允許您檢視及變更群組原則所定義的輸入連接埠例外清單。Windows 防火牆使用兩個連接埠例外清單: 一個是由群組原則設定所定義的清單,另一個是由 [控制台] 中 [Windows 防火牆] 元件所定義的清單。
如果啟用這個原則設定,您可以檢視及變更群組原則所定義的輸入連接埠例外清單。若要檢視這個連接埠例外清單,請啟用原則設定,然後按一下 [顯示] 按鈕。若要新增連接埠,請啟用原則設定並記下語法,按一下 [顯示] 按鈕。在 [顯示內容] 對話方塊中輸入使用語法格式的定義字串。若要移除連接埠,請按一下該連接埠的定義,然後按 DELETE 鍵。若要編輯定義,請從清單中移除目前的定義,然後新增一個具有不同參數的新定義。若要允許系統管理員新增連接埠到 [控制台] 中由 [Windows 防火牆] 元件所定義的本機連接埠例外清單,請一併啟用 [Windows 防火牆:允許本機連接埠例外] 原則設定。
如果停用這個原則設定,將會刪除由群組原則所定義的連接埠例外清單,但是其他原則設定可以繼續開啟或封鎖連接埠。此外,如果有本機連接埠例外清單,則除非已啟用 [Windows 防火牆:允許本機連接埠例外] 原則設定,否則會略過該清單。
如果未設定這個原則設定,則 Windows 防火牆只會使用系統管理員用 [控制台] 的 [Windows 防火牆] 元件所定義的本機連接埠例外清單。其他原則設定可以繼續開啟或封鎖連接埠。
注意: 如果輸入無效的定義字串,Windows 防火牆不會檢查是否有誤,就會將字串新增到清單中。因此您可以新增尚未安裝的程式,但是請注意,您可能會不小心為同一個程式建立領域或狀態值相衝突的多個項目。在多個項目的情況下,領域參數會結合。如果項目有不同的狀態值,則任何狀態設為 [停用] 的定義,會覆寫所有狀態設為 [啟用] 的定義,而且連接埠不會接收訊息。因此,如果將連接埠的狀態設為 [停用],便可以防止系統管理員使用 [控制台] 中的 [Windows 防火牆] 元件啟用連接埠。
注意: 將狀態值設為 [停用] 的唯一影響是,Windows 防火牆會忽略該連接埠中,狀態設為 [啟用] 的其他定義。如果其他原則設定開啟連接埠,或如果程式例外清單中的程式要求 Windows 防火牆開啟連接埠,Windows 防火牆就會開啟連接埠。
注意: 如果任何原則設定開啟 TCP 連接埠 445,則即使「Windows 防火牆:允許 ICMP 例外」原則設定封鎖輸入 ICMP 回應要求訊息 (由 Ping 公用程式傳送的訊息),Windows 防火牆仍會允許這類要求。可以開啟 TCP 連接埠 445 的原則設定包含「Windows 防火牆:允許輸入檔案和印表機共用例外」、「Windows 防火牆:允許輸入遠端系統管理例外」及「Windows 防火牆:定義輸入的連接埠例外」。
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile\GloballyOpenPorts |
Value Name | Enabled |
Value Type | REG_DWORD |
Enabled Value | 1 |
Disabled Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile\GloballyOpenPorts\List |
Value Name | {number} |
Value Type | REG_SZ |
Default Value |
Specify the port to open or block.
Syntax:
<Port>:<Transport>:<Scope>:<Status>:<Name>
<Port> is a decimal port number
<Transport> is either "TCP" or "UDP"
<Scope> is either "*" (for all networks) or
a comma-separated list that contains
any number or combination of these:
IP addresses, such as 10.0.0.1
Subnet descriptions, such as 10.2.3.0/24
The string "localsubnet"
<Status> is either "enabled" or "disabled"
<Name> is a text string
Example:
The following definition string adds TCP port 80
to the port exceptions list and allows it to
receive messages from 10.0.0.1, 10.0.0.2, or any
system on the 10.3.4.x subnet:
80:TCP:10.0.0.1,10.0.0.2,10.3.4.0/24:enabled:Web service