Брандмауэр Windows: Разрешить исключение для входящих сообщений удаленного администрирования

Позволяет удаленное администрирование данного компьютера при помощи инструментов администрирования, таких как консоль управления (Microsoft) и инструментарий управления Windows (WMI). Для этого брандмауэр Windows открывает порты 135 и 445 протокола TCP. Службы обычно применяют эти порты для взаимодействия с использованием вызовов удаленных процедур (RPC) и объектной модели распределенных компонентов (DCOM). Кроме того, в Windows XP Professional с пакетом обновления не ниже SP2 и в Windows Server 2003 с пакетом обновления не ниже SP1 этот параметр политики также разрешает программам SVCHOST.EXE и LSASS.EXE принимать незапрошенные входящие сообщения и разрешает местным службам открывать дополнительные динамически назначаемые порты, обычно в диапазоне от 1024 до 1034. В Windows Vista данный параметр не контролирует подключения к SVCHOST.EXE и LSASS.EXE.

Если параметр политики включен, брандмауэр Windows позволит компьютеру принимать незапрошенные входящие сообщения, связанные с удаленным администрированием. Необходимо задать IP-адреса или подсети, из которых допускается принятие этих входящих сообщений.

Если параметр политики выключен или не задан, брандмауэр Windows не открывает порты 135 или 445 протокола TCP. Кроме того, в Windows XP Professional с пакетом обновления не ниже SP2 и в Windows Server 2003 с пакетом обновления не ниже SP1 брандмауэр Windows не позволяет программам SVCHOST.EXE и LSASS.EXE получать незапрошенные входящие сообщения и запрещает локальным службам компьютера открывать дополнительные динамически назначаемые порты. Так как отключение данного параметра политики не блокирует порт 445 протокола TCP, то не возникает конфликта с параметром политики "Брандмауэр Windows: разрешить исключение для общего доступа к файлам и принтерам".

Примечание: Злоумышленники часто пытаются атаковать сети и компьютеры, используя RPC и DCOM. Рекомендуется обратиться к производителям важнейших используемых программ, чтобы определить связь этих программ с программами SVCHOST.exe или LSASS.exe и необходимость в использовании RPC и DCOM. Если вышеперечисленное не требуется, не следует включать данный параметр политики.

Примечание. Если какой-нибудь параметр политики открывает порт 445 протокола TCP, брандмауэр Windows разрешает входящие эхо-запросы по протоколу ICMP (такое сообщение посылается программой Ping), даже если параметр политики "Брандмауэр Windows: разрешить исключения ICMP» будет блокировать их. Параметры политики, которые могут открывать порт 445 протокола TCP: "Брандмауэр Windows: разрешить исключение для входящего общего доступа к файлам и принтерам", "Брандмауэр Windows: разрешить исключение для входящих сообщений удаленного администрирования" и "Брандмауэр Windows: определение входящих исключений портов".

Поддерживается: Не ниже Windows XP Professional с пакетом обновления 2 (SP2)

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile\RemoteAdminSettings
Value NameEnabled
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

Разрешить незапрошенные входящие сообщения с этих IP-адресов:

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile\RemoteAdminSettings
Value NameRemoteAddresses
Value TypeREG_SZ
Default Value

Синтаксис:

Введите «*», чтобы разрешить сообщения от любых сетей, или

разделенный запятыми список, который содержит

любые цифры или их сочетания:

IP-адреса, например 10.0.0.1

Описания подсети, например 10.2.3.0/24

Строка "localsubnet"

Пример: чтобы разрешить сообщения от 10.0.0.1,

10.0.0.2 и от любых систем

локальной подсети или подсети 10.3.4.x,

в поле "Разрешать незапрошенные" введите следующее

входящие сообщения с этих IP-адресов:

10.0.0.1,10.0.0.2,localsubnet,10.3.4.0/24


windowsfirewall.admx

Административные шаблоны (компьютеры)

Административные шаблоны (пользователи)