Alexander A Manaeff -

 
 

Как отключить "Запрос входящего эха" в брандмауэре Windows

Все об администрировании рабочих станций Windows 95/98/NT/2000/XP/7/8. То, чего не найдешь в бескрайних просторах Интернета. Решения тех проблем, которые не решаются типовыми ответами, которые можно получить в техподдержке Майкрософта - а именно: переустановить продукт или купить какой-ть другой лицензионный диск.

Модератор: UncleFather

Как отключить "Запрос входящего эха" в брандмауэре Windows

Сообщение UncleFather » 02 авг 2011 17:14, Вт

Проблема:

В параметрах протокола ICMP в настройках брандмауэра Windows стоит галочка «Разрешить запрос входящего эха». Причем галочка неактивна. Необходимо снять эту галочку.
icmp.JPG
Разрешать запрос входящего эха
icmp.JPG (47.7 КБ) Просмотров: 3112

Установка соответствующей групповой политики (Конфигурация компьютера - Административные шаблоны - Сеть - Сетевые подключения - Брандмауэр Windows - Профиль домена (или Стандартный профиль) - Брандмауэр Windows: Разрешать исключения ICMP - Разрешать запрос входящего эха) никакого эффекта не дает.

Объяснение:

Согласно объяснению Technet.microsoft: Если какой-либо из параметров политики открывает порт TCP 445, брандмауэр Windows разрешает входящие сообщения ICMP с запросом эха (отправляемые, например, служебной программой Ping), даже если параметр политики Брандмауэр Windows: Разрешать исключения ICMP блокирует их. К параметрам политики, которые могут открыть порт TCP 445, относятся:
  • Брандмауэр Windows: Разрешать исключения для входящих подключений к общим файлам и принтерам
  • Брандмауэр Windows: Разрешать исключения для входящих подключений удаленного администрирования
  • Брандмауэр Windows: Задать исключения для входящих портов
.

Необходимо помнить, что если сообщения ICMP блокируются, невозможно применить групповую политику. Для полноценной работы в доменной структуре достаточно из всех ICMP пакетов разрешить только «Разрешать запрос входящего эха»
Согласно Technet.microsoft: многие вредоносные программы обнаруживают компьютеры, принимающие определенные типы сообщений протокола ICMP, и используют эти сообщения для проведения различных атак. Однако для правильной работы некоторых приложений необходимы некоторые из сообщений протокола ICMP. Кроме того, сообщения ICMP используются для оценки производительности сети при загрузке и обработке групповой политики. Если сообщения ICMP блокируются, невозможно применить групповую политику.
Для уменьшения риска, наносимого вредоносными программами корпорация Майкрософт рекомендует по возможности устанавливать параметр Брандмауэр Windows: Разрешать исключения ICMP в значение Отключен. Если для работы среды необходимо, чтобы некоторые из сообщений ICMP пропускались брандмауэром Windows, укажите в данном параметре политики соответствующие типы сообщений.

Решение:

Итак, для того, чтобы галочка «Разрешать запрос входящего эха» стала активной и можно было бы отменить разрешенные пакеты входящего эха, нужно отключить все параметры, открывающие порт 445:

  • Брандмауэр Windows: Разрешать исключения для входящих подключений к общим файлам и принтерам - отключить
  • Брандмауэр Windows: Разрешать исключения для входящих подключений удаленного администрирования - отключить
  • Брандмауэр Windows: Задать исключения для входящих портов - проверить на наличие правил, открывающих 445-й порт
Аватара пользователя
UncleFather
Site Admin
 
Сообщения: 1256
Зарегистрирован: 17 авг 2004 17:20, Вт

Вернуться в Администрирование Windows Workstations

Кто сейчас на конференции

Сейчас этот форум просматривают: Bing [Bot] и гости: 1

Alexander A Manaeff -
@Mail.ru .