使用此选项卡可以指定高级安全 Windows 防火墙与标准(本地计算机上的程序或服务基于此标准向对等计算机发送数据包)的匹配方式。如果匹配此条件和所有其他条件,高级安全 Windows 防火墙将执行您在“常规”选项卡上的“操作”中指定的操作。
打开此选项卡的步骤 |
在高级安全 Windows 防火墙 MMC 管理单元的“入站规则”或“出站规则”中,双击要修改的防火墙规则,然后单击“程序和服务”选项卡。
程序
本节包含有关如何匹配来自程序的网络数据包的信息。
符合指定条件的所有程序
使用此选项可以匹配正由任意程序发送或接收的网络数据包。
此程序
使用此选项可以匹配到达或来自指定程序的网络数据包。如果程序未运行,则没有匹配规则的数据包。可以通过以下两种方法之一选择程序:
- 键入程序的完整路径。适当的情况下,可以包含环境变量。
重要 不要使用仅在某些用户上下文中解析的环境变量字符串(例如,%USERPROFILE%)。这些字符串由服务在运行时评估时,该服务不在用户上下文中运行。使用这些字符串可能产生意外结果。
- 单击“浏览”并在目录中查找程序。
服务
单击“设置”可以匹配来自计算机上的所有程序和服务(默认)、仅服务或指定服务的数据包。
有关程序和服务设置的详细信息
若要将程序添加到规则,必须指定此程序使用的可执行 (.exe) 文件。在其自己唯一的 .exe 文件中运行且不受服务容器主持的系统服务被视为程序,且能将其添加到规则。同样,作用同系统服务且无论用户是否登录到计算机都运行的程序,只要该程序在其自己唯一的 .exe 文件中运行,也被视为程序。
安全 注意 | |
请不要在未指定允许或阻止单个服务的情况下,向规则列表添加承载服务的服务容器或程序,如 Svchost.exe、Dllhost.exe 和 Inetinfo.exe。仅将服务容器指定为可能危及计算机安全的程序。 |
将程序添加到规则时,高级安全 Windows 防火墙将动态打开(取消阻止)并关闭(阻止)程序所需的端口。当程序正在运行和侦听传入流量时,高级安全 Windows 防火墙将打开所需端口;当程序未运行或未侦听传入流量时,高级安全 Windows 防火墙将关闭这些端口。由于此动态行为,推荐的方法是将程序添加到规则,以允许非请求传入流量通过高级安全 Windows 防火墙。
注意 | |
只有在程序使用 Windows 套接字 (Winsock) 应用程序编程接口 (API) 创建端口分配时,才可使用程序规则以允许非请求传入流量通过高级安全 Windows 防火墙。如果程序不使用 Winsock 分配端口,则必须确定程序使用的端口并将那些端口添加到规则列表。 |