Configurações de firewall

As Configurações de Firewall executam as regras do Windows Defender Firewall que bloqueiam o acesso não autorizado à rede, o que reduz o risco de ameaças de segurança de rede em todos os terminais. Essa política é compatível com o Windows versão 1709 e posterior.

O que é o Windows Defender Firewall?

O Windows Defender Firewall é um aplicativo de segurança que filtra as transmissões de dados de rede para e a partir de um sistema Windows e bloqueia conexões prejudiciais e os programas que iniciam essas conexões.

Como o firewall funciona

O firewall usa um conjunto predefinido de regras para ambos os tipos (entrada/saída) de tráfego de rede. É possível incluir um programa nas listas de programas autorizados que permite que esse programa se conecte por meio do firewall. O fluxo de trabalho de política é o seguinte:
  1. Ative a caixa de seleção Configurar Definições de Firewall .
  2. Configure as definições de Global para a política de firewall.
  3. Configure como o firewall se comporta quando os terminais são conectados a um domínio, rede privada ou rede pública.
  4. Configure regras de firewall customizadas para a rede que você selecionou na política.

Configurando definições de firewall

Uma configuração de firewall é uma coleção de perfis ou regras. Você aplica esses perfis ou regras no computador para determinar as permissões para todas as conexões de entrada e saída para portas específicas. O Windows usa perfis para se conectar à internet ou à rede. O Windows usa os perfis a seguir:
  • Domínio: o perfil de domínio se aplica a redes em que o sistema host pode se autenticar em um controlador de domínio.
  • Privado: o perfil privado é um perfil designado por usuário que é usado para designar redes privadas ou de origem.
  • Público: o perfil público (perfil padrão) é usado para designar redes públicas, como pontos de acesso wi-fi em cafeterias, aeroportos e outros locais.

A tabela a seguir descreve as configurações de firewall que você pode configurar para dispositivos Windows.

Tabela 1. Configurações de firewall
Configuração de política Descrição Dispositivos suportados
Definir configurações de firewall Se ativado, é possível configurar as definições globais, as configurações de rede e as regras de firewall customizadas no tráfego para e a partir de seus terminais do Windows. Windows Profissional, Educação, Empresa
Definições globais
Desativar protocolo de transferência de arquivos Se ativada, essa opção configura como o firewall manipula o tráfego FTP.

Se você selecionar Não, o firewall rastreia todo o tráfego FTP. Se você selecionar Sim, o firewall não inspeciona o tráfego FTP.

 Windows Profissional, Educação, Empresa
Tempo de inatividade da associação de segurança antes da exclusão Configure a quantidade máxima de tempo (em segundos) que o dispositivo aguarda antes de excluir associações de segurança inativas. O intervalo é de 300 a 3600 segundos.

As associações de segurança são um acordo entre dois peers ou terminais. Esses acordos contêm todas as informações necessárias para trocar dados de forma segura.

 Windows Profissional, Educação, Empresa
Codificação de chave pré-compartilhada Selecione o tipo de codificação utilizada para a chave pré-compartilhada.

Uma chave pré-compartilhada (PSK) é uma chave secreta que é compartilhada entre dois dispositivos (por exemplo, um cliente e um servidor) que são conectados por um canal protegido. O PSK é usado pelo servidor para autenticar o cliente. Um PSK pode ser usado em ambientes em que não é possível usar certificados de clientes para autenticação mútua.

 Windows Profissional, Educação, Empresa
Isenções de IPSec Selecione o tráfego que está isento de executar IPsec.

IPsec é uma estrutura de padrões abertos para garantir comunicações privadas e seguras sobre redes de Protocolo da Internet (IP) por meio do uso de serviços de segurança criptográficos. O IPsec suporta autenticação de peer de nível de rede, autenticação de origem de dados, integridade de dados, confidencialidade de dados (criptografia) e proteção de reprodução. O Internet Protocol Security (IPsec) é um conjunto de protocolos de segurança usados para transferir pacotes IP confidencialmente através da Internet. O IPsec é obrigatório para todas as implementações do IPv6 e opcional para o IPv4.

  • Isentar códigos do tipo ICMP IPv6 de descoberta de vizinho
  • Isentar o ICMP
  • Isentar códigos do tipo ICMP IPv6 de descoberta de roteador
  • Isentar tráfego DHCP tanto IPv4 quanto IPv6
 Windows Profissional, Educação, Empresa
Verificação de lista de revogação de certificado Selecione como fazer cumprir a verificação da lista de revogação de certificado.
  • Desativar verificação de CRL (padrão): desativa a verificação de CRL.
  • Falhar verificação de CRL somente em certificado revogado: a verificação de CRL é tentada e a validação de certificado falha apenas se o certificado for revogado. Outras falhas que são encontradas durante a verificação de CRL (como a URL de revogação inacessível) não fazem com que a validação de certificado falhe.
  • Falhar verificação de CRL em cada erro encontrado: a verificação de CRL é necessária e a validação de certificado falha se algum erro for encontrado durante o processamento de CRL.
 Windows Profissional, Educação, Empresa
Ativar o conjunto de autenticação de correspondência oportunisticamente por módulo de chaveamento Configura como os módulos de chave ignoram os conjuntos de autenticação. Ativar essa opção força os módulos de chave a ignorarem apenas os conjuntos de autenticação que não suportam. A desativação dessa opção força os módulos a ignorarem todo o conjunto de autenticação se eles não suportarem todos os conjuntos de autenticação no conjunto. Windows Profissional, Educação, Empresa
Enfileiramento de pacotes Selecione como o enfileiramento de pacotes funciona no dispositivo. Essa configuração permite que você garanta o ajuste de escala adequado.

Esse valor especifica como o ajuste de escala para o software no lado de recebimento é ativado tanto para o recebimento criptografado quanto para o caminho do encaminhamento de texto não criptografado para o cenário de gateway de túnel do IPsec. O uso dessa opção garante que a ordem dos pacotes seja preservada. O tipo de dados para esse valor de opção é número inteiro e é uma combinação de sinalizadores. Valores válidos:

  • Enfileiramento desativado: todo enfileiramento é desativado.
  • Enfileirar pacotes criptografados de entrada: pacotes criptografados de entrada são enfileirados.
  • Enfileirar somente após a criptografia de pacotes: os pacotes são enfileirados após a decriptografia ser executada para encaminhamento.
 Windows Profissional, Educação, Empresa
  • Configurar rede de domínio (local de trabalho)
  • Configurar rede privada (não detectável)
  • Configurar rede pública (detectável)
  • Ativar modo furtivo: se essa opção estiver ativada, o dispositivo será configurado no modo furtivo.

    O modo furtivo ajuda a evitar que usuários maliciosos obtenham informações sobre dispositivos e serviços de rede. Quando ativado, o modo furtivo impede a saída de ICMP inacessível e mensagens de reconfiguração de TCP de portas sem um aplicativo atendendo ativamente nessa porta.

  • Desativar isenção de pacote protegido IPSec com modo furtivo: se ativada, esta opção configura como o firewall manipula o tráfego não solicitado protegido pelo IPsec.

    Se essa opção não estiver ativada, o firewall permite o tráfego de rede não solicitado protegido pelo IPsec.

    Essa configuração só se aplica quando você ativa o Modo Furtivo.

  • Ativar blindado: se esta opção estiver ativada e o firewall estiver ativado, o servidor deverá bloquear todo o tráfego de entrada, independentemente de outras configurações de política. O valor padrão é limpar a caixa de seleção.
  • Desativar as respostas unicast para transmissões multicast: se ativada, esta opção configura o comportamento para as respostas para o tráfego de rede multicast ou de transmissão.

    Se você desativar essa opção, o firewall bloqueará todas as respostas para o tráfego de rede multicast ou de transmissão.

  • Desativar notificações de entrada: se ativada, esta opção configura o comportamento de notificação para o firewall. O firewall pode enviar notificações para o usuário ao bloquear um novo aplicativo

    Se essa opção estiver desativada (caixa de seleção desmarcada), o firewall não enviará nenhuma notificação.

  • Bloquear conexões de saída: se ativada, o firewall bloqueia conexões de saída. O firewall bloqueia todo o tráfego de saída, a menos que especificado explicitamente de outra forma
  • Bloquear conexões de entrada: se ativada, o firewall bloqueia todas as conexões de entrada. O firewall bloqueia todo o tráfego de entrada, a menos que especificado de outra forma.
  • Aplicar regras de firewall de aplicativo autorizado a partir do armazenamento local: se você selecionar Sim, as regras de firewall de aplicativo autorizado no armazenamento local serão aplicadas porque são reconhecidas e impostas pelo firewall.
  • Cumprir regras do Defender Firewall a partir do armazenamento local: se você selecionar Sim, as regras de firewall no armazenamento local serão aplicadas porque são reconhecidas e impostas pelo firewall.
  • Cumprir regras do Defender Firewall da porta global a partir do armazenamento local: se você selecionar Sim, as regras de firewall de porta global no armazenamento local serão aplicadas porque são reconhecidas e impostas pelo firewall.
  • Cumprir regras do iPsec a partir do armazenamento local: se você selecionar Sim, as regras de segurança de conexão do armazenamento local serão aplicadas, independentemente de versões de esquema ou de regra de segurança de conexão.
 Windows Profissional, Educação, Empresa
Configurar regras de firewall Uma lista de regras controlando o tráfego por meio do Windows Firewall. Para incluir uma regra, clique no ícone Incluir (+) no canto superior direito desta seção.
  • Nome da regra: um identificador alfanumérico exclusivo para a regra. O nome da regra não pode incluir uma barra (/).
  • Descrição da regra: uma descrição da regra.
  • Direção de tráfego: a regra é ativada com base na direção de tráfego.
    • Saída (padrão): a regra se aplica ao tráfego de saída.
    • Entrada: a regra se aplica ao tráfego de entrada.
  • Bloquear tráfego: a regra bloqueia o tráfego com base na opção usada na configuração Direção de tráfego. Por padrão, essa opção permite todo tráfego.
  • Tipos de rede: o tipo de rede (domínio, privado ou público) que se aplica à regra. Se nenhum tipo de rede for selecionado, o padrão será todos os tipos de redes.
  • Configurações do aplicativo: as regras que controlam conexões para um aplicativo, programa ou serviço.
    • Todos (padrão): a regra se aplica a todos os apps, programas ou serviços.
    • Nome da família do pacote: o nome exclusivo do aplicativo da Microsoft Store. Para obter mais informações sobre como obter o nome da família do pacote, veja Exemplos de obtenção de IDs de app do Windows manualmente.
    • Caminho do arquivo: o caminho de arquivo completo do app. Por exemplo: C:\Windows\System\Notepad.exe
    • Serviço do Windows: o nome de serviço que é usado quando um serviço, não um aplicativo, está enviando ou recebendo tráfego.
  • Configuração do endereço IP - endereço local: os endereços IP locais que se aplicam à regra:
    • Qualquer endereço
    • Endereços específicos: uma lista separada por vírgula de endereços locais que são cobertos pela regra.
      • Um endereço IPv6 válido.
      • Uma variação de endereços IPv4 no formato de "start address-end address" sem espaços incluídos. Por exemplo: 24.194.231.8-24.194.231.12
      • Uma variação de endereços IPv6 no formato de "start address-end address" sem espaços incluídos. Por exemplo: 2001:0DB8:ABCD:0012:0000:0000:0000:0000-2001:0DB8:ABCD:0012:FFFF:FFFF:FFFF:FFF
  • Configuração do endereço IP - endereço remoto: os endereços IP remotos que se aplicam à regra:
    • Qualquer endereço
    • Endereços específicos: uma lista separada por vírgula de tokens que especificam os endereços remotos que são cobertos pela regra.
      • "Defaultgateway"
      • "DHCP"
      • "DNS"
      • "WINS"
      • "Intranet" (Esse token é compatível com o Windows versão 1809 e posterior)
      • "RmtIntranet" (Esse token é compatível com o Windows versão 1809 e posterior)
      • "Internet" (Esse token é compatível com o Windows versão 1809 e posterior)
      • "Ply2Renders" (Esse token é compatível com o Windows versão 1809 e posterior)
      • "LocalSubnet" indica qualquer endereço local na sub-rede local. Este token não faz distinção entre maiúsculas e minúsculas.
      • Um endereço IPv6 válido.
      • Uma variação de endereços IPv4 no formato de "start address-end address" sem espaços incluídos. Por exemplo: 24.194.231.8-24.194.231.12
      • Uma variação de endereços IPv6 no formato de "start address-end address" sem espaços incluídos. Por exemplo: 2001:0DB8:ABCD:0012:0000:0000:0000:0000-2001:0DB8:ABCD:0012:FFFF:FFFF:FFFF:FFF
  • Protocolos e portas: os protocolos locais e remotos ou portas que se aplicam à regra.
    • Qualquer um (padrão): qualquer porta ou protocolo se aplica à regra.
    • TCP: (Protocolo de Controle de Transmissões) um protocolo de comunicação usado na Internet e em qualquer rede que siga os padrões de Internet Engineering Task Force (IETF) para protocolo de interligação de redes. O TCP oferece um protocolo confiável de host a host em redes de comunicação através da comutação de pacotes e em sistemas interconectados dessas redes.
      • Todas as portas
      • Portas específicas: uma lista separada por vírgula de intervalos de portas.
    • UDP: (User Datagram Protocol) um protocolo de Internet que fornece serviço de datagrama não confiável e sem conexão. Ele permite que um programa de aplicativo em uma máquina ou processo envie um datagrama para um programa de aplicativo em outra máquina ou processo.
      • Todas as portas
      • Portas específicas: uma lista separada por vírgula de intervalos de portas.
    • Porta customizada: uma lista separada por vírgula de números de porta. Os valores válidos são 0 - 255.
  • Tipos de interface: o tipo de conexão de rede que se aplica à regra.
    • Acesso remoto
    • Wireless
    • LAN
  • Usuários autorizados: a lista de usuários locais autorizados para esta regra. A lista é uma sequência no formato Security Descriptor Definition Language (SDDL). Para obter mais informações sobre SDDL, consulte https://docs.microsoft.com/en-us/windows/win32/secauthz/security-descriptor-string-format.
 Windows Profissional, Educação, Empresa