Auf Englisch lesen

Freigeben über


Deaktivieren des Stealth-Modus in Windows

In diesem Artikel wird erläutert, wie Sie den Stealth-Modus deaktivieren (ein Feature der Windows-Filterplattform).

Ursprüngliche KB-Nummer: 2586744

Einführung

Windows Server- oder Windows-Clientcomputer senden keine TCP-Zurücksetzungsnachrichten (Transmission Control Protocol) (RST)-Nachrichten oder unerreichbare ICMP-Pakete (Internet Control Message Protocol) über einen Port, der nicht über eine Überwachungsanwendung verfügt. Mehrere Anwendungen basieren auf dem Verhalten, das in RFC 793 beschrieben wird: "Generation zurücksetzen", Seite 35f. Für diese Anwendungen ist das TCP RST-Paket oder das nicht erreichbare ICMP-Paket als Antwort erforderlich, wenn sie auf einen Port klopfen, der keinen Listener hat. Wenn sie diese Antwort nicht erhalten, können die Anwendungen unter Windows möglicherweise nicht ordnungsgemäß ausgeführt werden. In der Regel besteht die Auswirkung dieser Abhängigkeit darin, dass der Stealth-Modus dazu führen kann, dass normale TCP-Anwendungen eine 20-Sekunden-Verzögerung für normale TCP-Anwendungen erneut herstellen, wenn der Remotepeer den Verbindungsstatus verliert und dass das Benachrichtigungspaket den Client nicht erreicht. Ein Beispiel für dieses Verhalten ist Lotus Notes Client. Der Client kann für die Verwendung verschiedener Lotus Notes-Server konfiguriert werden. Wenn der Dienst nicht auf dem ersten konfigurierten Server ausgeführt wird, wechselt der Client sofort zum zweiten Server, wenn er einen TCP RESET-Befehl empfängt. Wenn der Stealth-Modus aktiviert ist, wird kein TCP RESET vom Client empfangen. Der Client wartet dann, bis die letzte SYN-Neuübertragung auf ein Timeout zurückgeht, bevor er den nächsten Server in der Liste versucht.

Ursache

Für Ports, für die keine Anwendung lauscht, blockiert das Stealth-Modus-Feature das ausgehende ICMP unerreichbare Pakete und TCP RST-Nachrichten.
Der Stealth-Modus gilt auch für die Endpunkte, die sich aufgrund eines Überlaufs im Listenbacklogparameter in einem angehaltenen Zustand befinden.

Lösung

Der Warnschutzmodus ist ein wichtiges Sicherheitsfeature. Durch das Deaktivieren kann der Computer anfällig für Angriffe sein, auch in verwalteten Unternehmensdomänennetzwerken und hinter Edgefirewalls. Daher wird dringend empfohlen, den Stealth-Modus aktiv zu halten und nur dann zu deaktivieren, wenn er erforderlich ist.

Achtung

Folgen Sie den Schritten in diesem Abschnitt sorgfältig. Wird die Registrierung falsch angepasst, können schwerwiegende Probleme auftreten. Bevor Sie sie ändern, sichern Sie die Registrierung zwecks Wiederherstellung für den Fall, dass Probleme auftreten.

Der Stealth-Modus ist ein Kernsicherheitsfeature. Für eine bestimmte Konfiguration sollte der Stealth-Modus aktiviert bleiben, es sei denn, es gibt ein starkes, gültiges Argument zum Deaktivieren.
Der Stealth-Modus kann mit einer der folgenden Methoden deaktiviert werden:

  • Sie können das Schlüsselwort DisableStealthMode im CSP des Firewallkonfigurationsdienstanbieters) mithilfe von Microsoft Intune oder einem anderen Mobilen Geräteverwaltung System festlegen.
  • Ein unabhängiger Softwareanbieter (ISV) kann die WFP-API (Windows-Filterplattform) verwenden, um die Stealth-Filter durch proprietäre Filter zu ersetzen.
  • Sie können die Firewall für alle Profile deaktivieren. (Diese Methode wird nicht empfohlen.)
  • Sie können einem der folgenden Registrierungsunterschlüssel einen "disable"-Wert hinzufügen: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\DomainProfile HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\PublicProfile HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\StandardProfile HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile

Hinweis

Im Abschnitt "Richtlinie" der Softwarestruktur wird der StandardProfile-Eintrag nur verwendet, wenn weiterhin ein Legacy-Firewall-GPO vorhanden ist.

Fügen Sie in beiden Unterschlüsseln den folgenden Wert hinzu:
Wert: DisableStealthMode
Typ: REG_DWORD
Daten: 0x00000000 (Standard – StealthMode aktiviert) 0x00000001 (StealthMode deaktiviert)

Achtung

Der Stealth-Modus kann nicht durch Deaktivieren des Firewalldiensts (MpsSvc) deaktiviert werden. Dies ist eine nicht unterstützte Konfiguration. Weitere Informationen finden Sie im Abschnitt "Deaktivieren der Windows Defender-Firewall mit erweiterter Sicherheit" unter "Windows Defender Firewall mit erweiterter Sicherheitsverwaltung mit Windows PowerShell".

Weitere Informationen

Stealth-Modus in der Windows-Firewall mit erweiterter Sicherheit
Deaktivieren des Stealth-Modus in der Spezifikation "[MS-GPFAS]: Gruppenrichtlinie: Firewall und Erweiterte Sicherheitsdatenstruktur"
Anhang B: Produktverhalten in der Spezifikation "[MS-FASP]: Firewall and Advanced Security Protocol" (suchen Sie in diesem Anhang nach FW_PROFILE_CONFIG_DISABLE_STEALTH_MODE).

Informationen zum Haftungsausschluss von Drittanbietern

Die in diesem Artikel genannten Drittanbieterprodukte stammen von Herstellern, die von Microsoft unabhängig sind. Microsoft gewährt keine implizite oder sonstige Garantie in Bezug auf die Leistung oder Zuverlässigkeit dieser Produkte.