Проблема:
В параметрах протокола ICMP в настройках брандмауэра Windows стоит галочка «Разрешить запрос входящего эха». Причем галочка неактивна. Необходимо снять эту галочку.
Установка соответствующей групповой политики (Конфигурация компьютера - Административные шаблоны - Сеть - Сетевые подключения - Брандмауэр Windows - Профиль домена (или Стандартный профиль) - Брандмауэр Windows: Разрешать исключения ICMP - Разрешать запрос входящего эха) никакого эффекта не дает.
Объяснение:
Согласно объяснению Technet.microsoft: Если какой-либо из параметров политики открывает порт TCP 445, брандмауэр Windows разрешает входящие сообщения ICMP с запросом эха (отправляемые, например, служебной программой Ping), даже если параметр политики Брандмауэр Windows: Разрешать исключения ICMP блокирует их. К параметрам политики, которые могут открыть порт TCP 445, относятся:
-
Брандмауэр Windows: Разрешать исключения для входящих подключений к общим файлам и принтерам
-
Брандмауэр Windows: Разрешать исключения для входящих подключений удаленного администрирования
-
Брандмауэр Windows: Задать исключения для входящих портов
.
Необходимо помнить, что если сообщения ICMP блокируются, невозможно применить групповую политику. Для полноценной работы в доменной структуре достаточно из всех ICMP пакетов разрешить только «Разрешать запрос входящего эха»
Согласно Technet.microsoft: многие вредоносные программы обнаруживают компьютеры, принимающие определенные типы сообщений протокола ICMP, и используют эти сообщения для проведения различных атак. Однако для правильной работы некоторых приложений необходимы некоторые из сообщений протокола ICMP. Кроме того, сообщения ICMP используются для оценки производительности сети при загрузке и обработке групповой политики. Если сообщения ICMP блокируются, невозможно применить групповую политику.
Для уменьшения риска, наносимого вредоносными программами корпорация Майкрософт рекомендует по возможности устанавливать параметр Брандмауэр Windows: Разрешать исключения ICMP в значение Отключен. Если для работы среды необходимо, чтобы некоторые из сообщений ICMP пропускались брандмауэром Windows, укажите в данном параметре политики соответствующие типы сообщений.
Решение:
Итак, для того, чтобы галочка «Разрешать запрос входящего эха» стала активной и можно было бы отменить разрешенные пакеты входящего эха, нужно отключить все параметры, открывающие порт 445:
-
Брандмауэр Windows: Разрешать исключения для входящих подключений к общим файлам и принтерам - отключить
-
Брандмауэр Windows: Разрешать исключения для входящих подключений удаленного администрирования - отключить
-
Брандмауэр Windows: Задать исключения для входящих портов - проверить на наличие правил, открывающих 445-й порт