Materiale sussidiario per la risoluzione dei problemi di Windows Firewall con protezione avanzata

Questo articolo è progettato per facilitare la risoluzione dei problemi correlati a Windows Firewall con sicurezza avanzata.

Elenco di controllo per la risoluzione dei problemi

Considerazioni sulle regole del firewall

Per determinare se un pacchetto di rete è consentito o eliminato viene usata solo una regola del firewall. Se il pacchetto di rete corrisponde a più regole, la regola usata viene selezionata usando la precedenza seguente:

1. Regole che specificano l'azione Consenti se sicuro e anche l'opzione di blocco dell'override
2. Regole che specificano l'azione di blocco
3. Regole che specificano l'azione Consenti

Nel nodo Monitoraggio vengono visualizzate solo le regole attualmente attive. Le regole potrebbero non essere visualizzate nell'elenco se:

1. La regola è disabilitata.
2. Se il comportamento predefinito del firewall in ingresso o in uscita è configurato per consentire il traffico non bloccato da una regola, le regole Consenti della direzione specificata non vengono visualizzate.

Per impostazione predefinita, sono abilitate le regole del firewall nei gruppi identificati nell'elenco seguente. È possibile che siano abilitate regole aggiuntive quando si installano determinate funzionalità o programmi di Windows.

1. Rete di base: tutti i profili
2. Assistenza remota: regole TCP DCOM e RA Server solo per il profilo di dominio, altre regole per i profili di dominio e privati
3. Individuazione di rete: solo profilo privato

Abilitare gli eventi di controllo

Utilizzare auditpol.exe per modificare i criteri di controllo del computer locale. È possibile usare lo strumento da auditpol riga di comando per abilitare o disabilitare le varie categorie e sottocategorie di eventi e quindi visualizzare gli eventi nello snap-in Visualizzatore eventi.

• Per ottenere l'elenco delle categorie di eventi riconosciute dallo strumento auditpol, eseguire il comando seguente al prompt dei comandi:

  auditpol.exe /list /category
  

• Per ottenere l'elenco delle sottocategorie in una categoria (in questo esempio viene usata la categoria Modifica criteri), eseguire il comando seguente al prompt dei comandi:

  auditpol.exe /list /category:"Policy Change"
  

• Per impostare una categoria e una sottocategoria da abilitare, digitare quanto segue al prompt dei comandi:

  auditpol.exe /set /category:"CategoryName" /SubCategory:"SubcategoryName"
  

Configurare il file di log del firewall per un profilo

1. Nell'albero della console dello snap-in Windows Firewall con sicurezza avanzata selezionare Windows Firewall con sicurezza avanzata e quindi selezionare Proprietà nel riquadro Azioni .
2. Selezionare la scheda del profilo per cui si vuole configurare la registrazione (Dominio, Privato o Pubblico) e quindi selezionare Personalizza.
3. Specificare un nome e un percorso.
4. Specificare un limite per le dimensioni del file di log compreso tra 1 e 32767 KB.
5. Selezionare Sì per Log dropped packets (Registra pacchetti eliminati).
6. Selezionare Sì per Registra connessioni riuscite e quindi selezionare OK.

Creare file di testo dell'elenco attività e delle statistiche di rete

1. Al prompt dei comandi, digitare netstat -ano > netstat.txt, quindi premere INVIO.
2. Al prompt dei comandi, digitare tasklist > tasklist.txt, quindi premere INVIO.
   Se si vuole creare un file di testo per i servizi anziché i programmi, al prompt dei comandi digitare tasklist /svc > tasklist.txt.
3. Aprire i file tasklist.txt e netstat.txt.
4. Nel file tasklist.txt scrivere l'identificatore di processo (PID) per il processo di cui si sta cercando di risolvere i problemi. Confrontare il PID con quello nel file Netstat.txt. Annotare il protocollo usato. Le informazioni sul protocollo usato possono essere utili quando si esaminano le informazioni nel file di log del firewall.

Verifica del funzionamento dei servizi firewall e IPsec

Affinché Windows Firewall con sicurezza avanzata funzioni correttamente, è necessario avviare i servizi seguenti:

• Base Filtering Engine
• Client di Criteri di gruppo
• Moduli di impostazione chiavi IPSec IKE e Auth-IP
• Helper IP
• Agente criteri IPsec
• Riconoscimento presenza in rete
• Servizio Elenco reti
• Windows Firewall

Problemi noti e soluzioni

• Windows Firewall blocca un programma
• Windows Firewall viene disattivato ogni volta che si avvia il computer
• È necessario disabilitare Windows Firewall
• Non è possibile configurare Windows Firewall con protezione avanzata
• Nessuno può effettuare il ping del computer
• Nessuno può accedere alle condivisioni di file e stampanti locali
• Non è possibile amministrare in remoto Windows Firewall
• Risoluzione dei problemi relativi alle impostazioni di Windows Firewall dopo un aggiornamento di Windows

Raccolta dei dati

Prima di contattare il supporto tecnico Microsoft, è possibile raccogliere informazioni sul problema.

Prerequisiti

1. Il TSS deve essere eseguito dagli account con privilegi di amministratore nel sistema locale e il contratto di licenza deve essere accettato (una volta accettato il contratto di licenza, il TSS non richiederà di nuovo).
2. È consigliabile usare i criteri di esecuzione di PowerShell del computer RemoteSigned locale.

Note

Se i criteri di esecuzione correnti di PowerShell non consentono l'esecuzione di TSS, eseguire le azioni seguenti:

• Impostare i RemoteSigned criteri di esecuzione per il livello di processo eseguendo il cmdlet PS C:\> Set-ExecutionPolicy -scope Process -ExecutionPolicy RemoteSigned.
• Per verificare se la modifica ha effetto, eseguire il cmdlet PS C:\> Get-ExecutionPolicy -List.
• Poiché le autorizzazioni a livello di processo si applicano solo alla sessione di PowerShell corrente, dopo la chiusura della finestra di PowerShell specificata in cui viene eseguita TSS, l'autorizzazione assegnata per il livello di processo tornerà allo stato configurato in precedenza.

Raccogliere le informazioni chiave prima di contattare il supporto tecnico Microsoft

1. Scaricare TSS in tutti i nodi e decomprimerlo nella cartella C:\tss .

2. Aprire la cartella C:\tss da un prompt dei comandi di PowerShell con privilegi elevati.

3. Avviare le tracce usando il cmdlet seguente:

   TSS.ps1 -Scenario NET_WFP
   

4. Accettare il contratto di licenza se le tracce vengono eseguite per la prima volta nel computer.

5. Consenti registrazione (PSR o video).

6. Riprodurre il problema prima di immettere Y.

   Note

   Se si raccolgono i log sia sul client che sul server, attendere questo messaggio in entrambi i nodi prima di riprodurre il problema.

7. Immettere Y per completare la raccolta di log dopo la riproduzione del problema.

Le tracce verranno archiviate in un file ZIP nella cartella C:\MS_DATA , che può essere caricata nell'area di lavoro per l'analisi.

Riferimenti

• Eventi per Windows Firewall con protezione avanzata in Visualizzatore eventi
• Procedure consigliate per la configurazione di Windows Defender Firewall
• Miglioramenti del log di controllo dell'origine del filtro
• Usare il firewall netsh advfirewall