Как настроить брандмауэр Windows для разрешения MSRPC?

Я пытаюсь настроить компьютеры конечных точек с брандмауэром, который разрешает только трафик из белого списка, а все другие соединения блокируются.

Клиентские компьютеры - это настольные компьютеры и ноутбуки под управлением Windows 7 (x86 и x64), использующие встроенный брандмауэр Windows в режиме повышенной безопасности. Каждый компьютер является частью домена Windows Server 2008, и я настраиваю брандмауэр с помощью групповой политики. Я тестирую эту конфигурацию брандмауэра с небольшим набором компьютеров.

Сейчас у меня брандмауэр Windows настроен на блокировку всего входящего и исходящего трафика, который не соответствует явному правилу разрешения. Вот основные коммуникации, которые в настоящее время включены:

• DNS (UDP 53 Out)
• LDAP (TCP 389 Out, UDP 389 Out)
• Удаленный рабочий стол (TCP 3389 Out)
• Просмотр веб-страниц (TCP 80 Out)
• Предустановка: базовая сеть
• Предустановка: координатор распределенных транзакций
• Предустановка: общий доступ к файлам и принтерам
• Предустановка: обнаружение сети
• Предустановка: удаленная помощь

Кроме того, у меня есть несколько правил, определенных для бизнес-приложений, которые мы используем. Это работало довольно хорошо, но сегодня я столкнулся с некоторыми проблемами с MSRPC (удаленный вызов процедур Microsoft).

я открываю mmc.exe и загрузите оснастку управления компьютером, чтобы изменить группу локальных администраторов. В окне "Выбор пользователей, компьютеров..." я ввожу имя пользователя, затем нажимаю "Проверить имена". Это дает мне следующую ошибку:

Windows cannot process the object with the name "Foo Bar" because of the following error:

Access is denied.

Когда я снимаю ограничения брандмауэра, он работает нормально. Блокируемый трафик - это MSRPC, и он использует случайно выбранный порт в диапазоне [49100...65535].

Как я могу создать правило для брандмауэра Windows, которое разрешает трафик MSRPC, не создавая слишком широкое правило, такое как разрешение трафика TCP на всех портах?