zdá se tak snadné povolit Internet Protocol verze 6 (IPv6) v Microsoft Windows, a to je, pokud vám nevadí, že ve výchozím nastavení jsou nainstalována zranitelná rozhraní. Pokud vám to nevadí, čtěte dál.

těchto sedm témat popisuje povolení IPv6 ve starších verzích systému Microsoft Windows:

  1. povolení IPv6 v systémech Windows 7 a Server 2008 R2
  2. opětovné povolení IPv6 v systémech Windows 7 a Server 2008 R2
  3. povolení IPv6 v systémech Windows Vista a Server 2008
  4. opětovné povolení IPv6 v systémech Windows Vista a Server 2008
  5. povolení IPv6 v systémech Windows XP s SP2 nebo SP3 a Server 2003
  6. povolení IPv6 v systému Windows XP s nainstalovanou aktualizací SP1 nebo bez aktualizace Service Pack (nedoporučuje se)
  7. povolení IPv6 v systému Windows 2000 (nedoporučuje se)

povolení IPv6 ve Windows 7 a Server 2008 R2

Windows 7 a Server 2008 R2 měly povolenou IPv6 ve výchozím nastavení. K povolení IPv6 není nutná žádná akce. Sdílení připojení k internetu (ICS) je ve výchozím nastavení zakázáno a mělo by být zakázáno, pokud bude zjištěno, že je povoleno na jakémkoli síťovém rozhraní, jak je popsáno zde. Oni také měli DHCPv6 klient povolen ve výchozím nastavení. To může nebo nemusí být považováno za přijatelné. Zakázání klienta DHCPv6 ve verzích serveru je popsáno v části 3: statické adresování IPv6 a DNSv6 v článku povolení IPv6 v aplikačních serverech Microsoft Windows v části infrastruktura.

následující příkazové řádky zakážou některá zranitelná rozhraní IPv6, která jsou ve výchozím nastavení povolena. Jejich použití není nutné, ale doporučuje se pro lepší bezpečnost. Je také možné zakázat tato zranitelná rozhraní pomocí objektů zásad skupiny (GPO), jak je popsáno v tomto článku. (Det .admx a .soubory adml, které jsou k dispozici, nezakazují rozhraní založená na IP-HTTPS, ale jsou jinak aktuální.)

netsh interface ipv6 set global randomizeidentifiers=disabled store=persistent
netsh interface ipv6 set privacy state=disabled store=persistent
netsh interface 6to4 set state state=disabled undoonstop=disabled
netsh interface isatap set state disabled
netsh interface teredo set state type=disabled

(nedoporučuje se ponechat protokol Teredo povolený, ale pokud z nějakého důvodu chcete, vynechejte poslední řádek. Pravděpodobně budete také chtít nakonfigurovat svůj vlastní server Teredo, protože staré výchozí servery Teredo nakonfigurované pomocí příkazu, jako je

netsh interface ipv6 set teredo client teredo.ipv6.microsoft.com

, již společnost Microsoft nepodporuje. Pokud je počítač, který konfigurujete, součástí domény systému Windows, je také nutný příkaz

netsh interface ipv6 set teredo enterpriseclient

. Nedoporučuje se povolit Teredo při připojení k doméně systému Windows.)

první dva příkazové řádky odstraní dočasnou náhodně generovanou globální adresu IPv6, kterou systém Windows vytvoří (ale která není užitečná ani žádoucí, pokud máte skutečnou globální adresu IPv6). Tato adresa nebude odstraněna až do dalšího restartu. Kdykoli se mobilní systém přesune do jiné sítě nebo kdykoli je síť, ke které je systém připojen, přečíslována, musí být tyto příkazy znovu zadány.

zakázaná rozhraní budou stále zobrazena příkazovým řádkem „ipconfig / all“, ale jejich stav je zakázán. Chcete-li to ověřit, spusťte příkazy

netsh interface ipv6 show global
netsh interface ipv6 show privacy
netsh interface ipv6 6to4 show state
netsh interface ipv6 isatap show state
netsh interface ipv6 show teredo

znovu povolte IPv6 ve Windows 7 a Server 2008 R2

pokud chcete znovu povolit IPv6 ve Windows 7 nebo Server 2008 R2, společnost Microsoft poskytla následující dvě metody. Ty jsou také zdokumentovány na webových stránkách společnosti Microsoft (podívejte se na Microsoft knowledge base článek KB 929852 článek pro více informací). Důrazně se také doporučuje zkontrolovat stav ICS a deaktivovat jej všude tam, kde je povolen, podle pokynů poskytnutých University of Delaware zde.

je možné znovu povolit IPv6 po jeho deaktivaci pomocí jedné z následujících dvou metod (v závislosti na tom, jak byl deaktivován):

  1. ve složce síťová připojení získáte vlastnosti na všech svých připojeních a adaptérech a zaškrtněte políčko vedle komponenty Internet Protocol verze 6 (TCP/IPv6) v seznamu pod tímto připojením se používají následující položky. Tato metoda umožňuje IPv6 na vašich Lan rozhraních a připojeních, ale neumožňuje IPv6 na tunelových rozhraních nebo rozhraní IPv6 loopback. Spusťte příkazy netsh zobrazené na konci 1. Povolení IPv6 v tématu Windows 7 a Server 2008 R2 k ověření, že zranitelná rozhraní jsou zakázána.
  2. nastavte následující hodnotu registru (Typ DWORD) na 0×8F:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\
    Parameters\DisabledComponents

    tato metoda umožňuje IPv6 na všech vašich Lan rozhraních, připojeních a zároveň deaktivuje rozhraní tunelování IPv6. Aby se tato hodnota registru projevila, musíte restartovat počítač. DisabledComponents je ve výchozím nastavení nastaven na 0. Metoda 1 výše může být použita k selektivnímu zapnutí / vypnutí IPv6 na jednotlivých připojeních a adaptérech.

hodnota registru DisabledComponents je bitová maska, která řídí následující řadu příznaků, počínaje bitem nízkého řádu (Bit 0):

  1. Bit 0 nastaven na hodnotu 1 pro vypnutí všech rozhraní tunelu IPv6, včetně tunelů ISATAP, 6to4 a Teredo. Výchozí hodnota je 0.
  2. Bit 1 nastaven na 1 pro deaktivaci všech rozhraní založených na 6to4. Výchozí hodnota je 0.
  3. Bit 2 nastaven na hodnotu 1 pro vypnutí všech rozhraní založených na ISATAP. Výchozí hodnota je 0.
  4. Bit 3 nastaven na hodnotu 1 pro deaktivaci všech rozhraní založených na Teredu. Výchozí hodnota je 0.
  5. Bit 4 nastaven na hodnotu 1 pro vypnutí IPv6 přes všechna rozhraní mimo tunel, včetně rozhraní LAN a rozhraní založených na protokolu point-to-Point (PPP). Výchozí hodnota je 0.
  6. Bit 5 nastaven na hodnotu 1 pro úpravu výchozí tabulky zásad prefixu tak, aby při pokusu o připojení upřednostňovala IPv4 před IPv6. Výchozí hodnota je 0.
  7. Bit 6 tento bit je vyhrazen pro budoucí použití v systému Windows Server 2019 a novějších. Výchozí hodnota je 0.
  8. Bit 7 nastaven na hodnotu 1 pro deaktivaci všech rozhraní založených na protokolu IP-HTTPS. Výchozí hodnota je 0.

Chcete-li určit hodnotu Zakázanýchkomponenty pro určitou sadu bitů, vytvořte binární číslo sestávající z bitů a jejich hodnot ve správné poloze a výsledné číslo převeďte na hexadecimální. Pokud například chcete zakázat rozhraní 6to4, zakázat rozhraní Teredo a upřednostňovat IPv4 před IPv6, vytvořili byste následující binární číslo: 00101010. Při převodu na hexadecimální je hodnota DisabledComponents 0x2A.

povolení IPv6 ve Windows Vista a Server 2008

Windows Vista a Server 2008 měly ve výchozím nastavení povoleno IPv6. K povolení IPv6 není nutná žádná akce. Oni také měli DHCPv6 ve výchozím nastavení. To může nebo nemusí být považováno za přijatelné. Doporučení uvedená v 1. Povolení IPv6 v systému Windows 7 a Server 2008 R2 platí téma.

opětovné povolení IPv6 v systémech Windows Vista a Server 2008

metody opětovného povolení IPv6 jsou stejné jako metody uvedené v 2. Opětovné povolení IPv6 v tématu Windows 7 a Server 2008 R2 výše.

Poznámka: Při použití metody 2 v 2. Opětovné povolení IPv6 v tématu Windows 7 a Server 2008 R2, bity 7 a 8 jsou vyhrazeny pro budoucí použití. Výchozí hodnota je 0.

povolení IPv6 v systému Windows XP SP2 nebo SP3 a Server 2003

v systému XP SP2 nebo SP3 musí být IPv4 nainstalován, aby IPv6 fungoval.

V Systému Windows.NET Server 2003 Enterprise, Enterprise x64, Datacenter, Datacenter x64, Standard, Standard x64, Web edition, Compute Cluster Edition R1 / R2: všechny verze. Níže uvedený instalační řádek ipv6 není vyžadován, ale pokud bude použit, povolí IPv6 na všech nainstalovaných síťových rozhraních. Příkazový řádek

dnscmd /config /EnableIPv6 1

bude plně podporovat IPv6 v DNS. Poznámka: přestože je IPv6 ve výchozím nastavení nainstalován v Serveru 2003, musí být explicitně povolen na každém síťovém rozhraní. To vytváří potenciál pro nezamýšlené chyby zabezpečení na webech, které nejsou povoleny IPv6.

níže uvedené příkazové řádky povolí IPv6 a deaktivují některá zranitelná rozhraní IPv6, která jsou povolena při výchozí instalaci. Před zadáním těchto příkazových řádků spusťte příkazový řádek odinstalace ipv6 a poté restartujte počítač, abyste se ujistili, že máte známou dobrou počáteční konfiguraci. Důrazně se také doporučuje zkontrolovat stav ICS a deaktivovat jej všude tam, kde je povolen, podle pokynů poskytnutých University of Delaware zde. POZNÁMKA: Soubory nápovědy Microsoft XP jsou většinou ponechány z XP SP1 a nejsou velkou pomocí pro netsh (preferovaný způsob provádění změn konfigurace sítě v SP2 a SP3) a stále mluví o příkazu ipv6(není preferován u SP2 nebo SP3).

ipv6 install
netsh interface ipv6 set privacy state=disabled store=persistent
netsh interface ipv6 6to4 set state state=disabled undoonstop=disabled
netsh interface ipv6 isatap set state disabled
netsh interface ipv6 set state 6over4=disabled v4compat=disabled
netsh interface ipv6 set teredo disabled

(nedoporučuje se ponechat protokol Teredo povolený, ale pokud z nějakého důvodu chcete, vynechejte poslední řádek. Pravděpodobně budete také chtít nakonfigurovat svůj vlastní server Teredo, protože starý výchozí server Teredo nakonfigurovaný příkazem

netsh interface ipv6 set teredo client teredo.ipv6.microsoft.com

již společnost Microsoft nepodporuje. Pokud je počítač, který konfigurujete, součástí domény systému Windows, je také nutný příkaz

netsh interface ipv6 set teredo enterpriseclient

. Nedoporučuje se povolit Teredo při připojení k doméně systému Windows.)

druhý příkazový řádek odstraní dočasnou náhodně generovanou globální IPv6 adresu, kterou systém Windows XP vytvoří (ale která není užitečná ani žádoucí, pokud máte skutečnou globální IPv6 adresu). Tato adresa nebude odstraněna až do dalšího restartu. Kdykoli se mobilní systém přesune do jiné sítě nebo kdykoli je síť, ke které je systém připojen, přečíslována, musí být tento příkaz znovu zadán.

zakázaná rozhraní budou stále zobrazena příkazovým řádkem „ipconfig / all“, ale jejich stav je zakázán. Chcete-li to ověřit, spusťte příkazy

 netsh interface ipv6 show privacy
netsh interface ipv6 6to4 show state
netsh interface ipv6 isatap show state
netsh interface ipv6 show state
netsh interface ipv6 show teredo

povolení IPv6 v systému Windows XP SP1 nebo žádná aktualizace Service Pack nainstalována

použití IPv6 se nedoporučuje. IPv6 téměř pracoval v systému Windows XP s SP1, ale Firewall Pro připojení k internetu (ICF), který byl dodán s SP1, nechránil IPv6, bez velké práce a dokonce i ochrana měla díry. Téměř to fungovalo v systému Windows XP bez nainstalované aktualizace Service Pack.

povolení IPv6 v systému Windows 2000

použití IPv6 se nedoporučuje. Windows 2000 s SP4 měl náhled technologie, který lze nainstalovat, ale byl neúplný a těžko se instaloval.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.