Configurar regras com a política de grupo

Este artigo contém exemplos de como configurar regras do Firewall do Windows usando o Firewall do Windows com console de Segurança Avançada .

Acessar o Firewall do Windows com o console de Segurança Avançada

Se você estiver configurando dispositivos ingressados em um domínio do Active Directory, para concluir esses procedimentos, você deve ser membro do grupo Administradores de Domínio ou ter permissões delegadas para modificar os GPOs no domínio. Para acessar o Firewall do Windows com console de Segurança Avançada, crie ou edite um objeto de política de grupo (GPO) e expanda os nósPolíticas deConfiguração> doComputador Configurações> do WindowsConfigurações>>de Segurança Firewall do Windows com Segurança Avançada.

Se você estiver configurando um único dispositivo, deverá ter direitos administrativos no dispositivo. Nesse caso, para acessar o Firewall do Windows com console de Segurança Avançada , selecione INICIAR, digite wf.msce pressione ENTER.

Criar uma regra ICMP de entrada

Esse tipo de regra permite que solicitações e respostas ICMP sejam recebidas por dispositivos na rede. Para criar uma regra de ICMP de entrada:

  1. Abrir o Firewall do Windows com o console de Segurança Avançada
  2. No painel de navegação, selecione Regras de Entrada
  3. Selecione Ação e selecione Nova regra
  4. Na página Tipo de Regra do Assistente de Nova Regra de Entrada, selecione Personalizado e, em seguida, selecione Avançar
  5. Na página Programa , selecione Todos os programas e selecione Avançar
  6. Na página Protocolo e Portas , selecione ICMPv4 ou ICMPv6 na lista Tipo de protocolo . Se você usar iPv4 e IPv6 em sua rede, você deve criar uma regra ICMP separada para cada
  7. Selecione Personalizar
  8. Na caixa de diálogo Personalizar Configurações do ICMP , faça um dos seguintes procedimentos:
    • Para permitir todo o tráfego de rede ICMP, selecione Todos os tipos de ICMP e selecione OK
    • Para selecionar um dos tipos de ICMP predefinidos, selecione Tipos de ICMP específicos e selecione cada tipo na lista que você deseja permitir. Selecione OK
    • Para selecionar um tipo ICMP que não aparece na lista, selecione Tipos de ICMP específicos, selecione o número Tipo na lista, selecione o número de código na lista, selecione Adicionar e selecione a entrada recém-criada na lista. Selecione OK
  9. Selecionar Avançar
  10. Na página Escopo , você pode especificar que a regra se aplica apenas ao tráfego de rede de ou para os endereços IP inseridos nesta página. Configure conforme apropriado para seu design e selecione Avançar
  11. Na página Ação , selecione Permitir a conexão e selecione Avançar
  12. Na página Perfil , selecione os tipos de local de rede aos quais essa regra se aplica e selecione Avançar
  13. Na página Nome , digite um nome e uma descrição para sua regra e selecione Concluir

Criar uma regra de porta de entrada

Esse tipo de regra permite que qualquer programa que ouça em uma porta TCP ou UDP especificada receba o tráfego de rede enviado para essa porta. Para criar uma regra de porta de entrada:

  1. Abrir o Firewall do Windows com o console de Segurança Avançada
  2. No painel de navegação, selecione Regras de Entrada
  3. Selecione Ação e selecione Nova regra
  4. Na página Tipo de Regra do Assistente de Nova Regra de Entrada, selecione Personalizado e, em seguida, selecione Avançar

    Observação

    Embora você possa criar regras selecionando Programa ou Porta, essas opções limitam o número de páginas apresentadas pelo assistente. Se você selecionar Personalizado, verá todas as páginas e terá mais flexibilidade na criação de suas regras.

  5. Na página Programa , selecione Todos os programas e selecione Avançar

    Observação

    Esse tipo de regra geralmente é combinado com uma regra de programa ou serviço. Se você combinar os tipos de regra, obterá uma regra de firewall que limita o tráfego a uma porta especificada e permite o tráfego somente quando o programa especificado estiver em execução. O programa especificado não pode receber tráfego de rede em outras portas e outros programas não podem receber tráfego de rede na porta especificada. Se você optar por fazer isso, siga as etapas no procedimento Criar um Programa de Entrada ou Regra de Serviço , além das etapas neste procedimento para criar uma única regra que filtra o tráfego de rede usando critérios de programa e porta.

  6. Na página Protocolo e Portas , selecione o tipo de protocolo que você deseja permitir. Para restringir a regra a um número de porta especificado, você deve selecionar TCP ou UDP. Como essa é uma regra de entrada, normalmente você configura apenas o número da porta local Se você selecionar outro protocolo, apenas pacotes cujo campo de protocolo no cabeçalho IP corresponda a essa regra são permitidos por meio do firewall.
    Para selecionar um protocolo por seu número, selecione Personalizado na lista e digite o número na caixa Número do Protocolo .
    Quando você tiver configurado os protocolos e portas, selecione Avançar.
  7. Na página Escopo , você pode especificar que a regra se aplica apenas ao tráfego de rede de ou para os endereços IP inseridos nesta página. Configure conforme apropriado para seu design e selecione Avançar
  8. Na página Ação , selecione Permitir a conexão e selecione Avançar
  9. Na página Perfil , selecione os tipos de local de rede aos quais essa regra se aplica e selecione Avançar

    Observação

    Se esse GPO for direcionado a computadores servidores que executam o Windows Server 2008 que nunca se movem, considere modificar as regras para aplicar a todos os perfis de tipo de local de rede. Isso impede uma alteração inesperada nas regras aplicadas se o tipo de localização de rede for alterado devido à instalação de um novo cartão de rede ou à desconexão de um cabo de cartão de rede existente. Um cartão de rede desconectado é atribuído automaticamente ao tipo de local de rede pública.

  10. Na página Nome , digite um nome e uma descrição para sua regra e selecione Concluir

Criar uma regra de porta de saída

Por padrão, o Firewall do Windows permite todo o tráfego de rede de saída, a menos que corresponda a uma regra que proíba o tráfego. Esse tipo de regra bloqueia qualquer tráfego de rede de saída que corresponda aos números de porta TCP ou UDP especificados. Para criar uma regra de porta de saída:

  1. Abrir o Firewall do Windows com o console de Segurança Avançada
  2. No painel de navegação, selecione Regras de Saída
  3. Selecione Ação e selecione Nova regra
  4. Na página Tipo de Regra do assistente Nova Regra de Saída, selecione Personalizado e, em seguida, selecione Avançar

    Observação

    Embora você possa criar regras selecionando Programa ou Porta, essas opções limitam o número de páginas apresentadas pelo assistente. Se você selecionar Personalizado, verá todas as páginas e terá mais flexibilidade na criação de suas regras.

  5. Na página Programa , selecione Todos os programas e selecione Avançar
  6. Na página Protocolo e Portas , selecione o tipo de protocolo que você deseja bloquear. Para restringir a regra a um número de porta especificado, você deve selecionar TCP ou UDP. Como essa regra é uma regra de saída, normalmente você configura apenas o número da porta remota Se você selecionar outro protocolo, somente pacotes cujo campo de protocolo no cabeçalho IP corresponde a essa regra são bloqueados pelo Firewall Windows Defender. O tráfego de rede para protocolos é permitido desde que outras regras correspondentes não o bloqueiem. Para selecionar um protocolo por seu número, selecione Personalizado na lista e digite o número na caixa Número do Protocolo . Quando você configurar os protocolos e as portas, selecione Avançar
  7. Na página Escopo , você pode especificar que a regra se aplica apenas ao tráfego de rede de ou para os endereços IP inseridos nesta página. Configure conforme apropriado para seu design e selecione Avançar
  8. Na página Ação , selecione Bloquear a conexão e selecione Avançar
  9. Na página Perfil , selecione os tipos de local de rede aos quais essa regra se aplica e selecione Avançar
  10. Na página Nome , digite um nome e uma descrição para sua regra e selecione Concluir

Criar uma regra de serviço ou programa de entrada

Esse tipo de regra permite que o programa ouça e receba tráfego de rede de entrada em qualquer porta.

Observação

Esse tipo de regra geralmente é combinado com uma regra de programa ou serviço. Se você combinar os tipos de regra, obterá uma regra de firewall que limita o tráfego a uma porta especificada e permite o tráfego somente quando o programa especificado estiver em execução. O programa não pode receber tráfego de rede em outras portas e outros programas não podem receber tráfego de rede na porta especificada. Para combinar os tipos de regra de programa e porta em uma única regra, siga as etapas no procedimento Criar uma Regra de Porta de Entrada , além das etapas deste procedimento.

Para criar uma regra de firewall de entrada para um programa ou serviço:

  1. Abrir o Firewall do Windows com o console de Segurança Avançada

  2. No painel de navegação, selecione Regras de Entrada

  3. Selecione Ação e selecione Nova regra

  4. Na página Tipo de Regra do Assistente de Nova Regra de Entrada, selecione Personalizado e, em seguida, selecione Avançar

    Observação

    Informações que o usuário deve observar mesmo que você possa criar regras selecionando Programa ou Porta, essas opções limitam o número de páginas apresentadas pelo assistente. Se você selecionar Personalizado, verá todas as páginas e terá mais flexibilidade na criação de suas regras.

  5. Na página Programa , selecione Este caminho do programa

  6. Digite o caminho para o programa na caixa de texto. Use variáveis de ambiente, quando aplicável, para garantir que os programas instalados em locais diferentes em diferentes computadores funcionem corretamente.

  7. Siga um destes procedimentos:

    • Se o arquivo executável contiver um único programa, selecione Avançar
    • Se o arquivo executável for um contêiner para vários serviços que devem ter permissão para receber tráfego de rede de entrada, selecione Personalizar, selecioneAplicar somente aos serviços, selecione OK e selecione Avançar
    • Se o arquivo executável for um contêiner para um único serviço ou contiver vários serviços, mas a regra se aplicar somente a um deles, selecione Personalizar, selecioneAplicar a esse serviço e selecione o serviço na lista. Se o serviço não aparecer na lista, selecione Aplicar ao serviço com esse nome curto de serviço e digite o nome curto para o serviço na caixa de texto. Selecione OK e selecione Avançar

    Importante

    Para usar o serviço Aplicar a esse serviço ou Aplicar ao serviço com essas opções de nome curto de serviço, o serviço deve ser configurado com um SID (identificador de segurança) com um tipo de RESTRITO ou IRRESTRITO. Para marcar o tipo SID de um serviço, execute o seguinte comando:sc qsidtype <ServiceName>

    Se o resultado for NONE, uma regra de firewall não poderá ser aplicada a esse serviço.

    Para definir um tipo SID em um serviço, execute o seguinte comando: sc sidtype <ServiceName> <Type>

    No comando anterior, o valor de <Type> pode ser UNRESTRICTED ou RESTRICTED. Embora o comando também permita o valor de NONE, essa configuração significa que o serviço não pode ser usado em uma regra de firewall, conforme descrito aqui. Por padrão, a maioria dos serviços no Windows está configurada como UNRESTRICTED. Se você alterar o tipo SID para RESTRICTED, o serviço poderá não ser iniciado. Recomendamos que você altere o tipo SID somente em serviços que deseja usar em regras de firewall e que altere o tipo SID para UNRESTRICTED.

  8. É uma prática recomendada restringir a regra de firewall do programa apenas às portas necessárias para operar. Na página Protocolos e Portas , você pode especificar os números da porta para o tráfego permitido. Se o programa tentar ouvir em uma porta diferente da especificada aqui, ele será bloqueado. Para obter mais informações sobre opções de protocolo e porta, consulte Criar uma regra de porta de entrada. Depois de configurar o protocolo e as opções de porta, selecione Avançar

  9. Na página Escopo , você pode especificar que a regra se aplica apenas ao tráfego de rede de ou para os endereços IP inseridos nesta página. Configure conforme apropriado para seu design e selecione Avançar

  10. Na página Ação , selecione Permitir a conexão e selecione Avançar

  11. Na página Perfil , selecione os tipos de local de rede aos quais essa regra se aplica e selecione Avançar

  12. Na página Nome , digite um nome e uma descrição para sua regra e selecione Concluir

Criar uma regra de serviço ou programa de saída

Por padrão, Windows Defender Firewall permite todo o tráfego de rede de saída, a menos que corresponda a uma regra que proíba o tráfego. Esse tipo de regra impede que o programa envie qualquer tráfego de rede de saída em qualquer porta. Para criar uma regra de firewall de saída para um programa ou serviço:

  1. Abrir o Firewall do Windows com o console de Segurança Avançada
  2. No painel de navegação, selecione Regras de Saída
  3. Selecione Ação e selecione Nova regra
  4. Na página Tipo de Regra do Assistente de Nova Regra de Saída, selecione Personalizado e, em seguida, selecione Avançar

    Observação

    Embora você possa criar muitas regras selecionando Programa ou Porta, essas opções limitam o número de páginas apresentadas pelo assistente. Se você selecionar Personalizado, verá todas as páginas e terá mais flexibilidade na criação de suas regras.

  5. Na página Programa , selecione Este caminho do programa
  6. Digite o caminho para o programa na caixa de texto. Use variáveis de ambiente conforme apropriado para garantir que os programas instalados em locais diferentes em diferentes computadores funcionem corretamente
  7. Siga um destes procedimentos:
    • Se o arquivo executável contiver um único programa, selecione Avançar
    • Se o arquivo executável for um contêiner para vários serviços que devem ser impedidos de enviar tráfego de rede de saída, selecione Personalizar, selecioneAplicar somente aos serviços, selecione OK e selecione Avançar
    • Se o arquivo executável for um contêiner para um único serviço ou contiver vários serviços, mas a regra se aplicar somente a um deles, selecione Personalizar, selecioneAplicar a esse serviço e selecione o serviço na lista. Se o serviço não aparecer na lista, selecione Aplicar ao serviço com esse nome curto de serviço e digite o nome curto para o serviço na caixa de texto. Selecione OK e selecione Avançar
  8. Se você quiser que o programa seja autorizado a enviar em algumas portas, mas impedido de enviar outras, você pode restringir a regra de firewall para bloquear apenas as portas ou protocolos especificados. Na página Protocolos e Portas , você pode especificar os números de porta ou os números do protocolo para o tráfego bloqueado. Se o programa tentar enviar para ou de um número de porta diferente do especificado aqui ou usando um número de protocolo diferente do especificado aqui, o comportamento de firewall de saída padrão permitirá o tráfego. Para obter mais informações sobre as opções de protocolo e porta, consulte Criar uma regra de porta de saída. Quando você tiver configurado as opções de protocolo e porta, selecione Avançar
  9. Na página Escopo , você pode especificar que a regra se aplica apenas ao tráfego de rede de ou para os endereços IP inseridos nesta página. Configure conforme apropriado para seu design e selecione Avançar
  10. Na página Ação , selecione Bloquear a conexão e selecione Avançar
  11. Na página Perfil , selecione os tipos de local de rede aos quais essa regra se aplica e selecione Avançar
  12. Na página Nome , digite um nome e uma descrição para sua regra e selecione Concluir

Criar regras de entrada para dar suporte a RPC

Para permitir o tráfego de rede RPC (chamada de procedimento remoto de entrada), você deve criar duas regras de firewall:

  • A primeira regra permite pacotes de rede de entrada na porta TCP 135 para o serviço Mapper do Ponto de Extremidade do RPC. O tráfego de entrada consiste em solicitações para se comunicar com um serviço de rede especificado. O Mapeador de Ponto de Extremidade do RPC responde com um número de porta atribuído dinamicamente que o cliente deve usar para se comunicar com o serviço
  • a segunda regra permite o tráfego de rede que é enviado para o número de porta atribuído dinamicamente

Usar as duas regras configuradas conforme descrito neste tópico ajuda a proteger seu dispositivo, permitindo o tráfego de rede somente de dispositivos que receberam redirecionamento de porta dinâmica do RPC e apenas para os números de porta TCP atribuídos pelo Mapper do Ponto de Extremidade do RPC.

Serviço mapeador de ponto de extremidade RPC

  1. Abrir o Firewall do Windows com o console de Segurança Avançada
  2. No painel de navegação, selecione Regras de Entrada
  3. Selecione Ação e selecione Nova regra
  4. Na página Tipo de Regra do Assistente de Nova Regra de Entrada, selecione Personalizado e, em seguida, selecione Avançar
  5. Na página Programa , selecione Este Caminho do Programa e digite %systemroot%\system32\svchost.exe
  6. Selecione Personalizar.
  7. Na caixa de diálogo Personalizar Configurações de Serviço, selecioneAplicar a esse serviço, selecione Chamada de Procedimento Remoto (RPC) com um nome curto de RpcSs, selecione OK e selecione Avançar
  8. No aviso sobre regras de endurecimento de serviço do Windows, selecione Sim
  9. Na caixa de diálogo Protocolo e Portas , para tipo protocolo, selecione TCP
  10. Para a porta local, selecione Mapper de Ponto de Extremidade RPC e selecione Avançar
  11. Na página Escopo , você pode especificar que a regra se aplica apenas ao tráfego de rede de ou para os endereços IP inseridos nesta página. Configure conforme apropriado para seu design e selecione Avançar
  12. Na página Ação , selecione Permitir a conexão e selecione Avançar
  13. Na página Perfil , selecione os tipos de local de rede aos quais essa regra se aplica e selecione Avançar
  14. Na página Nome , digite um nome e uma descrição para sua regra e selecione Concluir

Serviços de rede habilitados para RPC

  1. No mesmo GPO que você editou no procedimento anterior, selecione Ação e selecione Nova regra
  2. Na página Tipo de Regra do Assistente de Nova Regra de Entrada, selecione Personalizado e, em seguida, selecione Avançar
  3. Na página Programa , selecione Este Caminho do Programa e digite o caminho para o arquivo executável que hospeda o serviço de rede. Selecione Personalizar
  4. Na caixa de diálogo Personalizar Configurações de Serviço, selecioneAplicar a esse serviço e selecione o serviço que você deseja permitir. Se o serviço não aparecer na lista, selecione Aplicar ao serviço com esse nome curto de serviço e digite o nome curto do serviço na caixa de texto
  5. Selecione OK e selecione Avançar
  6. Na caixa de diálogo Protocolo e Portas , para tipo protocolo, selecione TCP
  7. Para porta local, selecione Portas Dinâmicas do RPC e selecione Avançar
  8. Na página Escopo , você pode especificar que a regra se aplica apenas ao tráfego de rede de ou para os endereços IP inseridos nesta página. Configure conforme apropriado para seu design e selecione Avançar
  9. Na página Ação , selecione Permitir a conexão e selecione Avançar
  10. Na página Perfil , selecione os tipos de local de rede aos quais essa regra se aplica e selecione Avançar
  11. Na página Nome , digite um nome e uma descrição para sua regra e selecione Concluir