Windows 10

Windows 10

IPv6-Tunnel deaktivieren: https://support.microsoft.com/en-us/help/929852/guidance-for-configuring-ipv6-in-windows-for-advanced-users

netsh-Kommandos:

aktuell vergebene Adressen anzeigen: netsh int ipv6 show addresses

temporäre Adressen:

temporäre Adressen aktivieren netsh interface ipv6 set privacy state=enabled

temporäre Adressen deaktivieren: netsh interface ipv6 set privacy state=disabled

stable Adressen:

stable-privacy??? aktivieren: netsh interface ipv6 set global randomizeidentifiers=enabled store=persistent

stable-privacy??? deaktivieren: netsh interface ipv6 set global randomizeidentifiers=disabled store=persistent

Powershell-Kommandos:

Interface-Informationen anzeigen: Get-NetAdapter

IPv6-Adressinformationen anzeigen: Get-NetIPAddress -AddressFamily IPv6 [-InterfaceIndex x,y]

temporäre Adressen:

Status von temporären Adressen abfragen: Get-NetIPv6Protocol | fl UseTemporaryAddresses

Aktivieren von temporären Adressen: Set-NetIPv6Protocol -UseTemporaryAddresses Enable

Deaktivieren von temporären Adressen: Set-NetIPv6Protocol -UseTemporaryAddresses Disable

stable Adressen:

Status von stable-privacy??? abfragen: Get-NetIPv6Protocol | fl RandomizeIdentifiers

Aktivieren von stable-privacy??? Adressen: Set-NetIPv6Protocol -RandomizeIdentifiers Enable

Deaktivieren von stable-privacy??? Adressen: Set-NetIPv6Protocol -RandomizeIdentifiers Disable

Test an zwei verschiedenen Standorten ergibt exakt denselben Interface Identifier, also nicht RFC7217-konform. Disable von RandomizeIdentifiers ergibt EUI-64-Identifier. Enable ergibt wieder den gleichen Identifier wie vorher, also stable ja, aber zu stabil:

aus https://securityblog.switch.ch/2013/10/23/ipv6-adress-autokonfiguration-aus-security-sicht:
“Windows-Systeme bilden übrigens die Interface-ID per default nicht nach dem Modified EUI-64 Verfahren aus der MAC-Adresse, sondern gehen einen Sonderweg: Die Interface-ID wird zufällig gebildet und bleibt konstant. Damit ist die MAC-Adresse nicht im Netz exponiert und der Adressraum für Scanning-Attacken wird nicht unnötig reduziert. (Das Standardverfahren kann bei Bedarf jedoch auch konfiguriert werden.)”

Privacy-Extensions sind per Default aktiv.