Windows Defender 防火墙: 允许入站远程管理例外

允许此计算机的远程管理员使用管理工具,如 Microsoft 管理控制台(MMC) 和 Windows Management Instrumentation (WMI)。为此,Windows Defender 防火墙将打开 TCP 端口 135 和 445。服务通常将这些端口用于使用远程过程调用(RPC)和分布式组件对象模式(DCOM) 的通信。此外,在至少带有 SP2 的 Windows XP Professional 和至少带有 SP1 的 Windows Server 2003 上,此策略设置还允许 SVCHOST.EXE 和 LSASS.EXE 接收未经请求的传入消息并允许主持的服务打开其他动态分配的端口(通常在1024 至 1034 的范围内)。在 Windows Vista 上,此策略设置不控制与 SVCHOST.EXE 和 LSASS.EXE 的连接。

如果启用此策略设置,Windows Defender 防火墙允许计算机接收与远程管理关联的未经请求的传入消息。必须指定允许这些传入消息的 IP 地址或子网。

如果禁用或不配置此策略设置,Windows Defender 防火墙不会打开 TCP 端口 135 或 445。另外,在至少带有 SP2 的 Windows XP Professional 和至少带有 SP1 的 Windows Server 2003 上,Windows Defender 防火墙将阻止 SVCHOST.EXE 和 LSASS.EXE 接收未经请求的传入消息并阻止主持的服务打开其他动态分配的端口。由于禁用此策略设置不阻止 TCP 端口 445,所以它不会与"Windows Defender 防火墙: 允许文件和打印机共享例外"策略设置冲突。

注意: 恶意用户经常试图使用 RPC 和 DCOM 攻击网络和计算机。建议与重要程序的制造商联系以确定这些程序是否由 SVCHOST.exe 或 LSASS.exe 主持,或者是否要求 RPC 和 DCOM 通信。如果不是,请不要启用此策略设置。

注意: 如果任何策略设置打开 TCP 端口 445,Windows Defender 防火墙将允许入站 ICMP 回显请求消息(由 Ping 实用工具发出的消息),即使"Windows Defender 防火墙: 允许 ICMP 例外"策略设置阻止这些请求。可打开 TCP 端口 445 的策略设置包括"Windows Defender 防火墙: 允许入站文件和打印机共享例外"、"Windows Defender 防火墙: 允许入站远程管理例外"和"Windows Defender 防火墙: 定义入站端口例外"。

支持的平台: Windows XP Professional SP2 及以上版本

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\RemoteAdminSettings
Value NameEnabled
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

允许来自这些 IP 地址的未经请求的传入消息:

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\RemoteAdminSettings
Value NameRemoteAddresses
Value TypeREG_SZ
Default Value

语法:

键入"*"允许来自任何网络的消息,或

键入包含下列项目的任意数量或组合

并以逗号分隔的列表:

IP 地址,如 10.0.0.1

子网描述,如 10.2.3.0/24

字符串"localsubnet"

示例: 若要允许来自 10.0.0.1、

10.0.0.2 和来自本地子网或

10.3.4.x 子网上任何系统的消息,

请在"允许来自下列 IP 地址的未经请求的传入消息"中

键入以下内容:

10.0.0.1,10.0.0.2,localsubnet,10.3.4.0/24


windowsfirewall.admx

管理模板(计算机)

管理模板(用户)