Ping mittels GPO erlauben in Windows 7 / 8.x und Server 2012 (R2)

Das altgediente Ping ist nach wie vor ein wichtiges Diagnose­werkzeug für Netzwerk­probleme. Windows reagiert jedoch schon seit einigen Versionen nicht mehr auf Echoanforderungen, weil die Firewall diese standardmäßig blockiert. Wenn man dieses Verhalten auf einer größeren Zahl von PCs ändern will, dann empfiehlt sich der Einsatz von Gruppenrichtlinien.

Microsoft liefert sein Betriebssystem zwar mit eigenen Ping-Implementierungen aus, darunter auch in Form des Cmdlets Test-Connection für PowerShell. Daher kann man zwar die Erreichbarkeit von anderen Systemen im Netz über das Versenden von ICMP-Pakten testen, aber Windows selbst spricht per Voreinstellung darauf nicht an.

Aus Sicherheitsgründen deaktiviert

Hintergrund dieser Entscheidung von Microsoft sind Sicherheitsbedenken, weil ICMP-Requests immer wieder für Denial-of-Service-Angriffe missbraucht wurden. Wenn man das Risiko innerhalb des Firmen-LANs für vertretbar hält und nicht auf den Nutzen von Ping verzichten will, dann kann man die vordefinierte Firewall-Regel aktivieren, um die Echo-Anforderungen durchzulassen.

Auf einzelnen PCs wird man dies über das grafische Tool Windows-Firewall mit erweiterter Sicherheit tun oder dafür netsh.exe auf der Kommandozeile aufrufen (siehe dazu: Ping in Windows 7 und Server 2008 R2 zulassen). Will man aber beispielsweise dafür sorgen, dass alle Windows-Server auf Pings reagieren, dann empfiehlt sich der Einsatz von Gruppenrichtlinien.

GPO-Einstellung für mehrere ICMP-Anforderungen

Zuständig dafür ist die Einstellung Windows-Firewall: ICMP-Ausnahmen zulassen, die sich unter Computerkonfiguration => Richtlinien => Administrative Vorlagen => Netzwerk => Netzwerkverbindungen => Windows-Firewall findet, und zwar sowohl für das Domänen- als auch das öffentliche Profil. Bei Rechnern, die Mitglied in einer AD-Domäne sind, wird man sich in der Regel auf das Domänenprofil beschränken.

Die genannte Einstellung dient nicht nur dazu, Ausnahmen für Ping zu definieren, sondern für alle möglichen ICMP-Anforderungen. Um Ping zuzulassen, aktiviert man die Option Eingehende Echoanforderung zulassen. Nach dem Aufruf von gpupdate auf den PCs, auf die das GPO angewendet wird, oder nach Neustart derselben ist die Richtlinie wirksam.

Überprüft man danach die eingehenden Regeln in Windows-Firewall mit erweiterter Sicherheit, dann zeigt sich, dass nicht die vordefinierte Ausnahme Datei- und Druckerfreigabe (Echoanforderung - ICMPv4 eingehend) aktiviert wurde, sondern dass die Gruppenrichtlinien für diesen Zweck eine neue Regel mit der Bezeichnung Netzwerk - Echoanforderung (ICMPv4 eingehend) erstellt haben.