Windowsin palomuuri: Salli saapuvan etähallinnan poikkeus

Sallii tämän tietokoneen etähallinnan esimerkiksi Microsoft Management Consolen (MMC) tai Windows Management Instrumentationin (WMI) avulla. Tätä varten Windowsin palomuuri avaa TCP-portit 135 ja 445. Palvelut käyttävät yleensä näitä portteja RPC-kutsujen ja Distributed Component Object Model (DCOM) -tiedonvälitykseen. Lisäksi Windows XP Professional -käyttöjärjestelmässä (vähintään SP2) ja Windows Server 2003 -käyttöjärjestelmässä (vähintään SP1) tämä käytäntöasetus sallii Svchost.exe- ja Lsass.exe-tiedostojen vastaanottaa massapostituksia sekä isännöityjen palvelujen avata muita dynaamisesti määritettyjä portteja, jotka useimmiten sijoittuvat välille 1024 - 1034. Windows Vista -käyttöjärjestelmässä tämä käytäntö ei ohjaa Svchost.exe- ja Lsass.exe-yhteyksiä.

Jos tämä käytäntöasetus otetaan käyttöön, Windowsin palomuuri sallii tietokoneen vastaanottaa etähallintaan liittyviä hyväksymättömiä massapostituksia. Sinun on määritettävä, mistä IP-osoitteista ja aliverkoista nämä sanomat sallitaan.

Jos tämä käytäntöasetus poistetaan käytöstä tai sitä ei määritetä, Windowsin palomuuri ei avaa TCP-porttia 135 tai 445. Lisäksi Windows XP Professional -käyttöjärjestelmässä (vähintään SP2) ja Windows Server 2003 -käyttöjärjestelmässä (vähintään SP1) Windowsin palomuuri estää Svchost.exe- ja Lsass.exe-tiedostoja vastaanottamasta massapostituksia ja estää isännöityjä palveluita avaamasta muita dynaamisesti määritettyjä portteja. Koska tämän käytäntöasetuksen poistaminen käytöstä ei estä TCP-portin 445 käyttämistä, se ei ole ristiriidassa Windowsin palomuuri: Salli tiedostojen ja tulostimien jakamisen poikkeus -käytäntöasetuksen kanssa.

Huomautus: Epärehelliset käyttäjät yrittävät usein hyökätä verkkoihin ja tietokoneisiin RPC:tä ja DCOMia hyödyntämällä. Suosittelemme, että otat yhteyttä keskeisten ohjelmistojesi valmistajiin ja selvität, ovatko ne Svhost.exe- tai Lsass.exe-tiedostojen isännöimiä sekä edellyttävätkö ne RPC- ja DCOM-tietoliikennettä. Jos asia ei ole näin, älä ota tätä käytäntöasetusta käyttöön.

Huomautus: Jos jokin käytäntöasetus avaa TCP-portin 445, Windowsin palomuuri sallii saapuvat ICMP-kaiutuspyyntösanomat (Ping-toiminnon lähettämät sanomat), vaikka Windowsin palomuuri: Salli ICMP-poikkeukset -käytäntöasetus estäisi ne. TCP-portin 445 mahdollisesti avaavia käytäntöasetuksia ovat seuraavat: Windowsin palomuuri: Salli saapuvan tiedoston ja tulostimen jakamisen poikkeus, Windowsin palomuuri: Salli saapuvan etähallinnan poikkeus ja Windowsin palomuuri: Määritä saapuvan portin poikkeukset.

Tuettu: Vähintään Windows XP Professional SP2

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile\RemoteAdminSettings
Value NameEnabled
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

Salli hyväksymättömät sanomat näistä IP-osoitteista:

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile\RemoteAdminSettings
Value NameRemoteAddresses
Value TypeREG_SZ
Default Value

Käyttö:

Salli sanomat kaikista verkoista kirjoittamalla "*" tai

pilkuilla erotettu luettelo, joka sisältää

jonkin yhdistelmän seuraavista:

IP-osoitteet, esimerkiksi 10.0.0.1

aliverkkojen kuvaukset, esimerkiksi 10.2.3.0/24

merkkijono localsubnet

Esimerkki: Salli sanomat aliverkosta 10.0.0.1,

10.0.0.2 ja mistä tahansa

paikallisen aliverkon tai aliverkon 10.3.4.x järjestelmästä,

kirjoita seuraava kohtaan Salli hyväksymättömät

sanomat näistä IP-osoitteista:

10.0.0.1,10.0.0.2,localsubnet,10.3.4.0/24


windowsfirewall.admx

Hallintamallit (tietokoneet)

Hallintamallit (käyttäjät)