在 Windows 中禁用隐藏模式

本文讨论如何) 禁用隐藏模式 (Windows 筛选平台功能。

原始产品版本:   Windows 7 Service Pack 1、Windows Server 2012 R2
原始 KB 数:   2586744

介绍

Windows Server 或 Windows 客户端计算机不会将传输控制协议 (TCP) 重置 (RST) 邮件或 Internet 控制邮件协议 (ICMP) 无法通过没有侦听应用程序的端口访问数据包。 多个应用程序依赖 RFC 793"重置生成" 页面35f 中所述的行为。 如果将 TCP RST 数据包或 ICMP 不可访问的数据包带到没有侦听器的端口,这些应用程序将需要它作为响应。 如果没有收到此响应,应用程序可能无法在 Windows Server 2008 R2 或 Windows 7 上正常运行。 通常情况下,此依赖项的效果是,如果远程对等方失去连接状态且通知数据包不能访问客户端,则隐形模式可能会导致常规 TCP 应用程序重新连接的时间为20秒。 此行为的一个示例是 Lotus Notes 客户端。 可以将客户端配置为使用不同的 Lotus Notes 服务器。 如果该服务未在第一个配置的服务器上运行,则客户端会在收到 TCP 重置命令时立即切换到第二台服务器。 如果启用了隐形模式,客户端将不会收到 TCP 重置。 然后,客户端会等待上次 SYN 重新传输超时,然后才会尝试列表中的下一台服务器。

原因

对于没有应用程序侦听的端口,隐形模式功能将阻止传出 ICMP 无法到达的数据包和 TCP RST 消息。 隐形模式也适用于处于暂停状态的终结点,因为 "侦听积压工作" 参数溢出。

解决方案

警告隐形模式是一项重要的安全功能。 禁用它可能会使计算机容易受到攻击,即使在托管公司的域网络中和边缘防火墙之后也是如此。 因此,强烈建议您将隐藏模式保持为活动状态,并仅在需要时才将其禁用。

警告请仔细遵循本节中的步骤。 对注册表修改不当可能会导致严重问题。 修改之前,备份注册表以便在发生问题时进行还原

隐形模式是一种核心安全功能。 对于任何给定的配置,隐藏模式应始终处于启用状态,除非存在用于禁用它的强有效参数。 可以使用以下任一方法禁用隐形模式:

  • 您可以使用 Microsoft Intune 或其他移动设备管理系统在防火墙配置服务提供程序 CSP) 中设置 DisableStealthMode 关键字。
  • 独立软件供应商 (ISV) 可以使用 Windows 筛选平台 (WFP) API 将隐匿筛选器替换为专有筛选器。
  • 您可以对所有配置文件禁用防火墙。 (我们不建议采用此方法。 )
  • 可以向以下任一组注册表子项中添加 "禁用" 值: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\DomainProfile HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\PublicProfile HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\StandardProfile** **HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile 注意在软件配置单元 "Policy" 一节中,仅当旧防火墙 GPO 仍然存在时,才使用 StandardProfile 条目。

在这两组子项中,添加以下值: Value: DisableStealthMode Type: REG_DWORD Data: **0X00000000 () 0x00000001 (StealthMode disabled) ** 警告无法通过禁用 (MpsSvc) 中的防火墙服务来停用隐形模式。 这是一个不受支持的配置。 有关详细信息,请参阅 "使用 Windows PowerShell 进行高级安全管理" 的 Windows Defender 防火墙中的 "禁用高级安全 Windows Defender 防火墙" 部分。

更多信息

Windows 防火墙中的隐形模式(高级安全)在 "[GPFAS]:组策略:防火墙和高级安全数据结构" 规范中 禁用隐藏模式 。规范 附录 B: "[ms-FASP]: firewall and advanced Security Protocol" 规范中的产品行为 (查找本附录中的 FW_PROFILE_CONFIG_DISABLE_STEALTH_MODE) 第三方信息免责声明

本文中提到的第三方产品由 Microsoft 以外的其他公司提供。 Microsoft 不对这些产品的性能或可靠性提供任何明示或暗示性担保。