Configurare le regole con Criteri di gruppo
Questo articolo contiene esempi su come configurare le regole di Windows Firewall usando Windows Firewall con la console di sicurezza avanzata .
Accedere a Windows Firewall con la console di sicurezza avanzata
Se si configurano i dispositivi aggiunti a un dominio di Active Directory, per completare queste procedure è necessario essere membri del gruppo Domain Administrators o disporre in altro modo delle autorizzazioni delegate per modificare gli oggetti Criteri di gruppo nel dominio. Per accedere a Windows Firewall con la console sicurezza avanzata, creare o modificare un oggetto Criteri di gruppo ed espandere i nodiCriteri>di configurazione> computerImpostazioni di windows Impostazioni>di> sicurezzaWindows Firewall con sicurezza avanzata.
Se si configura un singolo dispositivo, è necessario disporre dei diritti amministrativi nel dispositivo. In tal caso, per accedere alla console di Windows Firewall con sicurezza avanzata , selezionare START, digitare wf.msc
e premere INVIO.
Creare una regola ICMP in entrata
Questo tipo di regola consente di ricevere richieste e risposte ICMP dai dispositivi in rete. Per creare una regola ICMP in ingresso:
- Aprire la console di Windows Firewall con sicurezza avanzata
- Nel riquadro di spostamento selezionare Regole in ingresso
- Selezionare Azione e quindi nuova regola
- Nella pagina Tipo di regola della Creazione guidata nuova regola in ingresso selezionare Personalizzato e quindi selezionare Avanti
- Nella pagina Programma selezionare Tutti i programmi e quindi selezionare Avanti
- Nella pagina Protocollo e porte selezionare ICMPv4 o ICMPv6 dall'elenco Tipo di protocollo . Se si usano sia IPv4 che IPv6 nella rete, è necessario creare una regola ICMP separata per ogni
- Selezionare Personalizza
- Nella finestra di dialogo Personalizza impostazioni ICMP eseguire una delle operazioni seguenti:
- Per consentire tutto il traffico di rete ICMP, selezionare Tutti i tipi ICMP e quindi selezionare OK
- Per selezionare uno dei tipi ICMP predefiniti, selezionare Tipi ICMP specifici e quindi selezionare ogni tipo nell'elenco che si vuole consentire. Selezionare OK
- Per selezionare un tipo ICMP che non viene visualizzato nell'elenco, selezionare Tipi ICMP specifici, selezionare il numero di tipo nell'elenco, selezionare il numero di codice nell'elenco, selezionare Aggiungi e quindi selezionare la voce appena creata dall'elenco. Selezionare OK
- Selezionare Avanti
- Nella pagina Ambito è possibile specificare che la regola si applica solo al traffico di rete da o verso gli indirizzi IP immessi in questa pagina. Configurare in base alle esigenze per la progettazione e quindi selezionare Avanti
- Nella pagina Azione selezionare Consenti la connessione e quindi selezionare Avanti
- Nella pagina Profilo selezionare i tipi di percorso di rete a cui si applica questa regola e quindi selezionare Avanti
- Nella pagina Nome digitare un nome e una descrizione per la regola e quindi selezionare Fine
Creare una regola della porta in entrata
Questo tipo di regola consente a qualsiasi programma in ascolto su una porta TCP o UDP specificata di ricevere il traffico di rete inviato a tale porta. Per creare una regola di porta in ingresso:
- Aprire la console di Windows Firewall con sicurezza avanzata
- Nel riquadro di spostamento selezionare Regole in ingresso
- Selezionare Azione e quindi nuova regola
- Nella pagina Tipo di regola della Creazione guidata nuova regola in ingresso selezionare Personalizzato e quindi selezionare Avanti
Nota
Anche se è possibile creare regole selezionando Programma o Porta, tali scelte limitano il numero di pagine presentate dalla procedura guidata. Se si seleziona Personalizzato, vengono visualizzate tutte le pagine e si ha la massima flessibilità nella creazione delle regole.
- Nella pagina Programma selezionare Tutti i programmi e quindi selezionare Avanti
Nota
Questo tipo di regola viene spesso combinato con un programma o una regola del servizio. Se si combinano i tipi di regole, si ottiene una regola del firewall che limita il traffico a una porta specificata e consente il traffico solo quando il programma specificato è in esecuzione. Il programma specificato non può ricevere traffico di rete su altre porte e altri programmi non possono ricevere traffico di rete sulla porta specificata. Se si sceglie di eseguire questa operazione, seguire i passaggi della procedura Creare un programma in ingresso o una regola di servizio oltre ai passaggi di questa procedura per creare una singola regola che filtra il traffico di rete usando criteri di programma e porta.
- Nella pagina Protocollo e porte selezionare il tipo di protocollo che si vuole consentire. Per limitare la regola a un numero di porta specificato, è necessario selezionare TCP o UDP. Poiché si tratta di una regola in ingresso, in genere si configura solo il numero di porta locale Se si seleziona un altro protocollo, solo i pacchetti il cui campo del protocollo nell'intestazione IP corrisponde a questa regola sono consentiti tramite il firewall.
Per selezionare un protocollo in base al relativo numero, selezionare Personalizzato dall'elenco e quindi digitare il numero nella casella Numero protocollo .
Dopo aver configurato i protocolli e le porte, selezionare Avanti. - Nella pagina Ambito è possibile specificare che la regola si applica solo al traffico di rete da o verso gli indirizzi IP immessi in questa pagina. Configurare in base alle esigenze per la progettazione e quindi selezionare Avanti
- Nella pagina Azione selezionare Consenti la connessione e quindi selezionare Avanti
- Nella pagina Profilo selezionare i tipi di percorso di rete a cui si applica questa regola e quindi selezionare Avanti
Nota
Se questo oggetto Criteri di gruppo è destinato a computer server che eseguono Windows Server 2008 che non si spostano mai, provare a modificare le regole da applicare a tutti i profili di tipo percorso di rete. Ciò impedisce una modifica imprevista nelle regole applicate se il tipo di percorso di rete cambia a causa dell'installazione di una nuova scheda di rete o della disconnessione del cavo di una scheda di rete esistente. Una scheda di rete disconnessa viene assegnata automaticamente al tipo di percorso di rete pubblica.
- Nella pagina Nome digitare un nome e una descrizione per la regola e quindi selezionare Fine
Creare una regola della porta in uscita
Per impostazione predefinita, Windows Firewall consente tutto il traffico di rete in uscita, a meno che non corrisponda a una regola che impedisce il traffico. Questo tipo di regola blocca qualsiasi traffico di rete in uscita corrispondente ai numeri di porta TCP o UDP specificati. Per creare una regola di porta in uscita:
- Aprire la console di Windows Firewall con sicurezza avanzata
- Nel riquadro di spostamento selezionare Regole in uscita
- Selezionare Azione e quindi nuova regola
- Nella pagina Tipo di regola della procedura guidata Nuova regola in uscita selezionare Personalizzato e quindi selezionare Avanti
Nota
Anche se è possibile creare regole selezionando Programma o Porta, tali scelte limitano il numero di pagine presentate dalla procedura guidata. Se si seleziona Personalizzato, vengono visualizzate tutte le pagine e si ha la massima flessibilità nella creazione delle regole.
- Nella pagina Programma selezionare Tutti i programmi e quindi selezionare Avanti
- Nella pagina Protocollo e porte selezionare il tipo di protocollo da bloccare. Per limitare la regola a un numero di porta specificato, è necessario selezionare TCP o UDP. Poiché questa regola è una regola in uscita, in genere si configura solo il numero di porta remota Se si seleziona un altro protocollo, solo i pacchetti il cui campo del protocollo nell'intestazione IP corrisponde a questa regola vengono bloccati da Windows Defender Firewall. Il traffico di rete per i protocolli è consentito purché altre regole che corrispondono non lo blocchino. Per selezionare un protocollo in base al relativo numero, selezionare Personalizzato dall'elenco e quindi digitare il numero nella casella Numero protocollo . Dopo aver configurato i protocolli e le porte, selezionare Avanti
- Nella pagina Ambito è possibile specificare che la regola si applica solo al traffico di rete da o verso gli indirizzi IP immessi in questa pagina. Configurare in base alle esigenze per la progettazione e quindi selezionare Avanti
- Nella pagina Azione selezionare Blocca la connessione e quindi selezionare Avanti
- Nella pagina Profilo selezionare i tipi di percorso di rete a cui si applica questa regola e quindi selezionare Avanti
- Nella pagina Nome digitare un nome e una descrizione per la regola e quindi selezionare Fine
Creare una regola di servizio o programma in entrata
Questo tipo di regola consente al programma di restare in ascolto e ricevere il traffico di rete in ingresso su qualsiasi porta.
Nota
Questo tipo di regola viene spesso combinato con un programma o una regola del servizio. Se si combinano i tipi di regole, si ottiene una regola del firewall che limita il traffico a una porta specificata e consente il traffico solo quando il programma specificato è in esecuzione. Il programma non può ricevere traffico di rete su altre porte e altri programmi non possono ricevere traffico di rete sulla porta specificata. Per combinare i tipi di regola del programma e della porta in una singola regola, seguire i passaggi descritti nella procedura Creare una regola di porta in ingresso oltre ai passaggi di questa procedura.
Per creare una regola del firewall in ingresso per un programma o un servizio:
Aprire la console di Windows Firewall con sicurezza avanzata
Nel riquadro di spostamento selezionare Regole in ingresso
Selezionare Azione e quindi nuova regola
Nella pagina Tipo di regola della Creazione guidata nuova regola in ingresso selezionare Personalizzato e quindi selezionare Avanti
Nota
Informazioni che l'utente deve notare anche se è possibile creare regole selezionando Programma o Porta, tali scelte limitano il numero di pagine presentate dalla procedura guidata. Se si seleziona Personalizzato, vengono visualizzate tutte le pagine e si ha la massima flessibilità nella creazione delle regole.
Nella pagina Programma selezionare Questo percorso del programma
Digitare il percorso del programma nella casella di testo. Usare le variabili di ambiente, se applicabile, per assicurarsi che i programmi installati in posizioni diverse in computer diversi funzionino correttamente.
Effettua una delle seguenti operazioni:
- Se il file eseguibile contiene un singolo programma, selezionare Avanti
- Se il file eseguibile è un contenitore per più servizi che devono essere tutti autorizzati a ricevere il traffico di rete in ingresso, selezionare Personalizza, selezionare Applica solo ai servizi, selezionare OK e quindi selezionare Avanti
- Se il file eseguibile è un contenitore per un singolo servizio o contiene più servizi ma la regola si applica solo a uno di essi, selezionare Personalizza, selezionare Applica a questo servizio e quindi selezionare il servizio dall'elenco. Se il servizio non viene visualizzato nell'elenco, selezionare Applica al servizio con questo nome breve del servizio e quindi digitare il nome breve per il servizio nella casella di testo. Selezionare OK e quindi avanti
Importante
Per usare le opzioni Applica a questo servizio o Applica al servizio con questo nome breve del servizio , il servizio deve essere configurato con un identificatore di sicurezza (SID) con un tipo DI RESTRIZIONI o SENZA RESTRIZIONI. Per controllare il tipo di SID di un servizio, eseguire il comando seguente:
sc qsidtype <ServiceName>
Se il risultato è , non è
NONE
possibile applicare una regola del firewall a tale servizio.Per impostare un tipo di SID in un servizio, eseguire il comando seguente:
sc sidtype <ServiceName> <Type>
Nel comando precedente il valore di
<Type>
può essereUNRESTRICTED
oRESTRICTED
. Anche se il comando consente anche il valore diNONE
, tale impostazione indica che il servizio non può essere usato in una regola del firewall, come descritto qui. Per impostazione predefinita, la maggior parte dei servizi in Windows è configurata comeUNRESTRICTED
. Se si modifica il tipo di SID inRESTRICTED
, l'avvio del servizio potrebbe non riuscire. È consigliabile modificare il tipo di SID solo nei servizi che si desidera usare nelle regole del firewall e modificare il tipo di SID inUNRESTRICTED
.È consigliabile limitare la regola del firewall per il programma solo alle porte necessarie per il funzionamento. Nella pagina Protocolli e porte è possibile specificare i numeri di porta per il traffico consentito. Se il programma tenta di restare in ascolto su una porta diversa da quella specificata qui, viene bloccato. Per altre informazioni sulle opzioni di protocollo e porta, vedere Creare una regola di porta in ingresso. Dopo aver configurato le opzioni di protocollo e porta, selezionare Avanti
Nella pagina Ambito è possibile specificare che la regola si applica solo al traffico di rete da o verso gli indirizzi IP immessi in questa pagina. Configurare in base alle esigenze per la progettazione e quindi selezionare Avanti
Nella pagina Azione selezionare Consenti la connessione e quindi selezionare Avanti
Nella pagina Profilo selezionare i tipi di percorso di rete a cui si applica questa regola e quindi selezionare Avanti
Nella pagina Nome digitare un nome e una descrizione per la regola e quindi selezionare Fine
Creare una regola di servizio o programma in uscita
Per impostazione predefinita, Windows Defender Firewall consente tutto il traffico di rete in uscita a meno che non corrisponda a una regola che impedisce il traffico. Questo tipo di regola impedisce al programma di inviare qualsiasi traffico di rete in uscita su qualsiasi porta. Per creare una regola del firewall in uscita per un programma o un servizio:
- Aprire la console di Windows Firewall con sicurezza avanzata
- Nel riquadro di spostamento selezionare Regole in uscita
- Selezionare Azione e quindi nuova regola
- Nella pagina Tipo di regola della Creazione guidata nuova regola in uscita selezionare Personalizzato e quindi selezionare Avanti
Nota
Anche se è possibile creare molte regole selezionando Programma o Porta, tali scelte limitano il numero di pagine presentate dalla procedura guidata. Se si seleziona Personalizzato, vengono visualizzate tutte le pagine e si ha la massima flessibilità nella creazione delle regole.
- Nella pagina Programma selezionare Questo percorso del programma
- Digitare il percorso del programma nella casella di testo. Usare le variabili di ambiente in base alle esigenze per garantire che i programmi installati in posizioni diverse in computer diversi funzionino correttamente
- Effettua una delle seguenti operazioni:
- Se il file eseguibile contiene un singolo programma, selezionare Avanti
- Se il file eseguibile è un contenitore per più servizi a cui deve essere impedito l'invio del traffico di rete in uscita, selezionare Personalizza, selezionare Applica solo ai servizi, selezionare OK e quindi selezionare Avanti
- Se il file eseguibile è un contenitore per un singolo servizio o contiene più servizi ma la regola si applica solo a uno di essi, selezionare Personalizza, selezionare Applica a questo servizio e quindi selezionare il servizio dall'elenco. Se il servizio non viene visualizzato nell'elenco, selezionare Applica al servizio con questo nome breve del servizio e digitare il nome breve per il servizio nella casella di testo. Selezionare OK e quindi avanti
- Se si vuole che il programma possa essere inviato su alcune porte, ma bloccato dall'invio su altre, è possibile limitare la regola del firewall per bloccare solo le porte o i protocolli specificati. Nella pagina Protocolli e porte è possibile specificare i numeri di porta o i numeri di protocollo per il traffico bloccato. Se il programma tenta di inviare a o da un numero di porta diverso da quello specificato qui o usando un numero di protocollo diverso da quello specificato qui, il comportamento del firewall in uscita predefinito consente il traffico. Per altre informazioni sulle opzioni di protocollo e porta, vedere Creare una regola di porta in uscita. Dopo aver configurato le opzioni di protocollo e porta, selezionare Avanti
- Nella pagina Ambito è possibile specificare che la regola si applica solo al traffico di rete da o verso gli indirizzi IP immessi in questa pagina. Configurare in base alle esigenze per la progettazione e quindi selezionare Avanti
- Nella pagina Azione selezionare Blocca la connessione e quindi selezionare Avanti
- Nella pagina Profilo selezionare i tipi di percorso di rete a cui si applica questa regola e quindi selezionare Avanti
- Nella pagina Nome digitare un nome e una descrizione per la regola e quindi selezionare Fine
Creare le regole in entrata per supportare RPC
Per consentire il traffico di rete RPC (Remote Procedure Call) in ingresso, è necessario creare due regole del firewall:
- la prima regola consente i pacchetti di rete in ingresso sulla porta TCP 135 al servizio Rpc Endpoint Mapper. Il traffico in ingresso è costituito da richieste di comunicazione con un servizio di rete specificato. Il mapper endpoint RPC risponde con un numero di porta assegnato dinamicamente che il client deve usare per comunicare con il servizio
- la seconda regola consente il traffico di rete inviato al numero di porta assegnato dinamicamente
L'uso delle due regole configurate come descritto in questo argomento consente di proteggere il dispositivo consentendo il traffico di rete solo dai dispositivi che hanno ricevuto il reindirizzamento dinamico della porta RPC e solo ai numeri di porta TCP assegnati dal mapper endpoint RPC.
Servizio Mapper endpoint RPC
- Aprire la console di Windows Firewall con sicurezza avanzata
- Nel riquadro di spostamento selezionare Regole in ingresso
- Selezionare Azione e quindi nuova regola
- Nella pagina Tipo di regola della Creazione guidata nuova regola in ingresso selezionare Personalizzato e quindi selezionare Avanti
- Nella pagina Program (Programma ) selezionare This Program Path (Percorso programma) e quindi digitare
%systemroot%\system32\svchost.exe
- Selezionare Personalizza.
- Nella finestra di dialogo Personalizza impostazioni servizio selezionare Applica a questo servizio, selezionare Rpc (Remote Procedure Call) con un nome breve RpcSs, selezionare OK e quindi selezionare Avanti
- Nell'avviso relativo alle regole di protezione avanzata del servizio Windows selezionare Sì
- Nella finestra di dialogo Protocollo e porte selezionare TCP per Tipo di protocollo
- Per Porta locale selezionare Mapper endpoint RPC e quindi selezionare Avanti
- Nella pagina Ambito è possibile specificare che la regola si applica solo al traffico di rete da o verso gli indirizzi IP immessi in questa pagina. Configurare in base alle esigenze per la progettazione e quindi selezionare Avanti
- Nella pagina Azione selezionare Consenti la connessione e quindi selezionare Avanti
- Nella pagina Profilo selezionare i tipi di percorso di rete a cui si applica questa regola e quindi selezionare Avanti
- Nella pagina Nome digitare un nome e una descrizione per la regola e quindi selezionare Fine
Servizi di rete abilitati per RPC
- Nello stesso oggetto Criteri di gruppo modificato nella procedura precedente selezionare Azione e quindi selezionare Nuova regola
- Nella pagina Tipo di regola della Creazione guidata nuova regola in ingresso selezionare Personalizzato e quindi selezionare Avanti
- Nella pagina Programma selezionare Percorso programma e quindi digitare il percorso del file eseguibile che ospita il servizio di rete. Selezionare Personalizza
- Nella finestra di dialogo Personalizza impostazioni servizio selezionare Applica a questo servizio e quindi selezionare il servizio che si vuole consentire. Se il servizio non viene visualizzato nell'elenco, selezionare Applica al servizio con questo nome breve del servizio e quindi digitare il nome breve del servizio nella casella di testo
- Selezionare OK e quindi avanti
- Nella finestra di dialogo Protocollo e porte selezionare TCP per Tipo di protocollo
- Per Porta locale selezionare Porte dinamiche RPC e quindi selezionare Avanti
- Nella pagina Ambito è possibile specificare che la regola si applica solo al traffico di rete da o verso gli indirizzi IP immessi in questa pagina. Configurare in base alle esigenze per la progettazione e quindi selezionare Avanti
- Nella pagina Azione selezionare Consenti la connessione e quindi selezionare Avanti
- Nella pagina Profilo selezionare i tipi di percorso di rete a cui si applica questa regola e quindi selezionare Avanti
- Nella pagina Nome digitare un nome e una descrizione per la regola e quindi selezionare Fine