Configurar o registo da Firewall do Windows

• Aplica-se a:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Para configurar a Firewall do Windows para registar pacotes removidos ou ligações com êxito, pode utilizar:

• Fornecedor de Serviços de Configuração (CSP), com uma solução MDM como o Microsoft Intune
• Política de grupo (GPO)

As instruções seguintes fornecem detalhes sobre como configurar os seus dispositivos. Selecione a opção mais adequada às suas necessidades.

Intune/CSP

1. Iniciar sessão no centro de administração do Microsoft Intune
2. Aceda aFirewall> de segurança > de ponto finalCriar política>Windows 10, Windows 11 e Windows Server>Windows Firewall>Create
3. Introduza um nome e, opcionalmente, uma descrição >Seguinte
4. Em Definições de configuração, para cada tipo de localização de rede (Domínio, Privado, Público), configure:
   • Caminho do ficheiro de registo
   • Ativar pacotes removidos do registo
   • Ativar ligações com êxito do registo
   • Tamanho máximo do ficheiro de registo
5. Selecione Seguinte>Seguinte
6. Atribua a política a um grupo que contém como membros os dispositivos ou utilizadores que pretende configurar >a Criação Seguinte>

Dica

Se preferir, também pode utilizar uma política de catálogo de Definições para configurar o registo da Firewall do Windows.

Em alternativa, pode configurar dispositivos com uma política personalizada com o CSP da Firewall.

Perfil de rede	Configuração
Domínio	Nome da definição: EnableLogDroppedPackets OMA-URI: ./Vendor/MSFT/Firewall/MdmStore/DomainProfile/EnableLogDroppedPackets
Domínio	Nome da definição: LogFilePath OMA-URI: ./Vendor/MSFT/Firewall/MdmStore/DomainProfile/LogFilePath
Domínio	Nome da definição: EnableLogSuccessConnections OMA-URI: ./Vendor/MSFT/Firewall/MdmStore/DomainProfile/EnableLogSuccessConnections
Domínio	Nome da definição: LogMaxFileSize OMA-URI: ./Vendor/MSFT/Firewall/MdmStore/DomainProfile/LogMaxFileSize
Private	Nome da definição: EnableLogDroppedPackets OMA-URI: ./Vendor/MSFT/Firewall/MdmStore/PrivateProfile/EnableLogDroppedPackets
Private	Nome da definição: LogFilePath OMA-URI: ./Vendor/MSFT/Firewall/MdmStore/PrivateProfile/LogFilePath
Private	Nome da definição: EnableLogSuccessConnections OMA-URI: ./Vendor/MSFT/Firewall/MdmStore/PrivateProfile/EnableLogSuccessConnections
Private	Nome da definição: LogMaxFileSize OMA-URI: ./Vendor/MSFT/Firewall/MdmStore/PrivateProfile/LogMaxFileSize
Public	Nome da definição: EnableLogDroppedPackets OMA-URI: ./Vendor/MSFT/Firewall/MdmStore/PublicProfile/EnableLogDroppedPackets
Public	Nome da definição: LogFilePath OMA-URI: ./Vendor/MSFT/Firewall/MdmStore/PublicProfile/LogFilePath
Public	Nome da definição: EnableLogSuccessConnections OMA-URI: ./Vendor/MSFT/Firewall/MdmStore/PublicProfile/EnableLogSuccessConnections
Public	Nome da definição: LogMaxFileSize OMA-URI: ./Vendor/MSFT/Firewall/MdmStore/PublicProfile/LogMaxFileSize

GPO

Para configurar um dispositivo com a política de grupo, utilize o Editor de Políticas de Grupo Local. Para configurar vários dispositivos associados ao Active Directory, crie ou edite um objeto de política de grupo (GPO) e utilize as seguintes definições:

1. Expandir os nósPolíticas> de Configuração> do ComputadorDefinições do Windows Definições>>de SegurançaFirewall do Windows com Segurança Avançada
2. No painel de detalhes, na secção Descrição geral , selecione Propriedades da Firewall do Windows Defender
3. Para cada tipo de localização de rede (Domínio, Privado, Público), execute os seguintes passos
   1. Selecione o separador que corresponde ao tipo de localização de rede
   2. Em Registo, selecione Personalizar
   3. O caminho predefinido para o registo é %windir%\system32\logfiles\firewall\pfirewall.log. Se quiser alterar este caminho, desmarque a caixa de verificação Não configurado e introduza o caminho para a nova localização ou selecione Procurar para selecionar uma localização de ficheiro
4. O tamanho de ficheiro máximo predefinido para o registo é de 4096 quilobytes (KB). Se quiser alterar este tamanho, desmarque a caixa de verificação Não configurado e introduza o novo tamanho na BDC ou utilize as setas para cima e para baixo para selecionar um tamanho. O ficheiro não irá crescer para além deste tamanho; quando o limite é atingido, as entradas de registo antigas são eliminadas para libertar espaço para as recém-criadas.
5. Não ocorre nenhum registo até definir uma das duas opções seguintes:
   • Para criar uma entrada de registo quando a Firewall do Windows Defender remove um pacote de rede de entrada, altere Pacotes removidos do registo para Sim
   • Para criar uma entrada de registo quando a Firewall do Windows Defender permite uma ligação de entrada, altere Registar ligações com êxito para Sim
6. Selecione OK duas vezes

As políticas de grupo podem ser ligadas a domínios ou unidades organizacionais, filtradas através de grupos de segurança ou filtradas através de filtros WMI.

Importante

A localização especificada tem de ter permissões atribuídas que permitam ao serviço firewall do Windows escrever no ficheiro de registo.

Recomendações

Seguem-se algumas recomendações para configurar o registo da Firewall do Windows:

• Altere o tamanho do registo para, pelo menos, 20 480 KB (20 MB) para garantir que o ficheiro de registo não é preenchido muito rapidamente. O tamanho máximo do registo é de 32 767 KB (32 MB)
• Para cada perfil (Domínio, Privado e Público) altere o nome de ficheiro de registo predefinido de %windir%\system32\logfiles\firewall\pfirewall.log para:
  • %windir%\system32\logfiles\firewall\pfirewall_Domain.log
  • %windir%\system32\logfiles\firewall\pfirewall_Private.log
  • %windir%\system32\logfiles\firewall\pfirewall_Public.log
• Registo de pacotes removidos para Sim
• Registar ligações com êxito a Sim

Num único sistema, pode utilizar os seguintes comandos para configurar o registo:

netsh advfirewall>set allprofiles logging allowedconnections enable
netsh advfirewall>set allprofiles logging droppedconnections enable

Analisar métodos

Existem vários métodos para analisar os ficheiros de registo da Firewall do Windows. Por exemplo:

• Ative o Reencaminhamento de Eventos do Windows (WEF) para um Recoletor de Eventos do Windows (WEC). Para saber mais, veja Utilizar o Reencaminhamento de Eventos do Windows para ajudar na deteção de intrusões
• Reencaminha os registos para o produto SIEM, como o nosso Azure Sentinel. Para saber mais, veja Conector da Firewall do Windows para o Microsoft Sentinel
• Reencaminhe os registos para o Azure Monitor e utilize o KQL para analisar os dados. Para saber mais, veja Agente do Azure Monitor em dispositivos cliente Windows

Dica

Se os registos forem lentos a aparecer na sua solução SIEM, pode diminuir o tamanho do ficheiro de registo. Tenha em atenção que a redução resulta numa maior utilização de recursos devido ao aumento da rotação do registo.

Resolver problemas se o ficheiro de registo não for criado ou modificado

Por vezes, os ficheiros de registo da Firewall do Windows não são criados ou os eventos não são escritos nos ficheiros de registo. Alguns exemplos quando esta condição pode ocorrer incluem:

• Permissões em falta para o Serviço de Firewall do Windows Defender (mpssvc) na pasta ou nos ficheiros de registo
• Quer armazenar os ficheiros de registo numa pasta diferente e as permissões estão em falta ou não são definidas automaticamente
• se o registo da firewall estiver configurado através das definições de política, isso pode acontecer
  • a pasta de registos na localização %windir%\System32\LogFiles\firewall predefinida não existe
  • a pasta de registos num caminho personalizado não existe

Em ambos os casos, tem de criar a pasta manualmente ou através de script e adicionar as permissões para mpssvc.

New-Item -ItemType Directory -Path $env:windir\System32\LogFiles\Firewall

Verifique se mpssvc tem FullControl na pasta e nos ficheiros. A partir de uma sessão elevada do PowerShell, utilize os seguintes comandos, garantindo que utiliza o caminho correto:

$LogPath = Join-Path -path $env:windir -ChildPath "System32\LogFiles\Firewall"
(Get-ACL -Path $LogPath).Access | Format-Table IdentityReference,FileSystemRights,AccessControlType,IsInherited,InheritanceFlags -AutoSize

O resultado deve mostrar NT SERVICE\mpssvc ter FullControl:

IdentityReference      FileSystemRights AccessControlType IsInherited InheritanceFlags
-----------------      ---------------- ----------------- ----------- ----------------
NT AUTHORITY\SYSTEM         FullControl             Allow       False    ObjectInherit
BUILTIN\Administrators      FullControl             Allow       False    ObjectInherit
NT SERVICE\mpssvc           FullControl             Allow       False    ObjectInherit

Caso contrário, adicione permissões FullControl para mpssvc à pasta, subpastas e ficheiros. Certifique-se de que utiliza o caminho correto.

$LogPath = Join-Path -path $env:windir -ChildPath "System32\LogFiles\Firewall"
$NewAcl = Get-Acl -Path $LogPath

$identity = "NT SERVICE\mpssvc"
$fileSystemRights = "FullControl"
$inheritanceFlags = "ContainerInherit,ObjectInherit"
$propagationFlags = "None"
$type = "Allow"

$fileSystemAccessRuleArgumentList = $identity, $fileSystemRights, $inheritanceFlags, $propagationFlags, $type
$fileSystemAccessRule = New-Object -TypeName System.Security.AccessControl.FileSystemAccessRule -ArgumentList $fileSystemAccessRuleArgumentList

$NewAcl.SetAccessRule($fileSystemAccessRule)
Set-Acl -Path $LogPath -AclObject $NewAcl

Reinicie o dispositivo para reiniciar o serviço firewall do Windows Defender .