Criteri del firewall per la sicurezza degli endpoint in Intune

Usare i criteri firewall di sicurezza degli endpoint in Intune per configurare un firewall predefinito per i dispositivi che eseguono dispositivi macOS e Windows.

Anche se è possibile configurare le stesse impostazioni del firewall usando i profili di Endpoint Protection per la configurazione del dispositivo, i profili di configurazione del dispositivo includono categorie aggiuntive di impostazioni. Queste impostazioni aggiuntive non sono correlate ai firewall e possono complicare l'attività di configurazione solo delle impostazioni del firewall per l'ambiente.

Trovare i criteri di sicurezza degli endpoint per i firewall in Gestisci nel nodo Sicurezza degli endpointdell'interfaccia di amministrazione Microsoft Intune.

Prerequisiti per i profili del firewall

Importante

Windows ha aggiornato il modo in cui il provider di servizi di configurazione di Windows Firewall (CSP) applica le regole dai blocchi atomici delle regole del firewall. Il provider di servizi di configurazione di Windows Firewall in un dispositivo implementa le impostazioni delle regole del firewall dai criteri del firewall di sicurezza degli endpoint Intune. A partire dalle versioni seguenti di Windows, il comportamento CSP aggiornato applica ora un'applicazione all-or-nothing delle regole del firewall da ogni blocco atomico di regole:

  • Windows 11 21H2
  • Windows 11 22H2
  • Windows 10 21H2

Nei dispositivi che eseguono una versione precedente di Windows, il CSP elabora le regole del firewall in un blocco atomico di regole, una regola (o impostazione) alla volta. Lo scopo è applicare tutte le regole nel blocco Atomic o nessuna di esse. Tuttavia, se il provider di servizi di configurazione rileva un problema con l'applicazione di qualsiasi regola dal blocco, il provider di servizi di configurazione interrompe l'applicazione delle regole successive, ma non esegue il rollback di una regola da tale blocco che è già stato applicato correttamente. Questo comportamento può comportare una distribuzione parziale delle regole del firewall in un dispositivo.

Controllo degli accessi in base al ruolo (RBAC)

Per indicazioni sull'assegnazione del livello corretto di autorizzazioni e diritti per gestire Intune criteri firewall, vedere Assign-role-based-access-controls-for-endpoint-security-policy.

Profili del firewall

Dispositivi gestiti da Intune

Piattaforma: macOS:

  • firewall macOS : abilitare e configurare le impostazioni per il firewall predefinito in macOS.

Piattaforma: Windows:

Per informazioni sulla configurazione delle impostazioni nei profili seguenti, vedere Provider del servizio di configurazione del firewall (CSP).

Nota

A partire dal 5 aprile 2022, la piattaforma Windows 10 e successiva è stata sostituita dalla piattaforma Windows 10, Windows 11 e Windows Server, ora denominata più semplicemente Windows.

La piattaforma Windows supporta i dispositivi che comunicano tramite Microsoft Intune o Microsoft Defender per endpoint. Questi profili aggiungono anche il supporto per la piattaforma Windows Server che non è supportato tramite Microsoft Intune in modo nativo.

I profili per questa nuova piattaforma usano il formato delle impostazioni come indicato nel Catalogo impostazioni. Ogni nuovo modello di profilo per questa nuova piattaforma include le stesse impostazioni del modello di profilo precedente che sostituisce. Con questa modifica non è più possibile creare nuove versioni dei profili precedenti. Le istanze esistenti del profilo precedente rimangono disponibili per l'uso e la modifica.

  • Windows Firewall : configurare le impostazioni per Windows Firewall con sicurezza avanzata. Windows Firewall offre filtri del traffico di rete bidirezionali basati su host per un dispositivo e può bloccare il traffico di rete non autorizzato che entra o esce dal dispositivo locale.

  • Regole di Windows Firewall : definire regole firewall granulari, tra cui porte, protocolli, applicazioni e reti specifici e per consentire o bloccare il traffico di rete. Ogni istanza di questo profilo supporta fino a 150 regole personalizzate.

    Consiglio

    L'uso dell'impostazione Id app criteri , descritta in MdmStore/FirewallRules/{FirewallRuleName}/PolicyAppId CSP, richiede che l'ambiente usi l'assegnazione di tag WDAC (Windows Defender Application Control ). Per altre informazioni, vedere gli articoli di Windows Defender seguenti:

  • Regole del firewall Hyper-V di Windows Il modello Regole del firewall Hyper-V di Windows consente di controllare le regole del firewall che verranno applicate a contenitori Hyper-V specifici in Windows, incluse applicazioni come il sottosistema Windows per Linux (WSL) e il Sottosistema Windows per Android (WSA)

Aggiungere gruppi di impostazioni riutilizzabili ai profili per le regole del firewall

Nell'anteprima pubblica, i profili di regola di Windows Firewall supportano l'uso di gruppi di impostazioni riutilizzabili per le piattaforme seguenti:

  • Windows 10
  • Windows 11

Le impostazioni del profilo delle regole del firewall seguenti sono disponibili nei gruppi di impostazioni riutilizzabili:

  • Intervalli di indirizzi IP remoti
  • Definizioni FQDN e risoluzione automatica

Quando si configura una regola del firewall per aggiungere uno o più gruppi di impostazioni riutilizzabili, si configureranno anche le regole Azione per definire il modo in cui vengono usate le impostazioni in tali gruppi.

Ogni regola aggiunta al profilo può includere sia gruppi di impostazioni riutilizzabili che singole impostazioni aggiunte direttamente alla regola. È tuttavia consigliabile usare ogni regola per i gruppi di impostazioni riutilizzabili o per gestire le impostazioni aggiunte direttamente alla regola. Questa separazione consente di semplificare le configurazioni o le modifiche future che è possibile apportare.

Nota

Le regole FQDN in ingresso non sono supportate in modo nativo. Tuttavia, è possibile usare script di pre-idratazione per generare voci IP in ingresso per la regola. Per altre informazioni, vedere Parole chiave dinamiche di Windows Firewall nella documentazione di Windows Firewall.

Per i prerequisiti e le indicazioni sulla configurazione dei gruppi riutilizzabili e quindi sull'aggiunta a questo profilo, vedere Usare gruppi riutilizzabili di impostazioni con criteri di Intune.

Dispositivi gestiti da Configuration Manager

Firewall

Il supporto per i dispositivi gestiti da Configuration Manager è disponibile in anteprima.

Gestire le impostazioni dei criteri del firewall per i dispositivi Configuration Manager quando si usa il collegamento tenant.

Percorso dei criteri:

  • Firewall di sicurezza > degli endpoint

Profili:

  • Windows Firewall (ConfigMgr)

Versione richiesta di Configuration Manager:

  • Configuration Manager current branch versione 2006 o successiva, con aggiornamento nella console Configuration Manager hotfix 2006 (KB4578605)

Piattaforme per dispositivi Configuration Manager supportate:

  • Windows 11 e versioni successive (x86, x64, ARM64)
  • Windows 10 e versioni successive (x86, x64, ARM64)

Fusioni di regole del firewall e conflitti di criteri

Pianificare l'applicazione dei criteri del firewall a un dispositivo usando un solo criterio. L'uso di un'unica istanza dei criteri e di un tipo di criteri consente di evitare che due criteri separati applichino configurazioni diverse alla stessa impostazione, creando conflitti. Quando esiste un conflitto tra due istanze di criteri o tipi di criteri che gestiscono la stessa impostazione con valori diversi, l'impostazione non viene inviata al dispositivo.

  • Tale forma di conflitto di criteri si applica al profilo di Windows Firewall , che può essere in conflitto con altri profili di Windows Firewall, o a una configurazione del firewall fornita da un tipo di criterio diverso, ad esempio la configurazione del dispositivo.

    I profili di Windows Firewall non sono in conflitto con i profili delle regole di Windows Firewall .

Quando si usano profili di regole di Windows Firewall , è possibile applicare più profili di regole allo stesso dispositivo. Tuttavia, quando esistono regole diverse per la stessa cosa con configurazioni diverse, entrambe vengono inviate al dispositivo e creano un conflitto, in tale dispositivo.

  • Ad esempio, se una regola blocca Teams.exe attraverso il firewall e una seconda regola consente Teams.exe, entrambe le regole vengono recapitate al client. Questo risultato è diverso dai conflitti creati tramite altri criteri per le impostazioni del firewall.

Quando le regole di più profili regole non sono in conflitto tra loro, i dispositivi uniscono le regole da ogni profilo per creare una configurazione combinata delle regole del firewall nel dispositivo. Questo comportamento consente di distribuire più delle 150 regole supportate da ogni singolo profilo in un dispositivo.

  • Ad esempio, sono disponibili due profili di regole di Windows Firewall. Il primo profilo consente Teams.exe attraverso il firewall. Il secondo profilo consente Outlook.exe attraverso il firewall. Quando un dispositivo riceve entrambi i profili, il dispositivo è configurato per consentire entrambe le app tramite il firewall.

Report dei criteri del firewall

I report per i criteri del firewall visualizzano i dettagli sullo stato del firewall per i dispositivi gestiti. I report del firewall supportano i dispositivi gestiti che eseguono i sistemi operativi seguenti.

  • Windows 10/11

Riepilogo

Riepilogo è la visualizzazione predefinita quando si apre il nodo Firewall. Aprire l'interfaccia di amministrazione Microsoft Intune e quindi passare aRiepilogofirewall>di sicurezza> degli endpoint.

Questa visualizzazione offre:

  • Numero aggregato di dispositivi per cui il firewall è disattivato.
  • Elenco dei criteri del firewall, tra cui nome, tipo, se assegnato e data dell'ultima modifica.

Dispositivi MDM che eseguono Windows 10 o versioni successive con firewall disattivato

Questo report si trova nel nodo Sicurezza degli endpoint. Aprire l'interfaccia di amministrazione Microsoft Intune e quindi passare a Dispositivi MDMdel firewall> di sicurezza> degli endpointche eseguono Windows 10 o versioni successive con firewall disattivato.

I dati vengono segnalati tramite il provider di servizi di configurazione DeviceStatus di Windows e identificano ogni dispositivo in cui il firewall è disattivato. Per impostazione predefinita, i dettagli visibili includono:

  • Nome dispositivo
  • Stato del firewall
  • Nome entità utente
  • Destinazione (metodo di gestione dei dispositivi)
  • Ora dell'ultimo check-in

Visualizzare il firewall disattivato

Stato del firewall MDM per Windows 10 e versioni successive

Questo report dell'organizzazione è descritto anche in Report Intune.

Come report aziendale, questo report è disponibile dal nodo Report . Aprire l'interfaccia di amministrazione Microsoft Intune e quindi passare a Segnala>lo stato del firewall MDM del firewall> per Windows 10 e versioni successive.

Selezionare i report del firewall

I dati vengono segnalati tramite il provider di servizi di configurazione DeviceStatus di Windows e segnalano lo stato del firewall nei dispositivi gestiti. È possibile filtrare i resi per questo report usando una o più categorie di dettagli sullo stato.

I dettagli dello stato includono:

  • Abilitato : il firewall è attivato e la creazione di report è stata completata.
  • Disabilitato : il firewall è disattivato.
  • Limitato : il firewall non monitora tutte le reti o alcune regole sono disattivate.
  • Temporaneamente disabilitato (impostazione predefinita): il firewall non monitora temporaneamente tutte le reti
  • Non applicabile : il dispositivo non supporta la creazione di report del firewall.

È possibile filtrare i resi per questo report usando una o più categorie di dettagli sullo stato.

Visualizzare il report Stato del firewall

Esaminare i problemi relativi alle regole del firewall

Per altre informazioni sulle regole del firewall in Intune e su come risolvere i problemi comuni, vedere il blog seguente Intune Customer Success:To learn more about Firewall rules in Intune, and how to troubleshoot common problems, see the following Intune Customer Success blog:

Altri problemi comuni delle regole del firewall:

Visualizzatore eventi: RemotePortRanges o LocalPortRanges "Il parametro non è corretto"

RemotePortRangesFailure

  • Verificare che gli intervalli configurati siano crescenti (ad esempio: 1-5 è corretto, 5-1 causerà questo errore)
  • Verificare che gli intervalli configurati siano compresi nell'intervallo di porte complessivo compreso tra 0 e 65535
  • Se gli intervalli di porte remoti o gli intervalli di porte locali sono configurati in una regola, il protocollo deve essere configurato anche con 6 (TCP) o 17 (UDP)

Visualizzatore eventi: "... Nome), Risultato: (Il parametro non è corretto)"

Acquisizione dello schermo dell'errore di nome

  • Se l'attraversamento del bordo è abilitato in una regola, la direzione della regola deve essere impostata su "Questa regola si applica al traffico in ingresso".

Visualizzatore eventi: "... InterfaceTypes), Risultato: (Il parametro non è corretto)"

Acquisizione dello schermo dell'errore dei tipi di interfaccia

  • Se il tipo di interfaccia "All" è abilitato in una regola, gli altri tipi di interfaccia non devono essere selezionati.

Passaggi successivi

Configurare i criteri di sicurezza degli endpoint

Visualizzare i dettagli per le impostazioni nei profili firewall deprecati per la piattaforma deprecata Windows 10 e versioni successive: