Windows-Firewall: Eingehende Remoteverwaltungsausnahme zulassen

Ermöglicht die Remoteverwaltung des Computers mit Verwaltungsprogrammen, wie z. B. Microsoft Management Console (MMC) und Windows-Verwaltungsinstrumentation (WMI). Windows-Firewall öffnet hierzu TCP-Port 135 und 445. Dienste verwenden diese Ports normalerweise für die Kommunikation mithilfe von Remoteprozeduraufrufen (RPC) und DCOM (Distributed Component Object Model). Darüber hinaus ermöglicht diese Richtlinieneinstellung unter Windows XP Professional mit mindestens SP2 und Windows Server 2003 mit mindestens SP1 den Programmen SVCHOST.EXE und LSASS.EXE unerbetene eingehende Meldungen zu empfangen und ermöglicht gehosteten Diensten, zusätzliche dynamisch zugewiesene Ports zu öffnen, normalerweise im Bereich 1024 bis 1034. Unter Windows Vista können mit dieser Richtlinieneinstellung nicht die Verbindungen mit SVCHOST.EXE und LSASS.EXE kontrolliert werden.

Wenn Sie diese Richtlinieneinstellung aktivieren, gestattet Windows-Firewall dem Computer, unerbetene eingehende Meldungen zu empfangen, die mit der Remoteverwaltung verknüpft sind. Sie müssen die IP-Adressen oder Subnetze angeben, für die diese eingehenden Meldungen zugelassen sind.

Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, öffnet Windows-Firewall TCP-Port 135 oder 445 nicht. Außerdem verhindert Windows-Firewall unter Windows XP Professional mit mindestens SP2 und Windows Server 2003 mit mindestens SP1, dass die Programme SVCHOST.EXE und LSASS.EXE unerbetene eingehende Meldungen empfangen und dass gehostete Dienste zusätzliche dynamisch zugewiesene Ports öffnen. Da durch das Deaktivieren dieser Richtlinieneinstellung TCP-Port 445 nicht blockiert wird, steht sie mit der Richtlinieneinstellung "Windows-Firewall: Ausnahme für Datei- und Druckerfreigabe zulassen" nicht in Konflikt.

Hinweis: Böswillige Benutzer versuchen oft, Netzwerk und Computer mithilfe von RPC und DCOM anzugreifen. Es wird empfohlen, dass Sie sich an die Hersteller der für Sie wichtigen Programme wenden, um zu erfahren, ob die Programme von SVCHOST.exe oder LSASS.exe gehostet werden oder die RPC- und DCOM-Kommunikation erfordern. Falls nicht, aktivieren Sie diese Richtlinieneinstellung nicht.

Hinweis: Falls eine Richtlinieneinstellung TCP-Port 445 öffnet, lässt Windows-Firewall eingehende ICMP-Echoanforderungsmeldungen (vom Dienstprogramm Ping gesendete Meldungen) zu, auch wenn die Richtlinieneinstellung "Windows-Firewall: ICMP-Ausnahmen zulassen" sie blockieren würde. Zu den Richtlinieneinstellungen, die TCP-Port 445 öffnen können, gehören die Richtlinieneinstellungen "Windows-Firewall: Eingehende Ausnahme für Datei- und Druckerfreigabe zulassen", "Windows-Firewall: Eingehende Remoteverwaltungsausnahme zulassen" und "Windows-Firewall: Eingehende Portausnahmen festlegen".

Unterstützt auf: Mindestens Windows XP Professional mit SP 2

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile\RemoteAdminSettings
Value NameEnabled
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

Unerbetene eingehende Meldungen von diesen IP-Adressen zulassen:

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile\RemoteAdminSettings
Value NameRemoteAddresses
Value TypeREG_SZ
Default Value

Syntax:

Geben Sie "*" ein, um Meldungen von allen Netzwerken zuzulassen,

oder geben Sie eine durch Komma getrennte Liste ein, die eine

beliebige Anzahl oder Kombination folgender Elemente enthält:

IP-Adressen wie 10.0.0.1

Subnetzbeschreibungen wie 10.2.3.0/24

Die Zeichenfolge "localsubnet"

Beispiel: Wenn Sie

Meldungen von 10.0.0.1, 10.0.0.2 und

von jedem System im lokalen Subnetz bzw.

im 10.3.4.x-Subnetz zulassen möchten, geben Sie Folgendes unter

"Unerbetene eingehende Meldungen von diesen IP-Adressen zulassen" ein:

10.0.0.1,10.0.0.2,localsubnet,10.3.4.0/24


windowsfirewall.admx

Administrative Vorlagen (Computer)

Administrative Vorlagen (Benutzer)