Брандмауэр Windows: «Брандмауэр Windows: Определение входящих исключений портов»

Позволяет просмотреть и изменить список исключений портов для входящего трафика, определенный групповой политикой. Брандмауэр Windows использует два списка исключений портов: один определен параметрами групповой политики, а другой - параметрами брандмауэра Windows на панели управления.

Если разрешить этот параметр политики, то можно просматривать и изменять список исключений портов для входящего трафика, определенный групповой политикой. Чтобы посмотреть этот список исключений портов, включите параметр политики и нажмите кнопку "Показать". Чтобы добавить порт, включите параметр политики, запомните синтаксис и нажмите кнопку "Показать". В диалоговом окне "Вывод содержания" введите строку определения, которая использует заданный формат синтаксиса. Чтобы удалить порт, щелкните его определение, а затем нажмите клавишу DELETE. Чтобы изменить определение, удалите текущее определение из списка и добавьте новое определение с другими параметрами. Чтобы позволить администратору добавлять порты к локальному списку исключений портов, который определяется параметрами брандмауэра Windows на панели управления, необходимо также включить параметр политики "Брандмауэр Windows: Разрешить локальные исключения портов".

Если отключить этот параметр политики, то список исключений портов, определенный групповой политикой, удаляется, но другие параметры политики могут продолжать открывать или закрывать порты. Если локальный список исключений портов существует, то он не будет учитываться, пока не будет включен параметр политики "Брандмауэр Windows: Разрешить локальные исключения портов".

Если не настраивать этот параметр политики, то брандмауэр Windows Firewall будет использовать только локальный список исключений портов, который администраторы определяют, используя параметры брандмауэра Windows на панели управления. Другие параметры политики могут продолжать открывать или блокировать порты.

Примечание. Если ввести неверную строку определения, брандмауэр Windows добавит ее к списку без проверки на ошибки. Поэтому вы можете случайно создать множество записей для одного и того же порта с конфликтующими значениями для границы или состояния. Параметры границ связаны с множеством записей. Если элементы имеют различные значения состояния, то все определения в состоянии "Запрещено" перекрывают все определения в состоянии "Разрешено", и порт не будет принимать сообщения. Поэтому, если установить состояние "Запрещено", то администраторы не смогут открыть порт, используя параметры брандмауэра Windows на панели управления.

Примечание. Влияние параметра состояния со значением "Запрещено" состоит только в том, что брандмауэр Windows будет пропускать все другие определения для того порта, для которого установлено состояние "Разрешено". Если другой параметр политики открывает порт или программа в списке исключений программ запрашивает брандмауэр Windows открыть порт, то брандмауэр Windows открывает порт.

Примечание. Если какой-нибудь параметр политики открывает порт 445 для протокола TCP, то Windows Firewall позволяет входящий эхо-запрос по протоколу ICMP (такое сообщение посылается программой Ping), даже если параметр политики "Брандмауэр Windows: Разрешить исключения ICMP" будет блокировать их. Параметры политики, которая может открыть порт 445 для протокола TCP, включают "Брандмауэр Windows: Разрешить исключение для входящего общего доступа к файлам и принтерам", "Брандмауэр Windows: Разрешить исключение для входящих сообщений удаленного администрирования" и "Брандмауэр Windows: Определение входящих исключений портов".

Поддерживается: Не ниже Windows XP Professional с пакетом обновления 2 (SP2)

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile\GloballyOpenPorts
Value NameEnabled
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

Определение исключений портов:

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile\GloballyOpenPorts\List
Value Name{number}
Value TypeREG_SZ
Default Value

Разрешить или заблокировать заданный порт.

Синтаксис:

<Port>:<Transport>:<Scope>:<Status>:<Name>

<Port> указывает десятичный номер порта

<Transport> может иметь значение "TCP" или "UDP"

<Scope> может быть указан как "*" (все сети) или

как список с разделителями-запятыми, в котором содержатся

любые цифры или их сочетания:

IP-адреса, например 10.0.0.1

Описания подсети, например 10.2.3.0/24

Строка "localsubnet"

<Status> может иметь значение "enabled" или "disabled"

<Name> является текстовой строкой

Пример:

Следующая строка определения добавляет TCP-порт 80

к списку исключений портов и разрешает

принятие сообщений от 10.0.0.1, 10.0.0.2 или любой

системы в подсети 10.3.4.x:

80:TCP:10.0.0.1,10.0.0.2,10.3.4.0/24:enabled:Web service


windowsfirewall.admx

Административные шаблоны (компьютеры)

Административные шаблоны (пользователи)