如何在Windows服务器中禁用LLMNR

如何在Windows服务器中禁用LLMNR

我最近开始部署基于WindowsServer2019映像的服务器。我正在用Active Directory(AD)建立网络。当我设置并迁移到2019年的广告时,它让我想起了我在网上看到的关于活动目录和攻击的讨论。

有一个建议的设置有助于降低这些攻击的风险,即禁用链路本地多播名称解析(LLMNR),该协议允许在没有域名系统(DNS)服务器的情况下进行名称解析。LLMNR根据多播数据包向IP提供主机名,并通过整个网络发送。

在此过程中,它要求所有侦听接口答复它们是否在查询中被权威地称为主机名。LLMNR使用端口udp5355发送多播网络地址。Windows使用LLMNR来标识文件共享的服务器。如果它收到回复,它会将当前用户的凭据直接发送到该服务器。

如果中间人(MitM)攻击者或冒名顶替者在客户机和文件服务器之间进行攻击呢?如果攻击者收到LLMNR响应,则Windows服务将用户的凭据哈希泄露给不受信任的第三方。聪明的攻击者可以将该哈希转发到目标文件服务器。网络从不认为有什么不对劲。

要继续阅读本文,请立即注册

了解更多  现有用户登录