Windows Firewall: Tillad undtagelse til indgående fjernadministration

Tillader fjernadministration af denne computer med administrative værktøjer, f.eks. MMC (Microsoft Management Console) og WMI (Windows Management Instrumentation). I den forbindelse åbner Windows Firewall TCP-portene 135 og 445. Tjenester bruger som regel disse porte til at kommunikere via RPC (Remote Procedure Calls – fjernprocedureopkald) og DCOM (Distributed Component Object Model). På Windows XP Professional med mindst SP2 og Windows Server 2003 med mindst SP1 tillader denne politikindstilling desuden, at SVCHOST.EXE og LSASS.EXE modtager uopfordrede indgående meddelelser, og den tillader, at værtstjenester åbner flere dynamisk tildelte porte, som regel i intervallet 1024 til 1034. I Windows Vista bruges denne politikindstilling ikke til at kontrollere forbindelserne til SVCHOST.EXE og LSASS.EXE.

Hvis du aktiverer denne politikindstilling, giver Windows Firewall computeren mulighed for at modtage uopfordrede indgående meddelelser, der er knyttet til fjernadministration. Du skal angive, hvilke IP-adresser eller undernet disse indgående meddelelser er tilladt fra.

Hvis du deaktiverer eller underlader at konfigurere denne politikindstilling, åbner Windows Firewall ikke TCP-port 135 eller 445. I Windows XP Professional med mindst SP2 og Windows Server 2003 med mindst SP1 forhindrer Windows Firewall SVCHOST.EXE og LSASS.EXE i at modtage uopfordrede indgående meddelelser og forhindrer tilknyttede tjenester i at åbne flere dynamisk tildelte porte. Da TCP-port 445 ikke blokeres, når denne politikindstilling er deaktiveret, er den ikke i konflikt med politikindstillingen Windows Firewall: Tillad undtagelser i forbindelse med fil- og udskriftsdeling.

Bemærk! Ondsindede brugere forsøger ofte at angribe netværk og computere via RPC og DCOM. Det anbefales, at du kontakter producenten af de kritiske programmer for at finde ud af, om SVCHOST.exe eller LSASS.exe fungerer som vært for dem, eller om de kræver RPC- og DCOM-kommunikation. Hvis de ikke gør, skal du ikke aktivere denne politikindstilling.

Bemærk! Hvis en politikindstilling åbner TCP-port 445, tillader Windows Firewall indgående ICMP-ekkoanmodninger (den meddelelse, der sendes af Ping-funktionen), også selvom politikindstillingen Windows Firewall: Tillad ICMP-undtagelser har blokeret dem. Politikindstillinger, der kan åbne TCP-port 445, omfatter Windows Firewall: Tillad undtagelse til indgående fil- og printerdeling, Windows Firewall: Tillad undtagelse til indgående fjernadministration, Windows Firewall: Definer indgående portundtagelser.

Understøttet på: Mindst Windows XP Professional med SP2

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile\RemoteAdminSettings
Value NameEnabled
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

Tillad uopfordrede indgående meddelelser fra disse IP-adresser:

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile\RemoteAdminSettings
Value NameRemoteAddresses
Value TypeREG_SZ
Default Value

Syntaks:

Skriv * (stjerne) for at tillade meddelelser fra ethvert netværk, eller

skriv en kommasepareret liste, der indeholder

et tal eller en kombination af følgende:

IP-adresser, f.eks. 10.0.0.1

Undernetbeskrivelser, f.eks. 10.2.3.0/24

Strengen "localsubnet"

Eksempel: Hvis du vil tillade meddelelser fra 10.0.0.1,

10.0.0.2 og fra alle systemer på

det lokale undernet eller på undernettet 10.3.4.x,

skal du skrive følgende i "Tillad uopfordrede"

indgående meddelelser fra disse IP-adresser:

10.0.0.1,10.0.0.2,localsubnet,10.3.4.0/24


windowsfirewall.admx

Administrative skabeloner (computere)

Administrative skabeloner (brugere)