Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article explique comment désactiver le mode furtif (fonctionnalité de plateforme de filtrage Windows).
Numéro de base de connaissances d’origine : 2586744
Introduction
Les ordinateurs clients Windows Server ou Windows n’envoient pas de messages de réinitialisation TCP (Transmission Control Protocol) ou icMP (Internet Control Message Protocol) inaccessibles sur un port qui n’a pas d’application d’écoute. Plusieurs applications s’appuient sur le comportement décrit dans RFC 793, « Réinitialiser la génération », page 35f. Ces applications nécessitent le paquet TCP RST ou le paquet ICMP inaccessible en réponse s’ils frappent sur un port qui n’a pas d’écouteur. S’ils ne reçoivent pas cette réponse, les applications peuvent ne pas être en mesure de s’exécuter correctement sur Windows. En règle générale, l’effet de cette dépendance est que le mode furtif peut entraîner un délai de 20 secondes pour que les applications TCP régulières se reconnectent si l’homologue distant perd l’état de connexion et que ce paquet de notification n’atteint pas le client. Un exemple de ce comportement est Lotus Notes Client. Le client peut être configuré pour utiliser différents serveurs Lotus Notes. Si le service n’est pas en cours d’exécution sur le premier serveur configuré, le client bascule immédiatement vers le deuxième serveur s’il reçoit une commande TCP RESET. Si le mode furtif est activé, aucune RÉINITIALISATION TCP n’est reçue par le client. Le client attend ensuite que le dernier réécriture SYN expire avant d’essayer le serveur suivant dans la liste.
Cause
Pour les ports sur lesquels aucune application n’écoute, la fonctionnalité en mode furtif bloque les messages ICMP inachables sortants et TCP RST.
Le mode furtif s’applique également aux points de terminaison qui sont dans un état suspendu en raison d’un dépassement dans le paramètre de backlog d’écoute.
Résolution
Le mode furtif d’avertissement est une fonctionnalité de sécurité importante. La désactivation peut rendre l’ordinateur vulnérable aux attaques, même dans les réseaux de domaine d’entreprise gérés et derrière les pare-feu de périphérie. Par conséquent, nous vous recommandons vivement de conserver le mode furtif actif et de le désactiver uniquement s’il est nécessaire.
Attention
Suivez attentivement les étapes décrites dans cette section. De graves problèmes peuvent se produire si vous modifiez le Registre de façon incorrecte. Avant de le modifier, sauvegardez le Registre afin de pouvoir le restaurer en cas de problème.
Le mode furtif est une fonctionnalité de sécurité principale. Pour toute configuration donnée, le mode furtif doit rester activé, sauf s’il existe un argument fort et valide pour la désactiver.
Le mode furtif peut être désactivé à l’aide de l’une des méthodes suivantes :
- Vous pouvez définir le mot clé DisableStealthMode dans le fournisseur de services de configuration de pare-feu CSP) à l’aide de Microsoft Intune ou d’un autre système mobile Gestion des appareils.
- Un fournisseur de logiciels indépendant (ISV) peut utiliser l’API de plateforme de filtrage Windows (PAM) pour remplacer les filtres furtifs par des filtres propriétaires.
- Vous pouvez désactiver le pare-feu pour tous les profils. (Nous ne recommandons pas cette méthode.)
- Vous pouvez ajouter une valeur « disable » à l’un des ensembles de sous-clés de Registre suivants :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\DomainProfile HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\PublicProfile HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\StandardProfile HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
Note
Dans la section « Stratégie » de la ruche logicielle, l’entrée StandardProfile est utilisée uniquement si un objet de stratégie de groupe de pare-feu hérité existe toujours.
Dans l’un ou l’autre ensemble de sous-clés, ajoutez la valeur suivante :
Valeur : DisableStealthMode
Type : REG_DWORD
Données : 0x00000000 (valeur par défaut - StealthMode activé) 0x00000001 (StealthMode désactivé)
Attention
Le mode furtif ne peut pas être désactivé en désactivant le service de pare-feu (MpsSvc). Cette configuration n’est pas prise en charge. Pour plus d’informations, consultez la section « Désactiver le Pare-feu Windows Defender avec sécurité avancée » de « Pare-feu Windows Defender avec Administration avancée de la sécurité avec Windows PowerShell ».
Plus d’informations
Mode furtif dans le Pare-feu Windows avec Advanced Security
Désactiver le mode furtif dans la spécification « [MS-GPFAS] : Stratégie de groupe : Pare-feu et structure de données de sécurité avancée »
Annexe B : Comportement du produit dans la spécification « [MS-FASP] : Pare-feu et protocole de sécurité avancé » (recherchez FW_PROFILE_CONFIG_DISABLE_STEALTH_MODE dans cette annexe)
Exclusion de responsabilité de tiers
Les produits tiers mentionnés dans le présent article sont fabriqués par des sociétés indépendantes de Microsoft. Microsoft exclut toute garantie, implicite ou autre, concernant les performances ou la fiabilité de ces produits.