UncleFather » 02 авг 2011 16:14, Вт
Проблема:
В параметрах протокола ICMP в настройках брандмауэра Windows стоит галочка «Разрешить запрос входящего эха». Причем галочка неактивна. Необходимо снять эту галочку.
- Разрешать запрос входящего эха
- icmp.JPG (47.7 КБ) 5892 просмотра
Установка соответствующей групповой политики (Конфигурация компьютера - Административные шаблоны - Сеть - Сетевые подключения - Брандмауэр Windows - Профиль домена (или Стандартный профиль) - Брандмауэр Windows: Разрешать исключения ICMP - Разрешать запрос входящего эха) никакого эффекта не дает.
Объяснение:
Согласно объяснению Technet.microsoft: Если какой-либо из параметров политики открывает порт TCP 445, брандмауэр Windows разрешает входящие сообщения ICMP с запросом эха (отправляемые, например, служебной программой Ping), даже если параметр политики Брандмауэр Windows: Разрешать исключения ICMP блокирует их. К параметрам политики, которые могут открыть порт TCP 445, относятся:
-
Брандмауэр Windows: Разрешать исключения для входящих подключений к общим файлам и принтерам
-
Брандмауэр Windows: Разрешать исключения для входящих подключений удаленного администрирования
-
Брандмауэр Windows: Задать исключения для входящих портов
.
Необходимо помнить, что если сообщения ICMP блокируются, невозможно применить групповую политику. Для полноценной работы в доменной структуре достаточно из всех ICMP пакетов разрешить только «Разрешать запрос входящего эха»
Согласно Technet.microsoft: многие вредоносные программы обнаруживают компьютеры, принимающие определенные типы сообщений протокола ICMP, и используют эти сообщения для проведения различных атак. Однако для правильной работы некоторых приложений необходимы некоторые из сообщений протокола ICMP. Кроме того, сообщения ICMP используются для оценки производительности сети при загрузке и обработке групповой политики. Если сообщения ICMP блокируются, невозможно применить групповую политику.
Для уменьшения риска, наносимого вредоносными программами корпорация Майкрософт рекомендует по возможности устанавливать параметр Брандмауэр Windows: Разрешать исключения ICMP в значение Отключен. Если для работы среды необходимо, чтобы некоторые из сообщений ICMP пропускались брандмауэром Windows, укажите в данном параметре политики соответствующие типы сообщений.
Решение:
Итак, для того, чтобы галочка «Разрешать запрос входящего эха» стала активной и можно было бы отменить разрешенные пакеты входящего эха, нужно отключить все параметры, открывающие порт 445:
-
Брандмауэр Windows: Разрешать исключения для входящих подключений к общим файлам и принтерам - отключить
-
Брандмауэр Windows: Разрешать исключения для входящих подключений удаленного администрирования - отключить
-
Брандмауэр Windows: Задать исключения для входящих портов - проверить на наличие правил, открывающих 445-й порт
[b]Проблема:[/b]
В параметрах протокола ICMP в настройках брандмауэра Windows стоит галочка «[i]Разрешить запрос входящего эха[/i]». Причем галочка неактивна. Необходимо снять эту галочку.[attachment=0]icmp.JPG[/attachment]
Установка соответствующей групповой политики ([i]Конфигурация компьютера - Административные шаблоны - Сеть - Сетевые подключения - Брандмауэр Windows - Профиль домена (или Стандартный профиль) - Брандмауэр Windows: Разрешать исключения ICMP - Разрешать запрос входящего эха[/i]) никакого эффекта не дает.
[b]Объяснение:[/b]
Согласно объяснению [url=http://technet.microsoft.com/ru-ru/library/bb679962.aspx]Technet.microsoft[/url]: Если какой-либо из параметров политики открывает порт TCP 445, брандмауэр Windows разрешает входящие сообщения ICMP с запросом эха (отправляемые, например, служебной программой Ping), даже если параметр политики [i]Брандмауэр Windows: Разрешать исключения ICMP[/i] блокирует их. К параметрам политики, которые могут открыть порт TCP 445, относятся:
[list][*] Брандмауэр Windows: Разрешать исключения для входящих подключений к общим файлам и принтерам
[*] Брандмауэр Windows: Разрешать исключения для входящих подключений удаленного администрирования
[*] Брандмауэр Windows: Задать исключения для входящих портов[/list].
Необходимо помнить, что [color=Red]если сообщения ICMP блокируются, невозможно применить групповую политику[/color]. Для полноценной работы в доменной структуре достаточно из всех ICMP пакетов разрешить только «[i]Разрешать запрос входящего эха[/i]»
Согласно [url=http://technet.microsoft.com/ru-ru/library/bb679962.aspx]Technet.microsoft[/url]: многие вредоносные программы обнаруживают компьютеры, принимающие определенные типы сообщений протокола ICMP, и используют эти сообщения для проведения различных атак. Однако [b]для правильной работы некоторых приложений необходимы некоторые из сообщений протокола ICMP. Кроме того, сообщения ICMP используются для оценки производительности сети при загрузке и обработке групповой политики. Если сообщения ICMP блокируются, невозможно применить групповую политику[/b].
Для уменьшения риска, наносимого вредоносными программами [color=Red]корпорация Майкрософт рекомендует по возможности устанавливать параметр [b]Брандмауэр Windows: Разрешать исключения ICMP[/b] в значение [b]Отключен[/b][/color]. Если для работы среды необходимо, чтобы некоторые из сообщений ICMP пропускались брандмауэром Windows, укажите в данном параметре политики соответствующие типы сообщений.
[b]Решение:[/b]
Итак, для того, чтобы галочка «[i]Разрешать запрос входящего эха[/i]» стала активной и можно было бы отменить разрешенные пакеты входящего эха, нужно отключить все параметры, открывающие порт 445:
[list][*] Брандмауэр Windows: Разрешать исключения для входящих подключений к общим файлам и принтерам - [b]отключить[/b]
[*] Брандмауэр Windows: Разрешать исключения для входящих подключений удаленного администрирования - [b]отключить[/b]
[*] Брандмауэр Windows: Задать исключения для входящих портов - [b]проверить на наличие правил, открывающих 445-й порт[/b][/list]