Impostazioni firewall

Le impostazioni del firewall applicano le regole di Windows Defender Firewall che bloccano l'accesso non autorizzato alla rete, riducendo il rischio di minacce alla sicurezza della rete in tutti gli endpoint. Questo criterio supporta la versione 1709 e successive di Windows.

Cos' è Windows Defender Firewall?

Windows Defender Firewall è un'applicazione di sicurezza che filtra le trasmissioni di dati di rete da e verso un sistema Windows e blocca le connessioni dannose e i programmi che avviano tali connessioni.

Funzionamento del firewall

Il firewall utilizza una serie predefinita di regole per entrambi i tipi (in entrata / in uscita) di traffico di rete. È possibile aggiungere un programma agli elenchi di programmi consentiti che consentono a tale programma di collegarsi tramite firewall. Il flusso di lavoro del criterio è il seguente:
  1. Abilitare la casella di spunta Configura impostazioni firewall .
  2. Configurare le impostazioni globali per la politica del firewall.
  3. Configurare il modo in cui il firewall si comporta quando gli endpoint sono connessi a un dominio, a una rete privata o pubblica.
  4. Configurare le regole firewall personalizzate per la rete selezionata nella politica.

Configurazione delle impostazioni del firewall

Una configurazione firewall è una raccolta di profili o regole. È possibile applicare questi profili o regole sul computer per determinare le autorizzazioni per tutte le connessioni in entrata e in uscita per porte specifiche. Windows utilizza i profili per connettersi a Internet o alla rete. Windows utilizza i profili seguenti:
  • Dominio: il profilo dominio si applica alle reti in cui il sistema host può autenticarsi su un controller di dominio.
  • Privato: il profilo privato è un profilo assegnato dall'utente che viene utilizzato per designare reti private o home.
  • Pubblico: il profilo pubblico (profilo predefinito) è utilizzato per designare reti pubbliche come hotspot wifi in caffetterie, aeroporti e altre posizioni.

La tabella seguente descrive le impostazioni del firewall che è possibile configurare per i dispositivi Windows.

Tabella 1. Impostazioni firewall
Impostazione politica Descrizione Dispositivi supportati
Configura impostazioni firewall Se abilitato, è possibile configurare le impostazioni globali, le impostazioni di rete e le regole firewall personalizzate sul traffico da e verso gli endpoint Windows. Windows Professional, Education, Enterprise
Impostazioni globali
Disabilita FTP (File Transfer Protocol) Se abilitata, questa opzione imposta il modo in cui il firewall gestisce il traffico FTP.

Se si seleziona No, il firewall tiene traccia di tutto il traffico FTP. Se si seleziona , il firewall non ispeziona il traffico FTP.

 Windows Professional, Education, Enterprise
Tempo di inattività associazione di sicurezza prima dell'eliminazione Impostare la quantità massima di tempo (in secondi) che l'unità attende prima di eliminare le associazioni di sicurezza inattive. L'intervallo è 300 - 3600 secondi.

Le associazioni di sicurezza sono un accordo tra due peer o endpoint. Questi accordi contengono tutte le informazioni necessarie per scambiare in modo sicuro i dati.

 Windows Professional, Education, Enterprise
Codifica chiave precondivisa Selezionare il tipo di codifica utilizzato per la chiave precondivisa.

Una chiave pre - condivisa (PSK) è una chiave segreta condivisa tra due dispositivi (ad esempio, un client e un server) che sono collegati da un canale protetto. PSK viene utilizzato dal server per autenticare il client. Un PSK potrebbe essere utilizzato in ambienti in cui non è possibile utilizzare i certificati client per l'autenticazione reciproca.

 Windows Professional, Education, Enterprise
Esenzioni IPSec Selezionare il traffico esente dall'esecuzione di IPsec.

IPsec è un framework di standard aperti per garantire comunicazioni private e sicure sulle reti IP ( Internet Protocol ) tramite l'uso di servizi di protezione crittografica. IPsec supporta l'autenticazione peer a livello di rete, l'autenticazione dell'origine dati, l'integrità dei dati, la riservatezza dei dati (crittografia) e la protezione della ripetizione. Internet Protocol Security) è un insieme di protocolli di protezione utilizzati per trasferire i pacchetti IP in modo confidenziale su Internet. IPsec è obbligatorio per tutte le implementazioni IPv6 e facoltativo per IPv4.

  • Rilevamento risorse esentate IPv6 codici tipo ICMP
  • Esenta ICMP
  • Rilevamento router esente IPv6 codici tipo ICMP
  • Esenta traffico DHCP sia IPv4 che IPv6
 Windows Professional, Education, Enterprise
Verifica CRL (Certificate Revocation List) Selezionare come applicare la verifica dell'elenco di revoca dei certificati.
  • Disabilita verifica CRL (valore predefinito): disabilita il controllo CRL.
  • Verifica CRL non riuscita solo sul certificato revocato: viene eseguito un tentativo di verifica CRL e la convalida del certificato non riesce solo se il certificato viene revocato. Altri errori riscontrati durante il controllo della CRL (come l' URL di revoca non raggiungibile) non causano il fallimento della convalida del certificato.
  • Esito negativo del controllo CRL su qualsiasi errore rilevato: il controllo CRL è richiesto e la convalida del certificato ha esito negativo se si verifica un errore durante l'elaborazione CRL.
 Windows Professional, Education, Enterprise
Abilita corrispondenza opportunistica della serie di autenticazione per modulo di impostazione chiavi Imposta il modo in cui i moduli chiave ignorano le suite di autenticazione. L'attivazione di questa opzione forza i moduli chiave a ignorare solo le suite di autenticazione non supportate. La disabilitazione di questa opzione forza i moduli chiave a ignorare l'intera serie di autenticazione se non supportano tutte le suite di autenticazione nella serie. Windows Professional, Education, Enterprise
Accodamento pacchetto Selezionare come funziona l'accodamento dei pacchetti sul dispositivo. Questa impostazione consente di garantire il ridimensionamento corretto.

Questo valore specifica come viene abilitato il ridimensionamento per il software sul lato di ricezione sia per il percorso di ricezione codificato che per il percorso di inoltro del testo non codificato per lo scenario del gateway tunnel IPsec. L'utilizzo di questa opzione garantisce il mantenimento dell'ordine dei pacchetti. Il tipo di dati per questo valore di opzione è un numero intero ed è una combinazione di indicatori. Valori validi:

  • In coda disabilitato: tutte le code sono disabilitate.
  • Pacchetti codificati in entrata della coda: i pacchetti codificati in entrata vengono accodati.
  • Coda solo dopo la codifica pacchetto: i pacchetti vengono accodati dopo l'esecuzione della decodifica per l'inoltro.
 Windows Professional, Education, Enterprise
  • Configura rete del dominio (workplace)
  • Configura rete privata (non rilevabile)
  • Configura rete pubblica (rilevabile)
  • Abilita modalità invisibile: se questa opzione è abilitata, il dispositivo è impostato in modalità invisibile.

    La modalità invisibile aiuta a impedire agli utenti malintenzionati di ottenere informazioni sui dispositivi e sui servizi di rete. Quando è abilitata, la modalità stealth blocca i messaggi ICMP in uscita non raggiungibili e i messaggi di reimpostazione TCP dalle porte senza un'app in ascolto attivo su quella porta.

  • Disabilita esenzione pacchetto protetto IPsec con modalità invisibile: se abilitata, questa opzione imposta il modo in cui il firewall gestisce il traffico non richiesto protetto da IPsec.

    Se questa opzione non è abilitata, il firewall consente il traffico di rete non richiesto protetto da IPsec.

    Questa impostazione si applica solo quando si abilita la Modalità invisibile.

  • Abilita schermato: se questa opzione è abilitata e il firewall è abilitato, il server deve bloccare tutto il traffico in entrata indipendentemente da altre impostazioni della normativa. Il valore predefinito è deselezionare la casella di spunta.
  • Disabilita risposte unicast a broadcast multicast: se abilitata, questa opzione imposta il comportamento per le risposte al traffico di rete multicast o broadcast.

    Se si disabilita questa opzione, il firewall blocca tutte le risposte al traffico di rete multicast o broadcast.

  • Disabilita notifiche in ingresso: se abilitata, questa opzione imposta il comportamento della notifica per il firewall. Il firewall potrebbe inviare notifiche all'utente quando blocca una nuova applicazione

    Se questa opzione è disabilitata (la casella di spunta è deselezionata), il firewall non invia alcuna notifica.

  • Blocca connessioni in uscita: se abilitato, il firewall blocca le connessioni in uscita. Il firewall blocca tutto il traffico in uscita se non diversamente specificato esplicitamente
  • Blocca connessioni in entrata: se abilitato, il firewall blocca tutte le connessioni in entrata. Il firewall blocca tutto il traffico in ingresso se non diversamente specificato esplicitamente.
  • Applica le regole del firewall dell'applicazione autorizzata dall'archivio locale: se si seleziona , le regole del firewall dell'applicazione autorizzata nell'archivio locale vengono applicate perché sono riconosciute e applicate dal firewall.
  • Applica regole firewall Defender dall'archivio locale: se si seleziona , le regole firewall nell'archivio locale vengono applicate perché sono riconosciute e applicate dal firewall.
  • Applica le regole del firewall Defender della porta globale dall'archivio locale: se si seleziona , le regole del firewall della porta globale nell'archivio locale vengono applicate perché sono riconosciute e applicate dal firewall.
  • Applica regole IPsec dall'archivio locale: se si seleziona , vengono applicate le regole di protezione della connessione dall'archivio locale, indipendentemente dallo schema o dalle versioni delle regole di protezione della connessione.
 Windows Professional, Education, Enterprise
Configura regole firewall Un elenco di regole che controllano il traffico attraverso Windows Firewall. Per aggiungere una regola, fare clic sull'icona Aggiungi (+) nell'angolo destro di questa sezione.
  • Nome regola: un identificativo alfanumerico univoco per la regola. Il nome regola non può includere una barra (/).
  • Descrizione regola: una descrizione della regola.
  • Direzione del traffico: la regola è abilitata in base alla direzione del traffico.
    • In uscita (predefinito): la regola si applica al traffico in uscita.
    • In entrata: la regola si applica al traffico in entrata.
  • Blocca traffico: la regola blocca il traffico in base alle opzioni utilizzate nell'impostazione Direzione traffico . Per impostazione predefinita, questa opzione consente tutto il traffico.
  • Tipi di rete: il tipo di rete (dominio, privato o pubblico) che si applica alla regola. Se non viene selezionato alcun tipo di rete, il valore predefinito è tutti i tipi di rete.
  • Configurazioni dell'applicazione: le regole che controllano le connessioni per un'applicazione, un programma o un servizio.
    • Tutte (valore predefinito): la regola si applica a tutte le app, programmi o servizi.
    • Nome famiglia pacchetto: il nome univoco dell'app Microsoft Store. Per ulteriori informazioni su come ottenere il nome della famiglia di pacchetti, vedi Esempi di ottenimento manuale degli ID app Windows.
    • Percorso file: il percorso file completo dell'applicazione. Ad esempio: C:\Windows\System\Notepad.exe
    • Servizio Windows: il nome del servizio utilizzato quando un servizio, non un'app, invia o riceve traffico.
  • Configurazione dell'indirizzo IP - Indirizzo locale: gli indirizzi IP locali che si applicano alla regola:
    • Qualsiasi indirizzo
    • Indirizzi specifici: un elenco separato da virgole di indirizzi locali coperti dalla regola.
      • Un indirizzo IPv6 valido.
      • Un intervallo di indirizzi IPv4 nel formato "indirizzo iniziale - indirizzo finale" senza spazi inclusi. Ad esempio: 24.194.231.8-24.194.231.12
      • Un intervallo di indirizzi IPv6 nel formato "indirizzo iniziale - indirizzo finale" senza spazi inclusi. Ad esempio: 2001:0DB8:ABCD:0012:0000:0000:0000:0000-2001:0DB8:ABCD:0012:FFFF:FFFF:FFFF:FFF
  • Configurazione indirizzo IP - indirizzo remoto: gli indirizzi IP remoti che si applicano alla regola:
    • Qualsiasi indirizzo
    • Indirizzi specifici: un elenco separato da virgole di token che specificano gli indirizzi remoti coperti dalla regola.
      • "Gateway predefinito"
      • "DHCP"
      • "DNS"
      • "VINCERE"
      • "Intranet" (questo token è supportato su Windows versione 1809 e successive)
      • "RmtIntranet" (Questo token è supportato su Windows versione 1809 e successive)
      • "Internet" (questo token è supportato su Windows versione 1809 e successive)
      • "Ply2Renders" (Questo token è supportato su Windows versione 1809 e successive)
      • ""LocalSubnet" indica qualsiasi indirizzo locale della sottorete locale. Questo token non è sensibile al maiuscolo / minuscolo.
      • Un indirizzo IPv6 valido.
      • Un intervallo di indirizzi IPv4 nel formato "indirizzo iniziale - indirizzo finale" senza spazi inclusi. Ad esempio: 24.194.231.8-24.194.231.12
      • Un intervallo di indirizzi IPv6 nel formato "indirizzo iniziale - indirizzo finale" senza spazi inclusi. Ad esempio: 2001:0DB8:ABCD:0012:0000:0000:0000:0000-2001:0DB8:ABCD:0012:FFFF:FFFF:FFFF:FFF
  • Protocolli e porte: le porte o i protocolli locali e remoti che si applicano alla regola.
    • Qualsiasi (valore predefinito): qualsiasi porta o protocollo si applica alla regola.
    • TCP : ( Transmission Control Protocol ) Protocollo di comunicazione utilizzato in Internet e in qualsiasi rete che segua gli standard della Internet Engineering Task Force (IETF) per i protocolli di rete. TCP fornisce un protocollo affidabile host-host nelle reti di comunicazione con commutazione dei pacchetti e nei sistemi interconnessi di tali reti.
      • Tutte le importazioni
      • Porte specifiche: un elenco separato da virgole di intervalli di porte.
    • UDP : ( User Datagram Protocol ) Un protocollo Internet che fornisce un servizio di datagrammi inaffidabili e senza connessione. Abilita un programma applicativo su una macchina o su un processo a inviare un datagramma a un programma applicativo su un'altra macchina o un altro processo.
      • Tutte le importazioni
      • Porte specifiche: un elenco separato da virgole di intervalli di porte.
    • Porta personalizzata: un elenco separato da virgole di numeri di porta. I valori validi sono 0 - 255.
  • Tipi interfaccia: il tipo di connessione di rete che si applica alla regola.
    • Accesso remoto
    • Wireless
    • LAN
  • Utenti autorizzati: l'elenco di utenti locali autorizzati per questa regola. L'elenco è una stringa in formato SDDL (Security Descriptor Definition Language). Per ulteriori informazioni su SDDL, consultare https://docs.microsoft.com/en-us/windows/win32/secauthz/security-descriptor-string-format.
 Windows Professional, Education, Enterprise