Exportar (0) Imprimir
Expandir Tudo
Expandir Minimizar

PERSONALIZE O WINDOWS FIREWALL – SP2

Por Luciano de Lima

O Microsoft® Windows® XP Service Pack 2 (SP2) inclui como uma de suas novidades o Windows Firewall, o qual substitui o ICF (Internet Connections Firewall - Firewall de Conexão Com a Internet) do Windows XP e Windows XP com Service Pack 1.

O Windows Firewall permite o monitoramento de aplicações e de portas TCP/IP, descartando o tráfico de entrada não solicitado, fornecendo um nível de proteção para computadores conectados para qualquer tipo de rede, como por exemplo, a Internet, rede de casa, ou uma rede corporativa. O Windows XP SP2 ativa o Windows Firewall sobre todas as conexões de rede por padrão. Administradores de rede podem usar o arquivo Netfw.inf para personalizar as configurações do Windows Firewall antes ou após a instalação do Windows XP SP2.

LOCALIZAÇÃO DO ARQUIVO INF DO WINDOWS FIREWALL

Sobre o CD de imagem do Windows XP SP2, a localização do arquivo INF do Windows Firewall é:

DRIVE_CD:\I386\Netfw.in_

Nota
Sobre o CD de imagem do Windows XP SP2, o nome do arquivo é Netfw.in_ e não Netfw.inf.
Após a instalação do Windows XP SP2, a localização do arquivo INF do Windows Firewall é:
%systemroot%\Inf\Netfw.inf

Nota
Onde %systemroot% é o local onde o sistema operacional está instalado.

CONHECENDO O ARQUIVO INF DO WINDOWS FIREWALL

Após ter localizado o arquivo Netfw.inf do Windows Firewall o seu conteúdo será semelhante ao mostrado abaixo:

[version]
Signature = "$Windows NT$"
DriverVer =07/01/2001,5.1.2600.2180

[DefaultInstall]
AddReg=ICF.AddReg.DomainProfile
AddReg=ICF.AddReg.StandardProfile

[ICF.AddReg.DomainProfile]
HKLM,"SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List","%windir%\system32\sessmgr.exe",0x00000000,"%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[ICF.AddReg.StandardProfile]
HKLM,"SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfileStandardProfile\AuthorizedApplications\List","%windir%\system32\sessmgr.exe",0x00000000,"%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

As duas primeiras seções ([version] e [DefaultInstall]) do Netfw.inf contém informações de versão e configuração e não precisam ser alteradas. As seções as quais são significantes para a modificação das configurações padrão do Windows Firewall são as seguintes:

[ICF.AddReg.DomainProfile] - O Windows Firewall mantém dois grupos de configurações conhecidos como profiles. Um profile é usado quando um computador está conectado para um domínio para qual ele faz parte, enquanto o outro profile é usado quando o computador não está conectado para um domínio. Esta seção é para definir as alterações das configurações padrão do Windows Firewall quando um computador está conectado em uma rede ao qual contém um domínio.

[ICF.AddReg.StandardProfile] – Esta seção é para definir alterações para configurações padrão do Windows Firewall quando um computador não está conectado para uma rede. Se um computador não é um membro de um domínio, então o Windows Firewall sempre irá forçar as configurações armazenadas no Standard Profile.

OPÇÕES DE CONFIGURAÇÕES FORNECIDAS NO ARQUIVO INF DO WINDOWS FIREWALL

A maioria das configurações padrão para o Windows Firewall pode ser definida dentro do arquivo INF. Essas configurações incluem:

  • Modo Operacional

  • Desabilitar Notificações

  • Bloquear Respostas Unicast para Pacotes Multicat e Broadcast

  • Ativar Administração Remota

  • Permitir Mensagens ICMP

  • Abrir Portas

  • Permitir Programas

Nota
Todas as configurações feitas dentro do arquivo INF do Windows Firewall serão aplicadas para todas as interfaces de rede do computador.
As portas abertas e permitidas de mensagens ICMP para interfaces individuais não podem ser definidas através do arquivo INF do Windows Firewall.
As configurações de log não podem ser definidas através do arquivo INF do Windows Firewall.

ALTERANDO O MODO OPERACIONAL PADRÃO DO WINDOWS FIREWALL

O Windows Firewall pode ser colocado em um dos três modos operacionais:

  • On (recommended) (Ativado (recomendável)) – Esse é o modo operacional padrão para o Windows Firewall. Nesse modo, o Windows Firewall descarta todos os tráficos de entrada não solicitados, exceto aqueles com entradas ativadas dentro da lista Exceptions (Exceções) do Windows Firewall. Sendo que este é o modo operacional padrão, nenhuma entrada precisa ser incluída dentro do arquivo INF do Windows Firewall.

A entrada para o Domain Profile dentro da seção [ICF.AddReg.DomainProfile] do arquivo INF do Windows Firewall é semelhante ao exemplo abaixo:

[ICF.AddReg.DomainProfile]
HKLM,"SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile","DoNotAllowExceptions",0x00010001,0

Nota
Dentro da seção [ICF.AddReg.DomainProfile] o conteúdo que irá mudar será o (","DoNotAllowExceptions",0x00010001,0), o qual irá permitir as entradas de portas ou programas na lista Exceptions (Exceções) do Windows Firewall.
A chave que irá ativar ou desativar o comando será sempre o último caractere da expressão, como no exemplo acima (","DoNotAllowExceptions",0x00010001,0), o último zero (0) está desativando o comando Don´t allow exceptions (Não permitir exceções) do Windows Firewall.

Ainda dentro da seção [ICF.AddReg.StandardProfile] você poderá adicionar o comando abaixo:

HKLM,"SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile","EnableFirewall",0x00010001,0x00000001

Nota
O commando (","EnableFirewall",0x00010001,1) irá ativar o Firewall do Windows.
A chave que irá ativar ou desativar o comando será o último número, como no exemplo acima (","EnableFirewall",0x00010001,1), o último número um (1) está ativando o comando On (recommended) (Ativado (recomendável)) do Windows Firewall.
Lembrando que ambas as configurações serão aplicadas para computadores que não estão conectados para uma rede.

  • On (recommended) (Ativado (recomendável)) com Don´t allow exceptions (Não permitir exceções) Dentro desse modo, o Windows Firewall irá bloquear todo tráfico de entrada não solicitado, mesmo daqueles que se encontram dentro da lista Exceptions (Exceções) do Windows Firewall.

Para tornar esse modo operacional padrão para o Domain Profile, adicione a seguinte entrada na seção [ICF.AddReg.DomainProfile] do arquivo INF do Windows Firewall, como mostra o exemplo abaixo:

[ICF.AddReg.DomainProfile]
HKLM,"SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile","DoNotAllowExceptions",0x00010001,1
HKLM,"SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile","EnableFirewall",0x00010001,1

Nota
Dentro da seção [ICF.AddReg.DomainProfile] o conteúdo que irá mudar será o (","DoNotAllowExceptions",0x00010001,1), o qual irá ignorar as entradas de portas ou programas na lista Exceptions (Exceções) do Windows Firewall.
A chave que irá ativar ou desativar o comando será o último número, como no exemplo acima (","EnableFirewall",0x00010001,1), o último número um (1) está ativando o comando On (recommended) (Ativado (recomendável)) do Windows Firewall.
A chave que irá ativar ou desativar o comando será sempre o último caractere da expressão, como no exemplo acima (","DoNotAllowExceptions",0x00010001,1), o último número um (1) está ativando o comando Don´t allow exceptions (Não permitir exceções) do Windows Firewall.

Nota
O commando (","EnableFirewall",0x00010001,1)irá ativar o Firewall do Windows.
A chave que irá ativar ou desativar o comando será o último número, como no exemplo acima (","EnableFirewall",0x00010001,1), o último número um (1) está ativando o comando On (recommended) (Ativado (recomendável)) do Windows Firewall.
Lembrando que ambas as configurações serão aplicadas para computadores que estão conectados em uma rede ao qual contém um domínio.

A entrada para o Standard Profile dentro da seção [ICF.AddReg.StandardProfile] do arquivo INF do Windows Firewall é semelhante ao exemplo abaixo:

[ICF.AddReg.StandardProfile] HKLM,"SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile","DoNotAllowExceptions",0x00010001,1
HKLM,"SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile","EnableFirewall",0x00010001,1

Nota
Dentro da seção [ICF.AddReg.StandardProfile]o conteúdo que irá mudar será o (","DoNotAllowExceptions",0x00010001,1), o qual irá ignorar as entradas de portas ou programas na lista Exceptions (Exceções) do Windows Firewall.
A chave que irá ativar ou desativar o comando será sempre o último caractere da expressão, como no exemplo acima (","DoNotAllowExceptions",0x00010001,1), o último número um (1) está ativando o comando Don´t allow exceptions (Não permitir exceções) do Windows Firewall.
O commando (","EnableFirewall",0x00010001,1) irá ativar o Firewall do Windows.
A chave que irá ativar ou desativar o comando será o último número, como no exemplo acima (","EnableFirewall",0x00010001,1), o último número um (1) está ativando o comando On (recommended) (Ativado (recomendável)) do Windows Firewall.
Lembrando que ambas as configurações serão aplicadas para computadores que não estão conectados para uma rede.

  • Off (not recommended) (Desativado (não recomendável)) – Dentro desse modo, o Windows Firewall é desativado e não faz qualquer filtragem de tráfico não solicitado. Todo tráfico não solicitado é permitido, e o Windows Firewall não irá proteger o seu computador de ataques de redes vindo da Internet, ou de qualquer outra rede.

Para tornar esse modo operacional padrão para o Domain Profile, adicione a seguinte entrada na seção [ICF.AddReg.DomainProfile] do arquivo INF do Windows Firewall, como mostra o exemplo abaixo:

[ICF.AddReg.DomainProfile]
HKLM,"SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile","DoNotAllowExceptions",0x00010001,0
HKLM,"SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile","EnableFirewall",0x00010001,0

Nota
Dentro da seção [ICF.AddReg.DomainProfile] o conteúdo que irá mudar será o (","DoNotAllowExceptions",0x00010001,0), o qual irá permitir as entradas de portas ou programas na lista Exceptions (Exceções) do Windows Firewall.
A chave que irá ativar ou desativar o comando será sempre o último caractere da expressão, como no exemplo acima (","DoNotAllowExceptions",0x00010001,0), o último zero (0) está desativando o comando Don´t allow exceptions (Não permitir exceções) do Windows Firewall.
O commando (","EnableFirewall",0x00010001,0) irá desativar o Firewall do Windows.
A chave que irá ativar ou desativar o comando será o último número, como no exemplo acima (","EnableFirewall",0x00010001,0), o último número zero (0) está desativando o comando On (recommended) (Ativado (recomendável)) do Windows Firewall.
Lembrando que ambas as configurações serão aplicadas para computadores que estão conectados em uma rede ao qual contém um domínio.

A entrada para o Standard Profile dentro da seção [ICF.AddReg.StandardProfile] do arquivo INF do Windows Firewall é semelhante ao exemplo abaixo:

[ICF.AddReg.StandardProfile]
HKLM,"SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile","DoNotAllowExceptions",0x00010001,0
HKLM,"SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile","EnableFirewall",0x00010001,0

Nota
Dentro da seção [ICF.AddReg.DomainProfile] o conteúdo que irá mudar será o (","DoNotAllowExceptions",0x00010001,0), o qual irá permitir as entradas de portas ou programas na lista Exceptions (Exceções) do Windows Firewall.
A chave que irá ativar ou desativar o comando será sempre o último caractere da expressão, como no exemplo acima (","DoNotAllowExceptions",0x00010001,0), o último zero (0) está desativando o comando Don´t allow exceptions (Não permitir exceções) do Windows Firewall.
O commando (","EnableFirewall",0x00010001,0) irá desativar o Firewall do Windows.
A chave que irá ativar ou desativar o comando será o último número, como no exemplo acima (","EnableFirewall",0x00010001,0), o último número zero (0) está desativando o comando On (recommended) (Ativado (recomendável)) do Windows Firewall.
Lembrando que ambas as configurações serão aplicadas para computadores que estão conectados em uma rede ao qual contém um domínio.

A entrada para o Standard Profile dentro da seção [ICF.AddReg.StandardProfile] do arquivo INF do Windows Firewall é semelhante ao exemplo abaixo:

[ICF.AddReg.StandardProfile]
HKLM,"SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile","DoNotAllowExceptions",0x00010001,0
HKLM,"SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile","EnableFirewall",0x00010001,0

Nota
Dentro da seção [ICF.AddReg.StandardProfile] o conteúdo que irá mudar será o (","DoNotAllowExceptions",0x00010001,0), o qual irá permitir as entradas de portas ou programas na lista Exceptions (Exceções) do Windows Firewall.
A chave que irá ativar ou desativar o comando será sempre o último caractere da expressão, como no exemplo acima (","DoNotAllowExceptions",0x00010001,0), o último zero (0) está desativando o comando Don´t allow exceptions (Não permitir exceções) do Windows Firewall.
O commando (","EnableFirewall",0x00010001,0) irá desativar o Firewall do Windows.
A chave que irá ativar ou desativar o comando será o último número, como no exemplo acima (","EnableFirewall",0x00010001,0), o último número zero (0) está desativando o comando On (recommended) (Ativado (recomendável)) do Windows Firewall.
Lembrando que ambas as configurações serão aplicadas para computadores que não estão conectados para uma rede.

Alerta
Use somente essa última configuração em casos específicos, para não comprometer a segurança da sua rede. Faça sempre teste em um laboratório antes de aplicá-lo em um ambiente de produção.

DESATIVANDO AS NOTIFICAÇÕES DO WINDOWS FIREWALL

Por padrão, o Windows Firewall mostra as notificações para os usuários quando um programa não está incluído dentro da lista Exceptions (Exceções) do Windows Firewall, permitindo o usuário adicioná-lo a lista Exceptions (Exceções). Você poderá adicionar algumas entradas no arquivo INF do Windows Firewall, para desabilitar essas notificações dentro de ambos os Profiles (Domain Profile e Standard Profile) do Windows Firewall, evitando que usuários sem experiência possa comprometer a segurança dos computadores e de toda a rede.

Para desativar as notificações por padrão dentro do Domain Profile, adicione a seguinte entrada na seção [ICF.AddReg.DomainProfile] do arquivo INF do Windows Firewall, como mostra o exemplo abaixo:

[ICF.AddReg.DomainProfile]
HKLM,"SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile","DisableNotifications",0x00010001,1

Nota
Dentro da seção [ICF.AddReg.DomainProfile] o conteúdo que irá mudar será o (","DisableNotifications",0x00010001,1), o qual irá desativar as notificações de programas que não estão incluídos dentro da lista Exceptions (Exceções) do Windows Firewall.
A chave que irá ativar ou desativar o comando será sempre o último caractere da expressão, como no exemplo acima (","DisableNotifications",0x00010001,1), o último número um (1) está desativando as notificações de programas que não estão incluídos dentro da lista Exceptions (Exceções) do Windows Firewall, evitando que usuários sem experiência possam comprometer a segurança dos computadores e de toda a rede.
Lembrando que as configurações serão aplicadas para computadores que estão conectados em uma rede ao qual contém um domínio.

Para desativar as notificações por padrão dentro do Standard Profile, adicione a seguinte entrada na seção [ICF.AddReg.StandardProfile] do arquivo INF do Windows Firewall, como mostra o exemplo abaixo:

[ICF.AddReg.StandardProfile]
HKLM,"SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile","DisableNotifications",0x00010001,1

Nota
Dentro da seção [ICF.AddReg.StandardProfile] o conteúdo que irá mudar será o (","DisableNotifications",0x00010001,1), o qual irá desativar as notificações de programas que não estão incluídos dentro da lista Exceptions (Exceções) do Windows Firewall.
A chave que irá ativar ou desativar o comando será sempre o último caractere da expressão, como no exemplo acima (","DisableNotifications",0x00010001,1), o último número um (1) está desativando as notificações de programas que não estão incluídos dentro da lista Exceptions (Exceções) do Windows Firewall, evitando que usuários sem experiência possam comprometer a segurança dos computadores e de toda a rede.
Lembrando que as configurações serão aplicadas para computadores que não estão conectados para uma rede.

BLOQUEANDO RESPOSTAS UNICAST PARA PACOTES MULTICAT E BROADCAST

Por padrão, o Windows Firewall permite resposta de pacotes unicast de entrada para uma porta por 3 segundos após um pacote multicast ou broadcast ser enviado para a porta. Adicionando as entradas apropriadas dentro do arquivo INF do Windows Firewall, você poderá desativar esse comportamento em ambos os Profiles (Domain Profile e Standard Profile) do Windows Firewall.

Para bloquear respostas unicast para pacotes multicast e broadcast por padrão dentro do Domain Profile, adicione a seguinte entrada para a seção [ICF.AddReg.DomainProfile] do arquivo INF do Windows Firewall, como mostra o exemplo abaixo:

[ICF.AddReg.DomainProfile]
lSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile","DisableUnicastResponsesToMulticastBroadcast",0x00010001,1

Nota
Dentro da seção [ICF.AddReg.DomainProfile] o conteúdo que irá mudar será o (","DisableUnicastResponsesToMulticastBroadcast",0x00010001,1), o qual irá bloquear respostas unicast para pacotes multicast e broacast.
A chave que irá ativar ou desativar o comando será sempre o último caractere da expressão, como no exemplo acima (","DisableUnicastResponsesToMulticastBroadcast",0x00010001,1), o último número um (1) está bloqueando respostas unicast para pacotes multicast e broacast.
Lembrando que as configurações serão aplicadas para computadores que estão conectados em uma rede ao qual contém um domínio.

Para bloquear respostas unicast para pacotes multicast e broadcast por padrão dentro do Standard Profile, adicione a seguinte entrada para a seção [ICF.AddReg.StandardProfile] do arquivo INF do Windows Firewall, como mostra o exemplo abaixo:

[ICF.AddReg.StandardProfile]
HKLM,"SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile","DisableUnicastResponsesToMulticastBroadcast",0x00010001,1

Nota
Dentro da seção [ICF.AddReg.StandardProfile] o conteúdo que irá mudar será o (","DisableUnicastResponsesToMulticastBroadcast",0x00010001,1), o qual irá bloquear respostas unicast para pacotes multicast e broacast.
A chave que irá ativar ou desativar o comando será sempre o último caractere da expressão, como no exemplo acima (","DisableUnicastResponsesToMulticastBroadcast",0x00010001,1), o último número um (1) está bloqueando respostas unicast para pacotes multicast e broacast.
Lembrando que as configurações serão aplicadas para computadores que não estão conectados para uma rede.

ATIVANDO ADMINISTRAÇÃO REMOTA

O Windows Firewall inclui a opção de Administração Remota o qual altera a configuração para permitir a comunicação RPC (Remote Procedure Call) e DCOM (Distributed Component Object Model). Ativando essa opção de forma estática abre as portas TCP 135 e TCP 445 para tráfico de entrada não solicitado. Adicionando as entradas apropriadas para o arquivo INF do Windows Firewall, a opção de Administração Remota pode ser ativada sobre ambos os Profiles (Domain Profile e Standard Profile) do Windows Firewall.

Para ativar a Administração Remota dentro do Domain Profile, adicione a seguinte entrada para a seção [ICF.AddReg.DomainProfile] do arquivo INF do Windows Firewall, como mostra o exemplo abaixo:

[ICF.AddReg.DomainProfile]
HKLM,"SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\RemoteAdminSettings","Enabled",0x00010001,1

Nota
Dentro da seção [ICF.AddReg.DomainProfile] o conteúdo que irá mudar será o (\RemoteAdminSettings","Enabled",0x00010001,1), o qual irá ativar a administração remota.
A chave que irá ativar ou desativar o comando será sempre o último caractere da expressão, como no exemplo acima (\RemoteAdminSettings","Enabled",0x00010001,1), o último número um (1) está ativando a administração remota.
Lembrando que as configurações serão aplicadas para computadores que estão conectados em uma rede ao qual contém um domínio.

Para ativar a Administração Remota dentro do Standard Profile, adicione a seguinte entrada para a seção [ICF.AddReg.StandardProfile] do arquivo INF do Windows Firewall, como mostra o exemplo abaixo:

[ICF.AddReg.StandardProfile]
HKLM,"SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\RemoteAdminSettings","Enabled",0x00010001,1

Nota
Dentro da seção [ICF.AddReg.StandardProfile] o conteúdo que irá mudar será o (\RemoteAdminSettings","Enabled",0x00010001,1), o qual irá ativar a administração remota.
A chave que irá ativar ou desativar o comando será sempre o último caractere da expressão, como no exemplo acima (\RemoteAdminSettings","Enabled",0x00010001,1), o último número um (1) está ativando a administração remota.
Lembrando que as configurações serão aplicadas para computadores que não estão conectados para uma rede.

ADICIONANDO PORTAS ESTÁTICAS PARA LISTA EXCEPTIONS (EXCEÇÕES) DO WINDOWS FIREWALL

No Windows XP SP2, o Windows Firewall mantém uma lista de exceções para cada um dos dois profiles. Quando operando no modo operacional, o Windows Firewall abre de forma estática as portas que estão incluídas dentro da lista Exceptions (Exceções) do profile atual. É recomendável que os programas sejam adicionados para lista Exceptions (Exceções), em vez de adicionar as portas manualmente para serem abertas. Isto permite para o Windows Firewall abrir e fechar dinamicamente as portas e manter um número mínimo de portas abertas todo tempo. No entanto, existem cenários nos quais as portas precisam estar abertas de forma estática. Por exemplo, uma porta estática talvez precise estar aberta para um serviço do Windows para receber tráfico de entrada não solicitado. Para suportar esse tipo de cenário, adicione portas estáticas para ambas as listas Exceptions (Exceções) do Windows Firewall através do arquivo INF.

Para adicionar uma porta estática para a lista Exceptions (Exceções) do Domain Profile, adicione a seguinte entrada para a seção [ICF.AddReg.DomainProfile] do arquivo INF do Windows Firewall, como mostra o exemplo abaixo:

[ICF.AddReg.DomainProfile]
HKLM,"SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List","port number:protocol",0x00000000,"port number:protocol:scope:mode:port’s friendly name"

Nota
Dentro da seção [ICF.AddReg.DomainProfile] o conteúdo que irá mudar será o (\GloballyOpenPorts\List","port number:protocol",0x00000000,"port number:protocol:scope:mode:port’s friendly name"), o qual irá adicionar uma porta estática para lista Exceptions (Exceções).
Lembrando que as configurações serão aplicadas para computadores que estão conectados em uma rede ao qual contém um domínio.

Para adicionar uma porta estática para a lista Exceptions (Exceções) do Standard Profile, adicione a seguinte entrada para a seção [ICF.AddReg.StandardProfile] do arquivo INF do Windows Firewall, como mostra o exemplo abaixo:

[ICF.AddReg.StandardProfile]
HKLM,"SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List","port number:protocol",0x00000000,"port number:protocol:scope:mode:port’s friendly name"

Nota
Dentro da seção [ICF.AddReg.StandardProfile] o conteúdo que irá mudar será o (\GloballyOpenPorts\List","port number:protocol",0x00000000,"port number:protocol:scope:mode:port’s friendly name"), o qual irá adicionar uma porta estática para lista Exceptions (Exceções).
Lembrando que as configurações serão aplicadas para computadores que não estão conectados para uma rede.

Dentro das duas seções acima, os seguintes elementos devem ser definidos baseado sobre a porta a ser adicionada para lista Exceptions (Exceções) do Windows Firewall e seu comportamento desejado:

Port number – Uma porta especificada pela combinação de um protocolo e número de porta. O número de porta deve estar entre 1 e 65535.

Protocol – Uma porta especificada pela combinação de um protocolo e número de porta. O protocolo deve ser TCP ou UDP.

Scope – Permite um valor para o escopo. Para todos os endereços IP use (*) e para sub-rede local use (LocalSubnet).

Mode – Uma entrada pode ser adicionada para a lista Exceptions (Exceções) do Windows Firewall como enabled (ativada) ou disabled (desativa). Se uma porta estiver como enabled (ativada), a porta deverá ser aberta de forma estática no Windows Firewall. Se a porta estiver como disabled (desativa), a porta não será aberta de forma estática no Windows Firewall.

Port’s friendly name – Essa é a descrição a qual é usada para representar a entrada dentro da lista Exceptions (Exceções) do Windows Firewall. É recomendável que você forneça uma indicação de qual porta está sendo aberta de forma estática, como por exemplo, "Web Server (TCP 80)" ou "Telnet Server (TCP 23)".

ADICIONANDO PROGRAMAS PARA LISTA EXCEPTIONS (EXCEÇÕES) DO WINDOWS FIREWALL

No Windows XP SP2, o Windows Firewall mantém uma lista de exceções para cada um dos dois profiles. Quando operando no modo operacional, o Windows Firewall abre dinamicamente as portas usadas pelos programas que estão dentro da lista Exceptions (Exceções) do profile atual. O arquivo INF do Windows Firewall pode ser usado para adicionar os programas para ambas as listas Exceptions (Exceções) do Windows Firewall. Somente programas que requer tráfico de entrada não solicitado atualmente devem ser adicionados para lista Exceptions (Exceções); não há nenhum beneficio em adicionar os programas que somente usam conexões de saída para lista Exceptions (Exceções).

Para adicionar um programa para lista Exceptions (Exceções) do Domain Profile, adicione a seguinte entrada para a seção [ICF.AddReg.DomainProfile] do arquivo INF do Windows Firewall, como mostra o exemplo abaixo:

[ICF.AddReg.DomainProfile]
HKLM,"SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List","program’s image path",0x00000000,”program’s image path:scope:mode:program’s friendly name”

Nota
Dentro da seção [ICF.AddReg.DomainProfile] o conteúdo que irá mudar será o (\AuthorizedApplications\List","program’s image path",0x00000000,”program’s image path:scope:mode:program’s friendly name”), o qual irá adicionar um programa para lista Exceptions (Exceções).
Lembrando que as configurações serão aplicadas para computadores que estão conectados em uma rede ao qual contém um domínio.

Para adicionar um programa para lista Exceptions (Exceções) do Standard Profile, adicione a seguinte entrada para a seção [ICF.AddReg.StandardProfile] do arquivo INF do Windows Firewall, como mostra o exemplo abaixo:

[ICF.AddReg.StandardProfile]
HKLM,"SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List","program’s image path",0x00000000, ”program’s image path:scope:mode:program’s friendly name”

Nota
Dentro da seção [ICF.AddReg.StandardProfile] o conteúdo que irá mudar será o (\AuthorizedApplications\List","program’s image path",0x00000000,”program’s image path:scope:mode:program’s friendly name”), o qual irá adicionar um programa para lista Exceptions (Exceções).
Lembrando que as configurações serão aplicadas para computadores que não estão conectados para uma rede.

Dentro das duas seções acima, os seguintes elementos devem ser definidos baseado sobre o programa a ser adicionada para lista Exceptions (Exceções) do Windows Firewall e seu comportamento desejado:

Program’s image path –Esse é o caminho complete para o arquivo executável do programa que será adicionado na lista Exceptions (Exceções) do Windows Firewall. Você poderá incluir variáveis de ambiente, como por exemplo, %ProgramFiles%.

Scope –Permite um valor para o escopo. Para todos os endereços IP use (*) e para sub-rede local use (LocalSubnet).

Mode –Uma entrada pode ser adicionada para a lista Exceptions (Exceções) do Windows Firewall como enabled (ativada) ou disabled (desativa). Se um programa estiver como enabled (ativada), as portas são dinamicamente abertas pelo Windows Firewall para o programa enquanto ele estiver aberto. Se um programa estiver como disabled (desativa), as portas não serão abertas dinamicamente no Windows Firewall.

Program’s friendly name –Essa é a descrição a qual é usada para representar a entrada dentro da lista Exceptions (Exceções) do Windows Firewall. É recomendável que você forneça o nome do produto, como por exemplo, MSN Messenger v6.2 ou AOL Instant Messenger v5.5.

SUBSTITUINDO O ARQUIVO DE CONFIGURAÇÃO PADRÃO DO WINDOWS FIREWALL POR UM PERSONALIZADO

Após ter feito todas as modificações necessárias chegou à hora de substituir o arquivo de configuração padrão do Windows Firewall por um personalizado. Você poderá substituir o arquivo INF de todas as máquinas da sua rede ou somente algumas em especifico, isso fica ao seu critério e sua necessidade.

Usando um script copie o arquivo personalizado para as estações clientes, e em seguida, no mesmo script use o comando netsh firewall reset. Esse comando irá remover todas as configurações feitas nos Firewall´s dos clientes atualmente e irá aplicar as configurações que foram personalizadas através do arquivo Netfw.inf.

Nota
O método que você usará para implementar essas modificações poderá ser outro de sua escolha, desde que você tenha feito os devidos testes em laboratório e tenha certeza de que está funcionando conforme o desejado.

# LUCIANO DE LIMA #
MCP + MCSA + MCSE + MVP
www.guiamcse.com.br

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
Mostrar:
© 2014 Microsoft