Disabilitare la modalità invisibile in Windows
Questo articolo illustra come disabilitare la modalità invisibile (una funzionalità della piattaforma di filtro di Windows).
Si applica a: Windows Server 7 Service Pack 1, Windows Server 2012 R2
Numero KB originale: 2586744
Introduzione
I computer client Windows Server o Windows non inviano messaggi TCP (Transmission Control Protocol) reset (RST) o pacchetti ICMP (Internet Control Message Protocol) non raggiungibili su una porta che non dispone di un'applicazione in ascolto. Diverse applicazioni si basano sul comportamento descritto in RFC 793, "Reset Generation", pagina 35f. Queste applicazioni richiedono il pacchetto TCP RST o il pacchetto ICMP non raggiungibile come risposta se bussano su una porta senza listener. Se non ricevono questa risposta, le applicazioni potrebbero non essere in grado di essere eseguite correttamente in Windows. In genere, l'effetto di questa dipendenza è che la modalità stealth può causare un ritardo di 20 secondi per la riconnessione delle normali applicazioni TCP se il peer remoto perde lo stato di connessione e tale pacchetto di notifica non raggiunge il client. Un esempio di questo comportamento è Il client Lotus Notes. Il client può essere configurato per l'uso di server Lotus Notes diversi. Se il servizio non è in esecuzione nel primo server configurato, il client passa immediatamente al secondo server se riceve un comando TCP RESET. Se la modalità stealth è abilitata, il client non riceve tcp reset. Il client attende quindi il timeout dell'ultima ritrasmissione di SYN prima di tentare il server successivo nell'elenco.
Causa
Per le porte in cui nessuna applicazione è in ascolto, la funzionalità di modalità invisibile blocca il pacchetto ICMP in uscita non raggiungibile e i messaggi TCP RST.
La modalità stealth si applica anche agli endpoint in stato di sospensione a causa di un sovraccarico nel parametro backlog di ascolto.
Risoluzione
La modalità avviso invisibile è una funzionalità di sicurezza importante. La disabilitazione può rendere il computer vulnerabile agli attacchi, anche nelle reti di dominio aziendali gestite e dietro firewall perimetrali. Pertanto, è consigliabile mantenere attiva la modalità stealth e disabilitarla solo se è necessaria.
Attenzione
Seguire attentamente i passaggi in questa sezione. L'errata modifica del Registro di sistema può causare seri problemi. Prima di apportare le modifiche, eseguire il backup del Registro di sistema per il ripristino nel caso si verifichino dei problemi.
La modalità stealth è una funzionalità di sicurezza di base. Per qualsiasi configurazione specificata, la modalità invisibile deve rimanere abilitata a meno che non sia presente un argomento valido e sicuro per disabilitarla.
La modalità stealth può essere disabilitata usando uno dei metodi seguenti:
- È possibile impostare la parola chiave DisableStealthMode nel provider di servizi di configurazione firewall CSP) usando Microsoft Intune o un altro sistema mobile Gestione dispositivi.
- Un fornitore di software indipendente (ISV) può usare l'API WFP (Windows Filtering Platform) per sostituire i filtri stealth con filtri proprietari.
- È possibile disabilitare il firewall per tutti i profili. Questo metodo non è consigliabile.
- È possibile aggiungere un valore "disable" a uno dei set seguenti di sottochiavi del Registro di sistema:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\DomainProfile HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\PublicProfile HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\StandardProfile HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
Nota
Nella sezione "Criteri" hive software la voce StandardProfile viene usata solo se esiste ancora un oggetto Criteri di gruppo del firewall legacy.
In entrambi i set di sottochiavi aggiungere il valore seguente:
Valore: DisableStealthMode
Tipo: REG_DWORD
Dati: 0x00000000 (impostazione predefinita - StealthMode abilitata) 0x00000001 (StealthMode disabilitato)
Attenzione
La modalità invisibile non può essere disattivata disabilitando il servizio firewall (MpsSvc). Si tratta di una configurazione non supportata. Per altre informazioni, vedere la sezione "Disabilita Windows Defender firewall con sicurezza avanzata" di "Windows Defender Firewall con amministrazione di sicurezza avanzata con Windows PowerShell".
Ulteriori informazioni
Modalità stealth in Windows Firewall con sicurezza avanzata
Disabilitare la modalità stealth nella specifica "[MS-GPFAS]: Criteri di gruppo: Firewall and Advanced Security Data Structure"
Appendice B: Comportamento del prodotto nella specifica "[MS-FASP]: Firewall and Advanced Security Protocol" (cercare FW_PROFILE_CONFIG_DISABLE_STEALTH_MODE in questa appendice)
Dichiarazione di non responsabilità sulle informazioni di terze parti
I prodotti di terzi citati in questo articolo sono prodotti da società indipendenti da Microsoft. Microsoft non rilascia alcuna garanzia implicita o esplicita relativa alle prestazioni o all'affidabilità di tali prodotti
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per