Windows Defender ファイアウォール: 着信リモート管理の例外を許可する

Microsoft 管理コンソール (MMC)、Windows Management Instrumentation (WMI) などの管理ツールを使用して、このコンピューターをリモート管理できるようにします。このために、Windows Defender ファイアウォールで TCP ポート 135 および 445 が開かれます。サービスは通常、これらのポート経由で、リモート プロシージャ コール (RPC) や分散コンポーネント オブジェクト モデル (DCOM) を使用して通信します。さらに Windows XP Professional SP2 以降および Windows Server 2003 SP1 以降では、このポリシー設定を使用すると、SVCHOST.EXE および LSASS.EXE での要請されない着信メッセージの受信が許可され、ホストされたサービスは、通常 1024 から 1034 の範囲にある動的に割り当てられた追加のポートを開くことができます。Windows Vista では、このポリシー設定によって SVCHOST.EXE および LSASS.EXE への接続は制御されません。

このポリシー設定を有効にすると、リモート管理に関連付けられた要請されない着信メッセージをコンピューターで受信できます。これらの着信メッセージを許可する IP アドレスまたはサブネットを指定する必要があります。

このポリシー設定を無効または未構成にすると、TCP ポート 135 または 445 は開かれません。また Windows XP Professional SP2 以降および Windows Server 2003 SP 1 以降では、SVCHOST.EXE および LSASS.EXE によって、要請されない着信メッセージは受信されず、ホストされたサービスによって、動的に割り当てられた追加のポートは開かれません。このポリシー設定を無効にしても TCP ポート 445 はブロックされないため、[Windows Defender ファイアウォール: ファイルとプリンターの共有の例外を許可する] ポリシー設定とは競合しません。

注: 悪意のあるユーザーは、しばしば RPC や DCOM を使用してネットワークやコンピューターへの攻撃を試みます。重要なプログラムについては、SVCHOST.exe または LSASS.exe でホストされているか、および RPC や DCOM での通信を必要とするかどうかを製造元に問い合わせることをお勧めします。必要でない場合は、このポリシー設定を有効にしないでください。

注: いずれかのポリシー設定によって TCP ポート 445 が開かれる場合、[Windows Defender ファイアウォール: ICMP の例外を許可する] ポリシー設定によってブロックされている場合でも、着信 ICMP エコー要求メッセージは許可されます。TCP ポート 445 を開くことのできるポリシー設定には、[Windows Defender ファイアウォール: 着信ファイルとプリンターの共有の例外を許可する]、[Windows Defender ファイアウォール: 着信リモート管理の例外を許可する]、および [Windows Defender ファイアウォール: 着信ポートの例外を定義する] があります。

サポートされるバージョン: Windows XP Professional SP2 以降

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\RemoteAdminSettings
Value NameEnabled
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

要請されない着信メッセージを許可する IP アドレス:

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\RemoteAdminSettings
Value NameRemoteAddresses
Value TypeREG_SZ
Default Value

構文:

どのネットワークからのメッセージも許可する場合は、"*" と入力してください。

あるいは、数字または次のものの組み合わせを含む

コンマで区切られた一覧を入力してください。

10.0.0.1 などの IP アドレス。

10.2.3.0/24 などのサブネットの説明。

"localsubnet" という文字列。

例: 10.0.0.1、10.0.0.2 からのメッセージ、

およびローカル サブネットまたは 10.3.4.x サブネット上の

どのシステムからのメッセージも許可する場合は、

[要請されない着信メッセージを許可する IP アドレス]

に次のように入力してください。

10.0.0.1,10.0.0.2,localsubnet,10.3.4.0/24


windowsfirewall.admx

管理用テンプレート (コンピューター)

管理用テンプレート (ユーザー)