Firewall-Konfigurationsdienstanbieter (Configuration Service Provider, CSP)

Der Firewall-Konfigurationsdienstanbieter (Configuration Service Provider, CSP) ermöglicht dem Mdm-Server (Mobile Device Management, Verwaltung mobiler Geräte), die globalen Firewalleinstellungen für Windows Defender pro Profil sowie den gewünschten Satz von benutzerdefinierten Regeln zu konfigurieren, die auf dem Gerät erzwungen werden sollen. Mithilfe des Firewall-CSP kann der IT-Administrator jetzt Nicht-Domänengeräte verwalten und das Risiko von Netzwerksicherheitsbedrohungen auf allen Systemen verringern, die mit dem Unternehmensnetzwerk verbunden sind. Dieser CSP wurde Windows 10, Version 1709, hinzugefügt.

Firewallregeln im Abschnitt "FirewallRules" müssen einzeln oder gemeinsam in einen Atomblock in SyncML eingeschlossen werden.

Ausführliche Informationen zu einigen der folgenden Felder finden Sie unter [MS-FASP]: Dokumentation zu Firewall und Advanced Security Protocol.

Im Folgenden ist der Firewall-Konfigurationsdienstanbieter im Strukturformat dargestellt.

./Vendor/MSFT
Firewall
----
--------Global
------------PolicyVersionSupported
------------CurrentProfiles
------------DisableStatefulFtp
------------SaIdleTime
------------PresharedKeyEncoding
------------IPsecExempt
------------CRLcheck
------------PolicyVersion
------------BinaryVersionSupported
------------OpportunisticallyMatchAuthSetPerKM
------------EnablePacketQueue
--------DomainProfile
------------EnableFirewall
------------DisableStealthMode
------------Shielded
------------DisableUnicastResponsesToMulticastBroadcast
------------DisableInboundNotifications
------------AuthAppsAllowUserPrefMerge
------------GlobalPortsAllowUserPrefMerge
------------AllowLocalPolicyMerge
------------AllowLocalIpsecPolicyMerge
------------DefaultOutboundAction
------------DefaultInboundAction
------------DisableStealthModeIpsecSecuredPacketExemption
--------PrivateProfile
------------EnableFirewall
------------DisableStealthMode
------------Shielded
------------DisableUnicastResponsesToMulticastBroadcast
------------DisableInboundNotifications
------------AuthAppsAllowUserPrefMerge
------------GlobalPortsAllowUserPrefMerge
------------AllowLocalPolicyMerge
------------AllowLocalIpsecPolicyMerge
------------DefaultOutboundAction
------------DefaultInboundAction
------------DisableStealthModeIpsecSecuredPacketExemption
--------PublicProfile
------------EnableFirewall
------------DisableStealthMode
------------Shielded
------------DisableUnicastResponsesToMulticastBroadcast
------------DisableInboundNotifications
------------AuthAppsAllowUserPrefMerge
------------GlobalPortsAllowUserPrefMerge
------------AllowLocalPolicyMerge
------------AllowLocalIpsecPolicyMerge
------------DefaultOutboundAction
------------DefaultInboundAction
------------DisableStealthModeIpsecSecuredPacketExemption
--------FirewallRules
------------FirewallRuleName
----------------App
--------------------PackageFamilyName
--------------------FilePath
--------------------Fqbn
--------------------ServiceName
----------------Protocol
----------------LocalPortRanges
----------------RemotePortRanges
----------------LocalAddressRanges
----------------RemoteAddressRanges
----------------Description
----------------Enabled
----------------Profiles
----------------Action
--------------------Type
----------------Direction
----------------InterfaceTypes
----------------EdgeTraversal
----------------LocalUserAuthorizationList
----------------FriendlyName
----------------IcmpTypesAndCodes
----------------Status
----------------Name

./Vendor/MSFT/Firewall

Stammknoten für den Firewall-Konfigurationsdienstanbieter.

MdmStore

Innenknoten.

Unterstützter Vorgang ist Get.

MdmStore/Global

Innenknoten.

Unterstützte Vorgänge sind Get.

MdmStore/Global/PolicyVersionSupported

Ganzzahliger Wert, der die maximale Richtlinienversion enthält, die der Serverhost akzeptieren kann. Die Versionsnummer ist zwei Oktette in der Größe. Das Oktet der niedrigsten Reihenfolge ist die Nebenversion. Das zweite bis unterste Oktett ist die Hauptversion. Dieser Wert wird nicht zusammengeführt und ist immer ein fester Wert für einen bestimmten Firewall- und erweiterten Sicherheitskomponenten-Softwarebuild.

Werttyp in ganzzahliger Zahl. Unterstützter Vorgang ist Get.

MdmStore/Global/CurrentProfiles

Ganzzahliger Wert, der eine Bitmaske der aktuell erzwungenen Profile enthält, die vom Serverfirewallhost verwaltet werden. Unter FW_PROFILE_TYPE finden Sie die Bitmasken, die zum Identifizieren von Profiltypen verwendet werden. Dieser Wert ist nur im dynamischen Speicher verfügbar. daher wird sie nicht zusammengeführt und verfügt über kein Zusammenführungsrecht.

Werttyp in ganzzahliger Zahl. Unterstützter Vorgang ist Get.

MdmStore/Global/DisableStatefulFtp

an. Bei "false" führt die Firewall eine zustandsbehaftete FTP-Filterung (File Transfer Protocol) durch, um sekundäre Verbindungen zuzulassen. True bedeutet, dass der zustandsbehaftete FTP-Vorgang deaktiviert ist. Das Zusammenführungsrecht für diese Option besteht darin, " dass echte Werte gewonnen " werden.

Der Standardwert ist "false".

Der Datentyp ist bool. Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Ersetzen" und "Löschen".

MdmStore/Global/SaIdleTime

Dieser Wert konfiguriert die Leerlaufzeit der Sicherheitszuordnung in Sekunden. Sicherheitszuordnungen werden gelöscht, nachdem für diesen angegebenen Zeitraum kein Netzwerkdatenverkehr angezeigt wird. Der Wert ist eine ganze Zahl und MUSS im Bereich von 300 bis einschließlich 3.600 liegen. Das Zusammenführungsrecht für diese Option besteht darin, den Wert des GroupPolicyRSoPStore gewinnen zu lassen, wenn er konfiguriert ist. Verwenden Sie andernfalls den lokalen Speicherwert.

Der Standardwert ist 300.

Der Werttyp ist eine ganze Zahl. Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Ersetzen" und "Löschen".

MdmStore/Global/PresharedKeyEncoding

Gibt die vorinstallierte Schlüsselcodierung an, die verwendet wird. Der Wert ist eine ganze Zahl und MUSS ein gültiger Wert aus der PRESHARED_KEY_ENCODING_VALUES Enumeration sein. Das Zusammenführungsrecht für diese Option besteht darin, den Wert des GroupPolicyRSoPStore gewinnen zu lassen, wenn er konfiguriert ist. Verwenden Sie andernfalls den lokalen Speicherwert.

Der Standardwert ist 1.

Der Werttyp ist eine ganze Zahl. Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Ersetzen" und "Löschen".

MdmStore/Global/IPsecExempt

Dieser Wert konfiguriert IPsec-Ausnahmen. Der Wert ist ganze Zahl und MUSS eine Kombination der gültigen Flags sein, die in IPSEC_EXEMPT_VALUES definiert sind. Daher MUSS der Maximalwert immer IPSEC_EXEMPT_MAX-1 für Server sein, die eine Schemaversion von 0x0201 unterstützen, und IPSEC_EXEMPT_MAX_V2_0-1 für Server, die eine Schemaversion von 0x0200 unterstützen. Wenn der Maximalwert überschritten wird, wenn die Methode RRPC_FWSetGlobalConfig (Opnum 4) aufgerufen wird, gibt die Methode ERROR_INVALID_PARAMETER zurück. Dieser Fehlercode wird zurückgegeben, wenn kein anderer vorheriger Fehler erkannt wird. Das Zusammenführungsrecht für diese Option besteht darin, den Wert des GroupPolicyRSoPStore gewinnen zu lassen, wenn er konfiguriert ist. Verwenden Sie andernfalls den lokalen Speicherwert.

Der Standardwert ist 0.

Der Werttyp ist eine ganze Zahl. Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Ersetzen" und "Löschen".

MdmStore/Global/CRLcheck

Dieser Wert gibt an, wie die Überprüfung der Zertifikatsperrliste (Certificate Revocation List, CRL) erzwungen wird. Der Wert ist eine ganze Zahl und MUSS 0, 1 oder 2 sein. Das Zusammenführungsrecht für diese Option besteht darin, den Wert des GroupPolicyRSoPStore gewinnen zu lassen, wenn er konfiguriert ist. Verwenden Sie andernfalls den lokalen Speicherwert. Gültiger Wert:

  • 0 deaktiviert die CRL-Überprüfung
  • 1 gibt an, dass die CRL-Überprüfung versucht wird und dass die Zertifikatüberprüfung nur fehlschlägt, wenn das Zertifikat widerrufen wird. Andere Fehler, die bei der CRL-Prüfung auftreten (z. B. die Sperr-URL ist nicht erreichbar), führen nicht dazu, dass die Zertifikatüberprüfung fehlschlägt.
  • 2 bedeutet, dass die Überprüfung erforderlich ist und die Zertifikatüberprüfung fehlschlägt, wenn während der CRL-Verarbeitung ein Fehler auftritt

Der Standardwert ist 0.

Der Werttyp ist eine ganze Zahl. Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Ersetzen" und "Löschen".

MdmStore/Global/PolicyVersion

Dieser Wert enthält die Richtlinienversion des Richtlinienspeichers, der verwaltet wird. Dieser Wert wird nicht zusammengeführt und hat daher kein Zusammenführungsrecht.

Werttyp ist Zeichenfolge. Unterstützter Vorgang ist Get.

MdmStore/Global/BinaryVersionSupported

Dieser Wert enthält die binäre Version der Strukturen und Datentypen, die vom Server unterstützt werden. Dieser Wert wird nicht zusammengeführt. Darüber hinaus ist dieser Wert immer ein fester Wert für eine bestimmte Firewall und erweiterte Sicherheitskomponente'Softwarebuild. Dieser Wert identifiziert eine Richtlinienkonfigurationsoption, die nur auf Servern mit einer Schemaversion von 0x0201 unterstützt wird.

Werttyp ist Zeichenfolge. Unterstützter Vorgang ist Get.

MdmStore/Global/OpportunisticallyMatchAuthSetPerKM

Dieser Wert ist ein Boolescher Wert, der als Ein-/Aus-Schalter verwendet wird. Wenn diese Option "false" (deaktiviert) ist, MÜSSEN Schlüsselmodule den gesamten Authentifizierungssatz ignorieren, wenn sie nicht alle in der Gruppe angegebenen Authentifizierungssammlungen unterstützen. Wenn diese Option wahr ist (ein), müssen Keyingmodule nur die Authentifizierungssammlungen ignorieren, die sie nicht unterstützen. Bei Schemaversionen 0x0200, 0x0201 und 0x020A ist dieser Wert ungültig und DARF NICHT verwendet werden.

an. Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Ersetzen" und "Löschen".

MdmStore/Global/EnablePacketQueue

Dieser Wert gibt an, wie die Skalierung für die Software auf der Empfangsseite sowohl für den verschlüsselten Empfangspfad als auch für den Clear-Text-Weiterleitungspfad für das IPsec-Tunnelgatewayszenario aktiviert ist. Mit dieser Option wird auch sichergestellt, dass die Paketreihenfolge beibehalten wird. Der Datentyp für diesen Optionswert ist eine ganze Zahl und eine Kombination aus Flags. Gültige Werte:

  • 0x00 gibt an, dass die Warteschlange deaktiviert werden soll.
  • 0x01 gibt an, dass eingehende verschlüsselte Pakete in die Warteschlange eingereiht werden sollen.
  • 0x02 gibt an, dass Pakete nach der Entschlüsselung für die Weiterleitung in die Warteschlange eingereiht werden sollen.

Der Standardwert ist 0.

Der Werttyp ist eine ganze Zahl. Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Ersetzen" und "Löschen".

MdmStore/DomainProfile

Innenknoten. Unterstützter Vorgang ist Get.

MdmStore/PrivateProfile

Innenknoten. Unterstützter Vorgang ist Get.

MdmStore/PublicProfile

Innenknoten. Unterstützter Vorgang ist Get.

/EnableFirewall

Boolescher Wert für die Firewall und die erweiterte Sicherheitserzwingung. Wenn dieser Wert "false" ist, DARF der Server unabhängig von anderen Richtlinieneinstellungen keinen Netzwerkdatenverkehr blockieren. Das Zusammenführungsrecht für diese Option besteht darin, den Wert des GroupPolicyRSoPStore gewinnen zu lassen, wenn er konfiguriert ist. andernfalls wird der lokale Speicherwert verwendet.

Der Standardwert ist "true".

Der Werttyp ist bool. Unterstützte Vorgänge sind "Hinzufügen", "Abrufen" und "Ersetzen".

/DisableStealthMode

an. Wenn diese Option "false" ist, wird der Server im Modus "False" ausgeführt. Die Firewallregeln, die zum Erzwingen des Erzwingungsmodus verwendet werden, sind implementierungsspezifisch. Das Zusammenführungsrecht für diese Option besteht darin, den Wert des GroupPolicyRSoPStore gewinnen zu lassen, wenn er konfiguriert ist. andernfalls wird der lokale Speicherwert verwendet.

Der Standardwert ist "false".

Der Werttyp ist bool. Unterstützte Vorgänge sind "Hinzufügen", "Abrufen" und "Ersetzen".

/Shielded

an. Wenn dieser Wert "true" ist und "EnableFirewall" aktiviert ist, MUSS der Server den gesamten eingehenden Datenverkehr blockieren, unabhängig von anderen Richtlinieneinstellungen. Das Zusammenführungsrecht für diese Option besteht darin, " dass echte Werte gewonnen " werden.

Der Standardwert ist "false".

Der Werttyp ist bool. Unterstützte Operationen sind Get und Replace.

/DisableUnicastResponsesToMulticastBroadcast

an. Wenn dies der Fall ist, werden Unicast-Antworten auf Multicast-Übertragungsdatenverkehr blockiert. Das Zusammenführungsrecht für diese Option besteht darin, den Wert des GroupPolicyRSoPStore gewinnen zu lassen, wenn er konfiguriert ist. andernfalls wird der lokale Speicherwert verwendet.

Der Standardwert ist "false".

Der Werttyp ist bool. Unterstützte Vorgänge sind "Hinzufügen", "Abrufen" und "Ersetzen".

/DisableInboundNotifications

an. Wenn dieser Wert "false" ist, zeigt die Firewall dem Benutzer möglicherweise eine Benachrichtigung an, wenn eine Anwendung am Überwachen eines Ports gehindert wird. Wenn dieser Wert aktiviert ist, darf die Firewall keine solche Benachrichtigung anzeigen. Das Zusammenführungsrecht für diese Option besteht darin, den Wert des GroupPolicyRSoPStore gewinnen zu lassen, wenn er konfiguriert ist. andernfalls wird der lokale Speicherwert verwendet.

Der Standardwert ist "false".

Der Werttyp ist bool. Unterstützte Vorgänge sind "Hinzufügen", "Abrufen" und "Ersetzen".

/AuthAppsAllowUserPrefMerge

an. Wenn dieser Wert "false" ist, werden autorisierte Firewallregeln der Anwendung im lokalen Speicher ignoriert und nicht erzwungen. Das Zusammenführungsrecht für diese Option besteht darin, den Wert des GroupPolicyRSoPStore gewinnen zu lassen, wenn er konfiguriert ist. andernfalls wird der lokale Speicherwert verwendet.

Der Standardwert ist "true".

Der Werttyp ist bool. Unterstützte Vorgänge sind "Hinzufügen", "Abrufen" und "Ersetzen".

/GlobalPortsAllowUserPrefMerge

an. Wenn dieser Wert "false" ist, werden globale Portfirewallregeln im lokalen Speicher ignoriert und nicht erzwungen. Die Einstellung hat nur Dann Bedeutung, wenn sie im Gruppenrichtlinienspeicher festgelegt oder aufgezählt wird oder wenn sie aus dem GroupPolicyRSoPStore aufgezählt wird. Das Zusammenführungsrecht für diese Option besteht darin, den Wert "GroupPolicyRSoPStore" zu gewinnen, wenn er konfiguriert ist. andernfalls wird der lokale Speicherwert verwendet.

Der Standardwert ist "true".

Der Werttyp ist bool. Unterstützte Vorgänge sind "Hinzufügen", "Abrufen" und "Ersetzen".

/AllowLocalPolicyMerge

an. Wenn dieser Wert "false" ist, werden Firewallregeln aus dem lokalen Speicher ignoriert und nicht erzwungen. Das Zusammenführungsrecht für diese Option besteht darin, immer den Wert des GroupPolicyRSoPStore zu verwenden. Dieser Wert gilt für alle Schemaversionen.

Der Standardwert ist "true".

Der Werttyp ist bool. Unterstützte Vorgänge sind "Hinzufügen", "Abrufen" und "Ersetzen".

/AllowLocalIpsecPolicyMerge

an. Wenn dieser Wert falsch ist, werden Verbindungssicherheitsregeln aus dem lokalen Speicher ignoriert und nicht erzwungen, unabhängig von der Schemaversion und der Verbindungssicherheitsregelversion. Das Zusammenführungsrecht für diese Option besteht darin, immer den Wert des GroupPolicyRSoPStore zu verwenden.

Der Standardwert ist "true".

Der Werttyp ist bool. Unterstützte Vorgänge sind "Hinzufügen", "Abrufen" und "Ersetzen".

/DefaultOutboundAction

Dieser Wert ist die Aktion, die die Firewall standardmäßig für ausgehende Verbindungen durchführt (und ganz am Ende auswertet). Das Zusammenführungsrecht für diese Option besteht darin, den Wert des GroupPolicyRSoPStore gewinnen zu lassen, wenn er konfiguriert ist. andernfalls wird der lokale Speicherwert verwendet. DefaultOutboundAction blockiert den gesamten ausgehenden Datenverkehr, es sei denn, es ist explizit angegeben, dass er nicht blockiert werden soll.

  • 0x00000000 – zulassen
  • 0x00000001 – blockieren

Der Standardwert ist 0 (zulassen).

Der Werttyp ist eine ganze Zahl. Unterstützte Vorgänge sind "Hinzufügen", "Abrufen" und "Ersetzen".

Syncxml-Beispiel zum Bereitstellen der zu bewertenden Firewalleinstellungen

<?xml version="1.0" encoding="utf-8"?>
<SyncML xmlns="SYNCML:SYNCML1.1">
<SyncBody>
    <!-- Block Outbound by default -->
    <Add>
      <CmdID>2010</CmdID>
      <Item>
        <Target>
          <LocURI>./Vendor/MSFT/Firewall/MdmStore/DomainProfile/DefaultOutboundAction</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
        </Meta>
        <Data>1</Data>
      </Item>
    </Add>
<Final/>
</SyncBody>
</SyncML>

/DefaultInboundAction

Dieser Wert ist die Aktion, die die Firewall standardmäßig für eingehende Verbindungen durchführt (und ganz am Ende auswertet). Das Zusammenführungsrecht für diese Option besteht darin, den Wert von GroupPolicyRSoPStore.win zu lassen, wenn er konfiguriert ist. andernfalls wird der lokale Speicherwert verwendet.

  • 0x00000000 – zulassen
  • 0x00000001 – blockieren

Der Standardwert ist 1 (Block).

Der Werttyp ist eine ganze Zahl. Unterstützte Vorgänge sind "Hinzufügen", "Abrufen" und "Ersetzen".

/DisableStealthModeIpsecSecuredPacketExemption

an. Diese Option wird ignoriert, wenn DisableStealthMode auf "true" festgelegt ist. Andernfalls darf die Firewall, wenn diese Option zutrifft,'nicht verhindern, dass der Hostcomputer auf unerwünschten Netzwerkdatenverkehr reagiert, wenn dieser Datenverkehr durch IPsec gesichert wird. Das Zusammenführungsrecht für diese Option besteht darin, den Wert des GroupPolicyRSoPStore gewinnen zu lassen, wenn er konfiguriert ist. andernfalls wird der lokale Speicherwert verwendet. Bei Schemaversionen 0x0200, 0x0201 und 0x020A ist dieser Wert ungültig und DARF NICHT verwendet werden.

Der Standardwert ist "true".

Der Werttyp ist bool. Unterstützte Vorgänge sind "Hinzufügen", "Abrufen" und "Ersetzen".

FirewallRules

Eine Liste der Regeln, die den Datenverkehr über die Windows Firewall steuern. Jede Regel-ID ist OR'ed. Innerhalb jeder Regel-ID ist jeder Filtertyp UND'ed.

FirewallRules/FirewallRuleName

Eindeutiger alphanumerischer Bezeichner für die Regel. Der Regelname darf keinen Schrägstrich (/) enthalten.

Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Ersetzen" und "Löschen".

FirewallRules/FirewallRuleName/App

Regeln zum Steuern von Verbindungen für eine App, ein Programm oder einen Dienst. Wird basierend auf der Schnittmenge der folgenden Knoten angegeben:

  • PackageFamilyName
  • FilePath
  • FQBN
  • ServiceName

Wenn nicht angegeben, ist die Standardeinstellung "Alle".

Unterstützter Vorgang ist Get.

FirewallRules/FirewallRuleName/App/PackageFamilyName

Dieser App/Id-Wert stellt den PackageFamilyName der App dar. PackageFamilyName ist der eindeutige Name einer Microsoft Store Anwendung.

Werttyp ist Zeichenfolge. Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Ersetzen" und "Löschen".

FirewallRules/FirewallRuleName/App/FilePath

Dieser App/Id-Wert stellt den vollständigen Dateipfad der App dar. Beispiel: C:\Windows\System\Notepad.exe.

Werttyp ist Zeichenfolge. Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Ersetzen" und "Löschen".

FirewallRules/FirewallRuleName/App/Fqbn

Vollqualifizierte Binärname

Werttyp ist Zeichenfolge. Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Ersetzen" und "Löschen".

FirewallRules/FirewallRuleName/App/ServiceName

Dies ist ein Dienstname, der in Fällen verwendet wird, in denen ein Dienst, keine Anwendung, Datenverkehr sendet oder empfängt.

Werttyp ist Zeichenfolge. Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Ersetzen" und "Löschen".

FirewallRules/FirewallRuleName/Protocol

0-255 Zahl, die das IP-Protokoll darstellt (TCP = 6, UDP = 17)

Wenn nicht angegeben, ist die Standardeinstellung "Alle".

Der Werttyp ist eine ganze Zahl. Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Ersetzen" und "Löschen".

FirewallRules/FirewallRuleName/LocalPortRanges

Durch Trennzeichen getrennte Liste von Bereichen. Beispiel: 100-120.200.300-320.

Wenn nicht angegeben, ist die Standardeinstellung "Alle".

Werttyp ist Zeichenfolge. Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Ersetzen" und "Löschen".

FirewallRules/FirewallRuleName/RemotePortRanges

Durch Trennzeichen getrennte Liste von Bereichen, z. B. 100-120,200,300-320.

Wenn nicht angegeben, ist die Standardeinstellung "Alle".

Werttyp ist Zeichenfolge. Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Ersetzen" und "Löschen".

FirewallRules/FirewallRuleName/LocalAddressRanges

Durch Trennzeichen getrennte Liste der lokalen Adressen, die von der Regel abgedeckt werden. Der Standardwert ist "*". Gültige Token sind:

  • "*" gibt eine beliebige lokale Adresse an. Wenn vorhanden, muss dies das einzige token enthalten sein.
  • Ein Subnetz kann entweder mithilfe der Subnetzmaske oder der Netzwerkpräfixnotation angegeben werden. Wenn weder eine Subnetzmaske noch ein Netzwerkpräfix angegeben ist, ist die Subnetzmaske standardmäßig auf 255.255.255.255 festgelegt.
  • Eine gültige IPv6-Adresse.
  • Ein IPv4-Adressbereich im Format der " Startadresse – Endadresse " ohne Leerzeichen.
  • Ein IPv6-Adressbereich im Format der " Startadresse – Endadresse " ohne Leerzeichen.

Wenn nicht angegeben, ist die Standardeinstellung "Alle".

Werttyp ist Zeichenfolge. Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Ersetzen" und "Löschen".

FirewallRules/FirewallRuleName/RemoteAddressRanges

Liste der durch Trennzeichen getrennten Token, die die von der Regel abgedeckten Remoteadressen angeben. Der Standardwert ist "*". Gültige Token sind:

  • "*" gibt eine beliebige Remoteadresse an. Wenn vorhanden, muss dies das einzige token enthalten sein.
  • "Defaultgateway"
  • "DHCP"
  • "DNS"
  • "GEWINNT"
  • "Intranet"
  • "RmtIntranet"
  • "Internet"
  • "Ply2Renders"
  • "LocalSubnet " gibt eine beliebige lokale Adresse im lokalen Subnetz an. Bei diesem Token wird die Groß-/Kleinschreibung nicht beachtet.
  • Ein Subnetz kann entweder mithilfe der Subnetzmaske oder der Netzwerkpräfixnotation angegeben werden. Wenn weder eine Subnetzmaske noch ein Netzwerkpräfix angegeben ist, ist die Subnetzmaske standardmäßig auf 255.255.255.255 festgelegt.
  • Eine gültige IPv6-Adresse.
  • Ein IPv4-Adressbereich im Format der " Startadresse – Endadresse " ohne Leerzeichen.
  • Ein IPv6-Adressbereich im Format der " Startadresse – Endadresse " ohne Leerzeichen.

Wenn nicht angegeben, ist die Standardeinstellung "Alle".

Werttyp ist Zeichenfolge. Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Ersetzen" und "Löschen".

Die Token " " Intranet, " RmtIntranet, " Internet und " " " Ply2Renders " werden auf Windows 10, Version 1809 und höher unterstützt.

FirewallRules/FirewallRuleName/Description

Gibt die Beschreibung der Regel an.

Werttyp ist Zeichenfolge. Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Ersetzen" und "Löschen".

FirewallRules/FirewallRuleName/Enabled

Gibt an, ob die Regel aktiviert oder deaktiviert ist. Wenn die Regel aktiviert sein muss, muss dieser Wert auf "true" festgelegt werden.

Wenn nicht angegeben, ist eine neue Regel standardmäßig aktiviert.

an. Unterstützte Operationen sind Get und Replace.

FirewallRules/FirewallRuleName/Profiles

Gibt die Profile an, zu denen die Regel gehört: Domäne, Privat, Öffentlich. . Unter FW_PROFILE_TYPE finden Sie die Bitmasken, die zum Identifizieren von Profiltypen verwendet werden.

Wenn nicht angegeben, ist die Standardeinstellung "Alle".

Der Werttyp ist eine ganze Zahl. Unterstützte Operationen sind Get und Replace.

FirewallRules/FirewallRuleName/Action

Gibt die Aktion für die Regel an.

Unterstützter Vorgang ist Get.

FirewallRules/FirewallRuleName/Action/Type

Gibt die Aktion an, die die Regel erzwingt. Unterstützte Werte:

  • 0 – Blockieren
  • 1 – Zulassen

Wenn nicht angegeben, ist die Standardeinstellung "Zulassen".

Der Werttyp ist eine ganze Zahl. Unterstützte Operationen sind Get und Replace.

FirewallRules/FirewallRuleName/Direction

Die Regel wird basierend auf der Datenverkehrsrichtung wie folgt aktiviert. Unterstützte Werte:

  • IN: Die Regel gilt für eingehenden Datenverkehr.
  • OUT : Die Regel gilt für ausgehenden Datenverkehr.
  • Wenn nicht angegeben, ist die Standardeinstellung "Out".

Werttyp ist Zeichenfolge. Unterstützte Operationen sind Get und Replace.

FirewallRules/FirewallRuleName/InterfaceTypes

Durch Trennzeichen getrennte Liste der Schnittstellentypen. Gültige Werte:

  • RemoteAccess
  • Funk
  • Lan

Wenn nicht angegeben, ist die Standardeinstellung "Alle".

Werttyp ist Zeichenfolge. Unterstützte Operationen sind Get und Replace.

FirewallRules/FirewallRuleName/EdgeTraversal

Gibt an, ob die Edgedurchquerung für diese Regel aktiviert oder deaktiviert ist.

Die EdgeTraversal-Einstellung gibt an, dass bestimmter eingehender Datenverkehr über NATs und andere Edgegeräte mithilfe der Teredo-Tunnelingtechnologie tunneln darf. Damit diese Einstellung ordnungsgemäß funktioniert, muss die Anwendung oder der Dienst mit der eingehenden Firewallregel IPv6 unterstützen. Die primäre Anwendung dieser Einstellung ermöglicht Listenern auf dem Host, über eine Teredo IPv6-Adresse global adressierbar zu sein.

Bei neuen Regeln ist die EdgeTraversal-Eigenschaft standardmäßig deaktiviert.

Der Werttyp ist bool. Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Ersetzen" und "Löschen".

FirewallRules/FirewallRuleName/LocalUserAuthorizationList

Gibt die Liste der autorisierten lokalen Benutzer für diese Regel an. Dies ist eine Zeichenfolge im SDDL-Format (Security Descriptor Definition Language).

Werttyp ist Zeichenfolge. Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Ersetzen" und "Löschen".

FirewallRules/FirewallRuleName/Status

Stellt Informationen über die spezifische Version der Regel in der Bereitstellung für Überwachungszwecke bereit.

Werttyp ist Zeichenfolge. Unterstützter Vorgang ist Get.

FirewallRules/FirewallRuleName/Name

Name der Regel.

Werttyp ist Zeichenfolge. Unterstützte Vorgänge sind "Hinzufügen", "Abrufen", "Ersetzen" und "Löschen".