Включение и отключение ICMP Ping в брандмауэре Windows 10

Протокол ICMP (Internet Control Message Protocol) Ping – это фундаментальный сетевой инструмент, позволяющий администраторам тестировать подключение и диагностировать сетевые проблемы. Несмотря на свою полезность, ICMP может также раскрывать информацию о вашей системе потенциальным злоумышленникам, поэтому брандмауэр Windows 10 по умолчанию блокирует ICMP-запросы.

В этом продвинутом руководстве описаны различные методы включения и отключения ICMP Ping в Windows 10, включая пользовательский интерфейс брандмауэра, команды PowerShell, управление групповой политикой и лучшие практики безопасности.

Зачем контролировать ICMP Ping?

Понимание того, когда разрешать или блокировать ICMP Ping, очень важно для ИТ-специалистов и системных администраторов:

✅ Разрешить ICMP Ping

• Поиск и устранение неисправностей соединения между конечными точками.
• Мониторинг и диагностика сети.
• Определение потерь пакетов и задержек.

⛔ Отключение ICMP Ping

• Уменьшает площадь атаки, предотвращая сканирование сети.
• Защита от атак типа ICMP flood (DoS).
• Повышает безопасность в открытых средах.

⚙️ Тонкая настройка доступа

• Разрешите ICMP только из доверенных диапазонов IP-адресов.
• Применяйте пользовательские правила брандмауэра для детального контроля.

Метод 1 – Включение или отключение ICMP через брандмауэр Windows Defender

Включите ICMP Ping (входящие эхо-запросы)

Открыть настройки брандмауэра

• Нажмите Win R , введите control и нажмите Enter.
• Перейдите в раздел Система и безопасность > Брандмауэр Windows Defender.

Создайте новое правило для входящих сообщений

• Нажмите Расширенные настройки на левой панели.
• Выберите Входящие правила → Новое правило.

Настройка правила ICMP

• Выберите Пользовательское правило → Далее.
• В разделе Программа выберите Все программы → Далее.
• В разделе Протокол и порты выберите ICMPv4 (или ICMPv6 для IPv6).
• Нажмите Customize (Настроить), включите Specific ICMP Types (Определенные типы ICMP) и выберите Echo Request (Эхо-запрос).

Настройка области действия и действия

• Для параметра Область выберите Любой IP-адрес или укажите доверенные диапазоны IP-адресов.
• В разделе Действие выберите Разрешить соединение.

Применить к профилям и сохранить

• Отметьте профили Domain, Private и/или Public.
• Назовите правило, например, Разрешить ICMP Ping → Завершить.

Запретить ICMP Ping

• Откройте брандмауэр Windows Defender с расширенной безопасностью (wf.msc).
• Перейдите в раздел Входящие правила, найдите правило Разрешить ICMP Ping.
• Щелкните правой кнопкой мыши → Отключить правило или Удалить правило.

Метод 2 – Управление ICMP с помощью PowerShell (рекомендуется для автоматизации)

Для сценариев и корпоративных развертываний PowerShell является наиболее эффективным методом.

Включить ICMP Ping

Запретить ICMP Ping

Проверка текущих правил ICMP

Метод 3 – Использование групповой политики для доменных сред

Для корпоративных сред, управляющих несколькими машинами Windows 10:

1. Откройте консоль управления групповой политикой (gpedit.msc).

2. Перейдите к:

   Computer Configuration → Windows Settings → Security Settings →
Windows Defender Firewall → Inbound Rules


3. Создайте новое правило ICMP Echo Request, как указано выше.

4. Используйте развертывание объекта групповой политики (GPO) для применения правил к нескольким конечным точкам.

Соображения безопасности

Разрешение ICMP Ping имеет свои преимущества, но есть и риски:

• Атаки ICMP Flood
  Злоумышленники могут завалить вашу сеть запросами ping.
  → Устранение: Включите ограничение скорости на маршрутизаторах/брандмауэрах.

• Перечисление сетей
  Раскрытие ping-ответов позволяет обнаружить живые узлы.
  → Устранение: Ограничьте ICMP-доступ только для доверенных IP-адресов.

• DMZ / публичные серверы
  Рассмотрите возможность полного отключения ICMP на серверах с внешним доступом, если не требуется диагностика.

Проверка конфигурации ICMP Ping

Откройте командную строку и выполните команду:

• Ответ получен: ICMP включен.

• Запрос отложен: ICMP заблокирован.

Для тестирования IPv6: