Windows ファイアウォール: 着信ポートの例外を定義する

グループ ポリシーで定義された着信ポートの例外の一覧を表示したり、変更したりできます。Windows ファイアウォールでは、ポートの例外の一覧が 2 つ使用されます。1 つはグループ ポリシーの設定により、もう 1 つはコントロール パネルの Windows ファイアウォール コンポーネントにより、定義されます。

このポリシー設定を有効にすると、グループ ポリシーで定義された着信ポートの例外の一覧を表示および変更できます。このポートの例外の一覧を表示するには、このポリシー設定を有効にし、[表示] ボタンをクリックします。ポートを追加するには、このポリシー設定を有効にし、構文を確認したうえで [表示] ボタンをクリックします。次に、[表示するコンテンツ] ダイアログ ボックスで、構文形式に従って定義文字列を入力します。ポートを削除するには、該当する定義をクリックし、Del キーを押します。定義を編集するには、一覧から現在の定義を削除し、異なるパラメーターを持つ新しい定義を追加します。コントロール パネルの Windows ファイアウォール コンポーネントで定義されているローカル ポートの例外の一覧に、管理者がポートを追加できるようにするには、[Windows ファイアウォール: ローカル ポートの例外を許可する] ポリシー設定も有効にします。

このポリシー設定を無効にすると、グループ ポリシーで定義されたポートの例外の一覧は削除されますが、他のポリシー設定で引き続きポートを開いたり、ブロックしたりできます。また、ローカル ポートの例外の一覧が存在する場合でも、[Windows ファイアウォール: ローカル ポートの例外を許可する] ポリシー設定が有効でない限り、一覧は無視されます。

このポリシー設定を未構成にすると、Windows ファイアウォールでは、管理者がコントロール パネルの Windows ファイアウォール コンポーネントを使用して定義したローカル ポートの例外の一覧のみが使用されます。他のポリシー設定で引き続きポートを開いたり、ブロックしたりできます。

注: 無効な定義文字列を入力すると、文字列のエラーは確認されずに一覧に追加されます。このため、1 つのポートについて、競合するスコープや状態値を持つエントリを複数作成してしまう可能性があります。スコープのパラメーターは複数のエントリに対して組み合わされます。複数のエントリの状態値が異なる場合、状態が "disabled" に設定されている定義が、状態が "enabled" に設定されている定義すべてより優先され、ポートはメッセージを受信できません。このため、ポートの状態を "disabled" に設定することにより、管理者がコントロール パネルの Windows ファイアウォール コンポーネントを使用してポートを有効にするのを防ぐことができます。

注: 状態値を "disabled" に設定した場合の唯一の影響は、そのポートについて、状態が "enabled" に設定されているその他の定義が無視されることです。別のポリシー設定によってポートが開かれた場合、またはプログラムの例外の一覧にあるプログラムによってポートを開くよう要求された場合、Windows ファイアウォールではポートが開かれます。

注: いずれかのポリシー設定によって TCP ポート 445 が開かれる場合、[Windows ファイアウォール: ICMP の例外を許可する] ポリシー設定によってブロックされている場合でも、着信 ICMP エコー要求メッセージは許可されます。TCP ポート 445 を開くことのできるポリシー設定には、[Windows ファイアウォール: 着信ファイルとプリンターの共有の例外を許可する]、[Windows ファイアウォール: 着信リモート管理の例外を許可する]、および [Windows ファイアウォール: 着信ポートの例外を定義する] があります。

サポートされるバージョン: Windows XP Professional SP2 以降

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile\GloballyOpenPorts
Value NameEnabled
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

ポートの例外の定義:

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile\GloballyOpenPorts\List
Value Name{number}
Value TypeREG_SZ
Default Value

ポートを開くかブロックするか指定します。

構文:

<Port>:<Transport>:<Scope>:<Status>:<Name>

<Port> は、10 進数のポート番号です。

<Transport> は、"TCP" または "UDP" のいずれかです。

<Scope> は "*" (すべてのネットワーク) または

数字または次のものの組み合わせを含む

コンマで区切られた一覧を入力してください。

10.0.0.1 などの IP アドレス。

10.2.3.0/24 などのサブネットの説明。

"localsubnet" という文字列。

<Status> は、"enabled" または "disabled" のいずれかです。

<Name> はテキスト文字列です。

例:

次の定義文字列で

TCP ポート 80 をポートの例外一覧に追加し、

10.0.0.1、10.0.0.2 からのメッセージまたは 10.3.4.x サブネット上の

システムからのメッセージの受信を許可します。

80:TCP:10.0.0.1,10.0.0.2,10.3.4.0/24:enabled:Web service


windowsfirewall.admx

管理用テンプレート (コンピューター)

管理用テンプレート (ユーザー)