Windows-Firewall: Eingehende Portausnahmen festlegen

Ermöglicht es Ihnen, die von der Gruppenrichtlinie definierte Ausnahmeliste für eingehende Ports anzuzeigen und zu ändern. Die Windows-Firewall verwendet zwei Portausnahmelisten: Eine wird durch die Gruppenrichtlinieneinstellungen und die andere durch die Windows-Firewallkomponente in der Systemsteuerung definiert.

Wenn Sie diese Richtlinieneinstellung aktivieren, können Sie die durch die Gruppenrichtlinie definierte Ausnahmeliste für eingehende Ports anzeigen und ändern. Zum Anzeigen der Portausnahmeliste aktivieren Sie die Richtlinieneinstellung, und klicken Sie auf die Schaltfläche "Anzeigen". Zum Hinzufügen eines Ports aktivieren Sie die Richtlinieneinstellung, notieren sich die Syntax und klicken auf die Schaltfläche "Anzeigen". Geben Sie im Dialogfeld "Inhalt anzeigen" eine Definitionszeichenfolge mit dem richtigen Syntaxformat an. Klicken Sie zum Entfernen eines Ports auf dessen Definition, und drücken Sie ENTF. Wenn Sie eine Definition bearbeiten möchten, entfernen Sie die aktuelle Definition aus der Liste und fügen eine neue Definition mit anderen Parametern hinzu. Wenn Administratoren in der Lage sein sollen, der Ausnahmeliste für lokale Ports, die in der Windows-Firewallkomponente der Systemsteuerung definiert ist, Ports hinzuzufügen, aktivieren Sie zusätzlich die Richtlinieneinstellung "Windows-Firewall: Ausnahmen für lokale Ports zulassen".

Wenn Sie diese Richtlinieneinstellung deaktivieren, wird die von der Gruppenrichtlinie definierte Portausnahmeliste zwar gelöscht, Ports können jedoch weiterhin durch andere Richtlinieneinstellungen geöffnet oder blockiert werden. Wenn eine Ausnahmeliste für lokale Ports vorhanden ist, wird sie darüber hinaus nur berücksichtigt, wenn Sie die Richtlinieneinstellung "Windows-Firewall: Ausnahmen für lokale Ports zulassen" aktivieren.

Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, verwendet die Windows-Firewall ausschließlich die Ausnahmeliste für lokale Ports, die von Administratoren mithilfe der Windows-Firewallkomponente in der Systemsteuerung definiert wurde. Ports können weiterhin durch andere Richtlinieneinstellungen geöffnet oder blockiert werden.

Hinweis: Bei Eingabe einer ungültigen Definitionszeichenfolge wird diese von der Windows-Firewall in die Liste aufgenommen, ohne die Syntax auf Fehler zu überprüfen. Beachten Sie, dass dabei versehentlich mehrere Einträge für den gleichen Port mit widersprüchlichen Bereichs- oder Statuswerten entstehen können. Bereichsparameter werden für mehrere Einträge kombiniert. Falls Einträge unterschiedliche Statuswerte aufweisen, werden alle Definitionen mit dem Status "Aktiviert" durch Definitionen mit dem Status "Deaktiviert" außer Kraft gesetzt, sodass der Port keine Meldungen empfängt. Sie können also verhindern, dass Administratoren den Port über die Windows-Firewallkomponente in der Systemsteuerung aktivieren, indem Sie den Status eines Ports auf "Deaktiviert" festlegen.

Hinweis: Die einzige Auswirkung, die das Festlegen des Statuswerts auf "Deaktiviert" hat, besteht darin, dass andere Definitionen für diesen Port, durch die der Status auf "Aktiviert" festgelegt wird, von der Windows-Firewall ignoriert werden. Falls ein Port durch eine andere Richtlinieneinstellung geöffnet oder die Windows-Firewall durch ein Programm in der Programmausnahmeliste aufgefordert wird, einen Port zu öffnen, wird der Port von der Windows-Firewall geöffnet.

Hinweis: Falls TCP-Port 445 durch eine Richtlinieneinstellung geöffnet wird, lässt die Windows-Firewall eingehende (vom Dienstprogramm Ping gesendete) ICMP-Echoanforderungsmeldungen auch dann zu, wenn sie durch die Richtlinieneinstellung "Windows-Firewall: ICMP-Ausnahmen zulassen" blockiert würden. Zu den Richtlinieneinstellungen, durch die TCP-Port 445 geöffnet werden kann, gehören "Windows-Firewall: Eingehende Ausnahme für Datei- und Druckerfreigabe zulassen", "Windows-Firewall: Eingehende Remoteverwaltungsausnahme zulassen" und "Windows-Firewall: Ausnahmen für eingehende Ports festlegen".

Unterstützt auf: Mindestens Windows XP Professional mit SP 2

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile\GloballyOpenPorts
Value NameEnabled
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

Portausnahmen festlegen:

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile\GloballyOpenPorts\List
Value Name{number}
Value TypeREG_SZ
Default Value

Geben Sie die Ports an, die geöffnet bzw. gesperrt werden sollen.

Syntax:

<Port>:<Transport>:<Bereich>:<Status>:<Name>

<Port> ist eine dezimale Portnummer

<Transport> ist entweder "TCP" oder "UDP"

<Bereich> ist entweder "*" (für alle Netzwerke) oder

eine durch Trennzeichen getrennte Liste, die eine

beliebige Anzahl oder Kombination folgender Elemente enthält:

IP-Adressen wie 10.0.0.1

Subnetzbeschreibungen wie 10.2.3.0/24

Die Zeichenfolge "localsubnet"

<Status> ist entweder "enabled" oder "disabled" (aktiviert oder deaktiviert)

<Name> ist eine Textzeichenfolge

Beispiel:

Die folgende Definitionszeichenfolge fügt den

den TCP-Port 80 zur Portausnahmeliste hinzu

und lässt den Empfang von Meldungen von 10.0.0.1, 10.0.0.2

oder anderen Systemen im Subnetz 10.3.4.x zu:

80:TCP:10.0.0.1,10.0.0.2,10.3.4.0/24:enabled:Webdienst


windowsfirewall.admx

Administrative Vorlagen (Computer)

Administrative Vorlagen (Benutzer)