Compartilhar via

Ferramentas do Firewall do Windows

O Windows oferece ferramentas diferentes para exibir o status e configurar o Firewall do Windows. Todas as ferramentas interagem com os mesmos serviços subjacentes, mas fornecem níveis diferentes de controle sobre esses serviços:

Observação

Para alterar a configuração do Firewall do Windows em um dispositivo, você deve ter direitos administativos.

Segurança do Windows

O aplicativo Segurança do Windows pode ser usado para exibir o Firewall do Windows status e acessar ferramentas avançadas para configurá-lo. Selecione INICIAR, digite Windows Securitye pressione ENTER. Depois que Segurança do Windows estiver aberto, selecione a guia Firewall & proteção de rede. Ou use o seguinte atalho:

Abrir proteção de rede & firewall

Captura de tela mostrando o aplicativo Segurança do Windows.

Painel de Controle

O Windows Defender Firewall Painel de Controle applet fornece funcionalidades básicas para configurar o Firewall do Windows. Selecione INICIAR, digite firewall.cple pressione ENTER.

Captura de tela mostrando o applet do painel de controle do firewall Windows Defender.

Windows Defender Firewall com Segurança Avançada

O Firewall Windows Defender com Segurança Avançada (WFAS) é um snap-in do Microsoft Management Console (MMC) que fornece funcionalidades avançadas de configuração. Ele pode ser usado localmente e em implementações de GPO (política de grupo).

  • Se você estiver configurando um único dispositivo, selecione INICIAR, digite wf.msce pressione ENTER
  • Se você estiver configurando dispositivos ingressados em um domínio do Active Directory, crie ou edite um objeto de política de grupo (GPO) e expanda os nósPolíticasde Configuração> doComputador Configurações> do WindowsConfigurações>> de SegurançaWindows Firewall com Segurança Avançada

Captura de tela do firewall Windows Defender com o snap-in do MMC de Segurança Avançada.

Prestador de Serviços de Configuração (CSP)

O CSP do Firewall fornece uma interface para configurar e consultar o status do Firewall do Windows, que pode ser usado com uma solução de MDM (gerenciamento de dispositivo móvel), como Microsoft Intune.

Ferramentas de linha de comando

O NetSecurity módulo do PowerShell e Network Command Shell (netsh.exe) são utilitários de linha de comando que podem ser usados para consultar o status e configurar o Firewall do Windows.

Considerações de processamento de política de grupo

As configurações de política do Firewall do Windows são armazenadas no registro. Por padrão, as políticas de grupo são atualizadas em segundo plano a cada 90 minutos, com um deslocamento aleatório entre 0 e 30 minutos.

O Firewall do Windows monitora o registro de alterações e, se algo for gravado no registro, ele notificará a Plataforma de Filtragem do Windows (WFP), que executa as seguintes ações:

  1. Lê todas as regras e configurações de firewall
  2. Aplica todos os novos filtros
  3. Remove os filtros antigos

Observação

As ações são disparadas sempre que algo é gravado ou excluído do local do registro em que as configurações de GPO são armazenadas, independentemente de haver realmente uma alteração de configuração. Durante o processo, as conexões IPsec são desconectadas.

Muitas implementações de política especificam que elas são atualizadas somente quando alteradas. No entanto, talvez você queira atualizar políticas inalteradas, como reaplicar uma configuração de política desejada no caso de um usuário alterá-la. Para controlar o comportamento do processamento da política de grupo de registro, você pode usar a políticaSistema>de Modelos Administrativos> de Configuração> de Computador Política de Grupo>Processamento de política de registro doConfigure. O Processo mesmo que os objetos Política de Grupo não tenham alterado as atualizações de opção e reaplicar as políticas mesmo que as políticas não tenham sido alteradas. Essa opção está desabilitada por padrão.

Se você habilitar o Processo de opção mesmo que os objetos Política de Grupo não tenham sido alterados, os filtros WFP serão reaplicados em cada atualização em segundo plano. Caso você tenha 10 políticas de grupo, os filtros WFP serão reaplicados 10 vezes durante o intervalo de atualização. Se ocorrer um erro durante o processamento da política, as configurações aplicadas poderão estar incompletas, resultando em problemas como:

  • O Firewall do Windows bloqueia o tráfego de entrada ou saída permitido por políticas de grupo
  • As configurações do Firewall Local são aplicadas em vez de configurações de política de grupo
  • As conexões IPsec não podem estabelecer

A solução temporária é atualizar as configurações da política de grupo, usando o comando gpupdate.exe /force, que requer conectividade com um controlador de domínio.

Para evitar o problema, deixe a política Configurar o processamento de política de registro para o valor padrão de Não Configurado ou, se já configurado, configurá-lo desabilitado.

Importante

A caixa de seleção ao lado de Process, mesmo que os objetos Política de Grupo não tenham sido alterados, deve ser desmarcada. Se você deixá-lo desmarcado, os filtros WFP serão gravados somente no caso de haver uma alteração de configuração.

Se houver um requisito para forçar a exclusão e a reescrita do registro, desabilite o processamento em segundo plano verificando a caixa de seleção ao lado de Não se aplicar durante o processamento periódico em segundo plano.

Blinda o modo para ataques ativos

Um importante recurso do Firewall do Windows que você pode usar para mitigar danos durante um ataque ativo é o modo de blindagem . É um termo informal que se refere a um método fácil que um administrador de firewall pode usar para aumentar temporariamente a segurança diante de um ataque ativo.

Os escudos podem ser obtidos verificando Bloquear todas as conexões de entrada, incluindo aquelas na lista de configurações de aplicativos permitidos encontradas no aplicativo Configurações do Windows ou Painel de Controle.

Captura de tela do aplicativo Segurança do Windows mostrando conexões de entrada.

Captura de tela do applet do Firewall Painel de Controle.

Por padrão, o Firewall do Windows bloqueia tudo, a menos que haja uma regra de exceção criada. A opção de blindagem substitui as exceções. Por exemplo, o recurso área de trabalho remota cria automaticamente regras de firewall quando habilitado. No entanto, se houver uma exploração ativa usando várias portas e serviços em um host, em vez de desabilitar regras individuais, você poderá usar o modo de blindagem para bloquear todas as conexões de entrada, substituindo exceções anteriores, incluindo as regras na Área de Trabalho Remota. As regras da Área de Trabalho Remota permanecem intactas, mas o acesso remoto não pode funcionar enquanto os escudos estiverem ativos.

Quando a emergência for concluída, desmarque a configuração para restaurar o tráfego de rede regular.

Próximas etapas

Na lista suspensa a seguir, selecione uma das ferramentas para saber como configurar o Firewall do Windows: