Позволяет удаленное администрирование данного компьютера при помощи инструментов администрирования, таких как консоль управления (Microsoft) и инструментарий управления Windows (WMI). Для этого брандмауэр Защитника Windows открывает порты 135 и 445 протокола TCP. Службы обычно применяют эти порты для взаимодействия с использованием вызовов удаленных процедур (RPC) и объектной модели распределенных компонентов (DCOM). Кроме того, в Windows XP Professional с пакетом обновления не ниже SP2 и в Windows Server 2003 с пакетом обновления не ниже SP1 этот параметр политики также разрешает программам SVCHOST.EXE и LSASS.EXE принимать незапрошенные входящие сообщения и разрешает местным службам открывать дополнительные динамически назначаемые порты, обычно в диапазоне от 1024 до 1034. В Windows Vista данный параметр не контролирует подключения к SVCHOST.EXE и LSASS.EXE.
Если параметр политики включен, брандмауэр Защитника Windows позволит компьютеру принимать незапрошенные входящие сообщения, связанные с удаленным администрированием. Необходимо задать IP-адреса или подсети, из которых допускается принятие этих входящих сообщений.
Если параметр политики выключен или не задан, брандмауэр Защитника Windows не открывает порты 135 или 445 протокола TCP. Кроме того, в Windows XP Professional с пакетом обновления не ниже SP2 и в Windows Server 2003 с пакетом обновления не ниже SP1 брандмауэр Защитника Windows не позволяет программам SVCHOST.EXE и LSASS.EXE получать незапрошенные входящие сообщения и запрещает локальным службам компьютера открывать дополнительные динамически назначаемые порты. Так как отключение данного параметра политики не блокирует порт 445 протокола TCP, то не возникает конфликта с параметром политики "Брандмауэр Защитника Windows: Разрешить исключение для общего доступа к файлам и принтерам".
Примечание. Злоумышленники часто пытаются атаковать сети и компьютеры, используя RPC и DCOM. Рекомендуется обратиться к производителям важнейших используемых программ, чтобы определить связь этих программ с программами SVCHOST.exe или LSASS.exe и необходимость в использовании RPC и DCOM. Если вышеперечисленное не требуется, не следует включать данный параметр политики.
Примечание. Если какой-нибудь параметр политики открывает порт 445 протокола TCP, брандмауэр Защитника Windows разрешает входящие эхо-запросы по протоколу ICMP (такое сообщение посылается программой Ping), даже если параметр политики "Брандмауэр Защитника Windows: разрешить исключения ICMP" будет блокировать их. Параметры политики, которые могут открывать порт 445 протокола TCP: "Брандмауэр Защитника Windows: Разрешить исключение для входящего общего доступа к файлам и принтерам", "Брандмауэр Защитника Windows: Разрешить исключение для входящих сообщений удаленного администрирования" и "Брандмауэр Защитника Windows: Определять входящие исключения портов".
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\RemoteAdminSettings |
Value Name | Enabled |
Value Type | REG_DWORD |
Enabled Value | 1 |
Disabled Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\RemoteAdminSettings |
Value Name | RemoteAddresses |
Value Type | REG_SZ |
Default Value |
Синтаксис:
Введите «*», чтобы разрешить сообщения от любых сетей, или
разделенный запятыми список, который содержит
любые цифры или их сочетания:
IP-адреса, например 10.0.0.1
Описания подсети, например 10.2.3.0/24
Строка "localsubnet"
Пример: чтобы разрешить сообщения от 10.0.0.1,
10.0.0.2 и от любых систем
локальной подсети или подсети 10.3.4.x,
в поле "Разрешать незапрошенные" введите следующее
входящие сообщения с этих IP-адресов:
10.0.0.1,10.0.0.2,localsubnet,10.3.4.0/24