Tillåter att datorn fjärradministreras genom administrationsverktyg så som Microsoft Management Console (MMC) och Windows Management Instrumentation (WMI). För att det ska fungera öppnas TCP-portarna 135 och 445 i Windows Defender-brandväggen. Tjänster använder ofta dessa portar för att kommunicera genom RPC-anrop (Remote Procedure Call) och DCOM (Distributed Component Object Model). Om du använder Windows XP Professional med minst SP2 och Windows Server 2003 med minst SP1, tillåter dessutom den här principinställningen att icke efterfrågade meddelanden tas emot i SVCHOST.EXE och LSASS.EXE, och att ytterligare dynamiskt tilldelade portar kan öppnas i tjänster som körs i dessa processer, vanligtvis i intervallet 1024 till 1034. I Windows Vista styr inte den här principinställningen anslutningar till SVCHOST.EXE och LSASS.EXE.
Om du aktiverar den här principinställningen tillåter Windows Defender-brandväggen inkommande icke efterfrågade meddelanden som har med fjärradministration att göra. Du måste ange vilka IP-adresser och undernät sådana inkommande meddelanden ska tillåtas från.
Om du inaktiverar eller inte konfigurerar principinställningen, öppnas inte TCP-portarna 135 och 445 i Windows Defender-brandväggen. I Windows XP Professional med minst SP2 och Windows Server 2003 med minst SP1 förhindras dessutom SVCHOST.EXE och LSASS.EXE att ta emot icke efterfrågade inkommande meddelanden, och tjänster som körs i dessa processer kan inte öppna ytterligare dynamiskt tilldelade portar. Eftersom detta inte innebär att TCP-port 445 blockeras, orsakas ingen konflikt med principinställningen Windows Defender-brandväggen: Tillåt undantag för fil- och skrivardelning.
Obs! Illvilliga användare försöker ofta använda RPC och DCOM för att attackera nätverk och datorer. Du bör kontakta alla företag som tillverkat de program du kör som använder SVCHOST.EXE eller LSASS.EXE för att se om de kommunicerar över RPC eller DCOM. Om de inte gör det bör du inte aktivera den här principinställningen.
Obs! Om någon principinställning öppnar TCP-port 445 tillåter Windows Defender-brandväggen inkommande ICMP-ekobegäranden (det meddelande som skickas av verktyget Ping), även om principinställningen Windows Defender-brandväggen: Tillåt ICMP-undantag annars skulle blockera dem. Exempel på principinställningar som kan öppna TCP-port 445 är Windows Defender-brandväggen: Tillåt undantag för inkommande fil- och skrivardelning, Windows Defender-brandväggen: Tillåt undantag för inkommande fjärradministration och Windows Defender-brandväggen: Definiera undantag för inkommande port.
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\RemoteAdminSettings |
Value Name | Enabled |
Value Type | REG_DWORD |
Enabled Value | 1 |
Disabled Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\RemoteAdminSettings |
Value Name | RemoteAddresses |
Value Type | REG_SZ |
Default Value |
Syntax:
Skriv "*" om du vill tillåta meddelanden från alla nätverk
eller ange kommateckenavgränsad lista med en valfri
kombination av följande:
IP-adresser, t.ex. 10.0.0.1
Undernätbeskrivningar, t.ex. 10.2.3.0/24
Strängen localsubnet
Exempel: Om du vill tillåta meddelanden från 10.0.0.1,
10.0.0.2 och alla system i
det lokala undernät eller undernätet 10.3.4.x,
skriver du följande i Tillåt obeställda
inkommande meddelanden från dessa IP-adresser":
10.0.0.1,10.0.0.2,localsubnet,10.3.4.0/24