Compartilhar via

Configurar regras com a política de grupo

Este artigo contém exemplos de como configurar regras da Firewall do Windows com a Firewall do Windows com a consola de Segurança Avançada .

Aceder à Firewall do Windows com a consola de Segurança Avançada

Se estiver a configurar dispositivos associados a um domínio do Active Directory, para concluir estes procedimentos, tem de ser membro do grupo Administradores de Domínio ou ter permissões delegadas para modificar os GPOs no domínio. Para aceder à Firewall do Windows com a consola de Segurança Avançada, crie ou edite um objeto de política de grupo (GPO) e expanda os nósPolíticas> de Configuração> do ComputadorDefinições do Windows Definições>>de Segurança FirewalldoWindows com Segurança Avançada. Preste atenção às considerações de processamento da política de grupo ao utilizar Política de Grupo.

Se estiver a configurar um único dispositivo, tem de ter direitos administrativos no dispositivo. Nesse caso, para aceder à Firewall do Windows com a consola de Segurança Avançada , selecione INICIAR, escreva wf.msce prima ENTER.

Criar uma regra ICMP de entrada

Este tipo de regra permite que os pedidos e respostas ICMP sejam recebidos pelos dispositivos na rede. Para criar uma regra ICMP de entrada:

  1. Abrir a Firewall do Windows com a consola de Segurança Avançada
  2. No painel de navegação, selecione Regras de Entrada
  3. Selecione Ação e, em seguida, selecione Nova regra
  4. Na página Tipo de Regra do Assistente de Novas Regras de Entrada, selecione Personalizado e, em seguida, selecione Seguinte
  5. Na página Programa , selecione Todos os programas e, em seguida, selecione Seguinte
  6. Na página Protocolo e Portas , selecione ICMPv4 ou ICMPv6 na lista Tipo de protocolo . Se utilizar IPv4 e IPv6 na sua rede, tem de criar uma regra ICMP separada para cada
  7. Selecione Personalizar
  8. Na caixa de diálogo Personalizar Definições de ICMP , efetue um dos seguintes procedimentos:
    • Para permitir todo o tráfego de rede ICMP, selecione Todos os tipos de ICMP e, em seguida, selecione OK
    • Para selecionar um dos tipos ICMP predefinidos, selecione Tipos específicos de ICMP e, em seguida, selecione cada tipo na lista que pretende permitir. Selecione OK
    • Para selecionar um tipo de ICMP que não aparece na lista, selecione Tipos específicos de ICMP, selecione o número Tipo na lista, selecione o Número de código na lista, selecione Adicionar e, em seguida, selecione a entrada recém-criada na lista. Selecione OK
  9. Selecione Seguinte
  10. Na página Âmbito , pode especificar que a regra se aplica apenas ao tráfego de rede de/para os endereços IP introduzidos nesta página. Configure conforme adequado para a sua estrutura e, em seguida, selecione Seguinte
  11. Na página Ação , selecione Permitir a ligação e, em seguida, selecione Seguinte
  12. Na página Perfil , selecione os tipos de localização de rede aos quais esta regra se aplica e, em seguida, selecione Seguinte
  13. Na página Nome , escreva um nome e uma descrição para a regra e, em seguida, selecione Concluir

Criar uma regra de porta de entrada

Este tipo de regra permite que qualquer programa que escuta numa porta TCP ou UDP especificada receba tráfego de rede enviado para essa porta. Para criar uma regra de porta de entrada:

  1. Abrir a Firewall do Windows com a consola de Segurança Avançada
  2. No painel de navegação, selecione Regras de Entrada
  3. Selecione Ação e, em seguida, selecione Nova regra
  4. Na página Tipo de Regra do Assistente de Novas Regras de Entrada, selecione Personalizado e, em seguida, selecione Seguinte

    Observação

    Embora possa criar regras ao selecionar Programa ou Porta, essas opções limitam o número de páginas apresentadas pelo assistente. Se selecionar Personalizado, verá todas as páginas e terá a maior flexibilidade na criação das suas regras.

  5. Na página Programa , selecione Todos os programas e, em seguida, selecione Seguinte

    Observação

    Este tipo de regra é frequentemente combinado com um programa ou regra de serviço. Se combinar os tipos de regra, obtém uma regra de firewall que limita o tráfego a uma porta especificada e permite o tráfego apenas quando o programa especificado está em execução. O programa especificado não pode receber tráfego de rede noutras portas e outros programas não podem receber tráfego de rede na porta especificada. Se optar por fazê-lo, siga os passos no procedimento Criar um Programa de Entrada ou Regra de Serviço , para além dos passos neste procedimento para criar uma única regra que filtra o tráfego de rede através dos critérios de programa e porta.

  6. Na página Protocolo e Portas , selecione o tipo de protocolo que pretende permitir. Para restringir a regra a um número de porta especificado, tem de selecionar TCP ou UDP. Uma vez que se trata de uma regra de entrada, normalmente configura apenas o número de porta local Se selecionar outro protocolo, apenas os pacotes cujo campo de protocolo no cabeçalho ip correspondem a esta regra são permitidos através da firewall.
    Para selecionar um protocolo pelo respetivo número, selecione Personalizado na lista e, em seguida, escreva o número na caixa Número do protocolo .
    Quando tiver configurado os protocolos e as portas, selecione Seguinte.
  7. Na página Âmbito , pode especificar que a regra se aplica apenas ao tráfego de rede de/para os endereços IP introduzidos nesta página. Configure conforme adequado para a sua estrutura e, em seguida, selecione Seguinte
  8. Na página Ação , selecione Permitir a ligação e, em seguida, selecione Seguinte
  9. Na página Perfil , selecione os tipos de localização de rede aos quais esta regra se aplica e, em seguida, selecione Seguinte

    Observação

    Se este GPO for direcionado para computadores de servidor com o Windows Server 2008 que nunca são movidos, considere modificar as regras a aplicar a todos os perfis de tipo de localização de rede. Isto impede uma alteração inesperada nas regras aplicadas se o tipo de localização de rede for alterado devido à instalação de um novo card de rede ou à desconexão de um cabo de card de rede existente. Um card de rede desligado é automaticamente atribuído ao tipo de localização de rede pública.

  10. Na página Nome , escreva um nome e uma descrição para a regra e, em seguida, selecione Concluir

Criar uma regra de porta de saída

Por predefinição, a Firewall do Windows permite todo o tráfego de rede de saída, a menos que corresponda a uma regra que proíba o tráfego. Este tipo de regra bloqueia qualquer tráfego de rede de saída que corresponda aos números de porta TCP ou UDP especificados. Para criar uma regra de porta de saída:

  1. Abrir a Firewall do Windows com a consola de Segurança Avançada
  2. No painel de navegação, selecione Regras de Saída
  3. Selecione Ação e, em seguida, selecione Nova regra
  4. Na página Tipo de Regra do assistente Nova Regra de Saída, selecione Personalizado e, em seguida, selecione Seguinte

    Observação

    Embora possa criar regras ao selecionar Programa ou Porta, essas opções limitam o número de páginas apresentadas pelo assistente. Se selecionar Personalizado, verá todas as páginas e terá a maior flexibilidade na criação das suas regras.

  5. Na página Programa , selecione Todos os programas e, em seguida, selecione Seguinte
  6. Na página Protocolo e Portas , selecione o tipo de protocolo que pretende bloquear. Para restringir a regra a um número de porta especificado, tem de selecionar TCP ou UDP. Uma vez que esta regra é uma regra de saída, normalmente configura apenas o número de porta remota Se selecionar outro protocolo, apenas os pacotes cujo campo de protocolo no cabeçalho de IP corresponde a esta regra são bloqueados pela Firewall do Windows Defender. O tráfego de rede para protocolos é permitido desde que outras regras que correspondam não o bloqueiem. Para selecionar um protocolo pelo respetivo número, selecione Personalizado na lista e, em seguida, escreva o número na caixa Número do protocolo . Quando tiver configurado os protocolos e as portas, selecione Seguinte
  7. Na página Âmbito , pode especificar que a regra se aplica apenas ao tráfego de rede de/para os endereços IP introduzidos nesta página. Configure conforme adequado para a sua estrutura e, em seguida, selecione Seguinte
  8. Na página Ação , selecione Bloquear a ligação e, em seguida, selecione Seguinte
  9. Na página Perfil , selecione os tipos de localização de rede aos quais esta regra se aplica e, em seguida, selecione Seguinte
  10. Na página Nome , escreva um nome e uma descrição para a regra e, em seguida, selecione Concluir

Criar uma regra de serviço ou programa de entrada

Este tipo de regra permite que o programa ouça e receba tráfego de rede de entrada em qualquer porta.

Observação

Este tipo de regra é frequentemente combinado com um programa ou regra de serviço. Se combinar os tipos de regra, obtém uma regra de firewall que limita o tráfego a uma porta especificada e permite o tráfego apenas quando o programa especificado está em execução. O programa não consegue receber tráfego de rede noutras portas e outros programas não podem receber tráfego de rede na porta especificada. Para combinar os tipos de regras de programa e porta numa única regra, siga os passos no procedimento Criar uma Regra de Porta de Entrada , para além dos passos neste procedimento.

Para criar uma regra de firewall de entrada para um programa ou serviço:

  1. Abrir a Firewall do Windows com a consola de Segurança Avançada

  2. No painel de navegação, selecione Regras de Entrada

  3. Selecione Ação e, em seguida, selecione Nova regra

  4. Na página Tipo de Regra do Assistente de Novas Regras de Entrada, selecione Personalizado e, em seguida, selecione Seguinte

    Observação

    Informações que o utilizador deve notar mesmo que desnatingAlthough pode criar regras ao selecionar Programa ou Porta, essas opções limitam o número de páginas apresentadas pelo assistente. Se selecionar Personalizado, verá todas as páginas e terá a maior flexibilidade na criação das suas regras.

  5. Na página Programa , selecione Este caminho do programa

  6. Escreva o caminho para o programa na caixa de texto. Utilize variáveis de ambiente, quando aplicável, para garantir que os programas instalados em localizações diferentes em computadores diferentes funcionam corretamente.

  7. Siga um destes procedimentos:

    • Se o ficheiro executável contiver um único programa, selecione Seguinte
    • Se o ficheiro executável for um contentor para vários serviços que têm de ter permissão para receber tráfego de rede de entrada, selecione Personalizar, selecione Aplicar apenas aos serviços, selecione OK e, em seguida, selecione Seguinte
    • Se o ficheiro executável for um contentor para um único serviço ou contiver vários serviços, mas a regra só se aplicar a um deles, selecione Personalizar, selecione Aplicar a este serviço e, em seguida, selecione o serviço na lista. Se o serviço não aparecer na lista, selecione Aplicar ao serviço com este nome abreviado de serviço e, em seguida, escreva o nome abreviado do serviço na caixa de texto. Selecione OK e, em seguida, selecione Seguinte

    Importante

    Para utilizar as opções Aplicar a este serviço ou Aplicar ao serviço com este nome abreviado de serviço , o serviço tem de ser configurado com um identificador de segurança (SID) com um tipo de RESTRICTED ou UNRESTRICTED. Para marcar o tipo de SID de um serviço, execute o seguinte comando:sc qsidtype <ServiceName>

    Se o resultado for , não é NONEpossível aplicar uma regra de firewall a esse serviço.

    Para definir um tipo de SID num serviço, execute o seguinte comando: sc sidtype <ServiceName> <Type>

    No comando anterior, o valor de <Type> pode ser UNRESTRICTED ou RESTRICTED. Embora o comando também permita o valor de NONE, essa definição significa que o serviço não pode ser utilizado numa regra de firewall, conforme descrito aqui. Por predefinição, a maioria dos serviços no Windows estão configurados como UNRESTRICTED. Se alterar o tipo de SID para RESTRICTED, o serviço poderá não iniciar. Recomendamos que altere o tipo de SID apenas nos serviços que pretende utilizar nas regras da firewall e que altere o tipo de SID para UNRESTRICTED.

  8. É uma melhor prática restringir a regra de firewall do programa apenas às portas de que precisa para funcionar. Na página Protocolos e Portas , pode especificar os números de porta para o tráfego permitido. Se o programa tentar escutar numa porta diferente da especificada aqui, será bloqueado. Para obter mais informações sobre as opções de protocolo e porta, consulte Criar uma Regra de Porta de Entrada. Depois de configurar as opções de protocolo e porta, selecione Seguinte

  9. Na página Âmbito , pode especificar que a regra se aplica apenas ao tráfego de rede de/para os endereços IP introduzidos nesta página. Configure conforme adequado para a sua estrutura e, em seguida, selecione Seguinte

  10. Na página Ação , selecione Permitir a ligação e, em seguida, selecione Seguinte

  11. Na página Perfil , selecione os tipos de localização de rede aos quais esta regra se aplica e, em seguida, selecione Seguinte

  12. Na página Nome , escreva um nome e uma descrição para a regra e, em seguida, selecione Concluir

Criar uma regra de serviço ou programa de saída

Por predefinição, a Firewall do Windows Defender permite todo o tráfego de rede de saída, a menos que corresponda a uma regra que proíba o tráfego. Este tipo de regra impede que o programa envie qualquer tráfego de rede de saída em qualquer porta. Para criar uma regra de firewall de saída para um programa ou serviço:

  1. Abrir a Firewall do Windows com a consola de Segurança Avançada
  2. No painel de navegação, selecione Regras de Saída
  3. Selecione Ação e, em seguida, selecione Nova regra
  4. Na página Tipo de Regra do Assistente de Novas Regras de Saída, selecione Personalizado e, em seguida, selecione Seguinte

    Observação

    Embora possa criar muitas regras ao selecionar Programa ou Porta, essas opções limitam o número de páginas apresentadas pelo assistente. Se selecionar Personalizado, verá todas as páginas e terá a maior flexibilidade na criação das suas regras.

  5. Na página Programa , selecione Este caminho do programa
  6. Escreva o caminho para o programa na caixa de texto. Utilize variáveis de ambiente conforme adequado para garantir que os programas instalados em localizações diferentes em computadores diferentes funcionam corretamente
  7. Siga um destes procedimentos:
    • Se o ficheiro executável contiver um único programa, selecione Seguinte
    • Se o ficheiro executável for um contentor para vários serviços que têm de ser impedidos de enviar tráfego de rede de saída, selecione Personalizar, selecione Aplicar apenas aos serviços, selecione OK e, em seguida, selecione Seguinte
    • Se o ficheiro executável for um contentor para um único serviço ou contiver vários serviços, mas a regra só se aplicar a um deles, selecione Personalizar, selecione Aplicar a este serviço e, em seguida, selecione o serviço na lista. Se o serviço não aparecer na lista, selecione Aplicar ao serviço com este nome abreviado do serviço e escreva o nome abreviado do serviço na caixa de texto. Selecione OK e, em seguida, selecione Seguinte
  8. Se quiser que o programa seja autorizado a enviar em algumas portas, mas não o enviar noutras, pode restringir a regra de firewall para bloquear apenas as portas ou protocolos especificados. Na página Protocolos e Portas , pode especificar os números de porta ou os números de protocolo para o tráfego bloqueado. Se o programa tentar enviar para ou a partir de um número de porta diferente do especificado aqui ou através de um número de protocolo diferente do especificado aqui, o comportamento predefinido da firewall de saída permite o tráfego. Para obter mais informações sobre as opções de protocolo e porta, consulte Criar uma Regra de Porta de Saída. Quando tiver configurado as opções de protocolo e porta, selecione Seguinte
  9. Na página Âmbito , pode especificar que a regra se aplica apenas ao tráfego de rede de/para os endereços IP introduzidos nesta página. Configure conforme adequado para a sua estrutura e, em seguida, selecione Seguinte
  10. Na página Ação , selecione Bloquear a ligação e, em seguida, selecione Seguinte
  11. Na página Perfil , selecione os tipos de localização de rede aos quais esta regra se aplica e, em seguida, selecione Seguinte
  12. Na página Nome , escreva um nome e uma descrição para a regra e, em seguida, selecione Concluir

Criar regras de entrada para dar suporte a RPC

Para permitir o tráfego de rede de chamada de procedimento remoto de entrada (RPC), tem de criar duas regras de firewall:

  • a primeira regra permite pacotes de rede de entrada na porta TCP 135 para o serviço Mapeador de Pontos Finais RPC. O tráfego de entrada consiste em pedidos para comunicar com um serviço de rede especificado. O Mapeador de Pontos Finais RPC responde com um número de porta atribuído dinamicamente que o cliente tem de utilizar para comunicar com o serviço
  • a segunda regra permite o tráfego de rede que é enviado para o número de porta atribuído dinamicamente

Utilizar as duas regras configuradas conforme descrito neste tópico ajuda a proteger o seu dispositivo ao permitir o tráfego de rede apenas a partir de dispositivos que receberam redirecionamento de porta dinâmica RPC e apenas para os números de porta TCP atribuídos pelo Mapeador de Pontos Finais RPC.

Serviço Mapeador de Pontos Finais RPC

  1. Abrir a Firewall do Windows com a consola de Segurança Avançada
  2. No painel de navegação, selecione Regras de Entrada
  3. Selecione Ação e, em seguida, selecione Nova regra
  4. Na página Tipo de Regra do Assistente de Novas Regras de Entrada, selecione Personalizado e, em seguida, selecione Seguinte
  5. Na página Programa , selecione Este Caminho do Programa e, em seguida, escreva %systemroot%\system32\svchost.exe
  6. Selecione Personalizar.
  7. Na caixa de diálogo Personalizar Definições do Serviço , selecione Aplicar a este serviço, selecione Chamada de Procedimento Remoto (RPC) com um nome abreviado de RpcSs, selecione OK e, em seguida, selecione Seguinte
  8. No aviso sobre as regras de proteção do serviço Windows, selecione Sim
  9. Na caixa de diálogo Protocolo e Portas , em Tipo de protocolo, selecione TCP
  10. Em Porta local, selecione Mapeador de Pontos Finais RPC e, em seguida, selecione Seguinte
  11. Na página Âmbito , pode especificar que a regra se aplica apenas ao tráfego de rede de/para os endereços IP introduzidos nesta página. Configure conforme adequado para a sua estrutura e, em seguida, selecione Seguinte
  12. Na página Ação , selecione Permitir a ligação e, em seguida, selecione Seguinte
  13. Na página Perfil , selecione os tipos de localização de rede aos quais esta regra se aplica e, em seguida, selecione Seguinte
  14. Na página Nome , escreva um nome e uma descrição para a regra e, em seguida, selecione Concluir

Serviços de rede preparados para RPC

  1. No mesmo GPO que editou no procedimento anterior, selecione Ação e, em seguida, selecione Nova regra
  2. Na página Tipo de Regra do Assistente de Novas Regras de Entrada, selecione Personalizado e, em seguida, selecione Seguinte
  3. Na página Programa , selecione Este Caminho do Programa e, em seguida, escreva o caminho para o ficheiro executável que aloja o serviço de rede. Selecione Personalizar
  4. Na caixa de diálogo Personalizar Definições do Serviço , selecione Aplicar a este serviço e, em seguida, selecione o serviço que pretende permitir. Se o serviço não aparecer na lista, selecione Aplicar ao serviço com este nome abreviado de serviço e, em seguida, escreva o nome abreviado do serviço na caixa de texto
  5. Selecione OK e, em seguida, selecione Seguinte
  6. Na caixa de diálogo Protocolo e Portas , em Tipo de protocolo, selecione TCP
  7. Em Porta local, selecione Portas Dinâmicas RPC e, em seguida, selecione Seguinte
  8. Na página Âmbito , pode especificar que a regra se aplica apenas ao tráfego de rede de/para os endereços IP introduzidos nesta página. Configure conforme adequado para a sua estrutura e, em seguida, selecione Seguinte
  9. Na página Ação , selecione Permitir a ligação e, em seguida, selecione Seguinte
  10. Na página Perfil , selecione os tipos de localização de rede aos quais esta regra se aplica e, em seguida, selecione Seguinte
  11. Na página Nome , escreva um nome e uma descrição para a regra e, em seguida, selecione Concluir