Microsoft Windows [Version 6.1.7000] (C) Copyright 2009 Microsoft Corp. C:\Windows>netsh advfirewall firewall set rule ?
Syntax: set rule
group=| name=[dir=in|out][profile=public|private|domain|any[,...]][program=][service=service short name|any][localip=any|||||][remoteip=any|localsubnet|dns|dhcp|wins|defaultgateway|||||][localport=0-65535|[,...]|RPC|RPC-EPMap|IPHTTPS|any][remoteport=0-65535|[,...]|any][protocol=0-255|icmpv4|icmpv6|icmpv4:type,code|icmpv6:type,code|
tcp|udp|any]
new
[name=][dir=in|out][program=[service=|any][action=allow|block|bypass][description=][enable=yes|no][profile=public|private|domain|any[,...]][localip=any|||||][remoteip=any|localsubnet|dns|dhcp|wins|defaultgateway|||||][localport=0-65535|RPC|RPC-EPMap|any[,...]][remoteport=0-65535|any[,...]][protocol=0-255|icmpv4|icmpv6|icmpv4:type,code|icmpv6:type,code|
tcp|udp|any][interfacetype=wireless|lan|ras|any][rmtmachgrp=][rmtusrgrp=][edge=yes|deferapp|deferuser|no (Standard=no)][security=authenticate|authenc|notrequired]
Hinweise:
- Legt einen neuen Parameterwert für eine identifizierte Regel fest.
Beim Befehl tritt ein Fehler auf, wenn die Regel nicht vorhanden
ist. Verwenden Sie zum Erstellen einer Regel den Befehl "add".
- Werte nach dem Schlüsselwert "new" werden in der Regel aktualisiert.
Wenn keine Werte vorhanden sind oder das Schlüsselwort "new" fehlt,
werden keine Änderungen vorgenommen.
- Eine Gruppe von Regeln kann nur aktiviert oder deaktiviert werden.
- Wenn mehrere Regeln den Kriterien entsprechen, werden alle Überein-
stimmungsregeln aktualisiert.
- Regelnamen müssen eindeutig sein und dürfen nicht "all" lauten.
- Wenn ein Remotecomputer oder eine Benutzergruppe angegeben wird, muss
"security" auf "authenticate", "authenc" oder "authdynenc" festgelegt
werden.
- Das Festlegen von "security" auf "authdynenc" ermöglicht Systemen die
dynamische Verhandlung der Verwendung der Verschlüsselung für Daten-
verkehr, der einer angegebenen Windows-Firewallregel entspricht. Die
Verschlüsselung wird basierend auf vorhandenen Verbindungssicher-
heitsregel-Eigenschaften verhandelt. Durch diese Option kann ein
Computer mithilfe von IPsec das erste TCP- oder UDP-Paket einer
eingehenden IPsec-Verbindung annehmen, solange diese gesichert, jedoch
nicht verschlüsselt ist.
Nach der Verarbeitung des ersten Pakets wird die Verbindung erneut
verhandelt und aktualisiert, sodass jegliche nachfolgende Kommunikation
vollständig verschlüsselt ist.
- "authdynenc" ist nur gültig, wenn "dir=in".
- Bei "action=bypass" muss die Remotecomputergruppe angegeben werden,
wenn "dir=in".
- Bei "service=any" gilt die Regel nur für Dienste.
- Der ICMP-Typ oder -Code kann "any" sein.
- "edge" kann nur für eingehende Regeln angegeben werden.
Beispiele:
Die Remote-IP-Adresse für eine Regel mit dem Namen "allow80" ändern:
netsh advfirewall firewall set rule name="allow80" new
remoteip=192.168.0.2
Eine Gruppe mit der Gruppierungszeichenfolge "Remote Desktop" aktivieren:
netsh advfirewall firewall set rule group="remote desktop" new enable=yes
Lokale Ports für die Regel "Allow port range" für "udp-" ändern
Set rule name="Allow port range" dir=out protocol=udp localport=5000-5020
action=allow