Condividi tramite

Strumenti di Windows Firewall

Windows offre diversi strumenti per visualizzare lo stato e configurare Windows Firewall. Tutti gli strumenti interagiscono con gli stessi servizi sottostanti, ma offrono diversi livelli di controllo su tali servizi:

Nota

Per modificare la configurazione di Windows Firewall in un dispositivo, è necessario disporre di diritti amministrativi.

Sicurezza di Windows

L'app Sicurezza di Windows può essere usata per visualizzare lo stato di Windows Firewall e accedere agli strumenti avanzati per configurarlo. Selezionare START, digitare Windows Securitye premere INVIO. Dopo aver aperto Sicurezza di Windows, selezionare la scheda Firewall & protezione di rete. In alternativa, usare il collegamento seguente:

Aprire firewall & protezione di rete

Screenshot che mostra l'app Sicurezza di Windows.

Pannello di controllo

L'applet Pannello di controllo firewall Windows Defender offre funzionalità di base per configurare Windows Firewall. Selezionare START, digitare firewall.cple premere INVIO.

Screenshot che mostra l'applet del pannello di controllo del firewall Windows Defender.

Windows Defender Firewall con sicurezza avanzata

L'Windows Defender Firewall con sicurezza avanzata (WFAS) è uno snap-in di Microsoft Management Console (MMC) che offre funzionalità di configurazione avanzate. Può essere usato in locale e nelle implementazioni di Criteri di gruppo.

  • Se si sta configurando un singolo dispositivo, selezionare START, digitare wf.msce premere INVIO
  • Se si configurano dispositivi aggiunti a un dominio di Active Directory, creare o modificare un oggetto Criteri di gruppo ed espandere i nodiCriteri>di configurazione> computerImpostazioni di windows Impostazioni>>di sicurezzaWindows Firewall con sicurezza avanzata

Screenshot dello snap-in MMC Windows Defender Firewall con sicurezza avanzata.

Provider di servizi di configurazione (CSP)

Il provider di servizi di configurazione firewall fornisce un'interfaccia per configurare ed eseguire query sullo stato di Windows Firewall, che può essere usato con una soluzione di gestione dei dispositivi mobili (MDM) come Microsoft Intune.

Strumenti da riga di comando

Il NetSecurity modulo PowerShell e Network Command Shell (netsh.exe) sono utilità della riga di comando che possono essere usate per eseguire query sullo stato e configurare Windows Firewall.

Considerazioni sull'elaborazione dei criteri di gruppo

Le impostazioni dei criteri di Windows Firewall vengono archiviate nel Registro di sistema. Per impostazione predefinita, i criteri di gruppo vengono aggiornati in background ogni 90 minuti, con un offset casuale compreso tra 0 e 30 minuti.

Windows Firewall monitora il Registro di sistema per le modifiche e, se un elemento viene scritto nel Registro di sistema, invia una notifica alla piattaforma WFP (Windows Filtering Platform), che esegue le azioni seguenti:

  1. Legge tutte le regole e le impostazioni del firewall
  2. Applica eventuali nuovi filtri
  3. Rimuove i filtri precedenti

Nota

Le azioni vengono attivate ogni volta che un elemento viene scritto o eliminato dal percorso del Registro di sistema, le impostazioni dell'oggetto Criteri di gruppo vengono archiviate, indipendentemente dal fatto che si verifichi effettivamente una modifica della configurazione. Durante il processo, le connessioni IPsec vengono disconnesse.

Molte implementazioni di criteri specificano che vengono aggiornate solo quando vengono modificate. Tuttavia, è possibile aggiornare i criteri non modificati, ad esempio riapplicare un'impostazione di criteri desiderata nel caso in cui un utente l'abbia modificata. Per controllare il comportamento dell'elaborazione dei criteri di gruppo del Registro di sistema, è possibile usare i criteri Configurazione> computerModelli> amministrativiSistema>Criteri di gruppo>Configurare l'elaborazione dei criteri del Registro di sistema. Il processo anche se gli oggetti Criteri di gruppo non hanno modificato l'opzione aggiorna e riapplica i criteri anche se i criteri non sono stati modificati. Questa opzione è disabilitata per impostazione predefinita.

Se si abilita l'opzione Elabora anche se gli oggetti Criteri di gruppo non sono stati modificati, i filtri WFP vengono riapplicati a ogni aggiornamento in background. Se sono presenti 10 criteri di gruppo, i filtri WFP vengono riapplicati 10 volte durante l'intervallo di aggiornamento. Se si verifica un errore durante l'elaborazione dei criteri, le impostazioni applicate potrebbero essere incomplete, causando problemi come:

  • Windows Firewall blocca il traffico in ingresso o in uscita consentito dai criteri di gruppo
  • Le impostazioni del firewall locale vengono applicate anziché le impostazioni di Criteri di gruppo
  • Le connessioni IPsec non possono stabilire

La soluzione temporanea consiste nell'aggiornare le impostazioni dei criteri di gruppo, usando il comando gpupdate.exe /force, che richiede la connettività a un controller di dominio.

Per evitare il problema, lasciare il criterio Configurare l'elaborazione dei criteri del Registro di sistema sul valore predefinito Non configurato o, se già configurato, configurarlo Disabilitato.

Importante

La casella di controllo accanto a Elabora anche se gli oggetti Criteri di gruppo non sono stati modificati deve essere deselezionata. Se si lascia deselezionata, i filtri WFP vengono scritti solo in caso di modifica della configurazione.

Se è necessario forzare l'eliminazione e la riscrittura del Registro di sistema, disabilitare l'elaborazione in background selezionando la casella di controllo accanto a Non applicare durante l'elaborazione periodica in background.

Protegge la modalità per gli attacchi attivi

Un'importante funzionalità di Windows Firewall che puoi usare per attenuare i danni durante un attacco attivo è la modalità shields up . Si tratta di un termine informale che si riferisce a un metodo semplice che un amministratore del firewall può usare per aumentare temporaneamente la sicurezza di fronte a un attacco attivo.

È possibile ottenere schermate controllando Blocca tutte le connessioni in ingresso, incluse quelle nell'elenco delle app consentite disponibili nell'app Impostazioni di Windows o Pannello di controllo.

Screenshot dell'app Sicurezza di Windows che mostra le connessioni in ingresso.

Screenshot dell'applet firewall Pannello di controllo.

Per impostazione predefinita, Windows Firewall blocca tutti gli elementi a meno che non sia stata creata una regola di eccezione. L'opzione shield up sostituisce le eccezioni. Ad esempio, la funzionalità Desktop remoto crea automaticamente le regole del firewall quando è abilitata. Tuttavia, se si verifica un exploit attivo che usa più porte e servizi in un host, è possibile, invece di disabilitare le singole regole, usare la modalità schermatura per bloccare tutte le connessioni in ingresso, ignorando le eccezioni precedenti, incluse le regole per Desktop remoto. Le regole di Desktop remoto rimangono invariate, ma l'accesso remoto non può funzionare finché gli scudi sono attivi.

Al termine dell'emergenza, deselezionare l'impostazione per ripristinare il normale traffico di rete.

Passaggi successivi

Nell'elenco a discesa seguente selezionare uno degli strumenti per informazioni su come configurare Windows Firewall: