Windows Defender 防火牆: 允許輸入的遠端系統管理例外

允許這部電腦的遠端系統管理,使用像是 Microsoft Management Console (MMC),以及 Windows Management Instrumentation (WMI) 的系統管理工具。為了允許遠端系統管理,Windows Defender 防火牆會開啟 TCP 連接埠 135 及 445。服務一般會使用這些連接埠,藉由遠端程序呼叫 (RPC) 和分散式元件物件模式 (DCOM) 來通訊。此外,在 Windows XP Professional (至少需 SP2) 與 Windows Server 2003 (至少需 SP1),此原則設定也會允許 SVCHOST.EXE 與 LSASS.EXE 接收未經要求之傳入訊息,並允許承載的服務開啟額外動態指派的連接埠,通常是在 1024 到 1034 的範圍內。在 Windows Vista 上,此原則設定不會控制到 SVCHOST.EXE 與 LSASS.EXE 的連線。

如果您啟用此原則設定,Windows Defender 防火牆會允許電腦接收與遠端系統管理有關的未經要求之傳入訊息。您必須指定允許這些傳入訊息的 IP 位址或子網路。

如果您停用或不設定這個原則設定,Windows Defender 防火牆將不會開啟 TCP 連接埠 135 或 445。而在 在 Windows XP Professional (至少需 SP2) 與 Windows Server 2003 (至少需 SP1) 上,Windows Defender 防火牆會防止 SVCHOST.EXE 與 LSASS.EXE 接收未經要求之傳入訊息,並防止承載的服務開啟另外動態指派的連接埠。因為停用這個原則設定並不會封鎖 TCP 連接埠 445,它不會和 [Windows Defender 防火牆: 允許檔案和印表機共用例外] 原則設定相衝突。

請注意: 心懷不軌的使用者常會使用 RPC 和 DCOM,企圖攻擊網路及電腦。我們建議您連絡重要程式的製造商,以判斷是否要使用 SVCHOST.exe 或 LSASS.exe 來裝載程式,或是否需要 RPC 及 DCOM 通訊。如果不需要,則請不要啟用此原則設定。

請注意: 如果任何原則設定開啟 TCP 連接埠 445,Windows Defender 防火牆會允許輸入 ICMP 回應要求訊息 (由 Ping 公用程式傳送的訊息),即使 [Windows Defender 防火牆: 允許 ICMP 例外] 原則設定會阻擋它們。可以開啟 TCP 連接埠 445 的原則設定包含 [Windows Defender 防火牆: 允許輸入檔案和印表機共用例外]、[Windows Defender 防火牆: 允許輸入遠端系統管理例外] 以及 [Windows Defender 防火牆: 定義輸入連接埠例外]。

支援的作業系統: 至少需要 Windows XP Professional SP2

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile\RemoteAdminSettings
Value NameEnabled
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

允許來自這些 IP 位址的未經要求傳入訊息:

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile\RemoteAdminSettings
Value NameRemoteAddresses
Value TypeREG_SZ
Default Value

語法:

輸入 "*" 以允許來自任何網路的訊息,或是

輸入逗號分隔清單,其中包含

任何數字或下列項目的組合:

IP 位址,例如 10.0.0.1

子網路描述,例如 10.2.3.0/24

字串 "localsubnet"

例如: 以允許來自 10.0.0.1、

10.0.0.2 以及本機子網路

或 10.3.4.x 子網路上任何系統的訊息,

在 [允許

來自這些 IP 位址的未經要求連入訊息] 中輸入:

10.0.0.1,10.0.0.2,localsubnet,10.3.4.0/24


windowsfirewall.admx

系統管理範本 (電腦)

系統管理範本 (使用者)