允許您檢視及變更由群組原則所定義的程式例外清單。Windows 防火牆使用兩個程式例外清單: 一個是由群組原則設定所定義的清單,另一個是由 [控制台] 中 [Windows 防火牆] 元件所定義的清單。
如果啟用這個原則設定,您可以檢視及變更群組原則所定義的程式例外清單。如果將程式新增到這個清單,並將狀態設定為 [啟用],該程式可以在它要求 Windows 防火牆開放的任何連接埠上接收未經要求的傳入訊息,即使該連接埠被其他原則設定 (例如「Windows 防火牆:定義輸入的連接埠例外」原則設定) 封鎖。若要檢視程式清單,請啟用原則設定,然後按一下 [顯示] 按鈕。若要新增程式,請啟用原則設定並記下語法,按一下 [顯示] 按鈕。在 [顯示內容] 對話方塊中輸入使用語法格式的定義字串。若要移除程式,請按一下該程式的定義,然後按 DELETE 鍵。若要編輯定義,請從清單中移除目前的定義,然後新增一個具有不同參數的新定義。若要允許系統管理員新增程式至 [控制台] 中、由 [Windows 防火牆] 元件所定義的本機程式例外清單,請一併啟用 [Windows 防火牆:允許本機程式例外] 原則設定。
如果停用這個原則設定,將會刪除由群組原則定義的程式例外清單。如果有本機程式例外清單,則除非已啟用 [Windows 防火牆:允許本機程式例外] 原則設定,否則會略過該清單。
如果未設定這個原則設定,則 Windows 防火牆只會使用系統管理員用 [控制台] 的 [Windows 防火牆] 元件所定義的本機程式例外清單。
注意: 如果輸入無效的定義字串,Windows 防火牆不會檢查是否有誤,就會將字串新增到清單中。因此您可以新增尚未安裝的程式,但是請注意,您可能會不小心為同一個程式建立領域或狀態值相衝突的多個項目。在多個項目的情況下,領域參數會結合。
注意: 如果將定義字串的狀態參數設為 [停用],Windows 防火牆會忽略該程式所發出的連接埠要求,並且忽略將該程式之狀態設為 [啟用] 的其他定義。因此,如果將狀態設為 [停用],就可以防止系統管理員允許程式要求 Windows 防火牆開啟其他連接埠。但是,即使狀態為 [停用],如果其他原則設定開啟連接埠,程式仍可以透過該連接埠接收未經要求就傳入的訊息。
注意: 只有當程式在執行中且正在「接聽」傳入訊息時,Windows 防火牆才會為程式開啟連接埠。如果程式不在執行中,或在執行中但不在接聽訊息中,Windows 防火牆就不會開啟連接埠。
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile\AuthorizedApplications |
Value Name | Enabled |
Value Type | REG_DWORD |
Enabled Value | 1 |
Disabled Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile\AuthorizedApplications\List |
Value Name | {number} |
Value Type | REG_SZ |
Default Value |
Specify the program to allow or block.
Syntax:
<Path>:<Scope>:<Status>:<Name>
<Path> is the program path and file name
<Scope> is either "*" (for all networks) or
a comma-separated list that contains
any number or combination of these:
IP addresses, such as 10.0.0.1
Subnet descriptions, such as 10.2.3.0/24
The string "localsubnet"
<Status> is either "enabled" or "disabled"
<Name> is a text string
Example:
The following definition string adds the
TEST.EXE program to the program exceptions list
and allows it to receive messages from 10.0.0.1,
or any system on the 10.3.4.x subnet:
%programfiles%\test.exe:10.0.0.1,10.3.4.0/24:enabled:Test program