Regole di Windows Firewall
In molti casi, un primo passaggio per gli amministratori consiste nel personalizzare i profili del firewall usando le regole del firewall, in modo che possano lavorare con applicazioni o altri tipi di software. Ad esempio, un amministratore o un utente può scegliere di aggiungere una regola per supportare un programma, aprire una porta o un protocollo o consentire un tipo predefinito di traffico.
Questo articolo descrive i concetti e i consigli per la creazione e la gestione delle regole del firewall.
Precedenza delle regole per le regole in ingresso
In molti casi, per il funzionamento delle applicazioni nella rete è necessario consentire tipi specifici di traffico in ingresso. Gli amministratori devono tenere presenti i comportamenti di precedenza delle regole seguenti durante la configurazione delle eccezioni in ingresso:
- Le regole consenti definite in modo esplicito hanno la precedenza sull'impostazione predefinita del blocco
- Le regole di blocco esplicite hanno la precedenza su tutte le regole di autorizzazione in conflitto
- Le regole più specifiche hanno la precedenza su regole meno specifiche, tranne se sono presenti regole di blocco esplicite come indicato in 2. Ad esempio, se i parametri della regola 1 includono un intervallo di indirizzi IP, mentre i parametri della regola 2 includono un singolo indirizzo host IP, la regola 2 ha la precedenza
A causa di 1 e 2, quando si progetta un set di criteri, è necessario assicurarsi che non siano presenti altre regole di blocco esplicite che potrebbero sovrapporsi inavvertitamente, impedendo così il flusso di traffico che si desidera consentire.
Nota
Windows Firewall non supporta l'ordinamento delle regole ponderato assegnato dall'amministratore. È possibile creare un set di criteri efficace con comportamenti previsti tenendo presente i pochi comportamenti delle regole coerenti e logici descritti.
Regole delle applicazioni
Quando vengono installati per la prima volta, le applicazioni e i servizi di rete emettono una chiamata di ascolto che specifica le informazioni sul protocollo/porta necessarie per il corretto funzionamento. Poiché è presente un'azione di blocco predefinita in Windows Firewall, è necessario creare regole di eccezione in ingresso per consentire il traffico. È comune per l'app o il programma di installazione dell'app stesso aggiungere questa regola del firewall. In caso contrario, l'utente (o l'amministratore del firewall per conto dell'utente) deve creare manualmente una regola.
Se non sono presenti regole consenti attive o definite dall'amministratore, una finestra di dialogo richiede all'utente di consentire o bloccare i pacchetti di un'applicazione la prima volta che l'app viene avviata o tenta di comunicare in rete:
- Se l'utente dispone delle autorizzazioni di amministratore, viene richiesto. Se rispondono No o annullano la richiesta, vengono create regole di blocco. Vengono in genere create due regole, una per il traffico TCP e UDP
- Se l'utente non è un amministratore locale, non verrà richiesto. Nella maggior parte dei casi, vengono create regole di blocco
In uno di questi scenari, dopo l'aggiunta delle regole, è necessario eliminarle per generare di nuovo la richiesta. In caso contrario, il traffico continua a essere bloccato.
Nota
Le impostazioni predefinite del firewall sono progettate per la sicurezza. L'abilitazione di tutte le connessioni in ingresso per impostazione predefinita introduce la rete a varie minacce. Pertanto, la creazione di eccezioni per le connessioni in ingresso da software non Microsoft deve essere determinata da sviluppatori di app attendibili, dall'utente o dall'amministratore per conto dell'utente.
Criteri di assegnazione di tag WDAC
Windows Firewall supporta l'uso di tag dell'ID applicazione (AppID) di controllo delle applicazioni (WDAC) Windows Defender nelle regole del firewall. Con questa funzionalità, le regole di Windows Firewall possono essere definite come ambito per un'applicazione o un gruppo di applicazioni facendo riferimento ai tag di processo, senza usare il percorso assoluto o sacrificare la sicurezza. Per questa configurazione sono disponibili due passaggi:
- Distribuire i criteri di assegnazione di tag AppId WDAC: è necessario distribuire un criterio di controllo delle applicazioni Windows Defender, che specifica singole applicazioni o gruppi di applicazioni per applicare un tag PolicyAppId ai token di processo. L'amministratore può quindi definire regole del firewall con ambito per tutti i processi contrassegnati con policyAppId corrispondenti. Per altre informazioni, vedere la guida all'assegnazione di tag AppId WDAC per creare, distribuire e testare un criterio AppID per contrassegnare le applicazioni.
- Configurare le regole del firewall usando i tag PolicyAppId usando uno dei due metodi seguenti:
- Uso del nodo PolicyAppId del provider di servizi di configurazione del firewall con una soluzione MDM come Microsoft Intune. Se si usa Microsoft Intune, è possibile distribuire le regole da Microsoft Intune Amministrazione centro, nel percorso Endpoint security>Firewall>Create policy>Windows 10, Windows 11 e Windows Server>Windows Regole del firewall. Quando si creano le regole, specificare il tag AppId nell'impostazione ID app criteri
- Creare regole del firewall locale con PowerShell: usare il
New-NetFirewallRulecmdlet e specificare il-PolicyAppIdparametro . È possibile specificare un tag alla volta durante la creazione di regole del firewall. Sono supportati più ID utente
Unione dei criteri locali e regole dell'applicazione
Le impostazioni dei criteri di unione delle regole controllano la modalità di combinazione di regole provenienti da origini di criteri diverse. Gli amministratori possono configurare comportamenti di unione diversi per i profili dominio, privato e pubblico.
Le impostazioni dei criteri di unione delle regole consentono o impediscono agli amministratori locali di creare regole del firewall personalizzate oltre a quelle ottenute da CSP o oggetto Criteri di gruppo.
| Percorso | |
|---|---|
| CSP | Profilo di dominio: ./Vendor/MSFT/Firewall/MdmStore/DomainProfile/AllowLocalPolicyMerge ./Vendor/MSFT/Firewall/MdmStore/PrivateProfile/ Profilo privatoAllowLocalPolicyMerge Profilo ./Vendor/MSFT/Firewall/MdmStore/PublicProfile/ pubblico AllowLocalPolicyMerge |
| GPO | Configurazione> computerImpostazioni di> WindowsImpostazioni> di sicurezzaWindows Defender Firewall con sicurezza avanzata |
Gli amministratori possono disabilitare LocalPolicyMerge in ambienti con sicurezza elevata per mantenere un controllo più stretto sugli endpoint. Questa impostazione può influire su alcune applicazioni e servizi che generano automaticamente un criterio firewall locale al momento dell'installazione.
Importante
Se l'unione dei criteri locali è disabilitata, è necessaria la distribuzione centralizzata delle regole per qualsiasi app che necessita di connettività in ingresso.
È importante creare e gestire un elenco di tali app, incluse le porte di rete usate per le comunicazioni. In genere, è possibile trovare le porte che devono essere aperte per un determinato servizio nel sito Web dell'app. Per distribuzioni più complesse, potrebbe essere necessaria un'analisi approfondita usando gli strumenti di acquisizione pacchetti di rete.
In generale, per mantenere la massima sicurezza, gli amministratori devono distribuire solo le eccezioni del firewall per le app e i servizi determinati a scopi legittimi.
Nota
L'uso di modelli con caratteri jolly, ad C:\*\teams.exe esempio non è supportato nelle regole dell'applicazione. È possibile creare regole solo usando il percorso completo delle applicazioni.
Consigli per le regole del firewall
Ecco un elenco di raccomandazioni per la progettazione delle regole del firewall:
- Mantenere le impostazioni predefinite di Windows Firewall quando possibile. Le impostazioni sono progettate per proteggere il dispositivo per l'uso nella maggior parte degli scenari di rete. Un esempio chiave è il comportamento di blocco predefinito per le connessioni in ingresso.
- Creare le regole in tutti e tre i profili, ma abilitare solo il gruppo di regole del firewall nei profili adatti agli scenari. Ad esempio, se si installa un'applicazione di condivisione usata solo in una rete privata, è consigliabile creare regole del firewall in tutti e tre i profili, ma abilitare solo il gruppo di regole del firewall contenente le regole nel profilo privato.
- Configurare le restrizioni per le regole del firewall a seconda del profilo a cui vengono applicate le regole. Per le applicazioni e i servizi progettati per l'accesso solo ai dispositivi all'interno di una rete domestica o di piccole imprese, è consigliabile modificare la restrizione degli indirizzi remoti per specificare solo subnet locale . La stessa applicazione o servizio non avrebbe questa restrizione se usata in un ambiente aziendale. Questa operazione può essere eseguita aggiungendo la restrizione dell'indirizzo remoto alle regole aggiunte ai profili privato e pubblico, lasciandole senza restrizioni nel profilo di dominio. Questa restrizione degli indirizzi remoti non deve essere applicata alle applicazioni o ai servizi che richiedono la connettività Internet globale.
- Una procedura di sicurezza generale consigliata per la creazione di regole in ingresso deve essere il più specifica possibile. Tuttavia, quando devono essere effettuate nuove regole che usano porte o indirizzi IP, valutare l'uso di intervalli consecutivi o subnet anziché singoli indirizzi o porte, dove possibile. Questo approccio evita la creazione di più filtri sotto il cofano, riduce la complessità e consente di evitare una riduzione delle prestazioni.
- Quando si crea una regola in ingresso o in uscita, è necessario specificare i dettagli sull'app stessa, l'intervallo di porte usato e note importanti come la data di creazione. Le regole devono essere ben documentate per semplificare la revisione da parte dell'utente e di altri amministratori.
- Per mantenere la massima sicurezza, gli amministratori devono distribuire solo le eccezioni del firewall per le app e i servizi determinati a scopi legittimi.
Problemi noti relativi alla creazione automatica delle regole
Quando si progetta un set di criteri firewall per la rete, è consigliabile configurare le regole di autorizzazione per tutte le applicazioni in rete distribuite nell'host. La presenza delle regole prima che l'utente avvii per la prima volta l'applicazione consente di garantire un'esperienza senza problemi.
L'assenza di queste regole a fasi non significa necessariamente che alla fine un'applicazione non sarà in grado di comunicare in rete. Tuttavia, i comportamenti coinvolti nella creazione automatica delle regole dell'applicazione in fase di esecuzione richiedono l'interazione dell'utente e i privilegi amministrativi. Se si prevede che il dispositivo venga usato da utenti non amministratori, è necessario seguire le procedure consigliate e fornire queste regole prima del primo avvio dell'applicazione per evitare problemi di rete imprevisti.
Per determinare il motivo per cui ad alcune applicazioni viene impedito di comunicare in rete, verificare la presenza delle istanze seguenti:
- Un utente con privilegi sufficienti riceve una notifica di query che informa che l'applicazione deve apportare una modifica ai criteri del firewall. Non comprendendo completamente la richiesta, l'utente annulla o ignora la richiesta
- Un utente non dispone di privilegi sufficienti e pertanto non viene richiesto di consentire all'applicazione di apportare le modifiche ai criteri appropriate
- L'unione dei criteri locali è disabilitata, impedendo all'applicazione o al servizio di rete di creare regole locali
La creazione di regole dell'applicazione in fase di esecuzione può anche essere vietata dagli amministratori che usano l'app Impostazioni o le impostazioni dei criteri.
Considerazioni relative alle regole in uscita
Di seguito sono riportate alcune linee guida generali per la configurazione delle regole in uscita.
- La modifica delle regole in uscita in blocco può essere considerata per determinati ambienti altamente sicuri. Tuttavia, la configurazione della regola in ingresso non deve mai essere modificata in modo da consentire tutto il traffico per impostazione predefinita
- È consigliabile consentire l'uscita per impostazione predefinita per la maggior parte delle distribuzioni per semplificare le distribuzioni di app, a meno che l'organizzazione non preferisca controlli di sicurezza rigorosi rispetto alla facilità d'uso
- In ambienti con sicurezza elevata, è necessario registrare e gestire un inventario di tutte le app. I record devono includere se un'app usata richiede la connettività di rete. Gli amministratori devono creare nuove regole specifiche per ogni app che necessita di connettività di rete ed eseguire il push centralizzato di tali regole tramite oggetto Criteri di gruppo o CSP
Passaggi successivi
Informazioni sugli strumenti per configurare Windows Firewall e le regole del firewall:
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per