允许查看和更改由组策略定义的程序例外列表。Windows 防火墙使用两个程序例外列表: 一个由组策略设置定义,另一个由控制面板中的"Windows 防火墙"组件定义。
如果启用此策略设置,则可以查看和更改由组策略定义的程序例外列表。如果将一个程序添加到此列表中并将其状态设置为 Enabled,则该程序可以在其请求 Windows 防火墙打开的任何端口上接收未经请求的传入信息,即使该端口已被其他策略设置(如"Windows 防火墙: 定义入站端口例外"策略设置)阻止时也如此。若要查看程序列表,请启用策略设置,然后单击"显示"按钮。若要添加程序,请启用此策略设置,记下语法,然后单击"显示"按钮。在"显示内容"对话框中,键入一个使用该语法格式的定义字符串。若要删除程序,请单击其定义,然后按 Delete 键。若要编辑定义,请从列表中删除当前定义,然后添加一个包含不同参数的新定义。若要允许管理员将程序添加到本地程序例外列表(由控制面板中的"Windows 防火墙"组件定义),请同时启用"Windows 防火墙: 允许本地程序例外"策略设置。
如果禁用此策略设置,则将删除由组策略定义的程序例外列表。如果存在本地程序例外列表,则除非启用"Windows 防火墙: 允许本地程序例外"策略设置,否则该列表将被忽略。
如果未配置此策略设置,则 Windows 防火墙只使用本地程序例外列表(由管理员使用控制面板中的"Windows 防火墙"组件定义)。
注意: 如果键入一个无效的定义字符串,Windows 防火墙会直接将其添加到列表而不会检查是否有错误。这允许您添加尚未安装的程序,但是请注意,您可能会无意中为同一个程序创建 Scope 或 Status 值互相冲突的多个条目。将为多个条目组合使用 Scope 参数。
注意: 如果将一个定义字符串的 Status 参数设置为"disabled",则 Windows 防火墙将忽略该程序发出的端口请求,并忽略将该程序的 Status 设置为"enabled"的其他定义。因此,如果将 Status 设置为"disabled",则会阻止管理员允许程序请求 Windows 防火墙打开其他端口。但是,即使 Status 为"disabled",程序仍然能够通过其他策略设置打开的端口接收未经请求的传入消息。
注意: 仅当程序正在运行并"侦听"传入消息时,Windows 防火墙才为程序打开端口。如果程序未在运行,或虽在运行但未在侦听传入消息,则 Windows 防火墙不会打开其端口。
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile\AuthorizedApplications |
Value Name | Enabled |
Value Type | REG_DWORD |
Enabled Value | 1 |
Disabled Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile\AuthorizedApplications\List |
Value Name | {number} |
Value Type | REG_SZ |
Default Value |
指定要允许或阻止的程序。
语法:
<Path>:<Scope>:<Status>:<Name>
<Path> 是程序路径和文件名
<Scope> 是"*"(用于所有网络)或
包含下列项目的任意数量或组合
并以逗号分隔的列表:
IP 地址,如 10.0.0.1
子网描述,如 10.2.3.0/24
字符串"localsubnet"
<Status> 是"enabled"或"disabled"
<Name> 是文本字符串
示例:
下列定义字符串将 TEST.EXE 程序
添加到程序例外列表,
并允许该程序接收来自 10.0.0.1 的消息
或 10.3.4.x 子网上任何系统的消息:
%programfiles%\test.exe:10.0.0.1,10.3.4.0/24:enabled:Test program