IPv6 : problème de sécurité sous Windows Server 2016

A chaque redémarrage, Windows Server 2016 ajoute des règles autorisant le partage de fichiers et d’imprimantes, vous exposant à des attaques en force brute, lorsque IPv6 est autorisé par votre box sur votre réseau local. Ce problème de sécurité est de même nature pour Windows 10.

La solution consiste à ajouter plusieurs règles bloquant toute entrée de paquets sur les adresses routables Internet IPv6 du type 2000::/3 au niveau des applications :

L’accès au pare-feu sous Windows Server 2016 – et Windows 10 – se fait à l’aide de la console wf.msc.

Définir l’étendue

Au niveau de chacune des règles de trafic entrant du pare-feu, définissez votre étendue en spécifiant 2000::/3 au niveau de l’adresse IP distante :

Règle de pare-feu > Etendue > Adresse IP distante

Définir protocoles et ports

J’ai défini 4 règles de pare-feu bloquantes au niveau du trafic entrant :

Règle de pare-feu > Bloquer RPC, SMB, iWARP Règle de pare-feu > Bloquer RPC, SMB, LLMNR
Règle de pare-feu > Ports dynamiques RPC Règle de pare-feu > Mappeur de point de terminaison

Bloquer la connexion

N’oubliez pas de bloquer la connexion au niveau de l’onglet général de la règle du pare-feu :

Règle de pare-feu > Général > Bloquer la connexion

Sécurité  / Formateur IPv6 Formateur Sécurité informatique ipv6 Sécurité informatique Windows Server 2016