Regras do Firewall do Windows
Em muitos casos, uma primeira etapa para os administradores é personalizar os perfis de firewall usando regras de firewall, para que eles possam trabalhar com aplicativos ou outros tipos de software. Por exemplo, um administrador ou usuário pode optar por adicionar uma regra para acomodar um programa, abrir uma porta ou protocolo ou permitir um tipo predefinido de tráfego.
Este artigo descreve os conceitos e recomendações para criar e gerenciar regras de firewall.
Precedência de regra para regras de entrada
Em muitos casos, é necessário permitir tipos específicos de tráfego de entrada para que os aplicativos funcionem na rede. Os administradores devem ter em mente os seguintes comportamentos de precedência de regra ao configurar exceções de entrada:
- Regras de permissão definidas explicitamente têm precedência sobre a configuração de bloco padrão
- Regras de bloco explícitas têm precedência sobre quaisquer regras de permissão conflitantes
- Regras mais específicas têm precedência sobre regras menos específicas, exceto se houver regras de bloco explícitas, conforme mencionado em 2. Por exemplo, se os parâmetros da regra 1 incluem um intervalo de endereços IP, enquanto os parâmetros da regra 2 incluem um único endereço host IP, a regra 2 terá precedência
Por causa de 1 e 2, ao projetar um conjunto de políticas, você deve ter certeza de que não há outras regras de bloco explícitas que possam se sobrepor inadvertidamente, impedindo assim o fluxo de tráfego que você deseja permitir.
Observação
O Firewall do Windows não dá suporte a ordens de regra ponderadas atribuídas pelo administrador. Um conjunto de políticas eficaz com comportamentos esperados pode ser criado tendo em mente os poucos comportamentos de regras, consistentes e lógicos, conforme descrito.
Regras de aplicativos
Quando instalados pela primeira vez, aplicativos e serviços de rede emitem uma chamada de escuta especificando as informações de protocolo/porta necessárias para que eles funcionem corretamente. Como há uma ação de bloqueio padrão no Firewall do Windows, você deve criar regras de exceção de entrada para permitir o tráfego. É comum que o aplicativo ou o próprio instalador de aplicativos adicione essa regra de firewall. Caso contrário, o usuário (ou administrador de firewall em nome do usuário) precisa criar manualmente uma regra.
Se não houver nenhuma regra de permissão definida pelo administrador ou aplicativo ativo, uma caixa de diálogo solicitará que o usuário permita ou bloqueie os pacotes de um aplicativo na primeira vez que o aplicativo é iniciado ou tenta se comunicar na rede:
- Se o usuário tiver permissões de administrador, ele será solicitado. Se eles responderem Não ou cancelarem o prompt, as regras de bloco serão criadas. Normalmente, são criadas duas regras, uma para tráfego TCP e UDP
- Se o usuário não for um administrador local, ele não será solicitado. Na maioria dos casos, as regras de bloco são criadas
Em qualquer um desses cenários, depois que as regras forem adicionadas, elas devem ser excluídas para gerar o prompt novamente. Caso contrário, o tráfego continuará bloqueado.
Observação
As configurações padrão do firewall foram projetadas para segurança. Permitir todas as conexões de entrada por padrão introduz a rede a várias ameaças. Portanto, a criação de exceções para conexões de entrada de software não Microsoft deve ser determinada por desenvolvedores de aplicativos confiáveis, pelo usuário ou pelo administrador em nome do usuário.
Políticas de marcação do WDAC
O Firewall do Windows dá suporte ao uso de marcas de ID de Aplicativo (AppID) do Windows Defender Application Control (WDAC) nas regras de firewall. Com esse recurso, as regras do Firewall do Windows podem ser escopo para um aplicativo ou um grupo de aplicativos fazendo referência a marcas de processo, sem usar o caminho absoluto ou sacrificar a segurança. Há duas etapas para essa configuração:
- Implantar políticas de marcação WDAC AppId: uma política de controle de aplicativo Windows Defender deve ser implantada, que especifica aplicativos individuais ou grupos de aplicativos para aplicar uma marca PolicyAppId aos tokens de processo. Em seguida, o administrador pode definir regras de firewall que são escopo para todos os processos marcados com o PolicyAppId correspondente. Para obter mais informações, consulte o guia de marcação do WDAC AppId para criar, implantar e testar uma política AppID para marcar aplicativos.
- Configurar regras de firewall usando marcas PolicyAppId usando um dos dois métodos:
- Usando o nó PolicyAppId do CSP do Firewall com uma solução MDM como Microsoft Intune. Se você usarMicrosoft Intune, poderá implantar as regras do centro de Microsoft Intune Administração, no caminho Segurança do ponto>> de extremidadeCriar política>Windows 10, Windows 11 e Windows Server windows> Regras de firewall. Ao criar as regras, forneça a marca AppId na configuração ID do Aplicativo de Política
- Criar regras de firewall local com o PowerShell: use o
New-NetFirewallRulecmdlet e especifique o-PolicyAppIdparâmetro. Você pode especificar uma marca por vez ao criar regras de firewall. Há suporte para várias IDs de Usuário
Regras de mesclagem de política local e aplicativo
As configurações de política de mesclagem de regras controlam como as regras de diferentes fontes de política podem ser combinadas. Os administradores podem configurar diferentes comportamentos de mesclagem para perfisde Domínio, Privado e Público.
As configurações de política de mesclagem de regras permitem ou impedem que os administradores locais criem suas próprias regras de firewall, além dessas regras obtidas do CSP ou gpo.
| Caminho | |
|---|---|
| CSP | Perfil de Domínio: ./Vendor/MSFT/Firewall/MdmStore/DomainProfile/AllowLocalPolicyMerge Perfil ./Vendor/MSFT/Firewall/MdmStore/PrivateProfile/ privadoAllowLocalPolicyMerge Perfil ./Vendor/MSFT/Firewall/MdmStore/PublicProfile/ público AllowLocalPolicyMerge |
| GPO | Configuração> do computadorConfigurações do> WindowsConfigurações> de segurançaWindows Defender Firewall com Segurança Avançada |
Os administradores podem desabilitar LocalPolicyMerge em ambientes de alta segurança para manter um controle mais rígido sobre os pontos de extremidade. Essa configuração pode afetar alguns aplicativos e serviços que geram automaticamente uma política de firewall local após a instalação.
Importante
Se a mesclagem de políticas locais estiver desabilitada, a implantação centralizada de regras será necessária para qualquer aplicativo que precise de conectividade de entrada.
É importante criar e manter uma lista desses aplicativos, incluindo as portas de rede usadas para comunicações. Normalmente, você pode encontrar quais portas devem estar abertas para um determinado serviço no site do aplicativo. Para implantações mais complexas, uma análise completa pode ser necessária usando ferramentas de captura de pacotes de rede.
Em geral, para manter a segurança máxima, os administradores devem implantar apenas exceções de firewall para aplicativos e serviços determinados a servir a fins legítimos.
Observação
O uso de padrões curinga, como C:\*\teams.exe não há suporte em regras de aplicativo. Você só pode criar regras usando o caminho completo para os aplicativos.
Recomendações de regras de firewall
Aqui está uma lista de recomendações ao projetar suas regras de firewall:
- Mantenha as configurações padrão do Firewall do Windows sempre que possível. As configurações são projetadas para proteger seu dispositivo para uso na maioria dos cenários de rede. Um exemplo de chave é o comportamento de bloco padrão para conexões de entrada.
- Crie suas regras em todos os três perfis, mas habilite apenas o grupo de regras de firewall nos perfis que atendem aos seus cenários. Por exemplo, se você estiver instalando um aplicativo de compartilhamento que é usado apenas em uma rede privada, seria melhor criar regras de firewall em todos os três perfis, mas habilitar apenas o grupo de regras de firewall que contém suas regras no perfil privado.
- Configure restrições em suas regras de firewall dependendo de qual perfil as regras são aplicadas. Para aplicativos e serviços que são projetados para serem acessados apenas por dispositivos em uma rede doméstica ou de pequenas empresas, é melhor modificar a restrição de endereço remoto para especificar apenas a Sub-rede Local . O mesmo aplicativo ou serviço não teria essa restrição quando usado em um ambiente corporativo. Isso pode ser feito adicionando a restrição de endereço remoto às regras adicionadas aos perfis públicos e privados, deixando-os irrestritos no perfil de domínio. Essa restrição de endereço remoto não deve se aplicar a aplicativos ou serviços que exigem conectividade global com a Internet.
- Uma prática recomendada pela segurança geral ao criar regras de entrada deve ser o mais específica possível. No entanto, quando novas regras devem ser feitas que usam portas ou endereços IP, considere usar intervalos ou sub-redes consecutivos em vez de endereços individuais ou portas sempre que possível. Essa abordagem evita a criação de vários filtros nos bastidores, reduz a complexidade e ajuda a evitar a degradação do desempenho.
- Ao criar uma regra de entrada ou saída, você deve especificar detalhes sobre o próprio aplicativo, o intervalo de portas usado e anotações importantes, como a data de criação. As regras devem ser bem documentadas para facilitar a revisão tanto por você quanto por outros administradores.
- Para manter a segurança máxima, os administradores devem implantar apenas exceções de firewall para aplicativos e serviços determinados a servir a fins legítimos.
Problemas conhecidos com a criação automática de regra
Ao projetar um conjunto de políticas de firewall para sua rede, é uma prática recomendada configurar regras de permissão para qualquer aplicativo em rede implantado no host. Ter as regras em vigor antes do usuário iniciar o aplicativo ajuda a garantir uma experiência perfeita.
A ausência dessas regras em etapas não significa necessariamente que, no final, um aplicativo não poderá se comunicar na rede. No entanto, os comportamentos envolvidos na criação automática de regras de aplicativo em runtime exigem a interação do usuário e o privilégio administrativo. Se espera-se que o dispositivo seja usado por usuários não administrativos, você deve seguir as práticas recomendadas e fornecer essas regras antes da primeira inicialização do aplicativo para evitar problemas inesperados de rede.
Para determinar por que alguns aplicativos estão impedidos de se comunicar na rede, verifique as seguintes instâncias:
- Um usuário com privilégios suficientes recebe uma notificação de consulta informando que o aplicativo precisa fazer uma alteração na política de firewall. Sem entender totalmente o prompt, o usuário cancela ou descarta o prompt
- Um usuário não tem privilégios suficientes e, portanto, não é solicitado a permitir que o aplicativo faça as alterações de política apropriadas
- A mesclagem de política local está desabilitada, impedindo que o aplicativo ou o serviço de rede crie regras locais
A criação de regras de aplicativo no runtime também pode ser proibida pelos administradores usando o aplicativo Configurações ou as configurações de política.
Considerações sobre regras de saída
A seguir estão algumas diretrizes gerais para configurar regras de saída.
- A alteração das regras de saída para bloqueadas pode ser considerada para determinados ambientes altamente seguros. No entanto, a configuração da regra de entrada nunca deve ser alterada de uma maneira que permita todo o tráfego por padrão
- É recomendável permitir a saída por padrão para a maioria das implantações por uma questão de simplificação com implantações de aplicativo, a menos que a organização prefira controles de segurança rígidos em vez de facilidade de uso
- Em ambientes de alta segurança, um inventário de todos os aplicativos deve ser registrado e mantido. Os registros devem incluir se um aplicativo usado requer conectividade de rede. Os administradores precisam criar novas regras específicas para cada aplicativo que precisa de conectividade de rede e empurrar essas regras centralmente, por meio de GPO ou CSP
Próximas etapas
Saiba mais sobre as ferramentas para configurar o Firewall do Windows e as regras de firewall:
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de