Cable Guy – Fevereiro de 2004

Por Cable Guy 

Configurando Manualmente o Firewall Windows no Windows XP Service Pack 2

Nesta página

Firewall do Windows
Guia Geral
Guia de Exceções
Guia Avançado
Para Obter Mais Informações

Firewall do Windows

O Windows XP Service Pack 2 (SP2), agora em fase de teste Beta, inclui o novo Firewall do Windows, anteriormente conhecido como Firewall de Conexão com a Internet (ICF). O Firewall do Windows é um firewall completo baseado em host que suspende todo o tráfego de entrada não solicitado que não corresponda a um dos tráfegos enviados em resposta a uma solicitação do computador (tráfego solicitado) ou tráfego não solicitado que tenha sido especificado como permitido (tráfego de exceção). O Firewall do Windows fornece um nível de proteção contra usuários e programas mal-intencionados que contam com tráfegos de entrada não solicitados para atacar computadores em uma rede.

No Windows XP SP2, existem muitos recursos novos para o Firewall do Windows, incluindo os seguintes:

• Ativado por padrão para todas as conexões do computador

• Novas opções de configuração global que se aplicam a todas as conexões

• Novo conjunto de caixas de diálogo para configuração local

• Novo modo operacional

• Segurança na inicialização

• Restrição de sub-rede local

• O tráfego de exceção pode ser especificado pelo nome do arquivo do aplicativo

• Suporte interno para o tráfego do Protocolo de Internet versão 6 (IPv6)

• Novas opções de configuração com o Netsh e Diretiva de Grupo

Para obter mais informações sobre essas alterações, consulte Novos Recursos de Rede no Windows XP Service Pack 2 , artigo Cable Guy de janeiro de 2004.

Esse artigo descreve em detalhes o conjunto de caixas de diálogo para configurar manualmente o novo Firewall do Windows. Ao contrário do ICF no Windows XP (anterior ao SP2), as caixas de diálogo configuração configuram ambos os tráfegos IPv4 e IPv6.

Observação  As caixas de diálogo aqui exibidas e descritas são para o Release Candidate do Windows XP SP2, que podem ser alteradas significativamente para a versão final.

As configurações do ICF no Windows XP (anterior ao SP2) consistem em uma caixa de seleção única (a caixa de seleção 'Proteger meu computador e a minha rede, limitando ou evitando acesso a este computador a partir da Internet' na guia Avançado das propriedades de uma conexão) e um botão de Configurações no qual você pode configurar o tráfego de exceção, configurações de log e o tráfego ICMP permitido.

No Windows XP SP2, a caixa de seleção na guia Avançado de propriedades de uma conexão foi substituída por um botão de Configurações no qual você pode configurar as configurações gerais, permissões para programas e serviços, configurações específicas de conexão, configurações de log, e tráfego ICMP permitido. O botão Configurações inicia o novo miniaplicativo do Painel de Controle do Firewall do Windows (disponível na Rede, nas Conexões de Internet e categorias do Centro de Segurança).

A nova caixa de diálogo do Firewall do Windows contém as seguintes guias:

• Geral

• Exceções

• Avançado

Guia Geral

Da guia Geral é possível selecionar o seguinte:

• Ligado (recomendado)
  Selecione ativar o Firewall do Windows para todas as conexões de rede que estão selecionadas na guia Avançado. O Firewall do Windows é ativado para permitir somente o tráfego de entrada solicitado e de exceção. O tráfego de exceção é configurado na guia Exceções.
  

• Não permitir exceções
  Clique para permitir somente tráfego de entrada solicitado. Não é permitida a entrada de tráfego de exceção. As configurações na guia Exceções são ignoradas e todas as conexões de rede são protegidas, independentemente das configurações na guia Avançado.
   

• Desligado
  Selecione desabilitar o Firewall do Windows. Isso não é recomendado, especialmente para conexões de rede que são diretamente acessíveis a partir da Internet.
   

Observe que a configuração padrão para o Firewall do Windows está em Ligado (recomendado) para todas as conexões de um computador que está executando o Windows XP SP2 e para as novas conexões criadas recentemente. Isso pode causar impacto nas comunicações de programas ou serviços que confiam no tráfego de entrada não solicitado. Nesse caso, é preciso identificar aqueles programas que não estão mais trabalhando e então adicionar esses programas ou o seu tráfego como tráfego de exceção. Muitos programas, tais como navegadores de Internet e clientes e-mail (como o Outlook Express), não confiam no tráfego de entrada não solicitado e operam corretamente com o Firewall do Windows ativado.

Se estiver usando a Diretiva de Grupo para configurar o Firewall do Windows para computadores que estão executando o Windows XP SP2, as configurações de Diretiva de Grupo que você configurar podem não permitir configuração local. Nesse caso, as opções na guia Geral e outras guias também podem estar marcadas em cinza e desabilitadas, até mesmo para os administradores locais.

As configurações de Diretiva de Grupo do Firewall do Windows permitem configurar um perfil de domínio (um conjunto de configurações do Firewall do Windows que é aplicado quando você está anexado a uma rede que contém controladores de domínio) e um perfil padrão (um conjunto de configurações do Windows Firewall que é aplicado quando você está anexado a uma rede que não contém controladores de domínio, tais como a Internet). As caixas de diálogo de configuração somente exibem as configurações do Firewall do Windows do perfil aplicado atualmente. Para visualizar as configurações do perfil que não estão aplicadas atualmente, use os comandos netsh firewall show. Para alterar as configurações do perfil que não são aplicadas atualmente, use os comandos netsh firewall configure.

Guia de Exceções

A partir da guia Exceções, você pode ativar ou desativar um programa ou serviço existente, ou manter a lista de programas e serviços que define o tráfego de exceção existente. O tráfego de exceção não é permitido quando a opção Não permitir exceções estiver selecionada na guia Geral.

Com o Windows XP (anterior ao SP2), você podia definir o tráfego de exceção somente em relação às portas do Protocolo de Controle de Transmissão (TCP) ou Protocolo de Datagrama do Usuário (UDP). Com o Windows XP SP2, você pode definir o tráfego de exceção com relação às portas TCP e UDP ou pelo nome do arquivo de um programa ou serviço. Essa flexibilidade de configuração facilita a configuração de tráfego de exceção quando as portas TCP ou UDP do programa ou serviço são desconhecidas ou são determinadas dinamicamente quando o programa ou serviço é iniciado.

Existe um conjunto de programas e serviços pré-configurados. que inclui:

• Compartilhamento de Arquivo e Impressão

• Ajuda Remota ( ativado por padrão)

• Área de Trabalho Remota

• Estrutura UPnP

Esses programas e serviços predefinidos não podem ser excluídos.

Se permitido pela Diretiva de Grupo, você pode criar exceções adicionais baseadas no nome do programa especificado clicando em Adicionar Programa e nas exceções baseadas nas portas TCP ou UDP especificadas clicando em Adicionar Porta.

Um recurso do novo Firewall do Windows é a possibilidade de definir o escopo do tráfego de entrada. O escopo define a parte da rede na qual o tráfego de exceção pode ser originado. Você terá duas opções ao definir o escopo para um programa ou uma porta:

• Qualquer Computador
  É permitido o tráfego de exceção de qualquer endereço IP.
  

• Somente minha rede (sub-rede)
  O tráfego de exceção é permitido somente de um endereço IP que coincida com o segmento de rede local (sub-rede) para o qual a conexão de rede que recebe o tráfego está anexada. Por exemplo, se a conexão de rede está configurada com um endereço IP de 192.168.0.99 com uma máscara de sub-rede de 255.255.0.0, o tráfego de exceção é somente permitido de endereços IP no intervalo de 192.168.0.1 a 192.168.255.254.
   

O escopo Somente minha rede (sub-rede) é útil quando você deseja permitir acesso a um programa ou serviço para os computadores em uma rede doméstica local em que todos estejam conectados à mesma sub-rede, mas não a usuários de Internet potencialmente mal-intencionados.

Depois que o programa ou porta é adicionado, o mesmo é desabilitado por padrão na lista Programas e Serviços.

Todos os programas ou serviços ativados na guia Exceções são ativados para todas as conexões que são selecionadas na guia Avançado.

Guia Avançado

A guia Avançado contém as seguintes seções:

• Configurações de Conexão de Rede

• Logs de Segurança

• ICMP

• Configurações Padrão

Configurações de Conexões de Rede

Em Configurações de Conexão de Rede, é possível:

• Especificar o conjunto de interfaces nas quais o Windows Firewall é ativado. Para ativar, selecione a caixa de seleção próxima do nome da conexão de rede. Para desativar, limpe a caixa de seleção. Por padrão, todas as conexões de rede têm o Firewall do Windows ativado. Se uma conexão de rede não aparece nessa lista, então ela não é uma conexão de rede padrão. Exemplos incluem discadores personalizados dos provedores de serviço de Internet (ISPs).
   

• Defina as configurações avançadas de uma conexão de rede individual clicando no nome da conexão de rede e, em seguida, clicando em Configurações.
   

Se você limpar todas as caixas de seleção em Configurações da Conexão de Rede, então o Firewall do Windows não estará protegendo seu computador, independentemente de ter selecionado Ligado (recomendado) na guia Geral As configurações em Configurações da Conexão de Rede serão ignoradas se tiver selecionado Não permitir exceções na guia Geral, nesse caso, todas as interfaces estarão protegidas.

Da caixa de diálogo Configurações Avançadas, é possível configurar serviços específicos da guia de Serviços (somente pela porta TCP ou UDP) ou ativar tipos específicos de tráfego ICMP da guia ICMP. Essas duas guias são equivalentes às guias de configurações para a configuração ICF no Windows XP (anterior ao SP2).

Logs de Segurança

Em Logs de Segurança, clique em Configurações para especificar a configuração dos logs do Firewall do Windows na caixa de diálogo Configurações de Log.

A partir da caixa de diálogo Configurações de Log, é possível configurar pacotes descartados de log (suspensos) ou conexões bem-sucedidas e especificar o nome e a localização do arquivo de log (por padrão definir para Systemroot \pfirewall.log) e seu tamanho máximo.

ICMP

Em ICMP, clique em Configurações para especificar os tipos de tráfego ICMP que são permitidos na caixa de diálogo ICMP.

A partir da caixa de diálogo ICMP, é possível ativar e desativar os tipos de mensagens de entrada ICMP que o Firewall do Windows permite para todas as conexões selecionadas na guia Avançado. As mensagens ICMP são usadas para diagnosticar, relatar condições de erro e configurar. Por padrão, não é permitida na lista nenhuma mensagem ICMP.

Um passo comum na solução de problemas de conectividade é usar a ferramenta Ping para acionar o som de retorno do endereço do computador ao qual você está tentando se conectar. Ao acionar o ping, você envia uma mensagem de Eco ICMP e recebe, em resposta, uma mensagem de Eco Resposta do ICMP. Por padrão, O Windows Firewall não permite a entrada de mensagens Eco ICMP, conseqüentemente, o computador não pode enviar, em resposta, uma Resposta Eco ICMP. Para configurar o Firewall do Windows para permitir a entrada de mensagem Eco ICMP, é preciso ativar a configuração Permitir entrada de solicitação de eco.

Configurações Padrão

Clique em Restaurar Padrão para redefinir o Firewall do Windows de volta ao seu estado de instalação original. Ao clicar em Restaurar Padrão, você será solicitado a verificar sua decisão antes que as configurações do Firewall do Windows sejam alteradas.

Para Obter Mais Informações

Para obter mais informações sobre esse tópico, consulte os seguintes recursos:

• Novos Recursos de Rede no Windows XP Service Pack 2, artigo Cable Guy de janeiro de 2004
• Alterações na Funcionalidade no Microsoft Windows XP Service Pack 2
• Implantando as configurações do Firewall do Windows para o Microsoft® Windows® XP com o Service Pack 2