Windows ファイアウォール: 着信リモート管理の例外を許可する | Windowsグループポリシーの設定

"Windows ファイアウォール: 着信リモート管理の例外を許可する "(Windows グループポリシー)に関して説明します。


スポンサード リンク

カテゴリ:

Windows ファイアウォール

設定値:
Windows ファイアウォール: 着信リモート管理の例外を許可する

パス:
コンピュータの構成\管理用テンプレート\\ネットワーク\ネットワーク接続\Windows ファイアウォール\標準プロファイル

グループポリシエディタの説明:
Microsoft 管理コンソール (MMC)、Windows Management Instrumentation (WMI) などの管理ツールを使用して、このコンピューターをリモート管理できるようにします。このために、Windows ファイアウォールで TCP ポート 135 および 445 が開かれます。サービスは通常、これらのポート経由で、リモート プロシージャ コール (RPC) や分散コンポーネント オブジェクト モデル (DCOM) を使用して通信します。さらに Windows XP Professional SP2 以降および Windows Server 2003 SP1 以降では、このポリシー設定を使用すると、SVCHOST.EXE および LSASS.EXE での要請されない着信メッセージの受信が許可され、ホストされたサービスは、通常 1024 から 1034 の範囲にある動的に割り当てられた追加のポートを開くことができます。Windows Vista では、このポリシー設定によって SVCHOST.EXE および LSASS.EXE への接続は制御されません。このポリシー設定を有効にすると、リモート管理に関連付けられた要請されない着信メッセージをコンピューターで受信できます。これらの着信メッセージを許可する IP アドレスまたはサブネットを指定する必要があります。このポリシー設定を無効または未構成にすると、TCP ポート 135 または 445 は開かれません。また Windows XP Professional SP2 以降および Windows Server 2003 SP 1 以降では、SVCHOST.EXE および LSASS.EXE によって、要請されない着信メッセージは受信されず、ホストされたサービスによって、動的に割り当てられた追加のポートは開かれません。このポリシー設定を無効にしても TCP ポート 445 はブロックされないため、[Windows ファイアウォール: ファイルとプリンターの共有の例外を許可する] ポリシー設定とは競合しません。注: 悪意のあるユーザーは、しばしば RPC や DCOM を使用してネットワークやコンピューターへの攻撃を試みます。重要なプログラムについては、SVCHOST.exe または LSASS.exe でホストされているか、および RPC や DCOM での通信を必要とするかどうかを製造元に問い合わせることをお勧めします。必要でない場合は、このポリシー設定を有効にしないでください。注: いずれかのポリシー設定によって TCP ポート 445 が開かれる場合、[Windows ファイアウォール: ICMP の例外を許可する] ポリシー設定によってブロックされている場合でも、着信 ICMP エコー要求メッセージは許可されます。TCP ポート 445 を開くことのできるポリシー設定には、[Windows ファイアウォール: 着信ファイルとプリンターの共有の例外を許可する]、[Windows ファイアウォール: 着信リモート管理の例外を許可する]、および [Windows ファイアウォール: 着信ポートの例外を定義する] があります。


参考:グループポリシーエディタエディタの起動方法

スポンサード リンク

Windows 10 グループポリシー 一覧