Por que desabilitar o LLMNR se você usa Wi-Fi público?

O protocolo LLMNR é um recurso familiar em ambientes Microsoft. Em redes onde o Windows é o principal, ele é habilitado por padrão e, embora já tenha feito sentido, hoje em dia costuma ser mais uma dor de cabeça do que uma ajuda. Por isso, é uma boa ideia saber como usá-lo. como desabilitar LLMNR especialmente se estivermos usando uma rede WiFi pública.

Antes de tomar qualquer decisão, é uma boa ideia entender o que ele faz e por que é recomendado desativá-lo. A boa notícia é que desativá-lo é fácil. tanto no Windows (incluindo o Windows Server) quanto no Linux, por meio de políticas, Registro, Intune ou ajustando o systemd-resolved.

O que é LLMNR e como funciona?

LLMNR é a sigla para Resolução de nomes multicast Link-LocalSua finalidade é resolver nomes de host dentro do segmento local sem depender de um servidor DNSEm outras palavras, se uma máquina não consegue resolver um nome via DNS, ela pode tentar consultar a vizinhança usando multicast para ver se alguém "entendeu a dica".

Este mecanismo utiliza a porta UDP 5355 e foi projetado para operar dentro da rede local. A consulta é enviada por multicast para a rede imediata, e qualquer computador que “reconheça” o nome pode responder dizendo “sou eu”. Esta é uma abordagem rápida e simples para ambientes pequenos ou improvisados ​​onde o DNS não estava disponível ou não fazia sentido configurar.

Na prática, a consulta LLMNR viaja para o segmento local, e os dispositivos que escutam esse tráfego podem responder se acreditarem que são o destino correto. Seu escopo é limitado ao link local, e daí seu nome e sua vocação como um “patch” quando não há um serviço de nomes formal na rede.

Durante anos, especialmente em redes menores ou implantações ad hoc, ele se mostrou útil. Hoje em dia, com DNS generalizado e barato, o caso de uso ficou tão restrito que quase sempre faz sentido desativar o LLMNR e viver com mais tranquilidade.

O LLMNR é realmente necessário? Riscos e contexto

A pergunta de um milhão de dólares: devo desmontar ou deixar? Em um ambiente doméstico, a resposta mais comum é "sim, sinta-se à vontade para desmontar". Numa empresa é conveniente validar o impacto:Se o DNS do ambiente estiver configurado corretamente e as pesquisas funcionarem, o LLMNR não fornecerá nada e expõe riscos desnecessários.

O maior problema é que O LLMNR não incorpora proteção contra a personificaçãoUm invasor na sua própria sub-rede pode "se passar" pelo dispositivo alvo e responder antecipadamente ou preferencialmente, redirecionando a conexão e causando o caos. É um cenário clássico de ataque "man-in-the-middle" (MitM) à moda antiga.

Como analogia, ele lembra o padrão WEP do Wi-Fi, que nasceu sem considerar os ataques modernos e se tornou obsoleto. Algo semelhante acontece com o LLMNR:Era útil no passado, mas hoje é uma porta aberta para enganos se você o deixar ativo em redes corporativas.

Além disso, nas mãos de um adversário com as ferramentas certas, eles podem forçar seus computadores a "cantar" informações confidenciais, como hashes NTLMv2, quando eles acham que estão se comunicando com um servidor legítimo. Uma vez que o invasor obtém esses hashes, pode tentar quebrá-los — com sucesso variável dependendo das políticas e da complexidade da senha — aumentando o risco de uma intrusão real.

Quando desabilitar o LLMNR?

Na grande maioria das implantações modernas, você pode desativá-lo sem quebrar nada. Se seus clientes sempre resolvem por DNS E se você não depender de "mágica" na rede local, o LLMNR é supérfluo. Ainda assim, valide em ambientes críticos antes de aplicar a política a toda a organização.

Tenha em mente que a decisão não é apenas técnica: ela também reduz seus riscos operacionais e de conformidade. Desabilitar o LLMNR é um controle de proteção simples, mensurável e impactante., exatamente o que qualquer estrutura de segurança sensata exige.

Desativar LLMNR no Windows

Aqui estão as principais opções disponíveis para desabilitar o LLMNR no Windows:

Opção 1: Editor de Política de Grupo Local (gpedit.msc)

Em computadores autônomos ou para testes rápidos, você pode usar o Editor de Política de Grupo Local. Pressione WIN + R, digite gpedit.msc e aceite abri-lo.

Em seguida, navegue por: Configuração do Computador > Modelos Administrativos > Rede. Em algumas edições, a configuração aparece em Cliente DNS. Encontre a entrada “Desativar resolução de nomes multicast” (o nome pode variar ligeiramente) e defina a política como “Ativado”.

No Windows 10, o texto geralmente é lido como “Desativar resolução de nomes multicast”. Aplique ou aceite a alteração e reinicie o computador. para garantir que as configurações do lado da equipe sejam aplicadas corretamente.

Opção 2: Registro do Windows

Se preferir ir direto ao ponto ou precisar de um método programável, você pode criar o valor da política no Registro. Abra o CMD ou PowerShell com permissões de administrador e executar:

REG ADD "HKLM\Software\Policies\Microsoft\Windows NT\DNSClient" /f
REG ADD "HKLM\Software\Policies\Microsoft\Windows NT\DNSClient" /v "EnableMulticast" /t REG_DWORD /d 0 /f

Com isso, o LLMNR será desabilitado no nível da política. Reinicie o computador para fechar o ciclo e evitar que processos com um estado anterior permaneçam na memória.

Desabilitar LLMNR com GPO em um domínio

Outra maneira de desabilitar o LLMNR é aplicar a alteração centralmente a partir de um controlador de domínio abrindo o Console de Gerenciamento de Política de Grupo. Crie um novo GPO (por exemplo, “MEU-GPO”) e editá-lo.

No editor, siga o caminho: Configuração do computador > Modelos administrativos > Rede > Cliente DNS. Habilitar a política “Desabilitar resolução de nomes multicast” e feche o editor para salvar. Em seguida, vincule o GPO à UO apropriada e force a atualização da política ou aguarde a replicação normal.

Pronto. Agora você tem uma política de domínio que reduz consistentemente o LLMNR. Lembre-se de que a nomenclatura exata do ajuste pode variar. ligeiramente entre as versões do Windows Server, mas o local é como indicado.

Intune: “Aplicado”, mas o gpedit mostra “Não configurado”

Uma pergunta comum: você envia um perfil de configuração do Intune, ele informa que ele foi aplicado corretamente e, quando você abre o gpedit, vê a configuração como "Não configurado". Isso não significa necessariamente que ele não esteja ativo.. O Intune aplica configurações via CSP/Registro que nem sempre são refletidas no editor local como “Configuradas”.

A maneira confiável de verificar isso é consultar o Registro de Políticas: Se existir e for igual a 0, o valor Habilitar Multicast em HKLM\Software\Políticas\Microsoft\Windows NT\DNSClient, LLMNR está desabilitado mesmo que o gpedit mostre “Não configurado”.

Se você preferir garantir isso por meio de script (útil como Remediação no Intune), aqui está um script simples do PowerShell para criar o valor e verificá-lo:

New-Item -Path "HKLM:\Software\Policies\Microsoft\Windows NT\DNSClient" -Force | Out-Null
New-ItemProperty -Path "HKLM:\Software\Policies\Microsoft\Windows NT\DNSClient" -Name "EnableMulticast" -PropertyType DWord -Value 0 -Force | Out-Null
(Get-ItemProperty -Path "HKLM:\Software\Policies\Microsoft\Windows NT\DNSClient").EnableMulticast

Isso abrange o caso em que o Intune diz que foi aplicado, mas você quer certeza máxima ou solucionar problemas em dispositivos "desonestos". Para auditar em massa, combine o script com sua ferramenta de inventário ou com Intune/Defender para relatórios de endpoint.

Desabilitar LLMNR no Linux (systemd-resolved)

Em distribuições como Ubuntu ou Debian que usam systemd-resolved, você pode “matar” o LLMNR diretamente. Editar as configurações do resolvedor Então:

sudo nano /etc/systemd/resolved.conf

No arquivo, defina o parâmetro correspondente para que ele não seja ambíguo. Por exemplo:

[Resolve]
LLMNR=no

Salve e reinicie o serviço ou computador: Reiniciar o serviço geralmente é suficiente, embora uma reinicialização também seja válida se for mais conveniente para você.

sudo systemctl restart systemd-resolved

Com isso, o systemd-resolved deixará de usar o LLMNR. Se você usar outra solução de resolução (ou outras distros), verifique a documentação: o padrão não difere muito e sempre há uma “troca” equivalente.

Sobre o NBT‑NS e o Firewall do Windows

Desabilitar o LLMNR é metade da batalha. O Responder e ferramentas semelhantes também exploram o NetBIOS Name Service (NBT‑NS), que funciona em portas NetBIOS clássicas (UDP 137/138 e TCP 139). Isso levanta a questão que muitas pessoas se fazem: basta bloquear portas no firewall ou é preciso desabilitar explicitamente o NBT-NS?

Se você aplicar regras rígidas no seu firewall local, tanto de entrada quanto de saída, bloqueando 137/UDP, 138/UDP e 139/TCP, você reduzirá bastante sua exposição. Entretanto, a melhor prática em ambientes corporativos é desabilitar o NetBIOS sobre TCP/IP. em interfaces, para evitar respostas ou anúncios indesejados se a política de firewall mudar ou for modificada por um aplicativo.

No Windows, não há um GPO de “fábrica” tão direto quanto no LLMNR, mas você pode fazer isso via WMI ou Registro. Este PowerShell baseado em WMI desabilita-o em todos os adaptadores habilitados para IP:

Get-WmiObject -Class Win32_NetworkAdapterConfiguration -Filter "IPEnabled=TRUE" | ForEach-Object { $_.SetTcpipNetbios(2) } 

Se você preferir regras de firewall, vá em frente, mas certifique-se de que elas sejam bidirecionais e persistentes. Blocos 137/UDP, 138/UDP e 139/TCP e monitora se não há regras conflitantes em outros GPOs ou soluções EDR/AV que gerenciam o firewall.

Verificação: Como verificar se LLMNR e NBT-NS estão fora de jogo

Para LLMNR no Windows, consulte o Registro: HKLM\Software\Políticas\Microsoft\Windows NT\DNSClient\EnableMulticast deve existir e ser igual a 0. Verificação rápida no PowerShell seria:

(Get-ItemProperty -Path "HKLM:\Software\Policies\Microsoft\Windows NT\DNSClient").EnableMulticast

No nível de tráfego, uma técnica simples é executar uma busca por um nome inexistente e usar o Wireshark para observar que nenhum pacote UDP 5355 é gerado. Se você não vê multicast para o segmento local, você está no caminho certo.

No Linux com systemd-resolved, verifique o status com resolvectl ou systemctl: Certifique-se de que LLMNR esteja definido como “não” na configuração efetiva e que o serviço foi reiniciado sem erros.

Para NBT‑NS, confirme se as regras de firewall bloqueiam 137/UDP, 138/UDP e 139/TCP ou se o NetBIOS está desabilitado nos adaptadores. Você também pode cheirar a rede por um tempo para verificar se não há solicitações ou anúncios NetBIOS no ar.

Perguntas frequentes e nuances úteis

• Vou quebrar alguma coisa ao desabilitar o LLMNR? Em redes com DNS bem mantido, isso normalmente não acontece. Em ambientes especiais ou legados, valide primeiro em um grupo piloto e comunique a alteração ao suporte.
• Por que o gpedit mostra “Não Configurado” mesmo que o Intune diga “Aplicado”? Porque o editor local nem sempre reflete os estados impostos pelo MDM ou CSP. A verdade está no Registro e nos resultados reais, não no texto do gpedit.
• É obrigatório desabilitar o NBT‑NS se eu bloquear o NetBIOS no firewall? Se o bloqueio for completo e robusto, você reduz bastante o risco. Ainda assim, desabilitar o NetBIOS sobre TCP/IP elimina respostas em nível de pilha e evita surpresas caso as regras mudem, por isso é a opção preferível.
• Existe algum script pronto para desabilitar o LLMNR? Sim, via Registro ou PowerShell, como você viu. Para o Intune, compacte o script como Remediação e adicione a verificação de conformidade.

Desativar o LLMNR reduz a superfície de falsificação na rede local e elimina pela raiz ataques de captura de hash com ferramentas como o Responder. Se você também bloquear ou desabilitar o NBT‑NS e cuidar do seu DNSVocê terá um coquetel de segurança simples e eficaz: menos ruído, menos riscos e uma rede muito mais preparada para o uso diário.