Windows でステルス モードを無効にする

  • [アーティクル]

この記事では、ステルス モード (Windows フィルタリング プラットフォーム機能) を無効にする方法について説明します。

適用対象: Windows 7、Windows Server 1、Windows Server 2012 R2
元の KB 番号: 2586744

概要

Windows Server または Windows クライアント コンピューターは、伝送制御プロトコル (TCP) リセット (RST) メッセージまたはインターネット制御メッセージ プロトコル (ICMP) に到達できないパケットを、リッスンしているアプリケーションがないポート経由で送信しません。 一部のアプリケーションは、 RFC 793 の「生成のリセット」ページ 35f で説明されている動作に依存しています。 これらのアプリケーションでは、リスナーのないポートをノックする場合は、応答として TCP RST パケットまたは ICMP 到達不能パケットが必要です。 この応答を受け取らないと、アプリケーションが Windows で正しく実行できない可能性があります。 通常、この依存関係の影響は、リモート ピアが接続状態を失い、通知パケットがクライアントに到達しない場合に、通常の TCP アプリケーションが再接続するために 20 秒の遅延が発生する可能性があります。 この動作の 1 つの例は、Lotus Notes クライアントです。 クライアントは、異なる Lotus Notes サーバーを使用するように構成できます。 サービスが最初に構成されたサーバーで実行されていない場合、クライアントは TCP RESET コマンドを受け取ると、すぐに 2 番目のサーバーに切り替わります。 ステルス モードが有効になっている場合、クライアントは TCP RESET を受信しません。 次に、クライアントは最後の SYN 再送信がタイムアウトするまで待ってから、リスト内の次のサーバーを試行します。

原因

アプリケーションがリッスンしないポートの場合、ステルス モード機能は送信 ICMP 到達不能パケットと TCP RST メッセージをブロックします。
また、リッスン バックログ パラメーターのオーバーランが原因で一時停止状態になっているエンドポイントにも、ステルス モードが適用されます。

解決方法

警告ステルス モードは重要なセキュリティ機能です。 これを無効にすると、マネージド企業ドメイン ネットワークやエッジ ファイアウォールの内側でも、コンピューターが攻撃に対して脆弱になる可能性があります。 そのため、必要な場合にのみ、ステルス モードをアクティブにし、無効にすることを強くお勧めします。

注意

このセクションの手順の実行には注意が必要です。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 変更する前に、問題の発生に備えて復元用にレジストリのバックアップを作成してください。

ステルス モードは、主要なセキュリティ機能です。 特定の構成の場合、無効にするための強力で有効な引数がない限り、ステルス モードは有効なままにする必要があります。
次のいずれかの方法を使用して、ステルス モードを無効にすることができます。

  • Microsoft Intuneまたは別の Mobile デバイス管理 システムを使用して、ファイアウォール構成サービス プロバイダー CSP) で DisableStealthMode キーワード (keyword)を設定できます。
  • 独立系ソフトウェア ベンダー (ISV) は、Windows フィルタリング プラットフォーム (WFP) API を使用して、ステルス フィルターを独自のフィルターに置き換えることができます。
  • すべてのプロファイルのファイアウォールを無効にすることができます。 (この方法はお勧めしません。
  • 次のいずれかのレジストリ サブキー セットに "disable" 値を追加できます。 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\DomainProfile HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\PublicProfile HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\StandardProfile HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile

注:

[ソフトウェア ハイブ "ポリシー" セクションでは、従来のファイアウォール GPO がまだ存在する場合にのみ StandardProfile エントリが使用されます。

いずれかのサブキーのセットで、次の値を追加します。
値: DisableStealthMode
型: REG_DWORD
データ: 0x00000000 (既定値 - StealthMode が有効) 0x00000001 (StealthMode が無効)

注意

ファイアウォール サービス (MpsSvc) を無効にして、ステルス モードを非アクティブ化することはできません。 これはサポートされていない構成です。 詳細については、「Windows PowerShellを使用した高度なセキュリティ管理を使用したファイアウォールのWindows Defender」の「セキュリティが強化されたWindows Defender ファイアウォールを無効にする」セクションを参照してください。

詳細

セキュリティが強化された Windows ファイアウォールのステルス モード
"[MS-GPFAS]: グループ ポリシー: ファイアウォールと高度なセキュリティ データ構造" 仕様でステルス モードを無効にする
付録 B: "[MS-FASP]: ファイアウォールと高度なセキュリティ プロトコル" 仕様の製品の動作 (この付録でFW_PROFILE_CONFIG_DISABLE_STEALTH_MODEを探してください)

サードパーティの情報に関する免責事項

この資料に記載されているサードパーティ製品は、マイクロソフトと関連のない他社の製品です。 明示的か黙示的かにかかわらず、これらの製品のパフォーマンスや信頼性についてマイクロソフトはいかなる責任も負わないものとします。