home *** CD-ROM | disk | FTP | other *** search
/ PC World Komputer 2010 April / PCWorld0410.iso / WindowsServerTrial / server.iso / sources / install.wim / 1 / Windows / PolicyDefinitions / en-US / WindowsFirewall.adml < prev    next >
Extensible Markup Language  |  2008-01-19  |  44KB  |  442 lines

  1. <?xml version="1.0" encoding="utf-8"?>
  2. <!--  (c) 2006 Microsoft Corporation  -->
  3. <policyDefinitionResources xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" revision="1.0" schemaVersion="1.0" xmlns="http://schemas.microsoft.com/GroupPolicy/2006/07/PolicyDefinitions">
  4.   <displayName>enter display name here</displayName>
  5.   <description>enter description here</description>
  6.   <resources>
  7.     <stringTable>
  8.       <string id="WF_AllowedPrograms_Help">Allows you to view and change the program exceptions list defined by Group Policy. Windows Firewall uses two program exception lists: one is defined by Group Policy settings and the other is defined by the Windows Firewall component in Control Panel.
  9.  
  10. If you enable this policy setting, you can view and change the program exceptions list defined by Group Policy. If you add a program to this list and set its status to Enabled, that program can receive unsolicited incoming messages on any port that it asks Windows Firewall to open, even if that port is blocked by another policy setting, such as the "Windows Firewall: Define inbound port exceptions" policy setting. To view the program list, enable the policy setting and then click the Show button. To add a program, enable the policy setting, note the syntax, click the Show button, click the Add button, and then type a definition string that uses the syntax format. To remove a program, click its definition, and then click the Remove button. To edit a definition, remove the current definition from the list and add a new one with different parameters. To allow administrators to add programs to the local program exceptions list that is defined by the Windows Firewall component in Control Panel, also enable the "Windows Firewall: Allow local program exceptions" policy setting.
  11.  
  12. If you disable this policy setting, the program exceptions list defined by Group Policy is deleted. If a local program exceptions list exists, it is ignored unless you enable the "Windows Firewall: Allow local program exceptions" policy setting.
  13.  
  14. If you do not configure this policy setting, Windows Firewall uses only the local program exceptions list that administrators define by using the Windows Firewall component in Control Panel.
  15.  
  16. Note: If you type an invalid definition string, Windows Firewall adds it to the list without checking for errors. This allows you to add programs that you have not installed yet, but be aware that you can accidentally create multiple entries for the same program with conflicting Scope or Status values. Scope parameters are combined for multiple entries.
  17.  
  18. Note: If you set the Status parameter of a definition string to "disabled," Windows Firewall ignores port requests made by that program and ignores other definitions that set the Status of that program to "enabled." Therefore, if you set the Status to "disabled," you prevent administrators from allowing the program to ask Windows Firewall to open additional ports. However, even if the Status is "disabled," the program can still receive unsolicited incoming messages through a port if another policy setting opens that port.
  19.  
  20. Note: Windows Firewall opens ports for the program only when the program is running and "listening" for incoming messages. If the program is not running, or is running but not listening for those messages, Windows Firewall does not open its ports.</string>
  21.       <string id="WF_AllowedPrograms_Name">Windows Firewall: Define inbound program exceptions</string>
  22.       <string id="WF_AllowedProgramsLocal_Help">Allows administrators to use the Windows Firewall component in Control Panel to define a local program exceptions list. Windows Firewall uses two program exceptions lists; the other is defined by the "Windows Firewall: Define inbound program exceptions" policy setting.
  23.  
  24. If you enable this policy setting, the Windows Firewall component in Control Panel allows administrators to define a local program exceptions list.
  25.  
  26. If you disable this policy setting, the Windows Firewall component in Control Panel does not allow administrators to define a local program exceptions list.  However, local administrators will still be allowed to create firewall rules in the Windows Firewall with Advanced Security snap-in.  If you wish to prevent all locally created rules from applying, use the Group Policy Object Editor snap-in and configure Computer Configuration\Windows Settings\Security Settings\Windows Firewall with Advanced Security to specify that local firewall rules should not apply.
  27.  
  28. If you do not configure this policy setting, the ability of administrators to define a local program exceptions list depends on the configuration of the "Windows Firewall: Define inbound program exceptions" policy setting. If that setting is not configured, administrators can define a local program exceptions list. If it is enabled or disabled, administrators cannot define a local program exceptions list.</string>
  29.       <string id="WF_AllowedProgramsLocal_Name">Windows Firewall: Allow local program exceptions</string>
  30.       <string id="WF_AuthenticatedBypass_Help">Allows unsolicited incoming messages from specified systems that authenticate using the IPSec transport.
  31.  
  32. If you enable this policy setting, you must type a security descriptor containing a list of computers or groups of computers. If a computer on that list authenticates using IPSec, Windows Firewall does not block its unsolicited messages. This policy setting overrides other policy settings that would block those messages.
  33.  
  34. If you disable or do not configure this policy setting, Windows Firewall makes no exception for messages sent by computers that authenticate using IPSec. If you enable this policy setting and add systems to the list, upon disabling this policy, Windows Firewall deletes the list.
  35.  
  36. Note: You define entries in this list by using Security Descriptor Definition Language (SDDL) strings. For more information about the SDDL format, see the Windows Firewall deployment information at the Microsoft Web site (http://go.microsoft.com/fwlink/?LinkId=25131).</string>
  37.       <string id="WF_AuthenticatedBypass_Name">Windows Firewall: Allow authenticated IPSec bypass</string>
  38.       <string id="WF_Category">Windows Firewall</string>
  39.       <string id="WF_EnableFirewall_Help">Turns on Windows Firewall.
  40.  
  41. If you enable this policy setting, Windows Firewall runs and ignores the "Computer Configuration\Administrative Templates\Network\Network Connections\Prohibit use of Internet Connection Firewall on your DNS domain network" policy setting.
  42.  
  43. If you disable this policy setting, Windows Firewall does not run. This is the only way to ensure that Windows Firewall does not run and administrators who log on locally cannot start it.
  44.  
  45. If you do not configure this policy setting, administrators can use the Windows Firewall component in Control Panel to turn Windows Firewall on or off, unless the "Prohibit use of Internet Connection Firewall on your DNS domain network" policy setting overrides.</string>
  46.       <string id="WF_EnableFirewall_Name">Windows Firewall: Protect all network connections</string>
  47.       <string id="WF_EnableShield_Help">Specifies that Windows Firewall blocks all unsolicited incoming messages. This policy setting overrides all other Windows Firewall policy settings that allow such messages.
  48.  
  49. If you enable this policy setting, in the Windows Firewall component of Control Panel, the "Don't allow exceptions" check box is selected and administrators cannot clear it. You should also enable the "Windows Firewall: Protect all network connections" policy setting; otherwise, administrators who log on locally can work around the "Windows Firewall: Do not allow exceptions" policy setting by turning off the firewall.
  50.  
  51. If you disable this policy setting, Windows Firewall applies other policy settings that allow unsolicited incoming messages. In the Windows Firewall component of Control Panel, the "Don't allow exceptions" check box is cleared and administrators cannot select it.
  52.  
  53. If you do not configure this policy setting, Windows Firewall applies other policy settings that allow unsolicited incoming messages. In the Windows Firewall component of Control Panel, the "Don't allow exceptions" check box is cleared by default, but administrators can change it.</string>
  54.       <string id="WF_EnableShield_Name">Windows Firewall: Do not allow exceptions</string>
  55.       <string id="WF_FileAndPrint_Help">Allows inbound file and printer sharing. To do this, Windows Firewall opens UDP ports 137 and 138, and TCP ports 139 and 445.
  56.  
  57. If you enable this policy setting, Windows Firewall opens these ports so that this computer can receive print jobs and requests for access to shared files. You must specify the IP addresses or subnets from which these incoming messages are allowed. In the Windows Firewall component of Control Panel, the "File and Printer Sharing" check box is selected and administrators cannot clear it.
  58.  
  59. If you disable this policy setting, Windows Firewall blocks these ports, which prevents this computer from sharing files and printers. If an administrator attempts to open any of these ports by adding them to a local port exceptions list, Windows Firewall does not open the port. In the Windows Firewall component of Control Panel, the "File and Printer Sharing" check box is cleared and administrators cannot select it.
  60.  
  61. If you do not configure this policy setting, Windows Firewall does not open these ports. Therefore, the computer cannot share files or printers unless an administrator uses other policy settings to open the required ports. In the Windows Firewall component of Control Panel, the "File and Printer Sharing" check box is cleared. Administrators can change this check box.
  62.  
  63. Note: If any policy setting opens TCP port 445, Windows Firewall allows inbound ICMP echo requests (the message sent by the Ping utility), even if the "Windows Firewall: Allow ICMP exceptions" policy setting would block them. Policy settings that can open TCP port 445 include "Windows Firewall: Allow inbound file and printer sharing exception," "Windows Firewall: Allow inbound remote administration exception," and "Windows Firewall: Define inbound port exceptions."</string>
  64.       <string id="WF_FileAndPrint_Name">Windows Firewall: Allow inbound file and printer sharing exception</string>
  65.       <string id="WF_IcmpSettings_Help">Defines the set of Internet Control Message Protocol (ICMP) message types that Windows Firewall allows. Utilities can use ICMP messages to determine the status of other computers. For example, Ping uses the echo request message. If you do not enable the "Allow inbound echo request" message type, Windows Firewall blocks echo request messages sent by Ping running on other computers, but it does not block outbound echo request messages sent by Ping running on this computer.
  66.  
  67. If you enable this policy setting, you must specify which ICMP message types Windows Firewall allows this computer to send or receive.
  68.  
  69. If you disable this policy setting, Windows Firewall blocks all unsolicited incoming ICMP message types and the listed outgoing ICMP message types. As a result, utilities that use the blocked ICMP messages will not be able to send those messages to or from this computer. Administrators cannot use the Windows Firewall component in Control Panel to enable any message types. If you enable this policy setting and allow certain message types, then later disable this policy setting, Windows Firewall deletes the list of message types that you had enabled.
  70.  
  71. If you do not configure this policy setting, Windows Firewall behaves as if you had disabled it, except that administrators can use the Windows Firewall component in Control Panel to enable or disable message types.
  72.  
  73. Note: If any policy setting opens TCP port 445, Windows Firewall allows inbound echo requests, even if the "Windows Firewall: Allow ICMP exceptions" policy setting would block them. Policy settings that can open TCP port 445 include "Windows Firewall: Allow file and printer sharing exception," "Windows Firewall: Allow remote administration exception," and "Windows Firewall: Define inbound port exceptions."
  74.  
  75. Note: Other Windows Firewall policy settings affect only incoming messages, but several of the options of the "Windows Firewall: Allow ICMP exceptions" policy setting affect outgoing communication.</string>
  76.       <string id="WF_IcmpSettings_Name">Windows Firewall: Allow ICMP exceptions</string>
  77.       <string id="WF_Logging_Help">Allows Windows Firewall to record information about the unsolicited incoming messages that it receives.
  78.  
  79. If you enable this policy setting, Windows Firewall writes the information to a log file. You must provide the name, location, and maximum size of the log file. The location can contain environment variables. You must also specify whether to record information about incoming messages that the firewall blocks (drops) and information about successful incoming and outgoing connections. Windows Firewall does not provide an option to log successful incoming messages.
  80.  
  81. If you disable this policy setting, Windows Firewall does not record information in the log file. If you enable this policy setting, and Windows Firewall creates the log file and adds information, then upon disabling this policy setting, Windows Firewall leaves the log file intact. In the Windows Firewall component of Control Panel, the "Security Logging" settings are cleared and administrators cannot select them.
  82.  
  83. If you do not configure this policy setting, Windows Firewall behaves as if the policy setting were disabled, except that administrators can choose whether to select the "Security Logging" settings.
  84.  
  85. </string>
  86.       <string id="WF_Logging_Name">Windows Firewall: Allow logging</string>
  87.       <string id="WF_Notifications_Help">Prevents Windows Firewall from displaying notifications to the user when a program requests that Windows Firewall add the program to the program exceptions list.
  88.  
  89. If you enable this policy setting, Windows Firewall prevents the display of these notifications.
  90.  
  91. If you disable this policy setting, Windows Firewall allows the display of these notifications. In the Windows Firewall component of Control Panel, the "Display a notification when Windows Firewall blocks a program" check box is selected and administrators cannot clear it.
  92.  
  93. If you do not configure this policy setting, Windows Firewall behaves as if the policy setting were disabled, except that in the Windows Firewall component of Control Panel, the "Display a notification when Windows Firewall blocks a program" check box is selected by default, and administrators can change it.</string>
  94.       <string id="WF_Notifications_Name">Windows Firewall: Prohibit notifications</string>
  95.       <string id="WF_OpenPorts_Help">Allows you to view and change the inbound port exceptions list defined by Group Policy. Windows Firewall uses two port exception lists: one is defined by Group Policy settings and the other is defined by the Windows Firewall component in Control Panel.
  96.  
  97. If you enable this policy setting, you can view and change the inbound port exceptions list defined by Group Policy. To view this port exceptions list, enable the policy setting and then click the Show button. To add a port, enable the policy setting, note the syntax, click the Show button, click the Add button, and then type a definition string that uses the syntax format. To remove a port, click its definition, and then click the Remove button. To edit a definition, remove the current definition from the list and add a new one with different parameters. To allow administrators to add ports to the local port exceptions list that is defined by the Windows Firewall component in Control Panel, also enable the "Windows Firewall: Allow local port exceptions" policy setting.
  98.  
  99. If you disable this policy setting, the port exceptions list defined by Group Policy is deleted, but other policy settings can continue to open or block ports. Also, if a local port exceptions list exists, it is ignored unless you enable the "Windows Firewall: Allow local port exceptions" policy setting.
  100.  
  101. If you do not configure this policy setting, Windows Firewall uses only the local port exceptions list that administrators define by using the Windows Firewall component in Control Panel. Other policy settings can continue to open or block ports.
  102.  
  103. Note: If you type an invalid definition string, Windows Firewall adds it to the list without checking for errors, and therefore you can accidentally create multiple entries for the same port with conflicting Scope or Status values. Scope parameters are combined for multiple entries. If entries have different Status values, any definition with the Status set to "disabled" overrides all definitions with the Status set to "enabled," and the port does not receive messages. Therefore, if you set the Status of a port to "disabled," you can prevent administrators from using the Windows Firewall component in Control Panel to enable the port.
  104.  
  105. Note: The only effect of setting the Status value to "disabled" is that Windows Firewall ignores other definitions for that port that set the Status to "enabled." If another policy setting opens a port, or if a program in the program exceptions list asks Windows Firewall to open a port, Windows Firewall opens the port.
  106.  
  107. Note: If any policy setting opens TCP port 445, Windows Firewall allows inbound ICMP echo request messages (the message sent by the Ping utility), even if the "Windows Firewall: Allow ICMP exceptions" policy setting would block them. Policy settings that can open TCP port 445 include "Windows Firewall: Allow inbound file and printer sharing exception," "Windows Firewall: Allow inbound remote administration exception," and "Windows Firewall: Define inbound port exceptions."</string>
  108.       <string id="WF_OpenPorts_Name">Windows Firewall: Define inbound port exceptions</string>
  109.       <string id="WF_OpenPortsLocal_Help">Allows administrators to use the Windows Firewall component in Control Panel to define a local port exceptions list. Windows Firewall uses two port exceptions lists; the other is defined by the "Windows Firewall: Define inbound port exceptions" policy setting.
  110.  
  111. If you enable this policy setting, the Windows Firewall component in Control Panel allows administrators to define a local port exceptions list.
  112.  
  113. If you disable this policy setting, the Windows Firewall component in Control Panel does not allow administrators to define a local port exceptions list.  However, local administrators will still be allowed to create firewall rules in the Windows Firewall with Advanced Security snap-in.  If you wish to prevent all locally created rules from applying, use the Group Policy Object Editor snap-in and configure Computer Configuration\Windows Settings\Security Settings\Windows Firewall with Advanced Security to specify that local firewall rules should not apply.
  114.  
  115. If you do not configure this policy setting, the ability of administrators to define a local port exceptions list depends on the configuration of the "Windows Firewall: Define inbound port exceptions" policy setting. If that setting is not configured, administrators can define a local port exceptions list. If it is enabled or disabled, administrators cannot define a local port exceptions list.</string>
  116.       <string id="WF_OpenPortsLocal_Name">Windows Firewall: Allow local port exceptions</string>
  117.       <string id="WF_Profile_Domain">Domain Profile</string>
  118.       <string id="WF_Profile_Standard">Standard Profile</string>
  119.       <string id="WF_RemoteAdmin_Help">Allows remote administration of this computer using administrative tools such as the Microsoft Management Console (MMC) and Windows Management Instrumentation (WMI). To do this, Windows Firewall opens TCP ports 135 and 445. Services typically use these ports to communicate using remote procedure calls (RPC) and Distributed Component Object Model (DCOM). Additionally, on Windows XP Professional with at least SP2 and Windows Server 2003 with at least SP1, this policy setting also allows SVCHOST.EXE and LSASS.EXE to receive unsolicited incoming messages and allows hosted services to open additional dynamically-assigned ports, typically in the range of 1024 to 1034.  On Windows Vista, this policy setting does not control connections to SVCHOST.EXE and LSASS.EXE.
  120.  
  121. If you enable this policy setting, Windows Firewall allows the computer to receive the unsolicited incoming messages associated with remote administration. You must specify the IP addresses or subnets from which these incoming messages are allowed.
  122.  
  123. If you disable or do not configure this policy setting, Windows Firewall does not open TCP port 135 or 445. Also, on Windows XP Professional with at least SP2 and Windows Server 2003 with at least SP1, Windows Firewall prevents SVCHOST.EXE and LSASS.EXE from receiving unsolicited incoming messages, and prevents hosted services from opening additional dynamically-assigned ports. Because disabling this policy setting does not block TCP port 445, it does not conflict with the "Windows Firewall: Allow file and printer sharing exception" policy setting.
  124.  
  125. Note: Malicious users often attempt to attack networks and computers using RPC and DCOM. We recommend that you contact the manufacturers of your critical programs to determine if they are hosted by SVCHOST.exe or LSASS.exe or if they require RPC and DCOM communication. If they do not, then do not enable this policy setting.
  126.  
  127. Note: If any policy setting opens TCP port 445, Windows Firewall allows inbound ICMP echo request messages (the message sent by the Ping utility), even if the "Windows Firewall: Allow ICMP exceptions" policy setting would block them. Policy settings that can open TCP port 445 include "Windows Firewall: Allow inbound file and printer sharing exception," "Windows Firewall: Allow inbound remote administration exception," and "Windows Firewall: Define inbound port exceptions."</string>
  128.       <string id="WF_RemoteAdmin_Name">Windows Firewall: Allow inbound remote administration exception </string>
  129.       <string id="WF_RemoteDesktop_Help">Allows this computer to receive inbound Remote Desktop requests. To do this, Windows Firewall opens TCP port 3389.
  130.  
  131. If you enable this policy setting, Windows Firewall opens this port so that this computer can receive Remote Desktop requests. You must specify the IP addresses or subnets from which these incoming messages are allowed. In the Windows Firewall component of Control Panel, the "Remote Desktop" check box is selected and administrators cannot clear it.
  132.  
  133. If you disable this policy setting, Windows Firewall blocks this port, which prevents this computer from receiving Remote Desktop requests. If an administrator attempts to open this port by adding it to a local port exceptions list, Windows Firewall does not open the port. In the Windows Firewall component of Control Panel, the "Remote Desktop" check box is cleared and administrators cannot select it.
  134.  
  135. If you do not configure this policy setting, Windows Firewall does not open this port. Therefore, the computer cannot receive Remote Desktop requests unless an administrator uses other policy settings to open the port. In the Windows Firewall component of Control Panel, the "Remote Desktop" check box is cleared. Administrators can change this check box."</string>
  136.       <string id="WF_RemoteDesktop_Name">Windows Firewall: Allow inbound Remote Desktop exceptions</string>
  137.       <string id="WF_UnicastResponseToMulticast_Help">Prevents this computer from receiving unicast responses to its outgoing multicast or broadcast messages.
  138.  
  139. If you enable this policy setting, and this computer sends multicast or broadcast messages to other computers, Windows Firewall blocks the unicast responses sent by those other computers.
  140.  
  141. If you disable or do not configure this policy setting, and this computer sends a multicast or broadcast message to other computers, Windows Firewall waits as long as three seconds for unicast responses from the other computers and then blocks all later responses.
  142.  
  143. Note: This policy setting has no effect if the unicast message is a response to a Dynamic Host Configuration Protocol (DHCP) broadcast message sent by this computer. Windows Firewall always permits those DHCP unicast responses. However, this policy setting can interfere with the NetBIOS messages that detect name conflicts.</string>
  144.       <string id="WF_UnicastResponseToMulticast_Name">Windows Firewall: Prohibit unicast response to multicast or broadcast requests</string>
  145.       <string id="WF_UniversalPlugAndPlay_Help">Allows this computer to receive unsolicited inbound Plug and Play messages sent by network devices, such as routers with built-in firewalls. To do this, Windows Firewall opens TCP port 2869 and UDP port 1900.
  146.  
  147. If you enable this policy setting, Windows Firewall opens these ports so that this computer can receive Plug and Play messages. You must specify the IP addresses or subnets from which these incoming messages are allowed. In the Windows Firewall component of Control Panel, the "UPnP framework" check box is selected and administrators cannot clear it.
  148.  
  149. If you disable this policy setting, Windows Firewall blocks these ports, which prevents this computer from receiving Plug and Play messages. If an administrator attempts to open these ports by adding them to a local port exceptions list, Windows Firewall does not open the ports. In the Windows Firewall component of Control Panel, the "UPnP framework" check box is cleared and administrators cannot select it.
  150.  
  151. If you do not configure this policy setting, Windows Firewall does not open these ports. Therefore, the computer cannot receive Plug and Play messages unless an administrator uses other policy settings to open the required ports or enable the required programs. In the Windows Firewall component of Control Panel, the "UPnP framework" check box is cleared. Administrators can change this check box."</string>
  152.       <string id="WF_UniversalPlugAndPlay_Name">Windows Firewall: Allow inbound UPnP framework exceptions</string>
  153.     </stringTable>
  154.     <presentationTable>
  155.       <presentation id="WF_AllowedPrograms_Name_1">
  156.         <listBox refId="WF_AllowedPrograms_Show">Define program exceptions:</listBox>
  157.         <text>Specify the program to allow or block.</text>
  158.         <text>Syntax:</text>
  159.         <text>  <Path>:<Scope>:<Status>:<Name></text>
  160.         <text>    <Path> is the program path and file name</text>
  161.         <text>    <Scope> is either "*" (for all networks) or</text>
  162.         <text>      a comma-separated list that contains</text>
  163.         <text>      any number or combination of these:</text>
  164.         <text>        IP addresses, such as 10.0.0.1</text>
  165.         <text>        Subnet descriptions, such as 10.2.3.0/24</text>
  166.         <text>        The string "localsubnet"</text>
  167.         <text>    <Status> is either "enabled" or "disabled"</text>
  168.         <text>    <Name> is a text string</text>
  169.         <text>Example:</text>
  170.         <text>The following definition string adds the</text>
  171.         <text>TEST.EXE program to the program exceptions list</text>
  172.         <text>and allows it to receive messages from 10.0.0.1,</text>
  173.         <text>or any system on the 10.3.4.x subnet:</text>
  174.         <text>  %programfiles%\test.exe:10.0.0.1,10.3.4.0/24:enabled:Test program</text>
  175.       </presentation>
  176.       <presentation id="WF_AllowedPrograms_Name_2">
  177.         <listBox refId="WF_AllowedPrograms_Show">Define program exceptions:</listBox>
  178.         <text>Specify the program to allow or block.</text>
  179.         <text>Syntax:</text>
  180.         <text>  <Path>:<Scope>:<Status>:<Name></text>
  181.         <text>    <Path> is the program path and file name</text>
  182.         <text>    <Scope> is either "*" (for all networks) or</text>
  183.         <text>      a comma-separated list that contains</text>
  184.         <text>      any number or combination of these:</text>
  185.         <text>        IP addresses, such as 10.0.0.1</text>
  186.         <text>        Subnet descriptions, such as 10.2.3.0/24</text>
  187.         <text>        The string "localsubnet"</text>
  188.         <text>    <Status> is either "enabled" or "disabled"</text>
  189.         <text>    <Name> is a text string</text>
  190.         <text>Example:</text>
  191.         <text>The following definition string adds the</text>
  192.         <text>TEST.EXE program to the program exceptions list</text>
  193.         <text>and allows it to receive messages from 10.0.0.1,</text>
  194.         <text>or any system on the 10.3.4.x subnet:</text>
  195.         <text>  %programfiles%\test.exe:10.0.0.1,10.3.4.0/24:enabled:Test program</text>
  196.       </presentation>
  197.       <presentation id="WF_AuthenticatedBypass_Name">
  198.         <textBox refId="WF_AuthenticatedBypass_List_Name">
  199.           <label>Define IPSec peers to be exempted from firewall policy:</label>
  200.         </textBox>
  201.         <text>Specify the IPSec peers to exempt</text>
  202.         <text>using an SDDL string.</text>
  203.         <text>Syntax:</text>
  204.         <text>  O:<OwnerSID>G:<GroupSID>D:<DACLflags></text>
  205.         <text>    <OwnerSID> is the owner security descriptor</text>
  206.         <text>    <GroupSID> is the group security descriptor</text>
  207.         <text>    <DACLflags> is a list of ACEs</text>
  208.         <text>Example:</text>
  209.         <text>  O:DAG:DAD:(A;;RCGW;;;S-1-5-21-2157571284-1609012320)</text>
  210.       </presentation>
  211.       <presentation id="WF_FileAndPrint_Name_1">
  212.         <textBox refId="WF_Scope_Name">
  213.           <label>Allow unsolicited incoming messages from these IP addresses:</label>
  214.         </textBox>
  215.         <text>Syntax:</text>
  216.         <text>Type "*" to allow messages from any network, or</text>
  217.         <text>else type a comma-separated list that contains</text>
  218.         <text>any number or combination of these:</text>
  219.         <text>   IP addresses, such as 10.0.0.1</text>
  220.         <text>   Subnet descriptions, such as 10.2.3.0/24</text>
  221.         <text>   The string "localsubnet"</text>
  222.         <text>Example: to allow messages from 10.0.0.1,</text>
  223.         <text>10.0.0.2, and from any system on the</text>
  224.         <text>local subnet or on the 10.3.4.x subnet,</text>
  225.         <text>type the following in the "Allow unsolicited" </text>
  226.         <text>incoming messages from these IP addresses":</text>
  227.         <text>  10.0.0.1,10.0.0.2,localsubnet,10.3.4.0/24</text>
  228.       </presentation>
  229.       <presentation id="WF_FileAndPrint_Name_2">
  230.         <textBox refId="WF_Scope_Name">
  231.           <label>Allow unsolicited incoming messages from these IP addresses:</label>
  232.         </textBox>
  233.         <text>Syntax:</text>
  234.         <text>Type "*" to allow messages from any network, or</text>
  235.         <text>else type a comma-separated list that contains</text>
  236.         <text>any number or combination of these:</text>
  237.         <text>   IP addresses, such as 10.0.0.1</text>
  238.         <text>   Subnet descriptions, such as 10.2.3.0/24</text>
  239.         <text>   The string "localsubnet"</text>
  240.         <text>Example: to allow messages from 10.0.0.1,</text>
  241.         <text>10.0.0.2, and from any system on the</text>
  242.         <text>local subnet or on the 10.3.4.x subnet,</text>
  243.         <text>type the following in the "Allow unsolicited" </text>
  244.         <text>incoming messages from these IP addresses":</text>
  245.         <text>  10.0.0.1,10.0.0.2,localsubnet,10.3.4.0/24</text>
  246.       </presentation>
  247.       <presentation id="WF_IcmpSettings_Name_1">
  248.         <checkBox refId="WF_IcmpSettings_AllowOutboundDestinationUnreachable">Allow outbound destination unreachable</checkBox>
  249.         <checkBox refId="WF_IcmpSettings_AllowOutboundSourceQuench">Allow outbound source quench</checkBox>
  250.         <checkBox refId="WF_IcmpSettings_AllowRedirect">Allow redirect</checkBox>
  251.         <checkBox refId="WF_IcmpSettings_AllowInboundEchoRequest">Allow inbound echo request</checkBox>
  252.         <checkBox refId="WF_IcmpSettings_AllowInboundRouterRequest">Allow inbound router request</checkBox>
  253.         <checkBox refId="WF_IcmpSettings_AllowOutboundTimeExceeded">Allow outbound time exceeded</checkBox>
  254.         <checkBox refId="WF_IcmpSettings_AllowOutboundParameterProblem">Allow outbound parameter problem</checkBox>
  255.         <checkBox refId="WF_IcmpSettings_AllowInboundTimestampRequest">Allow inbound timestamp request</checkBox>
  256.         <checkBox refId="WF_IcmpSettings_AllowInboundMaskRequest">Allow inbound mask request</checkBox>
  257.         <checkBox refId="WF_IcmpSettings_AllowOutboundPacketTooBig">Allow outbound packet too big</checkBox>
  258.       </presentation>
  259.       <presentation id="WF_IcmpSettings_Name_2">
  260.         <checkBox refId="WF_IcmpSettings_AllowOutboundDestinationUnreachable">Allow outbound destination unreachable</checkBox>
  261.         <checkBox refId="WF_IcmpSettings_AllowOutboundSourceQuench">Allow outbound source quench</checkBox>
  262.         <checkBox refId="WF_IcmpSettings_AllowRedirect">Allow redirect</checkBox>
  263.         <checkBox refId="WF_IcmpSettings_AllowInboundEchoRequest">Allow inbound echo request</checkBox>
  264.         <checkBox refId="WF_IcmpSettings_AllowInboundRouterRequest">Allow inbound router request</checkBox>
  265.         <checkBox refId="WF_IcmpSettings_AllowOutboundTimeExceeded">Allow outbound time exceeded</checkBox>
  266.         <checkBox refId="WF_IcmpSettings_AllowOutboundParameterProblem">Allow outbound parameter problem</checkBox>
  267.         <checkBox refId="WF_IcmpSettings_AllowInboundTimestampRequest">Allow inbound timestamp request</checkBox>
  268.         <checkBox refId="WF_IcmpSettings_AllowInboundMaskRequest">Allow inbound mask request</checkBox>
  269.         <checkBox refId="WF_IcmpSettings_AllowOutboundPacketTooBig">Allow outbound packet too big</checkBox>
  270.       </presentation>
  271.       <presentation id="WF_Logging_Name_1">
  272.         <checkBox refId="WF_Logging_LogDroppedPackets">Log dropped packets</checkBox>
  273.         <checkBox refId="WF_Logging_LogSuccessfulConnections">Log successful connections</checkBox>
  274.         <textBox refId="WF_Logging_LogFilePathAndName">
  275.           <label>Log file path and name:</label>
  276.         </textBox>
  277.         <decimalTextBox refId="WF_Logging_SizeLimit" defaultValue="4096" spinStep="128">Size limit (KB):</decimalTextBox>
  278.       </presentation>
  279.       <presentation id="WF_Logging_Name_2">
  280.         <checkBox refId="WF_Logging_LogDroppedPackets">Log dropped packets</checkBox>
  281.         <checkBox refId="WF_Logging_LogSuccessfulConnections">Log successful connections</checkBox>
  282.         <textBox refId="WF_Logging_LogFilePathAndName">
  283.           <label>Log file path and name:</label>
  284.         </textBox>
  285.         <decimalTextBox refId="WF_Logging_SizeLimit" defaultValue="4096" spinStep="128">Size limit (KB):</decimalTextBox>
  286.       </presentation>
  287.       <presentation id="WF_OpenPorts_Name_1">
  288.         <listBox refId="WF_OpenPorts_Show">Define port exceptions:</listBox>
  289.         <text>Specify the port to open or block.</text>
  290.         <text>Syntax:</text>
  291.         <text>  <Port>:<Transport>:<Scope>:<Status>:<Name></text>
  292.         <text>    <Port> is a decimal port number</text>
  293.         <text>    <Transport> is either "TCP" or "UDP"</text>
  294.         <text>    <Scope> is either "*" (for all networks) or</text>
  295.         <text>      a comma-separated list that contains</text>
  296.         <text>      any number or combination of these:</text>
  297.         <text>        IP addresses, such as 10.0.0.1</text>
  298.         <text>        Subnet descriptions, such as 10.2.3.0/24</text>
  299.         <text>        The string "localsubnet"</text>
  300.         <text>    <Status> is either "enabled" or "disabled"</text>
  301.         <text>    <Name> is a text string</text>
  302.         <text>Example:</text>
  303.         <text>The following definition string adds TCP port 80</text>
  304.         <text>to the port exceptions list and allows it to</text>
  305.         <text>receive messages from 10.0.0.1, 10.0.0.2, or any</text>
  306.         <text>system on the 10.3.4.x subnet:</text>
  307.         <text>  80:TCP:10.0.0.1,10.0.0.2,10.3.4.0/24:enabled:Web service</text>
  308.       </presentation>
  309.       <presentation id="WF_OpenPorts_Name_2">
  310.         <listBox refId="WF_OpenPorts_Show">Define port exceptions:</listBox>
  311.         <text>Specify the port to open or block.</text>
  312.         <text>Syntax:</text>
  313.         <text>  <Port>:<Transport>:<Scope>:<Status>:<Name></text>
  314.         <text>    <Port> is a decimal port number</text>
  315.         <text>    <Transport> is either "TCP" or "UDP"</text>
  316.         <text>    <Scope> is either "*" (for all networks) or</text>
  317.         <text>      a comma-separated list that contains</text>
  318.         <text>      any number or combination of these:</text>
  319.         <text>        IP addresses, such as 10.0.0.1</text>
  320.         <text>        Subnet descriptions, such as 10.2.3.0/24</text>
  321.         <text>        The string "localsubnet"</text>
  322.         <text>    <Status> is either "enabled" or "disabled"</text>
  323.         <text>    <Name> is a text string</text>
  324.         <text>Example:</text>
  325.         <text>The following definition string adds TCP port 80</text>
  326.         <text>to the port exceptions list and allows it to</text>
  327.         <text>receive messages from 10.0.0.1, 10.0.0.2, or any</text>
  328.         <text>system on the 10.3.4.x subnet:</text>
  329.         <text>  80:TCP:10.0.0.1,10.0.0.2,10.3.4.0/24:enabled:Web service</text>
  330.       </presentation>
  331.       <presentation id="WF_RemoteAdmin_Name_1">
  332.         <textBox refId="WF_Scope_Name">
  333.           <label>Allow unsolicited incoming messages from these IP addresses:</label>
  334.         </textBox>
  335.         <text>Syntax:</text>
  336.         <text>Type "*" to allow messages from any network, or</text>
  337.         <text>else type a comma-separated list that contains</text>
  338.         <text>any number or combination of these:</text>
  339.         <text>   IP addresses, such as 10.0.0.1</text>
  340.         <text>   Subnet descriptions, such as 10.2.3.0/24</text>
  341.         <text>   The string "localsubnet"</text>
  342.         <text>Example: to allow messages from 10.0.0.1,</text>
  343.         <text>10.0.0.2, and from any system on the</text>
  344.         <text>local subnet or on the 10.3.4.x subnet,</text>
  345.         <text>type the following in the "Allow unsolicited" </text>
  346.         <text>incoming messages from these IP addresses":</text>
  347.         <text>  10.0.0.1,10.0.0.2,localsubnet,10.3.4.0/24</text>
  348.       </presentation>
  349.       <presentation id="WF_RemoteAdmin_Name_2">
  350.         <textBox refId="WF_Scope_Name">
  351.           <label>Allow unsolicited incoming messages from these IP addresses:</label>
  352.         </textBox>
  353.         <text>Syntax:</text>
  354.         <text>Type "*" to allow messages from any network, or</text>
  355.         <text>else type a comma-separated list that contains</text>
  356.         <text>any number or combination of these:</text>
  357.         <text>   IP addresses, such as 10.0.0.1</text>
  358.         <text>   Subnet descriptions, such as 10.2.3.0/24</text>
  359.         <text>   The string "localsubnet"</text>
  360.         <text>Example: to allow messages from 10.0.0.1,</text>
  361.         <text>10.0.0.2, and from any system on the</text>
  362.         <text>local subnet or on the 10.3.4.x subnet,</text>
  363.         <text>type the following in the "Allow unsolicited" </text>
  364.         <text>incoming messages from these IP addresses":</text>
  365.         <text>  10.0.0.1,10.0.0.2,localsubnet,10.3.4.0/24</text>
  366.       </presentation>
  367.       <presentation id="WF_RemoteDesktop_Name_1">
  368.         <textBox refId="WF_Scope_Name">
  369.           <label>Allow unsolicited incoming messages from these IP addresses:</label>
  370.         </textBox>
  371.         <text>Syntax:</text>
  372.         <text>Type "*" to allow messages from any network, or</text>
  373.         <text>else type a comma-separated list that contains</text>
  374.         <text>any number or combination of these:</text>
  375.         <text>   IP addresses, such as 10.0.0.1</text>
  376.         <text>   Subnet descriptions, such as 10.2.3.0/24</text>
  377.         <text>   The string "localsubnet"</text>
  378.         <text>Example: to allow messages from 10.0.0.1,</text>
  379.         <text>10.0.0.2, and from any system on the</text>
  380.         <text>local subnet or on the 10.3.4.x subnet,</text>
  381.         <text>type the following in the "Allow unsolicited" </text>
  382.         <text>incoming messages from these IP addresses":</text>
  383.         <text>  10.0.0.1,10.0.0.2,localsubnet,10.3.4.0/24</text>
  384.       </presentation>
  385.       <presentation id="WF_RemoteDesktop_Name_2">
  386.         <textBox refId="WF_Scope_Name">
  387.           <label>Allow unsolicited incoming messages from these IP addresses:</label>
  388.         </textBox>
  389.         <text>Syntax:</text>
  390.         <text>Type "*" to allow messages from any network, or</text>
  391.         <text>else type a comma-separated list that contains</text>
  392.         <text>any number or combination of these:</text>
  393.         <text>   IP addresses, such as 10.0.0.1</text>
  394.         <text>   Subnet descriptions, such as 10.2.3.0/24</text>
  395.         <text>   The string "localsubnet"</text>
  396.         <text>Example: to allow messages from 10.0.0.1,</text>
  397.         <text>10.0.0.2, and from any system on the</text>
  398.         <text>local subnet or on the 10.3.4.x subnet,</text>
  399.         <text>type the following in the "Allow unsolicited" </text>
  400.         <text>incoming messages from these IP addresses":</text>
  401.         <text>  10.0.0.1,10.0.0.2,localsubnet,10.3.4.0/24</text>
  402.       </presentation>
  403.       <presentation id="WF_UniversalPlugAndPlay_Name_1">
  404.         <textBox refId="WF_Scope_Name">
  405.           <label>Allow unsolicited incoming messages from these IP addresses:</label>
  406.         </textBox>
  407.         <text>Syntax:</text>
  408.         <text>Type "*" to allow messages from any network, or</text>
  409.         <text>else type a comma-separated list that contains</text>
  410.         <text>any number or combination of these:</text>
  411.         <text>   IP addresses, such as 10.0.0.1</text>
  412.         <text>   Subnet descriptions, such as 10.2.3.0/24</text>
  413.         <text>   The string "localsubnet"</text>
  414.         <text>Example: to allow messages from 10.0.0.1,</text>
  415.         <text>10.0.0.2, and from any system on the</text>
  416.         <text>local subnet or on the 10.3.4.x subnet,</text>
  417.         <text>type the following in the "Allow unsolicited" </text>
  418.         <text>incoming messages from these IP addresses":</text>
  419.         <text>  10.0.0.1,10.0.0.2,localsubnet,10.3.4.0/24</text>
  420.       </presentation>
  421.       <presentation id="WF_UniversalPlugAndPlay_Name_2">
  422.         <textBox refId="WF_Scope_Name">
  423.           <label>Allow unsolicited incoming messages from these IP addresses:</label>
  424.         </textBox>
  425.         <text>Syntax:</text>
  426.         <text>Type "*" to allow messages from any network, or</text>
  427.         <text>else type a comma-separated list that contains</text>
  428.         <text>any number or combination of these:</text>
  429.         <text>   IP addresses, such as 10.0.0.1</text>
  430.         <text>   Subnet descriptions, such as 10.2.3.0/24</text>
  431.         <text>   The string "localsubnet"</text>
  432.         <text>Example: to allow messages from 10.0.0.1,</text>
  433.         <text>10.0.0.2, and from any system on the</text>
  434.         <text>local subnet or on the 10.3.4.x subnet,</text>
  435.         <text>type the following in the "Allow unsolicited" </text>
  436.         <text>incoming messages from these IP addresses":</text>
  437.         <text>  10.0.0.1,10.0.0.2,localsubnet,10.3.4.0/24</text>
  438.       </presentation>
  439.     </presentationTable>
  440.   </resources>
  441. </policyDefinitionResources>
  442.