Trong quản trị hệ thống, việc thiết lập cách nhìn thấy máy khác trong mạng lan là bước cơ bản để triển khai chia sẻ tài nguyên và điều khiển từ xa. Tuy nhiên, dưới góc độ bảo mật hệ thống (YMYL), tính năng Network Discovery nếu không được cấu hình đúng cách có thể tạo ra lỗ hổng cho các cuộc tấn công trung gian (MitM) hoặc lây lan mã độc qua giao thức SMB. Một kỹ sư mạng thực thụ cần hiểu rõ cơ chế hoạt động của các giao thức định danh như WSD, LLMNR và NetBIOS trước khi thực thi các lệnh cấu hình trên môi trường Windows Server hoặc Workstation.
Nguyên lý giao thức định danh thiết bị trong mạng nội bộ
Để hiểu rõ cách nhìn thấy máy khác trong mạng lan, chúng ta cần phân tích các giao thức hoạt động tại tầng Application của mô hình OSI. Trước đây, Windows chủ yếu dựa vào NetBIOS (Network Basic Input/Output System) qua TCP/IP (RFC 1001/1002) để phân giải tên máy tính. Tuy nhiên, do những hạn chế về bảo mật và khả năng mở rộng, các phiên bản Windows hiện đại (từ Windows 10 và Windows Server 2016 trở đi) đã chuyển sang sử dụng Web Services for Devices (WSD).
WSD cho phép các thiết bị thông báo sự hiện diện của chúng qua mạng bằng định dạng XML qua UDP port 3702. Khi bạn truy cập vào mục Network trong File Explorer, Windows sẽ gửi một gói tin “Probe” để truy vấn các thiết bị đang hoạt động. Nếu thiết bị mục tiêu tắt tính năng Network Discovery hoặc bị chặn bởi Firewall, nó sẽ không trả về gói tin “Probe Match”, dẫn đến tình trạng máy tính bị ẩn hoàn toàn dù vẫn có kết nối vật lý.
Trong môi trường doanh nghiệp phức tạp, việc nhìn thấy máy khác còn phụ thuộc vào kiến trúc phân đoạn mạng (Network Segmentation). Nếu các máy tính nằm ở hai VLAN khác nhau và không có mDNS gateway hoặc cấu hình IP Helper hợp lý, các gói tin Broadcast/Multicast định danh sẽ bị chặn bởi Router Layer 3, khiến việc tìm thấy máy khác qua tên gọi trở nên bất khả thi.
Cấu hình Network Discovery qua giao diện Settings Windows
Đây là phương pháp phổ biến nhất dành cho người dùng cuối và các quản trị viên xử lý sự cố nhanh trên Windows 10/11. Chế độ này tác động trực tiếp đến Network Profile mà hệ thống đang nhận diện. Một sai lầm phổ biến của kỹ sư tập sự là bật tính năng này khi đang kết nối với mạng Wi-Fi công cộng, vô tình phơi bày các cổng dịch vụ nhạy cảm ra môi trường không an toàn.
Cách bật/tắt Network Discovery trên WindowsHình 1: Truy cập menu thiết lập hệ thống để thay đổi cơ chế nhận diện máy tính trong mạng nội bộ.
Để thực hiện cách nhìn thấy máy khác trong mạng lan qua Settings, bạn nhấn tổ hợp phím Windows + I, chọn Network & Internet. Tại đây, hãy xác định giao diện mạng đang sử dụng (Ethernet cho mạng dây hoặc Wi-Fi). Khi nhấn vào thuộc tính của mạng, bạn phải chuyển trạng thái từ “Public” sang “Private”. Ở chế độ Private, Windows sẽ tự động mở các rule Firewall cần thiết cho ICMP và WSD. Nếu bạn vẫn giữ chế độ Public, hệ thống sẽ thực thi nguyên tắc “Zero Trust” cơ bản, chặn mọi nỗ lực quét mạng từ bên ngoài để bảo vệ thiết bị.
Kích hoạt tính năng chia sẻ nâng cao bằng Control Panel
Mặc dù giao diện Settings ngày càng hoàn thiện, nhưng Control Panel vẫn là công cụ quyền lực để tinh chỉnh sâu các tham số chia sẻ. Tại đây, bạn có thể can thiệp vào cách Windows xử lý việc định danh máy tính và quản lý các thiết bị ngoại vi như máy in. Việc thiết lập trong Network and Sharing Center đảm bảo rằng các dịch vụ phụ trợ như SSA (Simple Service Discovery Protocol) được kích hoạt đồng bộ.
Bạn chọn vào mạng và nhấn Advanced optionsHình 2: Lựa chọn cấu hình nâng cao để máy tính có thể phản hồi các yêu cầu truy vấn từ thiết bị khác.
Trong cửa sổ “Change advanced sharing settings”, bạn sẽ thấy các mục riêng biệt cho Private, Guest or Public và All Networks. Để triển khai cách nhìn thấy máy khác trong mạng lan một cách ổn định, hãy tích chọn “Turn on network discovery” kèm theo “Turn on automatic setup of network connected devices”. Lưu ý quan trọng về bảo mật: trong mục “All Networks”, bạn nên sử dụng mã hóa 128-bit cho các kết nối chia sẻ tập tin và cân nhắc kỹ trước khi tắt “Password protected sharing” để tránh việc truy cập trái phép từ các user không xác định.
Sử dụng Command Line Interface để quản trị Network Discovery
Đối với một Sysadmin quản trị hàng trăm máy trạm, việc thao tác qua GUI là không khả thi. Sử dụng netsh hoặc PowerShell là giải pháp tối ưu để tự động hóa cấu hình. Việc này đảm bảo tính nhất quán trên toàn bộ hệ thống và giảm thiểu sai sót do con người. Khi can thiệp vào Firewall qua lệnh, bạn đang tác động trực tiếp tới các Rule Group trong Windows Defender Firewall.
⚠️ Cảnh báo: Việc thực thi các lệnh dưới đây sẽ mở các port mạng nội bộ. Chỉ thực hiện khi bạn đang ở trong mạng tin cậy (Trusted Network) và đã có phương án bảo mật lớp biên.
Để thực hiện cách nhìn thấy máy khác trong mạng lan bằng Command Prompt, bạn cần khởi chạy CMD với quyền Administrator và nhập lệnh sau:
netsh advfirewall firewall set rule group="Network Discovery" new enable=Yes
Hệ thống sẽ trả về thông báo “Updated X rule(s). Ok” nếu thành công. Lệnh này sẽ mở đồng loạt các port cần thiết như UDP 1900 (SSDP), TCP 2869 (UPnP), và các port liên quan đến NetBIOS. Nếu sau này bạn cần thắt chặt bảo mật và muốn ẩn máy tính khỏi mạng vì lý do an toàn, hãy sử dụng lệnh đảo ngược:
netsh advfirewall firewall set rule group="Network Discovery" new enable=No
Quản lý các dịch vụ Windows phụ thuộc vào khả năng tìm kiếm máy
Trong nhiều trường hợp, dù đã bật Network Discovery trong Control Panel nhưng máy tính vẫn “tàng hình”. Đây là lúc kinh nghiệm thực chiến của một kỹ sư hệ thống phát huy tác dụng. Khả năng nhìn thấy nhau giữa các máy tính phụ thuộc vào 4 dịch vụ cốt lõi (Services). Nếu một trong các dịch vụ này ở trạng thái “Disabled” hoặc “Manual” mà không được kích hoạt, các bước trên đều vô hiệu.
Dịch vụ quan trọng nhất là “Function Discovery Resource Publication” (FDResPub). Dịch vụ này chịu trách nhiệm công bố tên máy tính của bạn lên mạng để các máy khác tìm thấy. Khi xử lý sự cố về cách nhìn thấy máy khác trong mạng lan, bạn nên kiểm tra xem dịch vụ này có đang chạy hay không bằng lệnh PowerShell:
Get-Service -Name FDResPub, fdischost, SSDPSRV, upnphost | Select-Object Name, Status, StartType
Nếu Status là “Stopped”, hãy thực hiện lệnh sau để khởi động và đặt chế độ tự động cho chúng:
Start-Service -Name FDResPub; Set-Service -Name FDResPub -StartupType Automatic
Các dịch vụ đi kèm bao gồm “Function Discovery Provider Host” (để nhìn thấy máy khác) và “SSDP Discovery” (phát hiện thiết bị sử dụng giao thức SSDP như máy in, IPCamera). Việc cấu hình đúng các dịch vụ này là chìa khóa để duy trì sự ổn định của mạng máy tính văn phòng.
Kiểm tra sự tương thích của giao thức SMB và rủi ro bảo mật
Một trong những rào cản lớn nhất đối với cách nhìn thấy máy khác trong mạng lan trên các hệ thống cũ (Windows XP, Windows 7) là sự phụ thuộc vào giao thức SMBv1. Tuy nhiên, theo khuyến nghị từ Microsoft và tiêu chuẩn bảo mật NIST, SMBv1 chứa những lỗ hổng nghiêm trọng (như EternalBlue được khai thác bởi mã độc WannaCry). Do đó, Windows 10/11 hiện nay đã mặc định vô hiệu hóa SMBv1.
Tích chọn vào Turn on network discoveryHình 3: Thiết lập quyền truy cập và định danh trong bảng cấu hình Advanced Sharing Settings.
Nếu bạn đang cố gắng nhìn thấy một máy chủ cũ hoặc các ổ cứng mạng (NAS) đời thấp, bạn có thể bị cám dỗ bật lại SMBv1 trong phần “Windows Features”. Tuy nhiên, lời khuyên từ chuyên gia bảo mật là: Tuyệt đối không bật SMBv1 trừ khi thực sự bắt buộc trong môi trường cách ly hoàn toàn. Thay vào đó, hãy nâng cấp firmware cho thiết bị NAS hoặc cập nhật hệ điều hành cho máy chủ để hỗ trợ ít nhất là SMBv2.1 hoặc SMBv3.1.1, giúp việc nhận diện thiết bị diễn ra an toàn với các phương thức xác thực và mã hóa hiện đại.
Khắc phục sự cố Network Isolation và phân đoạn lớp mạng (Subnet)
Trong các hệ thống mạng doanh nghiệp sử dụng Switch Layer 3, các máy tính thường được chia vào các VLAN khác nhau để tối ưu hóa Broadcast Domain và tăng cường bảo mật. Một vấn đề phổ biến khiến bạn không tìm thấy cách nhìn thấy máy khác trong mạng lan là do các máy tính nằm ở các dải IP khác nhau (khác Subnet). Ví dụ, máy A thuộc dải 192.168.10.x và máy B thuộc dải 192.168.20.x.
Mặc định, các gói tin Broadcast để định danh thiết bị không thể vượt qua Router/Gateway. Để giải quyết, quản trị viên mạng có thể cấu hình “mDNS Forwarder” hoặc “Avahi Reflector” trên thiết bị mạng (như MikroTik, Cisco hoặc pfSense) để chuyển tiếp các truy vấn định danh giữa các VLAN. Ngoài ra, việc duy trì một máy chủ WINS (Windows Internet Name Service) hoặc thiết lập DNS nội bộ chuẩn xác cũng là giải pháp chuyên nghiệp để thay thế cho việc tìm kiếm dựa trên Broadcast thuần túy.
Khi troubleshoot, hãy luôn sử dụng lệnh arp -a trong CMD để kiểm tra xem máy tính của bạn đã học được địa chỉ MAC của máy mục tiêu hay chưa. Nếu bảng ARP không có thông tin của máy đối diện, vấn đề nằm ở kết nối vật lý hoặc cấu hình định tuyến lớp 2, chứ không đơn thuần là lỗi Network Discovery trên Windows.
Tối ưu hóa Windows Firewall cho khả năng tìm kiếm thiết bị
Windows Firewall thường là “kẻ giấu mặt” chặn đứng nỗ lực kết nối giữa các máy tính. Ngay cả khi bạn đã bật Network Discovery, các phần mềm diệt virus bên thứ ba (như Kaspersky, Symantec hay Bitdefender) thường cài đặt Driver Firewall riêng và ghi đè lên thiết lập của Windows. Do đó, kiểm tra Rule Inbound/Outbound là bước bắt buộc.
Nhập lệnh để bật Network DiscoveryHình 4: Sử dụng giao diện dòng lệnh Admin để can thiệp trực tiếp vào tường lửa của hệ điều hành.
Để kiểm tra xem port 445 (SMB) và port 137, 138, 139 (NetBIOS) có đang mở hay không, bạn có thể sử dụng công cụ nmap hoặc đơn giản là lệnh Test-NetConnection trong PowerShell:
Test-NetConnection -ComputerName [IP_MAY_KIA] -Port 445
Nếu kết quả trả về TcpTestSucceeded : True, nghĩa là đường truyền đã thông suốt ở mức TCP. Nếu là False, bạn cần vào “Windows Defender Firewall with Advanced Security”, tìm các rule thuộc nhóm “File and Printer Sharing” và chắc chắn rằng chúng đã được “Enable”. Việc quản trị Firewall một cách tinh tế — chỉ cho phép IP từ dải mạng nội bộ (Scope) truy cập — sẽ vừa đảm bảo hiệu quả cho cách nhìn thấy máy khác trong mạng lan, vừa giữ vững lá chắn an ninh mạng.
Hiểu rõ và vận dụng linh hoạt cách nhìn thấy máy khác trong mạng lan không chỉ giúp quy trình làm việc trở nên mượt mà, mà còn thể hiện tư duy quản trị hệ thống bài bản. Khi các thiết bị đã “nhìn thấy” nhau qua các giao thức an toàn, việc triển khai các giải pháp backup dữ liệu nội bộ hay làm việc nhóm sẽ đạt hiệu suất tối đa. Hãy luôn giám sát các bản vá bảo mật từ Microsoft để bảo vệ hệ thống khỏi các lỗ hổng khai thác từ xa liên quan đến Network Discovery.
Cập nhật lần cuối 03/03/2026 by Hiếu IT
