Configurare il firewall Hyper-V
A partire da Windows 11 versione 22H2, il firewall Hyper-V è una soluzione firewall di rete che consente di filtrare il traffico in ingresso e in uscita da/verso i contenitori ospitati da Windows, incluso il sottosistema Windows per Linux (WSL).
Questo articolo descrive come configurare le regole e le impostazioni del firewall Hyper-V usando PowerShell o il provider di servizi di configurazione (CSP).
Importante
La configurazione del firewall Hyper-V non è disponibile tramite Criteri di gruppo. Se le impostazioni di Windows Firewall sono configurate tramite l'oggetto Criteri di gruppo e le impostazioni del firewall Hyper-V non sono configurate tramite CSP, le regole e le impostazioni applicabili vengono automaticamente sottoposte a mirroring dalla configurazione dell'oggetto Criteri di gruppo.
Configurare il firewall Hyper-V con PowerShell
Questa sezione descrive i passaggi per gestire il firewall Hyper-V tramite PowerShell.
Ottenere il GUID WSL
Le regole del firewall Hyper-V sono abilitate per ogni VMCreatorId. Per ottenere VMCreatorId, usare il cmdlet :
Get-NetFirewallHyperVVMCreator
L'output contiene un tipo di oggetto VmCreator, che ha proprietà e friendly name identificatori univociVMCreatorId. Ad esempio, l'output seguente mostra le proprietà di WSL:
PS C:\> Get-NetFirewallHyperVVMCreator
VMCreatorId : {40E0AC32-46A5-438A-A0B2-2B479E8F2E90}
FriendlyName : WSL
Nota
La macchina virtuale WSLCreatorId è {40E0AC32-46A5-438A-A0B2-2B479E8F2E90}.
Verificare le impostazioni del firewall Hyper-V
Il firewall Hyper-V ha impostazioni che si applicano in generale a una macchina virtualeCreatorId. Usare il cmdlet Get-NetFirewallHyperVVMSetting per controllare le impostazioni. Ad esempio, è possibile ottenere i criteri applicati a WSL con il comando :
Get-NetFirewallHyperVVMSetting -PolicyStore ActiveStore -Name '{40E0AC32-46A5-438A-A0B2-2B479E8F2E90}'
Nota
-PolicyStore ActiveStore restituisce le impostazioni applicate .
L'output contiene i valori seguenti:
| Value | Descrizione |
|---|---|
Enabled (True/False) |
True se il firewall Hyper-V è abilitato per le macchine virtuali WSL. |
DefaultInboundAction, DefaultOutboundAction |
Si tratta di criteri di regola predefiniti applicati ai pacchetti che entrano o escono dal contenitore WSL. I criteri delle regole possono essere modificati, come descritto in questo articolo. |
LoopbackEnabled |
Tiene traccia del fatto che il traffico di loopback tra l'host e il contenitore è consentito, senza richiedere regole del firewall Hyper-V. WSL lo consente per impostazione predefinita, per consentire all'host Windows di comunicare con WSL e WSL per comunicare con l'host Windows. |
AllowHostPolicyMerge |
Determina il modo in cui interagiscono le impostazioni aziendali di Windows Host Firewall Enterprise Settings (GPO), Hyper-V Firewall Enterprise Settings (CSP), Windows Host Firewall Enterprise Settings (CSP), le impostazioni del firewall Hyper-V locale e le impostazioni del firewall host locale. Questa impostazione è dettagliata con il cmdlet Set-NetFirewallHyperVVMSetting . |
Configurare le impostazioni del firewall Hyper-V
Per configurare il firewall Hyper-V, usare il comando Set-NetFirewallHyperVVMSetting . Ad esempio, il comando seguente imposta la connessione in ingresso predefinita su Consenti:
Set-NetFirewallHyperVVMSetting -Name '{40E0AC32-46A5-438A-A0B2-2B479E8F2E90}' -DefaultInboundAction Allow
Regole del firewall
Le regole del firewall Hyper-V possono essere enumerate e create da PowerShell. Per visualizzare le regole, usare il cmdlet Get-NetFirewallHyperVRule . Ad esempio, per visualizzare le regole del firewall relative solo a WSL, usare il comando seguente:
Get-NetFirewallHyperVRule -VMCreatorId '{40E0AC32-46A5-438A-A0B2-2B479E8F2E90}'
Per configurare regole specifiche, usare il cmdlet Set-NetFirewallHyperVRule .
Ad esempio, per creare una regola in ingresso per consentire il traffico TCP verso WSL sulla porta 80, usare il comando seguente:
New-NetFirewallHyperVRule -Name MyWebServer -DisplayName "My Web Server" -Direction Inbound -VMCreatorId '{40E0AC32-46A5-438A-A0B2-2B479E8F2E90}' -Protocol TCP -LocalPorts 80
Impostare le regole e le impostazioni del firewall Hyper-V come destinazione per profili specifici
Le regole e le impostazioni del firewall Hyper-V possono essere destinate ai profili del firewall, che si basano sul tipo di rete a cui è connesso il dispositivo:
- Profilo pubblico
- Profilo privato
- Profilo di dominio
Le opzioni dei criteri sono simili a quelle già descritte, ma vengono applicate a profili specifici per la scheda di rete host Windows connessa.
Per visualizzare le impostazioni per profilo, usare il comando seguente:
Get-NetFirewallHyperVProfile -PolicyStore ActiveStore
Nota
-PolicyStore ActiveStore restituisce le impostazioni applicate .
L'output contiene un valore aggiuntivo rispetto a quelli descritti nella sezione precedente:
| Value | Descrizione |
|---|---|
AllowLocalFirewallRules (True/False) |
Questa impostazione determina il modo in cui le regole del firewall Hyper-V (CSP o GPO) aziendali interagiscono con le regole del firewall Hyper-V definite in locale: - se il valore è True, vengono applicate sia le regole del firewall Hyper-V aziendali che le regole definite in locale - se il valore è False, le regole del firewall Hyper-V definite localmente non vengono applicate e vengono applicate solo le regole aziendali. |
Nota
Per configurare queste impostazioni per profilo, usare il cmdlet Set-NetFirewallHyperVProfile .
Per configurare queste regole per profilo usando il cmdlet Set-NetFirewallHyperVRule con l'opzione -Profile .
Configurare il firewall Hyper-V con CSP
È possibile configurare il firewall Hyper-V usando il provider di servizi di configurazione del firewall, ad esempio con una soluzione MDM come Microsoft Intune.
Per altre informazioni sulle opzioni CSP, seguire questi collegamenti:
- Configurare le impostazioni del firewall Hyper-V: per configurare le impostazioni del firewall Hyper-V
- Configurare le regole del firewall Hyper-V: per configurare l'elenco di regole che controllano il traffico tramite il firewall Hyper-V
Per informazioni su come configurare il firewall con Microsoft Intune, vedere Criteri del firewall per la sicurezza degli endpoint.
Fornire commenti e suggerimenti
Per fornire commenti e suggerimenti per il firewall Hyper-V, aprire l'hub di feedback e usare la categoria Sicurezza e privacy > Microsoft Defender Firewall e protezione di rete.