Tillater ekstern administrasjon av datamaskinen ved å bruke administrative verktøy som Microsoft Management Console (MMC) og Windows Management Instrumentation (WMI). Dette gjøres ved at Windows-brannmuren åpner TCP-portene 135 og 445. Tjenester bruker ofte disse portene for kommunikasjon ved å bruke eksterne prosedyrekall (RPC - Remote Procedure Call) og DCOM (Distributed Component Object Model). I Windows XP Professional med minst SP2 og Windows Server 2003 med minst SP1 tillater denne policyinnstillingen også Svchost.exe og Lsass.exe å motta uoppfordrede innkommende meldinger, og i tillegg tillates tjenester å åpne flere porter som tildeles dynamisk, vanligvis i området 1024 til 1034.
I Windows Vista kontrollerer denne policyinnstillingen ikke tilkoblinger til Svchost.exe og Lsass.exe.
Hvis denne policyinnstillingen aktiveres, lar Windows-brannmuren datamaskinen motta uoppfordrede meldinger som tilknyttet eksternt skrivebord. Du må angi IP-adressene eller delnettverkene hvor disse innkommende meldingene tillates fra.
Hvis du deaktiverer eller ikke konfigurerer denne policyinnstillingen, åpner ikke Windows-brannmuren TCP-port 135 eller 445. I Windows XP Professional med minst SP2 og Windows Server 2003 med minst SP1 forhindrer Windows-brannmuren Svchost.exe og Lsass.exe i å motta uoppfordrede innkommende meldinger, og i tillegg forhindres tjenester i å åpne flere porter som tildeles dynamisk. Denne policyinnstillingen er ikke i konflikt med policyinnstillingen Windows-brannmur: Tillat unntak for fil- og skriverdeling, fordi TCP-port 445 ikke blokkeres.
Obs! Ondsinnede brukere forsøker ofte å angripe nettverk og datamaskiner ved å bruke RPC og DCOM. Det anbefales at du kontakter leverandøren av dine kritiske programmer for å avgjøre om de kjøres ved hjelp av Svchost.exe eller Lsass.exe, eller om de krever RPC og DCOM-kommunikasjon. Ikke aktiver denne policyinnstillingen hvis dette ikke er tilfelle.
Obs! Hvis en policyinnstilling åpner TCP-port 445, tillater Windows-brannmuren innkommende ICMP-ekkoforespørselsmeldinger (meldinger sendt av Ping-verktøyet), selv om disse ville blitt blokkert av policyinnstillingen Windows-brannmur: Tillat ICMP-unntak ville blokkert disse. Policyinnstillinger som kan åpne TCP-port 445 inkluderer Windows-brannmur: Tillat unntak for fil- og skriverdeling, Windows-brannmur: Tillat unntak for ekstern administrasjon og Windows-brannmur: Definer portunntak.
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile\RemoteAdminSettings |
Value Name | Enabled |
Value Type | REG_DWORD |
Enabled Value | 1 |
Disabled Value | 0 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile\RemoteAdminSettings |
Value Name | RemoteAddresses |
Value Type | REG_SZ |
Default Value |
Syntaks:
Skriv inn "*" for å tillate meldinger fra alle nettverk, eller
skriv inn en kommadelt liste som inneholder
et tall eller kombinasjoner av følgende:
IP-adresser, for eksempel 10.0.0.1
Delnettverksbeskrivelser, for eksempel 10.2.3.0/24
Strengen "localsubnet"
Eksempel: Hvis du vil tillate mottak av meldinger fra 10.0.0.1,
10.0.0.2 og andre systemer på det
lokale delnettverket eller på 10.3.4.x-delnettverket,
skriver du inn følgende i Tillat uoppfordrede
innkommende meldinger fra disse IP-adressene:
10.0.0.1,10.0.0.2,localsubnet,10.3.4.0/24