Política de firewall para segurança de pontos finais no Intune

Utilize a política de Firewall de segurança de ponto final no Intune para configurar uma firewall incorporada de dispositivos para dispositivos que executam dispositivos macOS e Windows.

Embora possa configurar as mesmas definições de firewall com perfis do Endpoint Protection para a configuração do dispositivo, os perfis de configuração do dispositivo incluem categorias adicionais de definições. Estas definições adicionais não estão relacionadas com firewalls e podem complicar a tarefa de configurar apenas as definições da firewall para o seu ambiente.

Localize as políticas de segurança de ponto final para firewalls em Gerir no nó de segurança do Ponto final do centro de administração do Microsoft Intune.

Pré-requisitos para perfis de Firewall

Importante

O Windows atualizou a forma como o fornecedor de serviços de configuração (CSP) da Firewall do Windows impõe regras de blocos atómicos de regras de firewall. O CSP da Firewall do Windows num dispositivo implementa as definições da regra de firewall a partir das políticas de Firewall de segurança do ponto final Intune. A partir das seguintes versões do Windows, o comportamento do CSP atualizado impõe agora uma aplicação completa ou nada de regras de firewall de cada bloco de regras atómico:

  • Windows 11 21H2
  • Windows 11 22H2
  • Windows 10 21H2

Nos dispositivos que executam uma versão anterior do Windows, o CSP processa regras de firewall num bloco atómico de regras, uma regra (ou definição) de cada vez. A intenção é aplicar todas as regras nesse bloco atómico ou nenhuma delas. No entanto, se o CSP encontrar um problema com a aplicação de qualquer regra do bloco, o CSP deixa de aplicar regras subsequentes, mas não reverte uma regra desse bloco que já tenha sido aplicada com êxito. Este comportamento pode resultar numa implementação parcial de regras de firewall num dispositivo.

Controles de acesso baseados em função (RBAC)

Para obter orientações sobre como atribuir o nível certo de permissões e direitos para gerir Intune política de firewall, veja Assign-role-based-access-controls-for-endpoint-security-policy.

Perfis de firewall

Dispositivos geridos por Intune

Plataforma: macOS:

  • firewall do macOS – ative e configure definições para a firewall incorporada no macOS.

Plataforma: Windows:

Para obter informações sobre como configurar as definições nos seguintes perfis, veja Fornecedor de serviços de configuração de firewall (CSP).

Observação

A partir de 5 de abril de 2022, a plataforma Windows 10 e posterior foi substituída pela plataforma Windows 10, Windows 11 e Windows Server, que agora é denominada mais simples como Windows.

A plataforma Windows suporta dispositivos que comunicam através de Microsoft Intune ou Microsoft Defender para Ponto de Extremidade. Estes perfis também adicionam suporte para a plataforma do Windows Server, que não é suportada através de Microsoft Intune nativamente.

Os perfis desta nova plataforma utilizam o formato de definições conforme encontrado no Catálogo de Definições. Cada novo modelo de perfil para esta nova plataforma inclui as mesmas definições que o modelo de perfil mais antigo que substitui. Com esta alteração, já não pode criar novas versões dos perfis antigos. As instâncias existentes do perfil antigo permanecem disponíveis para utilização e edição.

  • Firewall do Windows – configurar definições para a Firewall do Windows com Segurança Avançada. A Firewall do Windows fornece filtragem de tráfego de rede bidirecional baseada no anfitrião para um dispositivo e pode bloquear o tráfego de rede não autorizado que flui para dentro ou para fora do dispositivo local.

  • Regras da Firewall do Windows – defina regras de Firewall granulares, incluindo portas específicas, protocolos, aplicações e redes e para permitir ou bloquear o tráfego de rede. Cada instância deste perfil suporta até 150 regras personalizadas.

    Dica

    A utilização da definição ID da Aplicação de Política , descrita no MdmStore/FirewallRules/{FirewallRuleName}/PolicyAppId CSP, requer que o seu ambiente utilize a etiquetagem do Controlo de Aplicações do Windows Defender (WDAC). Para obter mais informações, consulte os seguintes artigos do Windows Defender:

  • Regras de Firewall do Windows Hyper-V O modelo Regras de Firewall do Windows Hyper-V permite-lhe controlar regras de firewall que se aplicarão a contentores hyper-V específicos no Windows, incluindo aplicações como o Subsistema do Windows para Linux (WSL) e o Subsistema Windows para Android (WSA)

Adicionar grupos de definições reutilizáveis a perfis para regras de Firewall

Na pré-visualização pública, os perfis de regras da Firewall do Windows suportam a utilização de grupos de definições reutilizáveis para as seguintes plataformas:

  • Windows 10
  • Windows 11

As seguintes definições de perfil de regra de firewall estão disponíveis em grupos de definições reutilizáveis:

  • Intervalos de endereços IP remotos
  • Definições de FQDN e resolução automática

Quando configura uma regra de firewall para adicionar um ou mais grupos de definições reutilizáveis, também irá configurar as regras Ação para definir a forma como as definições nesses grupos são utilizadas.

Cada regra que adicionar ao perfil pode incluir grupos de definições reutilizáveis e definições individuais que são adicionadas diretamente à regra. No entanto, considere utilizar cada regra para grupos de definições reutilizáveis ou para gerir as definições que adiciona diretamente à regra. Esta separação pode ajudar a simplificar futuras configurações ou alterações que possa efetuar.

Observação

As regras FQDN de entrada não são suportadas nativamente. No entanto, é possível utilizar scripts de pré-hidratação para gerar entradas de IP de entrada para a regra. Para obter mais informações, veja Palavras-chave dinâmicas da Firewall do Windows na documentação da Firewall do Windows.

Para obter pré-requisitos e documentação de orientação sobre como configurar grupos reutilizáveis e, em seguida, adicioná-los a este perfil, veja Utilizar grupos de definições reutilizáveis com políticas de Intune.

Dispositivos geridos por Configuration Manager

Firewall

O suporte para dispositivos geridos por Configuration Manager está em Pré-visualização.

Gerir definições de política de Firewall para dispositivos Configuration Manager, quando utiliza a anexação do inquilino.

Caminho da política:

  • Firewall de segurança de pontos finais >

Perfis:

  • Firewall do Windows (ConfigMgr)

Versão necessária do Configuration Manager:

  • Configuration Manager versão atual do ramo 2006 ou posterior, com a atualização na consola Configuration Manager Correção de 2006 (KB4578605)

Suportadas Configuration Manager plataformas de dispositivos:

  • Windows 11 e posterior (x86, x64, ARM64)
  • Windows 10 e posterior (x86, x64, ARM64)

Fusões de regras de firewall e conflitos de políticas

Planeie que as políticas de Firewall sejam aplicadas a um dispositivo utilizando apenas uma política. A utilização de uma única instância de política e tipo de política ajuda a evitar que duas políticas separadas apliquem configurações diferentes à mesma definição, o que cria conflitos. Quando existe um conflito entre duas instâncias de política ou tipos de política que gerem a mesma definição com valores diferentes, a definição não é enviada para o dispositivo.

  • Essa forma de conflito de política aplica-se ao perfil da Firewall do Windows , que pode entrar em conflito com outros perfis da Firewall do Windows ou a uma configuração de firewall fornecida por um tipo de política diferente, como a configuração do dispositivo.

    Os perfis da Firewall do Windows não entram em conflito com os perfis de regras da Firewall do Windows .

Quando utiliza perfis de regras da Firewall do Windows , pode aplicar múltiplos perfis de regras ao mesmo dispositivo. No entanto, quando existem regras diferentes para a mesma coisa com configurações diferentes, ambas são enviadas para o dispositivo e criam um conflito nesse dispositivo.

  • Por exemplo, se uma regra bloquear Teams.exe através da firewall e uma segunda regra permitir Teams.exe, ambas as regras são entregues ao cliente. Este resultado é diferente dos conflitos criados através de outras políticas para as definições da Firewall.

Quando as regras de múltiplos perfis de regras não entram em conflito entre si, os dispositivos intercalam as regras de cada perfil para criar uma configuração de regra de firewall combinada no dispositivo. Este comportamento permite-lhe implementar mais do que as 150 regras suportadas por cada perfil individual num dispositivo.

  • Por exemplo, tem dois perfis de regras da Firewall do Windows. O primeiro perfil permite Teams.exe através da firewall. O segundo perfil permite Outlook.exe através da firewall. Quando um dispositivo recebe ambos os perfis, o dispositivo é configurado para permitir ambas as aplicações através da firewall.

Relatórios de políticas de firewall

Os relatórios da política de Firewall apresentam status detalhes sobre a firewall status para os seus dispositivos geridos. Os relatórios de firewall suportam dispositivos geridos que executam os seguintes sistemas operativos.

  • Windows 10/11

Resumo

O resumo é a vista predefinida quando abre o nó Firewall. Abra o Microsoft Intune centro de administração e, em seguida, aceda a Resumo daFirewall> de segurança> do pontofinal.

Esta vista fornece:

  • Uma contagem agregada de dispositivos que têm a firewall desativada.
  • Uma lista das políticas de Firewall, incluindo o nome, o tipo, se estiver atribuído e quando foi modificado pela última vez.

Dispositivos MDM em execução Windows 10 ou posterior com a firewall desativada

Este relatório está localizado no nó de segurança Endpoint. Abra o centro de administração do Microsoft Intune e, em seguida, aceda a Dispositivos MDM daFirewall> de segurança > de ponto finalemexecução Windows 10 ou posterior com a firewall desativada.

Os dados são comunicados através do Windows DeviceStatus CSP e identificam cada dispositivo onde a Firewall está desativada. Por predefinição, os detalhes visíveis incluem:

  • Nome do dispositivo
  • Firewall status
  • Nome UPN
  • Destino (O método de gestão de dispositivos)
  • Última marcar a tempo

Ver a Firewall Desativada

Status de Firewall de MDM para Windows 10 e posterior

Este relatório organizacional também está descrito no Intune Reports.

Como relatório organizacional, este relatório está disponível no nó Relatórios . Abra o centro de administração do Microsoft Intune e, em seguida, aceda a Relatórios>> Firewallmdm firewall status para Windows 10 e posterior.

Selecionar relatórios de firewall

Os dados são relatados por meio do CSP DeviceStatus do Windows e informam o status do firewall em seus dispositivos gerenciados. Você pode filtrar os retornos desse relatório usando uma ou mais das categorias de detalhes de status.

Os detalhes de status incluem:

  • Habilitado – o firewall está ativado e gerando relatórios com êxito.
  • Desabilitado – o firewall está desativado.
  • Limitado – o firewall não está monitorando todas as redes ou algumas regras estão desativadas.
  • Desabilitado Temporariamente (padrão) – o firewall está temporariamente sem monitorar todas as redes
  • Não aplicável – o dispositivo não oferece suporte a relatórios de firewall.

Você pode filtrar os retornos desse relatório usando uma ou mais das categorias de detalhes de status.

Ver o relatório Estado da Firewall

Investigar problemas de regras de Firewall

Para saber mais sobre as Regras de firewall no Intune e como resolver problemas comuns, veja o seguinte blogue Intune Customer Success:

Problemas adicionais de regras de firewall comuns:

Visualizador de Eventos: RemotePortRanges ou LocalPortRanges "O parâmetro está incorreto"

RemotePortRangesFailure

  • Verifique se os intervalos configurados são ascendentes (exemplo: 1-5 está correto, 5-1 causará este erro)
  • Verifique se os intervalos configurados estão dentro do intervalo de portas geral de 0-65535
  • Se os intervalos de portas remotas ou os intervalos de portas locais estiverem configurados numa regra, o protocolo também tem de ser configurado com 6 (TCP) ou 17 (UDP)

Visualizador de Eventos: "... Nome), Resultado: (O parâmetro está incorreto)"

Captura de ecrã da Falha de Nome

  • Se o percurso de extremidade estiver ativado numa regra, a direção da regra tem de ser definida como "Esta regra aplica-se ao tráfego de entrada".

Visualizador de Eventos: "... InterfaceTypes), Resultado: (O parâmetro está incorreto)"

Captura de ecrã da Falha de Tipos de Interface

  • Se o tipo de interface "Todos" estiver ativado numa regra, os outros tipos de interface não podem ser selecionados.

Próximas etapas

Configurar políticas de segurança de Ponto Final

Veja os detalhes das definições nos perfis de Firewall preteridos para a Windows 10 preterida e plataforma posterior: