Impostazioni dei criteri del firewall per i dispositivi collegati al tenant in Microsoft Intune

  • Articolo

Visualizzare le impostazioni di Microsoft Windows Firewall che è possibile gestire con il profilo Windows Firewall (ConfigMgr) da Intune. Il profilo è disponibile quando si configurano i criteri del firewall di Intune e i criteri vengono distribuiti nei dispositivi gestiti con Configuration Manager dopo aver configurato lo scenario di collegamento del tenant.

Windows Firewall

  • Verifica dell'elenco di revoche di certificati (dispositivo)
    CSP: MdmStore/Global/CRLcheck

    Specificare come viene applicata la verifica dell'elenco di revoche di certificati (CRL).

    • Non configurato (impostazione predefinita): usare il valore predefinito del client, ovvero disabilitare la verifica CRL.
    • Nessuna
    • Tentativo
    • Richiedono

  • Disabilitare ftp con stato (dispositivo)
    CSP: MdmStore/Global/DisableStatefulFtp

    • Non configurato (impostazione predefinita)
    • True - FTP con stato disabilitato
    • False : il firewall esegue il filtro FTP (File Transfer Protocol) con stato per consentire le connessioni secondarie.

  • Abilitare la coda di pacchetti (dispositivo)
    CSP: MdmStore/Global/EnablePacketQueue

    Selezionare le opzioni seguenti per configurare il ridimensionamento per il software sul lato di ricezione per la ricezione crittografata e l'inoltro del testo non crittografato per lo scenario del gateway tunnel IPsec. In questo modo si garantisce che l'ordine dei pacchetti venga mantenuto. Per impostazione predefinita, non sono selezionate opzioni.

    • Disabled
    • Coda in ingresso
    • Accodamento in uscita

  • Eccezioni IPsec (dispositivo)
    CSP: MdmStore/Global/IPsecExempt

    Selezionare le opzioni seguenti per configurare le eccezioni IPsec.

    • Escludere i codici di tipo ICMP IPv6 discover neighbor da IPsec
    • Escludere ICMP da IPsec
    • Il router esente individua i codici tipo ICMP IPv6 da IPsec
    • Esentare il traffico DHCP IPv4 e IPv6 da IPsec

  • Corrispondenza opportunistica del set di autenticazione per km (dispositivo)
    CSP: OpportunisticallyMatchAuthSetPerKM

    • Non configurato (impostazione predefinita)
    • Vero
    • Falso

  • Codifica chiave precondivisa (dispositivo)
    CSP: MdmStore/Global/PresharedKeyEncoding

    • Non configurato (impostazione predefinita)
    • Nessuna
    • UTF8

  • Tempo di inattività dell'associazione di sicurezza (dispositivo)
    CSP: MdmStore/Global/SaIdleTime

    Specificare un tempo in secondi compreso tra 300 e 3600, per quanto tempo le associazioni di sicurezza vengono mantenute dopo che il traffico di rete non viene visualizzato. Se non si specifica alcun valore, il sistema elimina un'associazione di sicurezza dopo che è rimasta inattiva per 300 secondi.

Profilo di dominio

  • Abilitare Firewall di rete di dominio (dispositivo)
    CSP: EnableFirewall

    • Non configurato (impostazione predefinita): il client torna al valore predefinito, ovvero per abilitare il firewall.
    • True : Windows Firewall per il tipo di rete del dominio è attivato e applicato.
    • False : disabilita il firewall.

    Se impostato su True, è quindi possibile configurare le impostazioni seguenti per questo tipo di profilo del firewall:

    • Consenti unione criteri Ipsec locale (dispositivo)
      CSP: AllowLocalIpsecPolicyMerge

      • Non configurato (impostazione predefinita)
      • Vero
      • False : le regole di sicurezza della connessione dall'archivio locale vengono ignorate e non applicate.

    • Consenti unione di criteri locali (dispositivo)
      CSP: AllowLocalPolicyMerge

      • Non configurato (impostazione predefinita)
      • Vero
      • False : le regole del firewall dell'archivio locale vengono ignorate e non applicate.

    • App di autenticazione che consentono l'unione preliminare utente (dispositivo)
      CSP: AuthAppsAllowUserPrefMerge

      • Non configurato (impostazione predefinita)
      • Vero
      • Falso

    • Azione in ingresso predefinita per il profilo di dominio (dispositivo)
      CSP: DefaultInboundAction

      • Non configurato (impostazione predefinita)
      • Consenti
      • Blocca

    • Azione in uscita predefinita (dispositivo)
      CSP: DefaultOutboundAction

      • Consenti
      • Blocca

    • Disabilitare le notifiche in ingresso (dispositivo)
      CSP: DisableInboundNotifications

      • Non configurato (impostazione predefinita)
      • True : il firewall non visualizzerà una notifica all'utente quando a un'applicazione viene impedito l'ascolto su una porta.
      • False : il firewall potrebbe visualizzare una notifica all'utente quando a un'applicazione viene impedito l'ascolto su una porta.

    • Disabilitare la modalità invisibile (dispositivo)
      CSP: DisableStealthMode

      • Non configurato (impostazione predefinita)
      • Vero
      • False : il server funziona in modalità invisibile. Le regole del firewall usate per applicare la modalità invisibile sono specifiche dell'implementazione.

    • Disabilitare le risposte Unicast alla trasmissione multicast (dispositivo)
      CSP: DisableUnicastResponsesToMulticastBroadcast

      • Non configurato (impostazione predefinita)
      • True : la risposta unicast al traffico broadcast multicast è bloccata.
      • Falso

    • Porte globali che consentono l'unione preliminare utente (dispositivo)
      CSP: GlobalPortsAllowUserPrefMerge

      • Non configurato (impostazione predefinita)
      • Vero
      • False : le regole del firewall delle porte globali nell'archivio locale vengono ignorate e non applicate.

    • Schermato (dispositivo)
      CSP: schermato

      • Non configurato (impostazione predefinita)
      • True : il server blocca tutto il traffico in ingresso indipendentemente dalle altre impostazioni dei criteri.
      • Falso

Profilo privato

  • Abilitare firewall di rete privato (dispositivo)
    CSP: EnableFirewall

    • Non configurato (impostazione predefinita): il client torna al valore predefinito, ovvero per abilitare il firewall.
    • True : Windows Firewall per il tipo di rete privato è attivato e applicato.
    • False : disabilita il firewall.

    Se impostato su True, è quindi possibile configurare le impostazioni seguenti per questo tipo di profilo del firewall:

    • Consenti unione criteri Ipsec locale (dispositivo)
      CSP: AllowLocalIpsecPolicyMerge

      • Non configurato (impostazione predefinita)
      • Vero
      • False : le regole di sicurezza della connessione dall'archivio locale vengono ignorate e non applicate.

    • Consenti unione di criteri locali (dispositivo)
      CSP: AllowLocalPolicyMerge

      • Non configurato (impostazione predefinita)
      • Vero
      • False : le regole del firewall dell'archivio locale vengono ignorate e non applicate.

    • App di autenticazione che consentono l'unione preliminare utente (dispositivo)
      CSP: AuthAppsAllowUserPrefMerge

      • Non configurato (impostazione predefinita)
      • Vero
      • Falso

    • Azione in ingresso predefinita per profilo privato (dispositivo)
      CSP: DefaultInboundAction

      • Non configurato (impostazione predefinita)
      • Consenti
      • Blocca

    • Azione in uscita predefinita (dispositivo)
      CSP: DefaultOutboundAction

      • Consenti
      • Blocca

    • Disabilitare le notifiche in ingresso (dispositivo)
      CSP: DisableInboundNotifications

      • Non configurato (impostazione predefinita)
      • True : il firewall non visualizzerà una notifica all'utente quando a un'applicazione viene impedito l'ascolto su una porta.
      • False : il firewall potrebbe visualizzare una notifica all'utente quando a un'applicazione viene impedito l'ascolto su una porta.

    • Disabilitare la modalità invisibile (dispositivo)
      CSP: DisableStealthMode

      • Non configurato (impostazione predefinita)
      • Vero
      • False : il server funziona in modalità invisibile. Le regole del firewall usate per applicare la modalità invisibile sono specifiche dell'implementazione.

    • Disabilitare le risposte Unicast alla trasmissione multicast (dispositivo)
      CSP: DisableUnicastResponsesToMulticastBroadcast

      • Non configurato (impostazione predefinita)
      • True : la risposta unicast al traffico broadcast multicast è bloccata.
      • Falso

    • Porte globali che consentono l'unione preliminare utente (dispositivo)
      CSP: GlobalPortsAllowUserPrefMerge

      • Non configurato (impostazione predefinita)
      • Vero
      • False : le regole del firewall delle porte globali nell'archivio locale vengono ignorate e non applicate.

    • Schermato (dispositivo)
      CSP: schermato

      • Non configurato (impostazione predefinita)
      • True : il server blocca tutto il traffico in ingresso indipendentemente dalle altre impostazioni dei criteri.
      • Falso

Profilo pubblico

  • Abilitare il firewall di rete pubblico (dispositivo)
    CSP: EnableFirewall

    • Non configurato (impostazione predefinita): il client torna al valore predefinito, ovvero per abilitare il firewall.
    • True : Windows Firewall per il tipo di rete pubblico è attivato e applicato.
    • False : disabilita il firewall.

    Se impostato su True, è quindi possibile configurare le impostazioni seguenti per questo tipo di profilo del firewall:

    • Consenti unione criteri Ipsec locale (dispositivo)
      CSP: AllowLocalIpsecPolicyMerge

      • Non configurato (impostazione predefinita)
      • Vero
      • False : le regole di sicurezza della connessione dall'archivio locale vengono ignorate e non applicate.

    • Consenti unione di criteri locali (dispositivo)
      CSP: AllowLocalPolicyMerge

      • Non configurato (impostazione predefinita)
      • Vero
      • False : le regole del firewall dell'archivio locale vengono ignorate e non applicate.

    • App di autenticazione che consentono l'unione preliminare utente (dispositivo)
      CSP: AuthAppsAllowUserPrefMerge

      • Non configurato (impostazione predefinita)
      • Vero
      • Falso

    • Azione in ingresso predefinita per il profilo pubblico (dispositivo)
      CSP: DefaultInboundAction

      • Non configurato (impostazione predefinita)
      • Consenti
      • Blocca

    • Azione in uscita predefinita (dispositivo)
      CSP: DefaultOutboundAction

      • Consenti
      • Blocca

    • Disabilitare le notifiche in ingresso (dispositivo)
      CSP: DisableInboundNotifications

      • Non configurato (impostazione predefinita)
      • True : il firewall non visualizzerà una notifica all'utente quando a un'applicazione viene impedito l'ascolto su una porta.
      • False : il firewall potrebbe visualizzare una notifica all'utente quando a un'applicazione viene impedito l'ascolto su una porta.

    • Disabilitare la modalità invisibile (dispositivo)
      CSP: DisableStealthMode

      • Non configurato (impostazione predefinita)
      • Vero
      • False : il server funziona in modalità invisibile. Le regole del firewall usate per applicare la modalità invisibile sono specifiche dell'implementazione.

    • Disabilitare le risposte Unicast alla trasmissione multicast (dispositivo)
      CSP: DisableUnicastResponsesToMulticastBroadcast

      • Non configurato (impostazione predefinita)
      • True : la risposta unicast al traffico broadcast multicast è bloccata.
      • Falso

    • Porte globali che consentono l'unione preliminare utente (dispositivo)
      CSP: GlobalPortsAllowUserPrefMerge

      • Non configurato (impostazione predefinita)
      • Vero
      • False : le regole del firewall delle porte globali nell'archivio locale vengono ignorate e non applicate.

    • Schermato (dispositivo)
      CSP: schermato

      • Non configurato (impostazione predefinita)
      • True : il server blocca tutto il traffico in ingresso indipendentemente dalle altre impostazioni dei criteri.
      • Falso

Passaggi successivi

Criteri di sicurezza degli endpoint per i firewall