この記事では、ステルス モード (Windows フィルタリング プラットフォーム機能) を無効にする方法について説明します。
元の KB 番号: 2586744
はじめに
Windows Server または Windows クライアント コンピューターは、リッスンしているアプリケーションがないポート間で、伝送制御プロトコル (TCP) リセット (RST) メッセージまたはインターネット制御メッセージ プロトコル (ICMP) 到達不能パケットを送信しません。 複数のアプリケーションは、 RFC 793「生成のリセット」ページ 35f で説明されている動作に依存しています。 これらのアプリケーションでは、リスナーのないポートをノックした場合、応答として TCP RST パケットまたは ICMP 到達不能パケットが必要です。 この応答を受け取らない場合、アプリケーションは Windows で正しく実行できない可能性があります。 通常、この依存関係の影響は、リモート ピアが接続状態を失い、通知パケットがクライアントに到達しない場合に、通常の TCP アプリケーションが再接続するために 20 秒の遅延が発生する可能性があります。 この動作の 1 つの例は、Lotus Notes クライアントです。 クライアントは、異なる Lotus Notes サーバーを使用するように構成できます。 サービスが最初に構成されたサーバーで実行されていない場合、クライアントは TCP RESET コマンドを受け取ると、すぐに 2 番目のサーバーに切り替わります。 ステルス モードが有効になっている場合、クライアントは TCP RESET を受信しません。 その後、クライアントは、最後の SYN 再送信がタイムアウトするまで待機してから、リスト内の次のサーバーを試行します。
原因
アプリケーションがリッスンしないポートの場合、ステルス モード機能は送信 ICMP 到達不能パケットおよび TCP RST メッセージをブロックします。
ステルス モードは、リッスン バックログ パラメーターのオーバーランが原因で一時停止状態になっているエンドポイントにも適用されます。
解決方法
警告ステルス モードは重要なセキュリティ機能です。 これを無効にすると、マネージド企業ドメイン ネットワークやエッジ ファイアウォールの内側であっても、コンピューターが攻撃に対して脆弱になる可能性があります。 そのため、ステルス モードをアクティブのままにし、必要な場合にのみ無効にすることを強くお勧めします。
注意事項
慎重にこのセクションの手順に従います。 レジストリを正しく変更しないと、重大な問題が発生する可能性があります。 変更する前に、問題が発生した場合に復元するためにレジストリをバックアップします。
ステルス モードは、主要なセキュリティ機能です。 特定の構成では、無効にするための強力で有効な引数がない限り、ステルス モードは有効なままにする必要があります。
ステルス モードは、次のいずれかの方法を使用して無効にすることができます。
- Microsoft Intune または別の Mobile デバイス管理 システムを使用して、DisableStealthMode ファイアウォール構成サービス プロバイダー CSP) のキーワードを設定できます。
- 独立系ソフトウェア ベンダー (ISV) は、Windows フィルタリング プラットフォーム (WFP) API を使用して、ステルス フィルターを独自のフィルターに置き換えることができます。
- すべてのプロファイルのファイアウォールを無効にすることができます。 (この方法はお勧めしません)。
- 次のいずれかのレジストリ サブキー セットに "disable" 値を追加できます。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\DomainProfile HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\PublicProfile HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\StandardProfile HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
Note
[Software hive "Policy" セクションで、 StandardProfile エントリは、レガシ ファイアウォール GPO がまだ存在する場合にのみ使用されます。
いずれかのサブキーのセットで、次の値を追加します。
値: DisableStealthMode
型: REG_DWORD
データ: 0x00000000 (既定値 - ステルス モードが有効) 0x00000001 (ステルス モードが無効)
注意事項
ファイアウォール サービス (MpsSvc) を無効にして、ステルス モードを非アクティブ化することはできません。 このような構成はサポートされていません。 詳細については、「Windows PowerShell を使用したセキュリティが強化された Windows Defender ファイアウォールセキュリティが強化された Windows Defender ファイアウォールの」セクションを参照してください。
詳細
セキュリティが強化された Windows ファイアウォールのステルス モード
[MS-GPFAS]: グループ ポリシー: ファイアウォールと高度なセキュリティ データ構造の仕様で ステルス モードを無効にする
付録 B: "[MS-FASP]: ファイアウォールと高度なセキュリティ プロトコル" 仕様の製品の動作 (この付録のFW_PROFILE_CONFIG_DISABLE_STEALTH_MODEを参照)
サードパーティの情報に関する免責事項
この資料に記載されているサードパーティ製品は、マイクロソフトと関連のない他社の製品です。 明示的か黙示的かにかかわらず、これらの製品のパフォーマンスや信頼性についてマイクロソフトはいかなる責任も負わないものとします。