Windows-brannmur: Tillat unntak for eksternt skrivebord

Tillater ekstern administrasjon av datamaskinen ved å bruke administrative verktøy som Microsoft Management Console (MMC) og Windows Management Instrumentation (WMI). Dette gjøres ved at Windows-brannmuren åpner TCP-portene 135 og 445. Tjenester bruker ofte disse portene for kommunikasjon ved å bruke eksterne prosedyrekall (RPC - Remote Procedure Call) og DCOM (Distributed Component Object Model). I Windows XP Professional med minst SP2 og Windows Server 2003 med minst SP1 tillater denne policyinnstillingen også Svchost.exe og Lsass.exe å motta uoppfordrede innkommende meldinger, og i tillegg tillates tjenester å åpne flere porter som tildeles dynamisk, vanligvis i området 1024 til 1034.
I Windows Vista kontrollerer denne policyinnstillingen ikke tilkoblinger til Svchost.exe og Lsass.exe.
Hvis denne policyinnstillingen aktiveres, lar Windows-brannmuren datamaskinen motta uoppfordrede meldinger som tilknyttet eksternt skrivebord. Du må angi IP-adressene eller delnettverkene hvor disse innkommende meldingene tillates fra.

Hvis du deaktiverer eller ikke konfigurerer denne policyinnstillingen, åpner ikke Windows-brannmuren TCP-port 135 eller 445. I Windows XP Professional med minst SP2 og Windows Server 2003 med minst SP1 forhindrer Windows-brannmuren Svchost.exe og Lsass.exe i å motta uoppfordrede innkommende meldinger, og i tillegg forhindres tjenester i å åpne flere porter som tildeles dynamisk. Denne policyinnstillingen er ikke i konflikt med policyinnstillingen Windows-brannmur: Tillat unntak for fil- og skriverdeling, fordi TCP-port 445 ikke blokkeres.

Obs! Ondsinnede brukere forsøker ofte å angripe nettverk og datamaskiner ved å bruke RPC og DCOM. Det anbefales at du kontakter leverandøren av dine kritiske programmer for å avgjøre om de kjøres ved hjelp av Svchost.exe eller Lsass.exe, eller om de krever RPC og DCOM-kommunikasjon. Ikke aktiver denne policyinnstillingen hvis dette ikke er tilfelle.

Obs! Hvis en policyinnstilling åpner TCP-port 445, tillater Windows-brannmuren innkommende ICMP-ekkoforespørselsmeldinger (meldinger sendt av Ping-verktøyet), selv om disse ville blitt blokkert av policyinnstillingen Windows-brannmur: Tillat ICMP-unntak ville blokkert disse. Policyinnstillinger som kan åpne TCP-port 445 inkluderer Windows-brannmur: Tillat unntak for fil- og skriverdeling, Windows-brannmur: Tillat unntak for ekstern administrasjon og Windows-brannmur: Definer portunntak.

Støttes av: Minst Windows XP Professional med SP2

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile\RemoteAdminSettings
Value NameEnabled
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

Tillat uoppfordrede innkommende meldinger fra disse IP-adressene:

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile\RemoteAdminSettings
Value NameRemoteAddresses
Value TypeREG_SZ
Default Value

Syntaks:

Skriv inn "*" for å tillate meldinger fra alle nettverk, eller

skriv inn en kommadelt liste som inneholder

et tall eller kombinasjoner av følgende:

IP-adresser, for eksempel 10.0.0.1

Delnettverksbeskrivelser, for eksempel 10.2.3.0/24

Strengen "localsubnet"

Eksempel: Hvis du vil tillate mottak av meldinger fra 10.0.0.1,

10.0.0.2 og andre systemer på det

lokale delnettverket eller på 10.3.4.x-delnettverket,

skriver du inn følgende i Tillat uoppfordrede

innkommende meldinger fra disse IP-adressene:

10.0.0.1,10.0.0.2,localsubnet,10.3.4.0/24


windowsfirewall.admx

Administrative maler (datamaskiner)

Administrative maler (brukere)