Microsoft mustert NetBIOS zugunsten von mDNS aus


    Tags: , ,

    NetBIOS NamensauflösungMicrosoft unter­stützt Multicast DNS (mDNS) zwar schon seit Windows 10 1703, stellt aber erst jetzt die Weichen, um NetBIOS und Link-Local Multicast Name Resolution (LLMNR) voll­ständig durch mDNS zu ersetzen. In den Pre­views von Windows 11 ist die NetBIOS-Namens­auf­lösung per Vor­einstellung nur mehr als Fallback konfiguriert.

    Das ursprünglich von Apple entwickelte mDNS ist ein Protokoll zur Namens­auflösung, das ohne zentralen DNS-Server auskommt. Es sendet per Multicast eine Anfrage an alle Geräte im Netzwerk und jenes, auf das der gewünschte Hostname zutrifft, antwortet ebenfalls mit einem Multicast-Paket an das gesamte Netzwerk.

    Mehrere Resolver nebeneinander

    Standardmäßig hören mDNS-Resolver auf den UDP-Port 5353. Das Besondere daran ist, dass in der Praxis mehrere Resolver gleichzeitig aktiv sind. Neben dem Betriebs­system sind das etwa Chromium-basierte Web-Browser oder der Client von Microsoft Teams.

    Eine Liste solcher auf einem Rechner aktiven Programme lässt sich mit PowerShell anzeigen:

    Get-NetUDPEndpoint -LocalPort 5353 |
    Select-Object LocalAddress,LocalPort,OwningProcess, `
    @{ Name="Prozess"; Expression={((Get-Process -Id $_.OwningProcess).Name )} }

    Neben dem Betriebssystem können auch andere Anwendungen mDNS-Anfragen ausführen

    Eine Gefahr besteht in einer solchen Situation natürlich darin, dass sich auch bösartige Programme auf UDP-Port 5353 einklinken und Clients über DNS-Spoofing an Hosts weiterleiten, die von Cyberkriminellen betrieben werden.

    Da eine zentrale Instanz in Form eines DNS-Servers fehlt, lässt sich zudem nicht ausschließen, dass mehrere Geräte im Netzwerk den gleichen Hostname verwenden.

    mDNS deaktivieren

    Aufgrund dieser Nachteile könnten IT-Verantwortliche erwägen, mDNS abzuschalten. Microsoft rät aber von einer generellen Deaktivierung des Protokolls ab, weil dies die Kommunikation mit verschiedenen Geräten im Netzwerk wie etwa Druckern oder kabellosen Lautsprechern beein­trächtigen könnte.

    Wenn Unternehmen eine solche Maßnahme dennoch ins Auge fassen, dann empfiehlt der Hersteller, nur eingehende Anfragen mit Hilfe der Windows-Firewall zu blockieren. Diese enthält dafür die vordefinierte Regel "mDNS (UDP-In)".

    Allerdings sollte man sie nur für die Profile Domäne und Öffentlich deaktivieren, für private Netze jedoch belassen. Damit stellt man sicher, dass Mitarbeiter im Home-Office solche Geräte nutzen können, die auf mDNS angewiesen sind.

    Vordefinierte Firewall-Regeln für mDNS

    mDNS löst NetBIOS und LLMNR ab

    Ein weiterer Grund, mDNS nicht voreilig abzuschreiben, besteht darin, dass Microsoft zunehmend auf dieses Protokoll setzt. In aktuellen Previews von Windows 11 läuft NetBIOS standard­mäßig im "Learning Mode", so dass dieses veraltete Protokoll nur zum Zug kommt, nachdem Anfragen an mDNS und LLMNR gescheitert sind.

    Falls bestimmte System oder Anwendungen weiterhin NetBIOS benötigen, dann kann man es über eine neue Gruppen­richtlinie entsprechend konfigurieren. Sie bietet neben dem erwähnten Lernmodus die Optionen, die Namensauflösung über NetBIOS vollständig zuzulassen, ganz zu unterbinden oder nur in öffentlichen Netzwerk zu blockieren.

    Namensauflösung über NetBIOS über Gruppenrichtlinien steuern

    Das standardmäßige Verhalten von LLMNR hat sich noch nicht geändert, aber Microsoft stellt klar in Aussicht, dass mDNS per Voreinstellung das einzige Multicast-Protokoll zur Namensauflösung werden soll.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut

    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Verwandte Beiträge

    Weitere Links