允许查看和更改由组策略定义的入站端口例外列表。Windows Defender 防火墙使用两个端口例外列表: 一个由组策略设置定义,另一个由控制面板中的"Windows Defender 防火墙"组件定义。
如果启用此策略设置,则可以查看和更改由组策略定义的入站端口例外列表。若要查看此端口例外列表,请启用此策略设置,然后单击"显示"按钮。若要添加端口,请启用此策略设置,记下语法,然后单击"显示"按钮。在"显示内容"对话框中,键入一个使用该语法格式的定义字符串。若要删除端口,请单击其定义,然后按 Delete 键。若要编辑定义,请从列表中删除当前定义,然后添加一个包含不同参数的新定义。若要允许管理员将端口添加到本地端口例外列表(由控制面板中的"Windows Defender 防火墙"组件定义),请同时启用"Windows Defender 防火墙: 允许本地端口例外"策略设置。
如果禁用此策略设置,则将删除由组策略定义的端口例外列表,但是其他策略设置可以继续打开或阻止端口。而且,如果存在本地端口例外列表,则除非启用"Windows Defender 防火墙: 允许本地端口例外"策略设置,否则该列表将被忽略。
如果未配置此策略设置,则 Windows Defender 防火墙只使用本地端口例外列表(由管理员使用控制面板中的"Windows Defender 防火墙"组件定义)。其他策略设置可以继续打开或阻止端口。
注意: 如果键入一个无效的定义字符串,Windows Defender 防火墙会直接将其添加到列表而不会检查是否有错误。因此,你可能会无意中为同一个端口创建 Scope 或 Status 值互相冲突的多个条目。将为多个条目组合使用 Scope 参数。如果条目具有不同的 Status 值,则 Status 设置为 "disabled" 的任何定义都将覆盖所有 Status 设置为 "enabled" 的定义,并且端口不接收消息。因此,如果某个端口的 Status 设置为 "disabled",就可以阻止管理员使用控制面板中的"Windows Defender 防火墙"组件来启用该端口。
注意: 将 Status 值设置为 "disabled" 的唯一效果是,Windows Defender 防火墙会忽略该端口的将 Status 设置为 "enabled" 的其他定义。如果另一个策略设置打开一个端口,或者如果程序例外列表中的一个程序请求 Windows Defender 防火墙打开一个端口,则 Windows Defender 防火墙将打开该端口。
注意: 如果任何策略设置打开 TCP 端口 445,则即使"Windows Defender 防火墙: 允许 ICMP 例外"策略设置阻止入站 ICMP 回显请求消息(由 Ping 实用工具发送的消息),Windows Defender 防火墙也会允许这些消息。可以打开 TCP 端口 445 的策略设置包括"Windows Defender 防火墙: 允许入站文件和打印机共享例外"、"Windows Defender 防火墙: 允许入站远程管理例外"和"Windows Defender 防火墙: 定义入站端口例外"。
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\GloballyOpenPorts |
Value Name | Enabled |
Value Type | REG_DWORD |
Enabled Value | 1 |
Disabled Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\GloballyOpenPorts\List |
Value Name | {number} |
Value Type | REG_SZ |
Default Value |
指定要打开或阻止的端口。
语法:
<Port>:<Transport>:<Scope>:<Status>:<Name>
<Port> 是十进制端口号
<Transport> 是"TCP"或"UDP"
<Scope> 是"*"(用于所有网络)或
包含下列项目的任意数量或组合
并以逗号分隔的列表:
IP 地址,如 10.0.0.1
子网描述,如 10.2.3.0/24
字符串"localsubnet"
<Status> 是"enabled"或"disabled"
<Name> 是文本字符串
示例:
下列定义字符串将 TCP 端口 80
添加到端口例外列表并允许该端口
接收来自 10.0.0.1、10.0.0.2 的消息或
10.3.4.x 子网上任何系统的消息:
80:TCP:10.0.0.1,10.0.0.2,10.3.4.0/24:enabled:Web service