले गेले आहे आणि जेव्हा तुम्ही gpedit उघडता तेव्हा तुम्हाला "कॉन्फिगर केलेले नाही" असे सेटिंग दिसते. याचा अर्थ असा नाही की ते सक्रिय नाही.. इंट्यून सीएसपी/रजिस्ट्री द्वारे सेटिंग्ज लागू करते ज्या नेहमीच स्थानिक संपादकात "कॉन्फिगर केलेले" म्हणून प्रतिबिंबित होत नाहीत.

हे तपासण्याचा विश्वसनीय मार्ग म्हणजे पॉलिसी लॉगचा सल्ला घेणे: जर ते अस्तित्वात असेल आणि 0 च्या बरोबरीचे असेल, तर मूल्य मल्टीकास्ट चालू करा HKLM\सॉफ्टवेअर\पॉलिसीज\मायक्रोसॉफ्ट\विंडोज NT\DNSक्लायंट, gpedit "कॉन्फिगर केलेले नाही" दाखवत असले तरीही LLMNR अक्षम आहे.

जर तुम्हाला हे स्क्रिप्टद्वारे (इंट्यूनमधील रेमेडिएशन सारखे उपयुक्त) खात्री करायचे असेल, तर मूल्य तयार करण्यासाठी आणि ते सत्यापित करण्यासाठी येथे एक सोपी पॉवरशेल स्क्रिप्ट आहे:

New-Item -Path "HKLM:\Software\Policies\Microsoft\Windows NT\DNSClient" -Force | Out-Null
New-ItemProperty -Path "HKLM:\Software\Policies\Microsoft\Windows NT\DNSClient" -Name "EnableMulticast" -PropertyType DWord -Value 0 -Force | Out-Null
(Get-ItemProperty -Path "HKLM:\Software\Policies\Microsoft\Windows NT\DNSClient").EnableMulticast

हे अशा केसचा समावेश करते जिथे इंट्यून म्हणतो की ते लागू केले गेले आहे, परंतु तुम्हाला जास्तीत जास्त निश्चितता हवी आहे किंवा "दुष्ट" डिव्हाइसेसचे ट्रबलशूट करायचे आहे. मोठ्या प्रमाणात ऑडिट करण्यासाठी, स्क्रिप्ट तुमच्या इन्व्हेंटरी टूलसह एकत्र करा. किंवा एंडपॉइंट रिपोर्टसाठी इंट्यून/डिफेंडरसह.

Linux वर LLMNR अक्षम करा (systemd-resolved)

उबंटू किंवा डेबियन सारख्या डिस्ट्रिब्यूशनवर जे systemd-resolved वापरतात, तुम्ही LLMNR थेट "मार" करू शकता. रिझोल्व्हर सेटिंग्ज संपादित करा así:

sudo nano /etc/systemd/resolved.conf

फाइलमध्ये, संबंधित पॅरामीटर सेट करा जेणेकरून ते अस्पष्ट असेल. उदाहरणार्थ:

[Resolve]
LLMNR=no

सेवा किंवा संगणक जतन करा आणि रीस्टार्ट करा: सेवा पुन्हा सुरू करणे सहसा पुरेसे असते., जरी तुमच्यासाठी अधिक सोयीस्कर असल्यास रीबूट देखील वैध आहे.

sudo systemctl restart systemd-resolved

त्यासह, systemd-resolved LLMNR वापरणे थांबवेल. जर तुम्ही दुसरे रिझोल्यूशन सोल्यूशन वापरत असाल तर (किंवा इतर डिस्ट्रो), त्यांचे दस्तऐवजीकरण तपासा: पॅटर्नमध्ये जास्त फरक नाही आणि नेहमीच एक समतुल्य "स्विच" असतो.

NBT-NS आणि विंडोज फायरवॉल बद्दल

LLMNR अक्षम करणे ही अर्धी लढाई आहे. प्रतिसादकर्ता आणि तत्सम साधने नेटबीआयओएस नेम सर्व्हिस (एनबीटी-एनएस) चा देखील गैरफायदा घेतात., जे क्लासिक NetBIOS पोर्टवर काम करते (UDP 137/138 आणि TCP 139). यामुळे अनेक लोक विचारतात की: फायरवॉलमध्ये पोर्ट ब्लॉक करणे पुरेसे आहे का, की तुम्हाला स्पष्टपणे NBT‑NS अक्षम करावे लागेल?

जर तुम्ही तुमच्या स्थानिक फायरवॉलवर कठोर नियम लागू केले - इनबाउंड आणि आउटबाउंड दोन्ही - १३७/UDP, १३८/UDP आणि १३९/TCP ब्लॉक केले तर तुम्ही तुमचे एक्सपोजर मोठ्या प्रमाणात कमी करता. तथापि, एंटरप्राइझ वातावरणात सर्वोत्तम पद्धत म्हणजे TCP/IP वर NetBIOS अक्षम करणे. जर फायरवॉल धोरण बदलले किंवा एखाद्या अनुप्रयोगाद्वारे सुधारित केले तर अवांछित प्रतिसाद किंवा जाहिराती टाळण्यासाठी इंटरफेसमध्ये.

विंडोजमध्ये, LLMNR प्रमाणे थेट "फॅक्टरी" GPO नाही, परंतु तुम्ही ते WMI किंवा रजिस्ट्री द्वारे करू शकता. हे WMI-आधारित PowerShell सर्व IP-सक्षम अ‍ॅडॉप्टर्सवर ते अक्षम करते.:

Get-WmiObject -Class Win32_NetworkAdapterConfiguration -Filter "IPEnabled=TRUE" | ForEach-Object { $_.SetTcpipNetbios(2) } 

जर तुम्हाला फायरवॉल नियम आवडत असतील तर पुढे जा, परंतु ते द्विदिशात्मक आणि सतत चालणारे आहेत याची खात्री करा. ब्लॉक १३७/यूडीपी, १३८/यूडीपी आणि १३९/टीसीपी आणि फायरवॉल व्यवस्थापित करणाऱ्या इतर GPOs किंवा EDR/AV सोल्यूशन्समध्ये कोणतेही परस्परविरोधी नियम नाहीत याची देखरेख करते.

पडताळणी: LLMNR आणि NBT-NS काम करत नाहीत हे कसे तपासायचे

विंडोजवरील LLMNR साठी, रजिस्ट्री पहा: HKLM\सॉफ्टवेअर\पॉलिसीज\मायक्रोसॉफ्ट\विंडोज NT\DNSClient\सक्षममल्टीकास्ट अस्तित्वात असणे आवश्यक आहे आणि ० च्या बरोबरीचे असणे आवश्यक आहे. पॉवरशेलमध्ये जलद तपासणी होईल:

(Get-ItemProperty -Path "HKLM:\Software\Policies\Microsoft\Windows NT\DNSClient").EnableMulticast

ट्रॅफिक पातळीवर, एक सोपी पद्धत म्हणजे अस्तित्वात नसलेल्या नावाचा शोध घेणे आणि वायरशार्क वापरून कोणतेही UDP 5355 पॅकेट आउटपुट होत नाहीत हे पाहणे. जर तुम्हाला स्थानिक विभागात मल्टीकास्ट दिसत नसेल तर, तुम्ही योग्य मार्गावर आहात.

systemd-resolved असलेल्या Linux वर, resolvectl किंवा systemctl वापरून स्थिती तपासा: LLMNR "नाही" वर सेट केले आहे याची खात्री करा. प्रभावी कॉन्फिगरेशनमध्ये आणि सेवा त्रुटींशिवाय पुन्हा सुरू झाली.

NBT-NS साठी, तुमचे फायरवॉल नियम १३७/UDP, १३८/UDP, आणि १३९/TCP ब्लॉक करतात किंवा अ‍ॅडॉप्टर्सवर NetBIOS अक्षम केले आहे याची पुष्टी करा. तुम्ही थोडा वेळ जाळे देखील वास घेऊ शकता. नेटबीआयओएस विनंत्या किंवा जाहिराती प्रसारित होत नाहीत याची खात्री करण्यासाठी.

वारंवार विचारले जाणारे प्रश्न आणि उपयुक्त बारकावे

• LLMNR बंद करून मी काही बिघाड करू का? चांगल्या प्रकारे देखभाल केलेल्या DNS असलेल्या नेटवर्कमध्ये, हे सहसा होत नाही. विशेष किंवा जुन्या वातावरणात, प्रथम पायलट ग्रुपमध्ये सत्यापित करा आणि बदल समर्थनाला कळवा.
• इंट्यून "Enforced" म्हणत असले तरी gpedit "Not Configured" का दाखवते? कारण स्थानिक संपादक नेहमीच MDM किंवा CSP द्वारे लादलेल्या स्थिती प्रतिबिंबित करत नाही. सत्य रजिस्ट्री आणि प्रत्यक्ष निकालांमध्ये आहे, gpedit मजकुरात नाही.
• जर मी फायरवॉलवर NetBIOS ब्लॉक केले तर NBT-NS अक्षम करणे अनिवार्य आहे का? जर ब्लॉकिंग पूर्ण आणि मजबूत असेल, तर तुम्ही धोका मोठ्या प्रमाणात कमी करता. तरीही, TCP/IP वर NetBIOS अक्षम केल्याने स्टॅक-स्तरीय प्रतिसाद दूर होतात आणि नियम बदलल्यास आश्चर्य टाळता येते, म्हणून हा पर्याय अधिक श्रेयस्कर आहे.
• LLMNR अक्षम करण्यासाठी काही स्क्रिप्ट तयार आहेत का? हो, रजिस्ट्री किंवा पॉवरशेल द्वारे, जसे तुम्ही पाहिले आहे. इंट्यूनसाठी, स्क्रिप्टला रेमेडिएशन म्हणून पॅकेज करा आणि अनुपालन तपासणी जोडा.

LLMNR बंद केल्याने स्थानिक नेटवर्कवरील स्पूफिंग पृष्ठभाग कमी होतो आणि रिस्पॉन्डर सारख्या साधनांसह हॅश-ग्रॅबिंग हल्ल्यांना आळा बसतो. जर तुम्ही NBT‑NS ब्लॉक किंवा अक्षम केले आणि तुमच्या DNS ची काळजी घेतली तरतुमच्याकडे एक साधे आणि प्रभावी सुरक्षा कॉकटेल असेल: कमी आवाज, कमी धोका आणि दैनंदिन वापरासाठी चांगले तयार असलेले नेटवर्क.