Sallii tämän tietokoneen etähallinnan esimerkiksi Microsoft Management Consolen (MMC) tai Windows Management Instrumentationin (WMI) avulla. Tätä varten Windowsin palomuuri avaa TCP-portit 135 ja 445. Palvelut käyttävät yleensä näitä portteja RPC-kutsujen ja Distributed Component Object Model (DCOM) -tiedonvälitykseen. Lisäksi Windows XP Professional -käyttöjärjestelmässä (vähintään SP2) ja Windows Server 2003 -käyttöjärjestelmässä (vähintään SP1) tämä käytäntöasetus sallii Svchost.exe- ja Lsass.exe-tiedostojen vastaanottaa massapostituksia sekä isännöityjen palvelujen avata muita dynaamisesti määritettyjä portteja, jotka useimmiten sijoittuvat välille 1024 - 1034. Windows Vista -käyttöjärjestelmässä tämä käytäntö ei ohjaa Svchost.exe- ja Lsass.exe-yhteyksiä.
Jos tämä käytäntöasetus otetaan käyttöön, Windowsin palomuuri sallii tietokoneen vastaanottaa etähallintaan liittyviä hyväksymättömiä massapostituksia. Sinun on määritettävä, mistä IP-osoitteista ja aliverkoista nämä sanomat sallitaan.
Jos tämä käytäntöasetus poistetaan käytöstä tai sitä ei määritetä, Windowsin palomuuri ei avaa TCP-porttia 135 tai 445. Lisäksi Windows XP Professional -käyttöjärjestelmässä (vähintään SP2) ja Windows Server 2003 -käyttöjärjestelmässä (vähintään SP1) Windowsin palomuuri estää Svchost.exe- ja Lsass.exe-tiedostoja vastaanottamasta massapostituksia ja estää isännöityjä palveluita avaamasta muita dynaamisesti määritettyjä portteja. Koska tämän käytäntöasetuksen poistaminen käytöstä ei estä TCP-portin 445 käyttämistä, se ei ole ristiriidassa Windowsin palomuuri: Salli tiedostojen ja tulostimien jakamisen poikkeus -käytäntöasetuksen kanssa.
Huomautus: Epärehelliset käyttäjät yrittävät usein hyökätä verkkoihin ja tietokoneisiin RPC:tä ja DCOMia hyödyntämällä. Suosittelemme, että otat yhteyttä keskeisten ohjelmistojesi valmistajiin ja selvität, ovatko ne Svhost.exe- tai Lsass.exe-tiedostojen isännöimiä sekä edellyttävätkö ne RPC- ja DCOM-tietoliikennettä. Jos asia ei ole näin, älä ota tätä käytäntöasetusta käyttöön.
Huomautus: Jos jokin käytäntöasetus avaa TCP-portin 445, Windowsin palomuuri sallii saapuvat ICMP-kaiutuspyyntösanomat (Ping-toiminnon lähettämät sanomat), vaikka Windowsin palomuuri: Salli ICMP-poikkeukset -käytäntöasetus estäisi ne. TCP-portin 445 mahdollisesti avaavia käytäntöasetuksia ovat seuraavat: Windowsin palomuuri: Salli saapuvan tiedoston ja tulostimen jakamisen poikkeus, Windowsin palomuuri: Salli saapuvan etähallinnan poikkeus ja Windowsin palomuuri: Määritä saapuvan portin poikkeukset.
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile\RemoteAdminSettings |
Value Name | Enabled |
Value Type | REG_DWORD |
Enabled Value | 1 |
Disabled Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile\RemoteAdminSettings |
Value Name | RemoteAddresses |
Value Type | REG_SZ |
Default Value |
Käyttö:
Salli sanomat kaikista verkoista kirjoittamalla "*" tai
pilkuilla erotettu luettelo, joka sisältää
jonkin yhdistelmän seuraavista:
IP-osoitteet, esimerkiksi 10.0.0.1
aliverkkojen kuvaukset, esimerkiksi 10.2.3.0/24
merkkijono localsubnet
Esimerkki: Salli sanomat aliverkosta 10.0.0.1,
10.0.0.2 ja mistä tahansa
paikallisen aliverkon tai aliverkon 10.3.4.x järjestelmästä,
kirjoita seuraava kohtaan Salli hyväksymättömät
sanomat näistä IP-osoitteista:
10.0.0.1,10.0.0.2,localsubnet,10.3.4.0/24