Il semble si facile d’activer la version 6 du protocole Internet (IPv6) dans Microsoft Windows, et c’est le cas, si cela ne vous dérange pas d’avoir des interfaces vulnérables installées par défaut. Si ça vous dérange, lisez la suite.

Ces sept rubriques décrivent l’activation d’IPv6 dans les versions héritées de Microsoft Windows:

  1. Activation d’IPv6 dans Windows 7 et Server 2008 R2
  2. Réactivation d’IPv6 dans Windows 7 et Server 2008 R2
  3. Activation d’IPv6 dans Windows Vista et Server 2008
  4. Réactivation d’IPv6 dans Windows Vista et Server 2008
  5. Activation d’IPv6 sous Windows XP avec SP2 ou SP3 et Server 2003
  6. Activation d’IPv6 sous Windows XP avec SP1 ou aucun Service Pack installé (non recommandé)
  7. Activation d’IPv6 sous Windows 2000 (non recommandé)

Activation d’IPv6 dans Windows 7 et Server 2008 R2

Windows 7 et Server 2008 R2 avaient IPv6 activé par défaut. Aucune action n’est requise pour activer IPv6. Le partage de connexion Internet (ICS) est désactivé par défaut et doit être désactivé s’il est activé sur n’importe quelle interface réseau, comme décrit ici. Ils avaient également un client DHCPv6 activé par défaut. Cela peut être considéré comme acceptable ou non. La désactivation du client DHCPv6 sur les versions de serveur est décrite dans la partie 3 : Adressage statique IPv6 et DNSv6 dans l’article Activation d’IPv6 dans les serveurs d’applications Microsoft Windows de la section Infrastructure.

Les lignes de commande suivantes désactiveront certaines interfaces IPv6 vulnérables activées par défaut. Leur utilisation n’est pas requise, mais est recommandée pour une meilleure sécurité. Il est également possible de désactiver ces interfaces vulnérables à l’aide d’objets de stratégie de groupe (GPO) comme décrit dans cet article. (Le .admx et.les fichiers adml qui y sont disponibles ne désactivent pas les interfaces basées sur IP-HTTPS, mais sont par ailleurs à jour.)

netsh interface ipv6 set global randomizeidentifiers=disabled store=persistent
netsh interface ipv6 set privacy state=disabled store=persistent
netsh interface 6to4 set state state=disabled undoonstop=disabled
netsh interface isatap set state disabled
netsh interface teredo set state type=disabled

( Il n’est pas recommandé de laisser le protocole Teredo activé, mais si pour une raison quelconque vous le souhaitez, omettez cette dernière ligne. Vous voudrez probablement également configurer votre propre serveur Teredo car les anciens serveurs Teredo par défaut configurés avec une commande telle que

netsh interface ipv6 set teredo client teredo.ipv6.microsoft.com

ne sont plus pris en charge par Microsoft. Si l’ordinateur que vous configurez fait partie d’un domaine Windows, la commande

netsh interface ipv6 set teredo enterpriseclient

est également nécessaire. Il n’est pas recommandé d’activer Teredo lorsqu’il est connecté à un domaine Windows.)

Les deux premières lignes de commande suppriment une adresse IPv6 globale temporaire générée aléatoirement créée par Windows (mais qui n’est ni utile ni souhaitable lorsque vous avez une véritable adresse IPv6 globale). Notez que cette adresse ne sera pas supprimée avant le prochain redémarrage. Chaque fois qu’un système mobile se déplace vers un autre réseau, ou chaque fois que le réseau auquel le système est connecté est renuméroté, ces commandes doivent être réintégrées.

Les interfaces désactivées seront toujours affichées par la ligne de commande « ipconfig/all », mais leur statut est désactivé. Pour vérifier cela, exécutez les commandes

netsh interface ipv6 show global
netsh interface ipv6 show privacy
netsh interface ipv6 6to4 show state
netsh interface ipv6 isatap show state
netsh interface ipv6 show teredo

Réactivation d’IPv6 dans Windows 7 et Server 2008 R2

Si vous souhaitez réactiver IPv6 dans Windows 7 ou Server 2008 R2, les deux méthodes suivantes ont été fournies par Microsoft. Ceux-ci sont également documentés sur le site Web de Microsoft (consultez l’article de la base de connaissances Microsoft KB 929852 pour plus de détails). Il est également fortement recommandé de vérifier l’état de l’ICS et de le désactiver partout où il est activé, en suivant les conseils fournis par l’Université du Delaware ici.

Il est possible de réactiver IPv6 après qu’il a été désactivé en utilisant l’une des deux méthodes suivantes (selon la façon dont il a été désactivé):

  1. Dans le dossier Connexions réseau, obtenez des propriétés sur toutes vos connexions et adaptateurs et cochez la case en regard du composant Protocole Internet version 6 (TCP/IPv6) dans la liste sous Cette connexion utilise les éléments suivants. Cette méthode active IPv6 sur vos interfaces et connexions LAN, mais n’active pas IPv6 sur les interfaces tunnel ou l’interface de bouclage IPv6. Exécutez les commandes netsh affichées à la fin du 1. Activation d’IPv6 dans la rubrique Windows 7 et Server 2008 R2 pour vérifier que les interfaces vulnérables sont désactivées.
  2. Définissez la valeur de registre suivante (type DWORD) sur 0×8F:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\
    Parameters\DisabledComponents

    Cette méthode active IPv6 sur toutes vos interfaces LAN, connexions, tout en désactivant les interfaces de tunneling IPv6. Vous devez redémarrer l’ordinateur pour que cette valeur de registre prenne effet. DisabledComponents est défini sur 0 par défaut. La méthode 1 ci-dessus peut être utilisée pour activer/ désactiver sélectivement IPv6 sur des connexions et des adaptateurs individuels.

La valeur de registre DisabledComponents est un masque de bits qui contrôle la série d’indicateurs suivante, en commençant par le bit de poids faible (Bit 0):

  1. Bit 0 Défini sur 1 pour désactiver toutes les interfaces de tunnel IPv6, y compris les tunnels ISATAP, 6to4 et Teredo. La valeur par défaut est 0.
  2. Bit 1 Défini sur 1 pour désactiver toutes les interfaces basées sur 6to4. La valeur par défaut est 0.
  3. Bit 2 Défini sur 1 pour désactiver toutes les interfaces basées sur ISATAP. La valeur par défaut est 0.
  4. Bit 3 Défini sur 1 pour désactiver toutes les interfaces basées sur Teredo. La valeur par défaut est 0.
  5. Bit 4 Défini sur 1 pour désactiver IPv6 sur toutes les interfaces non-tunnel, y compris les interfaces LAN et les interfaces basées sur le protocole Point à point (PPP). La valeur par défaut est 0.
  6. Bit 5 Défini sur 1 pour modifier la table de stratégie de préfixe par défaut afin de préférer IPv4 à IPv6 lors d’une tentative de connexion. La valeur par défaut est 0.
  7. Bit 6 Ce bit est réservé pour une utilisation future dans Windows Server 2019 et versions ultérieures. La valeur par défaut est 0.
  8. Bit 7 Défini sur 1 pour désactiver toutes les interfaces basées sur IP-HTTPS. La valeur par défaut est 0.

Pour déterminer la valeur de DisabledComponents pour un ensemble spécifique de bits, construisez un nombre binaire composé des bits et de leurs valeurs dans leur position correcte et convertissez le nombre résultant en hexadécimal. Par exemple, si vous souhaitez désactiver les interfaces 6to4, désactiver les interfaces Teredo et préférer IPv4 à IPv6, vous devez construire le numéro binaire suivant : 00101010. Lorsqu’il est converti en hexadécimal, la valeur de DisabledComponents est 0x2A.

Activation d’IPv6 dans Windows Vista et Server 2008

Windows Vista et Server 2008 avaient IPv6 activé par défaut. Aucune action n’est requise pour activer IPv6. Ils avaient également DHCPv6 activé par défaut. Cela peut être considéré comme acceptable ou non. Les recommandations données dans le 1. Activation d’IPv6 dans Windows 7 et la rubrique Server 2008 R2 s’appliquent.

Réactivation d’IPv6 dans Windows Vista et Server 2008

Les méthodes de réactivation d’IPv6 sont les mêmes que celles indiquées dans le 2. Réactivation d’IPv6 dans Windows 7 et le sujet Server 2008 R2 ci-dessus.

Remarque: Lors de l’utilisation de la méthode 2 dans la 2. Réactivation de l’IPv6 dans les rubriques Windows 7 et Server 2008 R2, les bits 7 et 8 sont tous deux réservés à une utilisation future. La valeur par défaut est 0.

Activation d’IPv6 dans Windows XP SP2 ou SP3 et Server 2003

Dans XP SP2 ou SP3, IPv4 doit être installé pour qu’IPv6 fonctionne.

Dans Windows.NET Server 2003 Enterprise, Enterprise x64, Centre de données, Centre de données x64, Standard, Standard x64, Édition Web, Édition de cluster de calcul R1/R2: toutes les versions. La ligne d’installation ipv6 indiquée ci-dessous n’est pas requise, mais si elle est utilisée, elle activera IPv6 sur toutes les interfaces réseau installées. La ligne de commande

dnscmd /config /EnableIPv6 1

prend entièrement en charge IPv6 dans DNS. REMARQUE: Bien qu’IPv6 soit installé par défaut dans Server 2003, il doit être explicitement activé sur chaque interface réseau. Cela crée un potentiel de vulnérabilités involontaires sur des sites qui ne sont pas compatibles IPv6.

Les lignes de commande ci-dessous activeront IPv6 et désactiveront certaines interfaces IPv6 vulnérables activées par l’installation par défaut. Avant d’entrer ces lignes de commande, exécutez la ligne de commande de désinstallation ipv6, puis redémarrez pour vous assurer d’avoir une bonne configuration initiale connue. Il est également fortement recommandé de vérifier l’état de l’ICS et de le désactiver partout où il est activé, en suivant les conseils fournis par l’Université du Delaware ici. NOTE: Les fichiers d’aide de Microsoft XP sont pour la plupart laissés par XP SP1 et ne sont pas très utiles pour netsh (la manière préférée de modifier la configuration réseau dans SP2 et SP3) et parlent toujours de la commande ipv6 (PAS préférée avec SP2 ou SP3).

ipv6 install
netsh interface ipv6 set privacy state=disabled store=persistent
netsh interface ipv6 6to4 set state state=disabled undoonstop=disabled
netsh interface ipv6 isatap set state disabled
netsh interface ipv6 set state 6over4=disabled v4compat=disabled
netsh interface ipv6 set teredo disabled

( Il n’est pas recommandé de laisser le protocole Teredo activé, mais si pour une raison quelconque vous le souhaitez, omettez cette dernière ligne. Vous voudrez probablement également configurer votre propre serveur Teredo car l’ancien serveur Teredo par défaut configuré avec la commande

netsh interface ipv6 set teredo client teredo.ipv6.microsoft.com

n’est plus pris en charge par Microsoft. Si l’ordinateur que vous configurez fait partie d’un domaine Windows, la commande

netsh interface ipv6 set teredo enterpriseclient

est également nécessaire. Il n’est pas recommandé d’activer Teredo lorsqu’il est connecté à un domaine Windows.)

La deuxième ligne de commande supprime une adresse IPv6 globale temporaire générée aléatoirement créée par Windows XP (mais qui n’est ni utile ni souhaitable lorsque vous avez une véritable adresse IPv6 globale). Notez que cette adresse ne sera pas supprimée avant le prochain redémarrage. Chaque fois qu’un système mobile se déplace vers un autre réseau, ou chaque fois que le réseau auquel le système est connecté est renuméroté, cette commande doit être réactivée.

Les interfaces désactivées seront toujours affichées par la ligne de commande « ipconfig/all », mais leur statut est désactivé. Pour vérifier cela, exécutez les commandes

 netsh interface ipv6 show privacy
netsh interface ipv6 6to4 show state
netsh interface ipv6 isatap show state
netsh interface ipv6 show state
netsh interface ipv6 show teredo

Activation d’IPv6 dans Windows XP SP1 ou aucun Service Pack installé

L’utilisation d’IPv6 n’est pas recommandée. IPv6 fonctionnait presque sous Windows XP avec SP1, mais le pare-feu de connexion Internet (ICF) fourni avec SP1 ne protégeait pas IPv6, sans beaucoup de travail et même alors la protection avait des trous. Cela fonctionnait presque sous Windows XP sans Service Pack installé.

Activation d’IPv6 dans Windows 2000

L’utilisation d’IPv6 n’est pas recommandée. Windows 2000 avec SP4 avait un aperçu de la technologie qui pouvait être installé, mais il était incomplet et difficile à installer.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.