Windows で無効化モードを無効にする

この記事では、無効化モード (Windows フィルタリング プラットフォーム機能) を無効にする方法について説明します。

元の製品バージョン:   Windows 7 Service Pack 1、Windows Server 2012 R2
元の KB 番号:   2586744

概要

Windows Server または Windows クライアント コンピューターは、リッスン アプリケーションを持たないポート間で伝送制御プロトコル (TCP) リセット (RST) メッセージまたはインターネット制御メッセージ プロトコル (ICMP) 到達不能パケットを送信しません。 いくつかのアプリケーションは 、RFC 793の「リセット生成」ページ 35f で説明されている動作に依存しています。 これらのアプリケーションは、リスナーのないポートをたたく場合、応答として TCP RST パケットまたは ICMP 到達不能パケットを必要とします。 この応答を受け取らない場合、アプリケーションは Windows で正しく実行できない可能性があります。 通常、この依存関係の影響は、リモート ピアが接続状態を失い、その通知パケットがクライアントに到達しない場合に、通常の TCP アプリケーションが再接続するまでに 20 秒の遅延が発生する可能性がある点です。 この動作の例の 1 つは Lotus Notes Client です。 クライアントは、異なる Lotus Notes サーバーを使用するように構成できます。 サービスが最初に構成されたサーバーで実行されていない場合、クライアントは TCP RESET コマンドを受け取った場合、すぐに 2 番目のサーバーに切り替ります。 切り替えモードが有効な場合、クライアントは TCP RESET を受信しません。 次に、クライアントは最後の SYN 再送信がタイム アウトするまで待機してから、リスト内の次のサーバーを試行します。

原因

アプリケーションがリッスンしないポートの場合、解除モード機能は、送信 ICMP 到達不能パケットおよび TCP RST メッセージをブロックします。
また、リッスン バックログ パラメーターのオーバーランが理由で一時停止状態のエンドポイントにも、制限モードが適用されます。

解決方法

警告警告モードは、重要なセキュリティ機能です。 これを無効にすると、管理対象の企業ドメイン ネットワークやエッジ ファイアウォールの背後でも、コンピューターが攻撃に対して脆弱になる可能性があります。 したがって、アクティブなモードを保持し、必要な場合にのみ無効にすることを強く推奨します。

注意事項

このセクションの手順の実行には注意が必要です。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 変更する前に、問題の発生に備えて復元用にレジストリのバックアップを作成してください。

このモードは、コア セキュリティ機能です。 どの構成でも、無効にする強力で有効な引数がない限り、モードを有効にした状態をとります。
次の方法を使用して、モードを無効にできます。

  • ファイアウォール構成サービス プロバイダー CSP で DisableStealthMode キーワードを設定するには、Microsoft Intune または別のモバイル デバイス管理システムを使用します。
  • 独立系ソフトウェア ベンダー (ISV) は、Windows フィルタリング プラットフォーム (WFP) API を使用して、フィルターフィルターを独自のフィルターに置き換える場合があります。
  • すべてのプロファイルに対してファイアウォールを無効にできます。 (この方法はお勧めしません。
  • レジストリ サブキーの次のセットのどちらかに "無効" 値を追加できます。 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\DomainProfile HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\PublicProfile HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\StandardProfile HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile

注意

ソフトウェア ハイブの [ポリシー] セクションでは、従来のファイアウォール GPO がまだ存在する場合にのみ StandardProfile エントリが使用されます。

サブキーのセットに次の値を追加します。
値: DisableStealthMode
型: REG_DWORD
データ: 0x00000000 (既定値 -Mode が有効) 0x00000001 (Mode が無効)

注意事項

ファイアウォール サービス (MpsSvc) を無効にすることで、ファイアウォール モードを非アクティブ化することはできません。 これはサポートされていない構成です。 詳細については、「セキュリティが強化された Windows Defender Windows Defenderファイアウォールとセキュリティが強化されたファイアウォールの管理」の「セキュリティが強化された Windows Defender ファイアウォールを無効にする」セクションを参照Windows PowerShell。

詳細

セキュリティが強化された Windows ファイアウォールのファイアウォール モード
"[MS-GPFAS]: グループ ポリシー: ファイアウォールと高度なセキュリティ データ構造" 仕様で無効化モードを無効にする
付録 B: "[MS-FASP]: ファイアウォールと高度なセキュリティ プロトコル" 仕様の製品動作 (この付録の FW_PROFILE_CONFIG_DISABLE_STEALTH_MODE を参照) サード パーティの情報についての免責事項

この資料に記載されているサードパーティ製品は、マイクロソフトと関連のない他社の製品です。 明示的か黙示的かにかかわらず、これらの製品のパフォーマンスや信頼性についてマイクロソフトはいかなる責任も負わないものとします。