Il ping ICMP (Internet Control Message Protocol) è uno strumento di rete fondamentale che consente agli amministratori di testare la connettività e diagnosticare i problemi di rete. Pur essendo utile, ICMP può anche esporre informazioni sul sistema a potenziali aggressori, motivo per cui il firewall di Windows 10 blocca le richieste ICMP per impostazione predefinita.

Questa guida avanzata illustra diversi metodi per attivare o disattivare ICMP Ping in Windows 10, coprendo l’interfaccia utente del Firewall, i comandi PowerShell, la gestione dei Criteri di gruppo e le best practice di sicurezza.

Perché controllare il Ping ICMP?

Capire quando consentire o bloccare il Ping ICMP è fondamentale per i professionisti IT e gli amministratori di sistema:

abilitare il Ping ICMP

  • Risoluzione dei problemi di connettività tra gli endpoint.
  • Monitoraggio e diagnostica della rete.
  • Identificazione della perdita di pacchetti e della latenza.

disabilitare il ping ICMP

  • Riduce la superficie di attacco impedendo le scansioni di rete.
  • Protegge dagli attacchi ICMP flood (DoS).
  • Migliora la sicurezza negli ambienti esposti.

⚙️ Accesso ottimizzato

  • Consentite ICMP solo da intervalli IP affidabili.
  • Applicare regole Firewall personalizzate per un controllo granulare.

Metodo 1 – Abilitare o disabilitare ICMP tramite Windows Defender Firewall

Abilitare ICMP Ping (richieste di eco in entrata)

Aprire le impostazioni del firewall

  • Premere Win R , digitare control e premere Invio.
  • Andate su Sistema e sicurezza > Windows Defender Firewall.

Creare una nuova regola in entrata

  • Fare clic su Impostazioni avanzate nel pannello di sinistra.
  • Selezionare Regole in entrataNuova regola.

Configurare la regola ICMP

  • Scegliere Regola personalizzataAvanti.
  • In Programmi, selezionare Tutti i programmiAvanti.
  • In Protocollo e porte, selezionare ICMPv4 (o ICMPv6 per IPv6).
  • Fare clic su Personalizza, attivare Tipi specifici di ICMP e selezionare Richiesta di eco.

Impostare l’ambito e l’azione

  • Per Ambito, scegliere Qualsiasi indirizzo IP o specificare intervalli IP affidabili.
  • In Azione, selezionare Consenti la connessione.

Applica ai profili e salva

  • Selezionare i profili Dominio, Privato e/o Pubblico.
  • Assegnare un nome alla regola, ad esempio Consenti Ping ICMPFine.

Disabilita il Ping ICMP

  • Aprire Windows Defender Firewall con Advanced Security (wf.msc).
  • Andare in Regole in entrata e individuare la regola Consenti ICMP Ping.
  • Fare clic con il pulsante destro del mouseDisattiva regola o Elimina regola.

Metodo 2 – Gestire ICMP tramite PowerShell (consigliato per l’automazione)

Per lo scripting e le implementazioni aziendali, PowerShell è il metodo più efficiente.

Abilitare il Ping ICMP

New-NetFirewallRule -DisplayName "Allow ICMPv4-In" `
-Protocol ICMPv4 -IcmpType 8 -Direction Inbound `
-Action Allow

Disabilita Ping ICMP

Get-NetFirewallRule -DisplayName "Allow ICMPv4-In" | Remove-NetFirewallRule

Controllare le regole ICMP correnti

Get-NetFirewallRule | Where-Object {$_.DisplayName -like "*ICMP*"}

Metodo 3 – Utilizzare i Criteri di gruppo per gli ambienti di dominio

Per gli ambienti aziendali che gestiscono più macchine Windows 10:

  1. Aprire la Console di gestione dei Criteri di gruppo (gpedit.msc).

  2. Andare a:

    Computer Configuration → Windows Settings → Security Settings →
    Windows Defender Firewall → Inbound Rules

  3. Creare una nuova regola ICMP Echo Request come sopra.

  4. Utilizzare la distribuzione di oggetti Criteri di gruppo (GPO) per applicare le regole a più endpoint.

Considerazioni sulla sicurezza

Consentire il Ping ICMP ha dei vantaggi, ma ci sono dei rischi:

  • Attacchi ICMP Flood
    Gli aggressori possono sommergere la rete con richieste di ping.
    → Mitigazione: Abilitare la limitazione della velocità sui router/firewall.

  • Enumerazione della rete
    L’esposizione delle risposte ai ping consente di scoprire gli host attivi.
    → Mitigazione: Limitare l’accesso ICMP solo agli IP fidati.

  • DMZ / Server pubblici
    Considerate la possibilità di disabilitare completamente ICMP sui server rivolti all’esterno, a meno che non sia necessaria la diagnostica.

Verifica della configurazione di ICMP Ping

Aprire il prompt dei comandi ed eseguirlo:

ping 8.8.8.8

  • Risposta ricevuta: ICMP è abilitato.

  • Richiesta scaduta: ICMP è bloccato.

Per i test IPv6:

ping -6 2001:4860:4860::8888