Sembra così facile abilitare Internet Protocol versione 6 (IPv6) in Microsoft Windows, e lo è, se non ti dispiace avere interfacce vulnerabili installate di default. Se ti dispiace, continua a leggere.
Questi sette argomenti descrivono l’abilitazione di IPv6 nelle versioni precedenti di Microsoft Windows:
- Attivazione di IPv6 in Windows 7 e Server 2008 R2
- Ri-attivazione di IPv6 in Windows 7 e Server 2008 R2
- Attivazione di IPv6 in Windows Vista e Windows Server 2008
- Ri-attivazione di IPv6 in Windows Vista e Windows Server 2008
- Attivazione di IPv6 in Windows XP con SP2 o SP3 e Server 2003
- Attivazione di IPv6 in Windows XP con SP1 o senza Service Pack installato (non raccomandato)
- Attivazione di IPv6 in Windows 2000 (non raccomandato)
Attivazione di IPv6 in Windows 7 e Server 2008 R2
Windows 7 e Server 2008 R2 aveva abilitato IPv6 default. Non è richiesta alcuna azione per abilitare IPv6. La condivisione della connessione Internet (ICS) è disabilitata per impostazione predefinita e dovrebbe essere disabilitata se trovata abilitata su qualsiasi interfaccia di rete come descritto qui. Avevano anche un client DHCPv6 abilitato per impostazione predefinita. Questo può o non può essere considerato accettabile. La disattivazione del client DHCPv6 nelle versioni server è descritta nella Parte 3: Indirizzamento statico IPv6 e DNSv6 nell’articolo Abilitazione IPv6 in Microsoft Windows Application Server nella sezione Infrastruttura.
Le seguenti righe di comando disabiliteranno alcune interfacce IPv6 vulnerabili abilitate per impostazione predefinita. Il loro uso non è richiesto, ma è raccomandato per una migliore sicurezza. È anche possibile disabilitare queste interfacce vulnerabili utilizzando gli oggetti Criteri di gruppo (GPO) come descritto in questo articolo. (Il .admx e .i file adml disponibili non disabilitano le interfacce basate su IP-HTTPS, ma sono altrimenti attuali.)
netsh interface ipv6 set global randomizeidentifiers=disabled store=persistent
netsh interface ipv6 set privacy state=disabled store=persistent
netsh interface 6to4 set state state=disabled undoonstop=disabled
netsh interface isatap set state disabled
netsh interface teredo set state type=disabled
(Non è consigliabile lasciare abilitato il protocollo Teredo, ma se per qualche motivo lo si desidera, omettere l’ultima riga. Probabilmente si desidera anche configurare il proprio server Teredo poiché i vecchi server Teredo predefiniti configurati con un comando come
netsh interface ipv6 set teredo client teredo.ipv6.microsoft.com
non sono più supportati da Microsoft. Se il computer che si sta configurando fa parte di un dominio Windows, è necessario anche il comando
netsh interface ipv6 set teredo enterpriseclient
. Non è consigliabile abilitare Teredo quando è connesso a un dominio Windows.)
Le prime due righe di comando eliminano un indirizzo IPv6 globale generato casualmente che Windows crea (ma che non è né utile né desiderabile quando si ha un vero indirizzo IPv6 globale). Si noti che questo indirizzo non verrà eliminato fino al prossimo riavvio. Ogni volta che un sistema mobile si sposta su una rete diversa o ogni volta che la rete a cui il sistema è connesso viene rinumerata, questi comandi devono essere rientrati.
Le interfacce disabilitate verranno comunque visualizzate dalla riga di comando “ipconfig /all”, ma il loro stato è disabilitato. Per verificare ciò, eseguire i comandi
netsh interface ipv6 show global
netsh interface ipv6 show privacy
netsh interface ipv6 6to4 show state
netsh interface ipv6 isatap show state
netsh interface ipv6 show teredo
Riattivazione di IPv6 in Windows 7 e Server 2008 R2
Se si desidera riattivare IPv6 in Windows 7 o Server 2008 R2, Microsoft ha fornito i seguenti due metodi. Questi sono anche documentati sul sito Web di Microsoft (consultare l’articolo della knowledge base di Microsoft KB 929852 per maggiori dettagli). Si raccomanda inoltre vivamente di controllare lo stato di ICS e disabilitarlo ovunque sia abilitato, seguendo le indicazioni fornite dall’Università del Delaware qui.
È possibile riattivare IPv6 dopo che è stato disabilitato utilizzando uno dei seguenti due metodi (a seconda di come è stato disabilitato):
- Nella cartella Connessioni di rete, ottenere proprietà su tutte le connessioni e gli adattatori e impostare la casella di controllo accanto al componente Protocollo Internet versione 6 (TCP/IPv6) nell’elenco sotto Questa connessione utilizza le seguenti voci. Questo metodo abilita IPv6 sulle interfacce e connessioni LAN, ma non abilita IPv6 sulle interfacce tunnel o sull’interfaccia di loopback IPv6. Eseguire i comandi netsh mostrati alla fine del 1. Abilitazione di IPv6 in Windows 7 e Server 2008 R2 argomento per verificare che le interfacce vulnerabili sono disabilitate.
-
Imposta il seguente valore di registro (tipo DWORD) su 0×8F:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\
Parameters\DisabledComponentsQuesto metodo consente IPv6 su tutte le interfacce LAN, connessioni, pur disabilitando le interfacce di tunneling IPv6. È necessario riavviare il computer affinché questo valore del registro abbia effetto. DisabledComponents è impostato su 0 per impostazione predefinita. Il metodo 1 di cui sopra può essere utilizzato per abilitare/disabilitare selettivamente IPv6 su singole connessioni e adattatori.
Il valore del registro DisabledComponents è una maschera di bit che controlla la seguente serie di flag, a partire dal bit di ordine basso (Bit 0):
- Bit 0 Impostato su 1 per disabilitare tutte le interfacce tunnel IPv6, inclusi i tunnel ISATAP, 6to4 e Teredo. Il valore predefinito è 0.
- Bit 1 Impostato su 1 per disabilitare tutte le interfacce basate su 6to4. Il valore predefinito è 0.
- Bit 2 Impostato su 1 per disabilitare tutte le interfacce basate su ISATAP. Il valore predefinito è 0.
- Bit 3 Impostato su 1 per disabilitare tutte le interfacce basate su Teredo. Il valore predefinito è 0.
- Bit 4 Impostato su 1 per disabilitare IPv6 su tutte le interfacce non tunnel, incluse le interfacce LAN e le interfacce basate su protocollo punto-punto (PPP). Il valore predefinito è 0.
- Bit 5 Impostato su 1 per modificare la tabella dei criteri prefisso predefinito per preferire IPv4 a IPv6 quando si tenta di connessioni. Il valore predefinito è 0.
- Bit 6 Questo bit è riservato per un utilizzo futuro in Windows Server 2019 e versioni successive. Il valore predefinito è 0.
- Bit 7 Impostato su 1 per disabilitare tutte le interfacce basate su IP-HTTPS. Il valore predefinito è 0.
Per determinare il valore di DisabledComponents per un set specifico di bit, costruire un numero binario costituito dai bit e dai loro valori nella loro posizione corretta e convertire il numero risultante in esadecimale. Ad esempio, se si desidera disabilitare le interfacce 6to4, disabilitare le interfacce Teredo e preferire IPv4 a IPv6, è necessario costruire il seguente numero binario: 00101010. Quando convertito in esadecimale, il valore di DisabledComponents è 0x2A.
Abilitazione IPv6 in Windows Vista e Server 2008
Windows Vista e Server 2008 avevano IPv6 abilitato per impostazione predefinita. Non è richiesta alcuna azione per abilitare IPv6. Avevano anche DHCPv6 per impostazione predefinita. Questo può o non può essere considerato accettabile. Le raccomandazioni fornite nel 1. Abilitazione di IPv6 in Windows 7 e Server 2008 R2 argomento applicare.
Riattivazione di IPv6 in Windows Vista e Server 2008
I metodi per riattivare IPv6 sono gli stessi mostrati in 2. Riattivare IPv6 in Windows 7 e Server 2008 R2 argomento sopra.
Nota: Quando si utilizza il metodo 2 nel 2. Riattivando IPv6 in Windows 7 e Server 2008 argomento R2, bit 7 e 8 sono entrambi riservati per un uso futuro. Il valore predefinito è 0.
Abilitazione di IPv6 in Windows XP SP2 o SP3 e Server 2003
In XP SP2 o SP3, IPv4 deve essere installato affinché IPv6 funzioni.
In Windows.NET Server 2003 Enterprise, Enterprise x64, Datacenter, Datacenter x64, Standard, Standard x64, Web edition, Compute Cluster Edition R1 / R2: tutte le versioni. La riga di installazione ipv6 mostrata di seguito non è necessaria, ma se utilizzata abiliterà IPv6 su tutte le interfacce di rete installate. La riga di comando
dnscmd /config /EnableIPv6 1
supporterà completamente IPv6 in DNS. NOTA: sebbene IPv6 sia installato di default in Server 2003, deve essere esplicitamente abilitato su ogni interfaccia di rete. Ciò crea il potenziale per vulnerabilità indesiderate nei siti che non sono abilitati per IPv6.
Le righe di comando mostrate di seguito abiliteranno IPv6 e disabiliteranno alcune interfacce IPv6 vulnerabili abilitate dall’installazione predefinita. Prima di immettere queste righe di comando, eseguire la riga di comando di disinstallazione ipv6 e quindi riavviare per essere sicuri di avere una buona configurazione iniziale nota. Si raccomanda inoltre vivamente di controllare lo stato di ICS e disabilitarlo ovunque sia abilitato, seguendo le indicazioni fornite dall’Università del Delaware qui. NOTA: I file della guida di Microsoft XP sono per lo più lasciati da XP SP1 e non sono di grande aiuto per netsh (il modo preferito di apportare modifiche alla configurazione di rete in SP2 e SP3) e parlano ancora del comando ipv6 (NON preferito con SP2 o SP3).
ipv6 install
netsh interface ipv6 set privacy state=disabled store=persistent
netsh interface ipv6 6to4 set state state=disabled undoonstop=disabled
netsh interface ipv6 isatap set state disabled
netsh interface ipv6 set state 6over4=disabled v4compat=disabled
netsh interface ipv6 set teredo disabled
(Non è consigliabile lasciare abilitato il protocollo Teredo, ma se per qualche motivo lo si desidera, omettere l’ultima riga. Probabilmente si desidera anche configurare il proprio server Teredo poiché il vecchio server Teredo predefinito configurato con il comando
netsh interface ipv6 set teredo client teredo.ipv6.microsoft.com
non è più supportato da Microsoft. Se il computer che si sta configurando fa parte di un dominio Windows, è necessario anche il comando
netsh interface ipv6 set teredo enterpriseclient
. Non è consigliabile abilitare Teredo quando è connesso a un dominio Windows.)
La seconda riga di comando elimina un indirizzo IPv6 globale generato casualmente temporaneo creato da Windows XP (ma che non è né utile né desiderabile quando si dispone di un vero indirizzo IPv6 globale). Si noti che questo indirizzo non verrà eliminato fino al prossimo riavvio. Ogni volta che un sistema mobile si sposta su una rete diversa o ogni volta che la rete a cui il sistema è connesso viene rinumerata, questo comando deve essere reinserito.
Le interfacce disabilitate verranno comunque visualizzate dalla riga di comando “ipconfig /all”, ma il loro stato è disabilitato. Per verificare ciò, eseguire i comandi
netsh interface ipv6 show privacy
netsh interface ipv6 6to4 show state
netsh interface ipv6 isatap show state
netsh interface ipv6 show state
netsh interface ipv6 show teredo
Abilitazione di IPv6 in Windows XP SP1 o nessun Service Pack installato
L’uso di IPv6 non è raccomandato. IPv6 quasi funzionava in Windows XP con SP1, ma il Firewall di connessione Internet (ICF) fornito con SP1 non proteggeva IPv6, senza molto lavoro e anche allora la protezione aveva dei buchi. Ha quasi funzionato in Windows XP senza Service Pack installato.
Abilitazione di IPv6 in Windows 2000
L’uso di IPv6 non è raccomandato. Windows 2000 con SP4 aveva un’anteprima della tecnologia che poteva essere installata, ma era incompleta e difficile da installare.