Partilhar via


Definições de política de firewall para segurança de ponto final em Intune

Veja as definições que pode configurar nos perfis da política de Firewall no nó de segurança do ponto final do Intune como parte de uma política de segurança endpoint.

Plataformas e perfis suportados:

  • macOS:

    • Perfil: firewall macOS
  • Windows 10 e mais tarde:

    • Perfil: Microsoft Defender Firewall

perfil de firewall macOS

Firewall

As seguintes definições são configuradas como política de Segurança endpoint para firewalls macOS

  • Ativar firewall

    • Não configurado (padrão)
    • Sim - Ativar a firewall.

    Quando definido para Sim, pode configurar as seguintes definições.

    • Bloquear todas as ligações a receber

      • Não configurado (padrão)
      • Sim - Bloqueie todas as ligações recebidas, exceto as ligações necessárias para serviços básicos de Internet como DHCP, Bonjour e IPSec. Isto bloqueia todos os serviços de partilha.
    • Ativar o modo stealth

      • Não configurado (padrão)
      • Sim - Evite que o computador responda a pedidos de sondagem. O computador continua a responder a pedidos recebidos de aplicações autorizadas.
    • Aplicativos de firewall Expanda o dropdown e, em seguida, selecione Adicionar para, em seguida, especificar aplicações e regras para as ligações de entrada para a aplicação.

      • Permitir ligações de entrada

        • Não configurado
        • Bloquear
        • Permitir
      • Bundle ID - O ID identifica a aplicação. Por exemplo: com.apple.app

Perfil de Firewall do Microsoft Defender

Microsoft Defender Firewall

As seguintes definições são configuradas como política de Segurança endpoint para firewalls Windows 10.

  • Protocolo de transferência de ficheiros stateful (FTP)
    CSP: MdmStore/Global/DisableStatefulFtp

    • Não configurado (padrão)
    • Permitir - A firewall executa a filtragem do Protocolo de Transferência de Ficheiros (FTP) para permitir ligações secundárias.
    • Desativado - O FTP imponente está desativado.
  • Número de segundos que uma associação de segurança pode ficar inativa antes de ser eliminada
    CSP: Mdmstore/Global/SaIdleTime

    Especifique um tempo em segundos entre 300 e 3600, por quanto tempo as associações de segurança são mantidas após o tráfego da rede não ser visto.

    Se não especificar qualquer valor, o sistema elimina uma associação de segurança depois de estar inativo durante 300 segundos.

  • Codificação de chaves pré-partilhada
    CSP: MdmStore/Global/PresharedKeyEncoding

    Se não necessitar de UTF-8, as chaves pré-partilhadas são inicialmente codificadas utilizando UTF-8. Depois disso, os utilizadores do dispositivo podem escolher outro método de codificação.

    • Não configurado (padrão)
    • Nenhuma
    • UTF8
  • Sem isenções para Firewall IP sec

    • Não configurado (predefinição)- Quando não estiver configurado, terá acesso às seguintes definições de isenção IP sec que pode configurar individualmente.

    • Sim - Desligue todas as isenções ip sec firewall. As seguintes definições não estão disponíveis para configurar.

    • Isenções ip sec firewall permitem descoberta de vizinhos
      CSP: Mdmstore/Global/IPsecExempt

      • Não configurado (padrão)
      • Sim - As isenções de Firewall IPsec permitem a descoberta do vizinho.
    • Isenções ip sec firewall permitem ICMP
      CSP: Mdmstore/Global/IPsecExempt

      • Não configurado (padrão)
      • Sim - As isenções de IPsec de firewall permitem o ICMP.
    • Isenções ip sec firewall permitem a descoberta do router
      CSP: Mdmstore/Global/IPsecExempt

      • Não configurado (padrão)
      • Sim - As isenções de Firewall IPsec permitem a descoberta do router.
    • Isenções ip sec firewall permitem DHCP
      CSP: Mdmstore/Global/IPsecExempt

      • Não configurado (padrão)
      • Sim - Firewall IP sec isenções permitem DHCP
  • Verificação da lista de revogação de certificados (CRL)
    CSP: Mdmstore/Global/CRLcheck

    Especifique como é aplicada a verificação da lista de revogação de certificados (CRL).

    • Não configurado (predefinição)- Utilize o padrão do cliente, que é desativar a verificação de CRL.
    • Nenhuma
    • Tentativa
    • Requerer
  • Requerem módulos de chavegem apenas para ignorar as suites de autenticação que não suportam
    CSP: MdmStore/Global/OportunisticamenteMatchAuthSetPerKM

    • Não configurado (padrão)
    • Desativado
    • Ativados - Os módulos de teclagem ignoram as suites de autenticação não suportadas.
  • Fila de pacotes
    CSP: Mdmstore/Global/EnablePacketQueue

    Especificar como permitir a escala do software no lado de receber para o receber encriptado e limpar o texto para a frente para o cenário de gateway do túnel IPsec. Isto garante que a encomenda do pacote é preservada.

    • Não configurado (padrão)- A fila de pacotes é devolvida ao padrão do cliente, que está desativado.
    • Desativado
    • Entrada de fila
    • Saída de fila
    • Fila Ambos
  • Ligue o Microsoft Defender Firewall para redes de domínio
    CSP: EnableFirewall

    • Não configurado (padrão)- O cliente retorna ao seu padrão, que é para ativar a firewall.
    • Sim - O Microsoft Defender Firewall para o tipo de domínio de rede é ligado e aplicado. Também tem acesso a configurações adicionais para esta rede.
    • Não - Desative a firewall.

    Definições adicionais para esta rede, quando definidas para Sim:

    • Bloquear o modo stealth
      CSP: DisableStealthMode

      Por predefinição, o modo de stealth é ativado nos dispositivos. Ajuda a evitar que utilizadores maliciosos descubram informações sobre dispositivos de rede e os serviços que executam. O modo de desativação de stealth pode tornar os dispositivos vulneráveis ao ataque.

      • Não configurado (padrão)
      • Sim
      • Não
    • Ativar o modo blindado
      CSP: Blindado

      • Não configurado (predefinido) - Utilize o padrão do cliente, que é desativar o modo blindado.
      • Sim - A máquina é colocada no modo blindado, o que a isola da rede. Todo o tráfego está bloqueado.
      • Não
    • Bloqueie respostas unicast a emissões multicast
      CSP: DisableUnicastResponsesToMulticastBroadcast

      • Não configurado (predefinição) - A definição retorna ao padrão do cliente, que é permitir respostas unicast.
      • Sim - As respostas unicast às emissões multicast estão bloqueadas.
      • Não - Impor o incumprimento do cliente, que é permitir respostas unicast.
    • Desativar notificações de entrada
      Incapacitação de disables da CSPNotificações

      • Não configurado (predefinição) - A definição retorna ao padrão do cliente, que é permitir a notificação do utilizador.
      • Sim - A notificação do utilizador é suprimida quando uma aplicação é bloqueada por uma regra de entrada.
      • Não - São permitidas notificações de utilizador.
    • Bloquear ligações de saída

      Esta definição aplica-se à versão 1809 e posterior Windows. CSP: Predefinição de saída

      Esta regra é avaliada no final da lista de regras.

      • Não configurado (predefinição) - A definição retorna ao padrão do cliente, que é permitir ligações.
      • Sim - Todas as ligações de saída que não correspondem a uma regra de saída estão bloqueadas.
      • Não - Todas as ligações que não correspondam a uma regra de saída são permitidas.
    • Bloquear ligações de entrada
      CSP: DefaultInboundAction

      Esta regra é avaliada no final da lista de regras.

      • Não configurado (predefinição) - A definição retorna ao padrão do cliente, que é bloquear ligações.
      • Sim - Todas as ligações de entrada que não correspondem a uma regra de entrada estão bloqueadas.
      • Não - Todas as ligações que não correspondam a uma regra de entrada são permitidas.
    • Ignore as regras autorizadas de firewall de aplicações
      CSP: AuthAppsAllowUserPrefMerge

      • Não configurado (padrão) - A definição retorna ao padrão do cliente, que é honrar as regras locais.
      • Sim - As regras de firewall de aplicação autorizadas na loja local são ignoradas.
      • Não - As regras de firewall de aplicação autorizadas são honradas.
    • Ignore as regras globais de firewall de portas
      CSP: GlobalPortsAllowUserPrefMerge

      • Não configurado (padrão) - A definição retorna ao padrão do cliente, que é honrar as regras locais.
      • Sim - As regras globais de firewall de porta na loja local são ignoradas.
      • Não - As regras globais de firewall portuária são honradas.
    • Ignore todas as regras locais de firewall
      CSP: IPsecExempt

      • Não configurado (padrão) - A definição retorna ao padrão do cliente, que é honrar as regras locais.
      • Sim - Todas as regras de firewall na loja local são ignoradas.
      • As regras de firewall na loja local são honradas.
    • Ignorar as regras de segurança de ligação CSP: AllowLocalIpsecPolicyMerge

      • Não configurado (padrão) - A definição retorna ao padrão do cliente, que é honrar as regras locais.
      • Sim - As regras de firewall do IPsec na loja local são ignoradas.
      • Não - As regras de firewall do IPsec na loja local são honradas.
  • Ligue o Microsoft Defender Firewall para redes privadas
    CSP: EnableFirewall

    • Não configurado (padrão)- O cliente retorna ao seu padrão, que é para ativar a firewall.
    • Sim - O Microsoft Defender Firewall para o tipo de rede de privados é ligado e aplicado. Também tem acesso a configurações adicionais para esta rede.
    • Não - Desative a firewall.

    Definições adicionais para esta rede, quando definidas para Sim:

    • Bloquear o modo stealth
      CSP: DisableStealthMode

      Por predefinição, o modo de stealth é ativado nos dispositivos. Ajuda a evitar que utilizadores maliciosos descubram informações sobre dispositivos de rede e os serviços que executam. O modo de desativação de stealth pode tornar os dispositivos vulneráveis ao ataque.

      • Não configurado (padrão)
      • Sim
      • Não
    • Ativar o modo blindado
      CSP: Blindado

      • Não configurado (predefinido) - Utilize o padrão do cliente, que é desativar o modo blindado.
      • Sim - A máquina é colocada no modo blindado, o que a isola da rede. Todo o tráfego está bloqueado.
      • Não
    • Bloqueie respostas unicast a emissões multicast
      CSP: DisableUnicastResponsesToMulticastBroadcast

      • Não configurado (predefinição) - A definição retorna ao padrão do cliente, que é permitir respostas unicast.
      • Sim - As respostas unicast às emissões multicast estão bloqueadas.
      • Não - Impor o incumprimento do cliente, que é permitir respostas unicast.
    • Desativar notificações de entrada
      Incapacitação de disables da CSPNotificações

      • Não configurado (predefinição) - A definição retorna ao padrão do cliente, que é permitir a notificação do utilizador.
      • Sim - A notificação do utilizador é suprimida quando uma aplicação é bloqueada por uma regra de entrada.
      • Não - São permitidas notificações de utilizador.
    • Bloquear ligações de saída

      Esta definição aplica-se à versão 1809 e posterior Windows. CSP: Predefinição de saída

      Esta regra é avaliada no final da lista de regras.

      • Não configurado (predefinição) - A definição retorna ao padrão do cliente, que é permitir ligações.
      • Sim - Todas as ligações de saída que não correspondem a uma regra de saída estão bloqueadas.
      • Não - Todas as ligações que não correspondam a uma regra de saída são permitidas.
    • Bloquear ligações de entrada
      CSP: DefaultInboundAction

      Esta regra é avaliada no final da lista de regras.

      • Não configurado (predefinição) - A definição retorna ao padrão do cliente, que é bloquear ligações.
      • Sim - Todas as ligações de entrada que não correspondem a uma regra de entrada estão bloqueadas.
      • Não - Todas as ligações que não correspondam a uma regra de entrada são permitidas.
    • Ignore as regras autorizadas de firewall de aplicações
      CSP: AuthAppsAllowUserPrefMerge

      • Não configurado (padrão) - A definição retorna ao padrão do cliente, que é honrar as regras locais.
      • Sim - As regras de firewall de aplicação autorizadas na loja local são ignoradas.
      • Não - As regras de firewall de aplicação autorizadas são honradas.
    • Ignore as regras globais de firewall de portas
      CSP: GlobalPortsAllowUserPrefMerge

      • Não configurado (padrão) - A definição retorna ao padrão do cliente, que é honrar as regras locais.
      • Sim - As regras globais de firewall de porta na loja local são ignoradas.
      • Não - As regras globais de firewall portuária são honradas.
    • Ignore todas as regras locais de firewall
      CSP: IPsecExempt

      • Não configurado (padrão) - A definição retorna ao padrão do cliente, que é honrar as regras locais.
      • Sim - Todas as regras de firewall na loja local são ignoradas.
      • As regras de firewall na loja local são honradas.
    • Ignorar as regras de segurança de ligação CSP: AllowLocalIpsecPolicyMerge

      • Não configurado (padrão) - A definição retorna ao padrão do cliente, que é honrar as regras locais.
      • Sim - As regras de firewall do IPsec na loja local são ignoradas.
      • Não - As regras de firewall do IPsec na loja local são honradas.
  • Ligue o Microsoft Defender Firewall para redes públicas
    CSP: EnableFirewall

    • Não configurado (padrão)- O cliente retorna ao seu padrão, que é para ativar a firewall.
    • Sim - O Microsoft Defender Firewall para o tipo de público de rede é ligado e aplicado. Também tem acesso a configurações adicionais para esta rede.
    • Não - Desative a firewall.

    Definições adicionais para esta rede, quando definidas para Sim:

    • Bloquear o modo stealth
      CSP: DisableStealthMode

      Por predefinição, o modo de stealth é ativado nos dispositivos. Ajuda a evitar que utilizadores maliciosos descubram informações sobre dispositivos de rede e os serviços que executam. O modo de desativação de stealth pode tornar os dispositivos vulneráveis ao ataque.

      • Não configurado (padrão)
      • Sim
      • Não
    • Ativar o modo blindado
      CSP: Blindado

      • Não configurado (predefinido) - Utilize o padrão do cliente, que é desativar o modo blindado.
      • Sim - A máquina é colocada no modo blindado, o que a isola da rede. Todo o tráfego está bloqueado.
      • Não
    • Bloqueie respostas unicast a emissões multicast
      CSP: DisableUnicastResponsesToMulticastBroadcast

      • Não configurado (predefinição) - A definição retorna ao padrão do cliente, que é permitir respostas unicast.
      • Sim - As respostas unicast às emissões multicast estão bloqueadas.
      • Não - Impor o incumprimento do cliente, que é permitir respostas unicast.
    • Desativar notificações de entrada
      Incapacitação de disables da CSPNotificações

      • Não configurado (predefinição) - A definição retorna ao padrão do cliente, que é permitir a notificação do utilizador.
      • Sim - A notificação do utilizador é suprimida quando uma aplicação é bloqueada por uma regra de entrada.
      • Não - São permitidas notificações de utilizador.
    • Bloquear ligações de saída

      Esta definição aplica-se à versão 1809 e posterior Windows. CSP: Predefinição de saída

      Esta regra é avaliada no final da lista de regras.

      • Não configurado (predefinição) - A definição retorna ao padrão do cliente, que é permitir ligações.
      • Sim - Todas as ligações de saída que não correspondem a uma regra de saída estão bloqueadas.
      • Não - Todas as ligações que não correspondam a uma regra de saída são permitidas.
    • Bloquear ligações de entrada
      CSP: DefaultInboundAction

      Esta regra é avaliada no final da lista de regras.

      • Não configurado (predefinição) - A definição retorna ao padrão do cliente, que é bloquear ligações.
      • Sim - Todas as ligações de entrada que não correspondem a uma regra de entrada estão bloqueadas.
      • Não - Todas as ligações que não correspondam a uma regra de entrada são permitidas.
    • Ignore as regras autorizadas de firewall de aplicações
      CSP: AuthAppsAllowUserPrefMerge

      • Não configurado (padrão) - A definição retorna ao padrão do cliente, que é honrar as regras locais.
      • Sim - As regras de firewall de aplicação autorizadas na loja local são ignoradas.
      • Não - As regras de firewall de aplicação autorizadas são honradas.
    • Ignore as regras globais de firewall de portas
      CSP: GlobalPortsAllowUserPrefMerge

      • Não configurado (padrão) - A definição retorna ao padrão do cliente, que é honrar as regras locais.
      • Sim - As regras globais de firewall de porta na loja local são ignoradas.
      • Não - As regras globais de firewall portuária são honradas.
    • Ignore todas as regras locais de firewall
      CSP: IPsecExempt

      • Não configurado (padrão) - A definição retorna ao padrão do cliente, que é honrar as regras locais.
      • Sim - Todas as regras de firewall na loja local são ignoradas.
      • As regras de firewall na loja local são honradas.
    • Ignorar as regras de segurança de ligação CSP: AllowLocalIpsecPolicyMerge

      • Não configurado (padrão) - A definição retorna ao padrão do cliente, que é honrar as regras locais.
      • Sim - As regras de firewall do IPsec na loja local são ignoradas.
      • Não - As regras de firewall do IPsec na loja local são honradas.

Regras do Microsoft Defender Firewall

Este perfil está em Pré-Visualização.

As seguintes definições são configuradas como política de Segurança endpoint para firewalls Windows 10.

Windows Regra de Firewall

  • Nome
    Especifique um nome amigável para a sua regra. Este nome aparecerá na lista de regras para ajudá-lo a identificá-lo.

  • Descrição
    Forneça uma descrição da regra.

  • Direção

    • Não configurado (padrão)- Esta regra é padrão para o tráfego de saída.
    • out - Esta regra aplica-se ao tráfego de saída.
    • In - Esta regra aplica-se ao tráfego de entrada.
  • Ação

    • Não configurado (predefinição)- A regra não permite o tráfego.
    • Bloqueado - O tráfego está bloqueado na direção que configuraste.
    • Permitido - O tráfego é permitido na Direção que configuraste.
  • Tipo de rede
    Especificar o tipo de rede a que a regra pertence. Pode escolher um ou mais dos seguintes. Se não selecionar uma opção, a regra aplica-se a todos os tipos de rede.

    • Domínio
    • Privado
    • Público
    • Não configurado

Definições da aplicação

Aplicações direcionadas a esta regra:

  • Nome da família do pacote
    Get-AppxPackage

    Os nomes da família do pacote podem ser recuperados executando o comando Get-AppxPackage da PowerShell.

  • Caminho do ficheiro
    CSP: FirewallRules/FirewallRuleName/App/FilePath

    Para especificar o caminho do ficheiro de uma aplicação, insira a localização das aplicações no dispositivo do cliente. Por exemplo: C:\Windows\System\Notepad.exe ou %WINDIR%\Notepad.exe

  • Nome de serviço
    FirewallRules/FirewallRuleName/App/ServiceName

    Utilize um nome curto de serviço Windows quando um serviço, não uma aplicação, está a enviar ou a receber tráfego. Os nomes curtos de serviço são recuperados executando o Get-Service comando a partir de PowerShell.

Definições de porta e protocolo

Especificar as portas locais e remotas às quais esta regra se aplica:

  • Protocolo
    CSP: FirewallRules/FirewallRuleName/Protocol

    Especifique o protocolo para esta regra do porto.

    • Os protocolos de camadas de transporte como o TCP(6) e o UDP(17) permitem especificar portas ou faixas portuárias.
    • Para protocolos personalizados, insira um número entre 0 e 255 que represente o protocolo IP.
    • Quando nada é especificado, a regra é desresposição de Qualquer.
  • Tipos de interface
    Especificar os tipos de interface a que a regra pertence. Pode escolher um ou mais dos seguintes. Se não selecionar uma opção, a regra aplica-se a todos os tipos de interface:

    • Acesso remoto
    • Sem fios
    • Rede local de área
    • Não configurado
  • Utilizadores autorizados
    FirewallRules/FirewallRuleName/LocalUserAuthorizationList

    Especifique uma lista de utilizadores locais autorizados para esta regra. Uma lista de utilizadores autorizados não pode ser especificada se o nome de Serviço nesta política for definido como um serviço Windows. Se nenhum utilizador autorizado for especificado, o padrão é de todos os utilizadores.

Definições de endereços IP

Especifica os endereços locais e remotos aos quais esta regra se aplica:

  • Qualquer endereço local
    Não configurado (predefinição)- Utilize a seguinte definição, intervalos de endereços locais* para configurar uma série de endereços para suportar.

    • Sim - Apoie qualquer endereço local e não configuure um intervalo de endereços.
  • Intervalos de endereços locais
    CSP: FirewallRules/FirewallRuleName/LocalAddressRanges

    Gerir os intervalos de endereços locais para esta regra. Pode:

    • Adicione um ou mais endereços como uma lista separada por vírgula de endereços locais abrangidos pela regra.
    • Importe um ficheiro .csv que contenha uma lista de endereços para usar como intervalos de endereços locais.
    • Exporte a sua lista atual de intervalos de endereços locais como um ficheiro .csv.

    As entradas válidas (tokens) incluem as seguintes opções:

    • Um asterisco - Um asterisco * indica qualquer endereço local. Se estiver presente, o asterisco deve ser o único símbolo incluído.
    • Uma sub-rede - Especifique as sub-redes utilizando a máscara de sub-rede ou a notação de prefixo de rede. Se não for especificada uma máscara de sub-rede ou prefixo de rede, a máscara da sub-rede é padrão para 255.255.255.255.
    • Um endereço IPv6 válido
    • Uma gama de endereços IPv4 - as gamas IPv4 devem estar no formato de endereço inicial - endereço final sem espaços incluídos, onde o endereço de partida é inferior ao endereço final.
    • Uma gama de endereços IPv6 - as gamas IPv6 devem estar no formato de endereço inicial - endereço final sem espaços incluídos, onde o endereço de partida é inferior ao endereço final.

    Quando não é especificado qualquer valor, esta definição não é necessária para utilizar qualquer endereço.

  • Qualquer endereço remoto
    Não configurado (predefinição)- Utilize a seguinte definição, intervalos de endereços remotos* para configurar uma série de endereços para suportar.

    • Sim - Suporte qualquer endereço remoto e não configuure um intervalo de endereços.
  • Intervalos de endereços remotos
    CSP: FirewallRules/FirewallRuleName/RemoteAddressRanges

    Gerencie os intervalos de endereços remotos para esta regra. Pode:

    • Adicione um ou mais endereços como uma lista separada por vírgula de endereços remotos que estão cobertos pela regra.
    • Importe um ficheiro .csv que contenha uma lista de endereços para utilizar como intervalos de endereços remotos.
    • Exporte a sua lista atual de intervalos de endereços remotos como um ficheiro .csv.

    As entradas válidas (tokens) incluem o seguinte e não são sensíveis a casos:

    • Um asterisco - Um asterisco * indica qualquer endereço remoto. Se estiver presente, o asterisco deve ser o único símbolo incluído.
    • Via Defaultgate
    • DHCP
    • DNS
    • WINS
    • Intranet - Suportado em dispositivos que funcionam Windows 1809 ou mais tarde.
    • RmtIntranet - Suportado em dispositivos que funcionam Windows 1809 ou mais tarde.
    • Ply2Renders - Suportado em dispositivos que funcionam Windows 1809 ou mais tarde.
    • LocalSubnet - Indica qualquer endereço local na sub-rede local.
    • Uma sub-rede - Especifique as sub-redes utilizando a máscara de sub-rede ou a notação de prefixo de rede. Se não for especificada uma máscara de sub-rede ou um prefixo de rede, a máscara da sub-rede é padrão para 255.255.255.255.
    • Um endereço IPv6 válido
    • Uma gama de endereços IPv4 - as gamas IPv4 devem estar no formato de endereço inicial - endereço final sem espaços incluídos, onde o endereço de partida é inferior ao endereço final.
    • Uma gama de endereços IPv6 - as gamas IPv6 devem estar no formato de endereço inicial - endereço final sem espaços incluídos, onde o endereço de partida é inferior ao endereço final.

    Quando não é especificado qualquer valor, esta definição não é necessária para utilizar qualquer endereço.

Passos seguintes

Política de segurança de ponto final para firewalls