Страница 1 из 1

Как отключить "Запрос входящего эха" в брандмауэре Windows

СообщениеДобавлено: 02 авг 2011 17:14, Вт
UncleFather
Проблема:

В параметрах протокола ICMP в настройках брандмауэра Windows стоит галочка «Разрешить запрос входящего эха». Причем галочка неактивна. Необходимо снять эту галочку.
icmp.JPG
Разрешать запрос входящего эха
icmp.JPG (47.7 КБ) Просмотров: 3110

Установка соответствующей групповой политики (Конфигурация компьютера - Административные шаблоны - Сеть - Сетевые подключения - Брандмауэр Windows - Профиль домена (или Стандартный профиль) - Брандмауэр Windows: Разрешать исключения ICMP - Разрешать запрос входящего эха) никакого эффекта не дает.

Объяснение:

Согласно объяснению Technet.microsoft: Если какой-либо из параметров политики открывает порт TCP 445, брандмауэр Windows разрешает входящие сообщения ICMP с запросом эха (отправляемые, например, служебной программой Ping), даже если параметр политики Брандмауэр Windows: Разрешать исключения ICMP блокирует их. К параметрам политики, которые могут открыть порт TCP 445, относятся:
  • Брандмауэр Windows: Разрешать исключения для входящих подключений к общим файлам и принтерам
  • Брандмауэр Windows: Разрешать исключения для входящих подключений удаленного администрирования
  • Брандмауэр Windows: Задать исключения для входящих портов
.

Необходимо помнить, что если сообщения ICMP блокируются, невозможно применить групповую политику. Для полноценной работы в доменной структуре достаточно из всех ICMP пакетов разрешить только «Разрешать запрос входящего эха»
Согласно Technet.microsoft: многие вредоносные программы обнаруживают компьютеры, принимающие определенные типы сообщений протокола ICMP, и используют эти сообщения для проведения различных атак. Однако для правильной работы некоторых приложений необходимы некоторые из сообщений протокола ICMP. Кроме того, сообщения ICMP используются для оценки производительности сети при загрузке и обработке групповой политики. Если сообщения ICMP блокируются, невозможно применить групповую политику.
Для уменьшения риска, наносимого вредоносными программами корпорация Майкрософт рекомендует по возможности устанавливать параметр Брандмауэр Windows: Разрешать исключения ICMP в значение Отключен. Если для работы среды необходимо, чтобы некоторые из сообщений ICMP пропускались брандмауэром Windows, укажите в данном параметре политики соответствующие типы сообщений.

Решение:

Итак, для того, чтобы галочка «Разрешать запрос входящего эха» стала активной и можно было бы отменить разрешенные пакеты входящего эха, нужно отключить все параметры, открывающие порт 445:

  • Брандмауэр Windows: Разрешать исключения для входящих подключений к общим файлам и принтерам - отключить
  • Брандмауэр Windows: Разрешать исключения для входящих подключений удаленного администрирования - отключить
  • Брандмауэр Windows: Задать исключения для входящих портов - проверить на наличие правил, открывающих 445-й порт