Exportar (0) Imprimir
Expandir Tudo

Ajuda: noções básicas sobre exceções do Firewall do Windows

Noções básicas sobre exceções do Firewall do Windows

Ao ativar pela primeira vez o Firewall do Windows ou restaurar suas configurações padrão, todo o tráfego não solicitado de entrada será bloqueado em todas as conexões da rede. Logo, qualquer programa ou serviço do sistema que tentar ouvir o tráfego em uma porta TCP ou UDP não conseguirá receber tráfego da rede. Para permitir que programas e serviços do sistema recebam tráfego não solicitado por essas portas, é necessário adicionar o programa ou serviço do sistema à lista de exceções do Firewall do Windows, ou então determinar qual(is) port(as) o programa ou serviço do sistema utilizará e adicionar a(s) port(as) à lista de exceções do Firewall do Windows. Adicionar programas, serviços do sistema e portas à lista de exceções é a maneira mais comum de controlar qual tráfego está autorizado a passar pelo Firewall do Windows.

Observação

Você também pode controlar qual tráfego está autorizado a passar pelo Firewall do Windows se definir a configuração de Diretiva de Grupo no Firewall do Windows: permitir que o IPSec autenticado seja ignorado. Porém esse método não é de uso comum para controlar o tráfego que passa pelo Firewall do Windows.

Configurando exceções

Você pode adicionar exceções à lista de exceções do Firewall do Windows em base global ou por conexão. As exceções globais aplicam-se a todas as conexões na rede em um computador, inclusive as novas conexões que você criar. O método recomendado para configurar as exceções ao Firewall do Windows é usar o ASC (Assistente de Configuração de Segurança). Você também pode adicionar exceções globais para programas, serviços do sistema e portas à lista de exceções do Firewall do Windows utilizando a guia Exceções no Firewall do Windows, no Painel de Controle. Também é possível adicionar exceções globais a programas, serviços do sistema e portas utilizando os comandos netsh firewall e as configurações da Diretiva de Grupo do Firewall do Windows. As exceções por conexão são aplicadas a determinadas conexões da rede. Você pode adicionar exceções por conexão para serviços do sistema e portas configurando Configurações de Conexão de Rede na guia Avançada do Firewall do Windows, no Painel de Controle, e utilizando os comandos netsh firewall set portopening e netsh firewall set icmpsettings. Você não pode configurar exceções por conexão utilizando as configurações da Diretiva de Grupo do Firewall do Windows.

Você também pode configurar exceções habilitando ou desabilitando as exceções preconfiguradas do Firewall do Windows utilizando a guia Exceções do Firewall do Windows, no Painel de Controle, os comandos netsh firewall set ou as configurações da Diretiva de Grupo do Firewall do Windows. A tabela a seguir lista as exceções preconfiguradas, todas já desabilitadas por padrão:

 

Exceção Descrição

Compartilhamento de Arquivo e Impressora

Abre as portas TCP 139 e 445 e as portas UDP 137 e 138. Permite que o computador receba tráfego não solicitado para arquivos, pastas e impressoras compartilhados.

Área de Trabalho Remota

Abre a porta TCP 3389. Permite administrar remotamente um computador com o uso da Conexão da Área de Trabalho Remota.

Estrutura UPnP

Abre a porta TCP 2869 e a porta UDP 1900. Permite que o computador receba solicitações de descoberta UPnP de outros computadores e dispositivos.

Administração remota

Abre as portas TCP 135 e 445. Permite que Svchost.exe e Lsass.exe recebam tráfego externo não solicitado e que os serviços hospedados abram mais portas, atribuídas dinamicamente, geralmente na faixa de 1024 a 1034. Permite que um computador seja administrado remotamente por ferramentas administrativas como o Microsoft Management Console (MMC) e a WMI (instrumentação de gerenciamento do Windows).

ICMP

Inclui um conjunto de exceções do Protocolo ICMP (Internet Control Message Protocol). As exceções ICMP permitem que você controle como um computador responde e envia mensagens ICMP, incluindo mensagens usadas pelo comando ping.

Observação

Você pode configurar, de forma programada, as exceções do Firewall do Windows utilizando a API (interface de programação de aplicativo) do Firewall do Windows.

Mitigando os riscos associados às exceções

A cada vez que você adiciona um programa, serviço do sistema ou porta à lista de exceções, o computador fica mais vulnerável a um ataque. Um ataque comum a redes usa um software de varredura de portas para identificar quais computadores têm portas abertas e desprotegidas. Ao adicionar vários programas, serviços do sistema e portas à lista de exceções, você invalida a finalidade de um firewall e aumenta a superfície atacável de seu computador. Este problema geralmente ocorre ao configurar um servidor para diversos papéis diferentes, e você tem de abrir várias portas para acomodar cada papel dos servidores. Você deve avaliar cuidadosamente o design de qualquer servidor que exija que você abra muitas portas. Os servidores configurados para diversos papéis ou configurados para prover diversos serviços podem ser um ponto crítico de falha na organização e geralmente indicam uma infra-estrutura mal projetada.

Para ajudar a diminuir o risco de segurança, siga estas diretrizes:

Só crie uma exceção onde for necessário

Se julgar que um programa ou serviço do sistema pode exigir uma porta para tráfego de entrada não solicitado, não adicione o programa ou serviço do sistema à lista de exceções até verificar se o programa ou serviço do sistema tentou ouvir tráfego não solicitado. Por padrão, o Firewall do Windows avisa quando um programa tenta ouvir tráfego não solicitado. Você também pode usar o log de eventos de segurança para determinar se um serviço do sistema tentou ouvir tráfego não solicitado.

Nunca permita a exceção de um programa que você não conhece

Se o Firewall do Windows informar que um programa tentou ouvir tráfego não solicitado, verifique o nome do programa e do arquivo executável (.exe) antes de adicionar o programa à lista de exceções. Da mesma forma, se usar o log de eventos de segurança para identificar serviços do sistema que tentaram ouvir tráfego não solicitado, verifique se o serviço é um serviço de sistema legítimo antes de adicionar uma porta à lista de exceções para o serviço do sistema.

Remova uma exceção quando você não precisar mais dela

Se você adicionar um programa, serviço do sistema ou porta à lista de exceções em um servidor, e tentar alterar o papel do servidor ou reconfigurar os serviços e aplicativos no servidor, atualize a lista de exceções e remova todas as exceções desnecessárias.

Práticas recomendadas para criar exceções

Além das diretrizes gerais para a administração de exceções, use as seguintes práticas recomendadas ao adicionar um programa, serviço do sistema ou porta à lista de exceções.

Adicionando programas

Sempre tente adicionar à lista de exceções um programa (arquivo .exe) ou um serviço do sistema executado em um arquivo .exe, antes de tentar adicionar uma porta. Ao adicionar um programa à lista de exceções, o Firewall do Windows abre dinamicamente as portas necessárias para o programa. Durante a execução de um programa, o Firewall do Windows permite a entrada de tráfego pelas portas necessárias; quando o programa não está sendo executado, o Firewall do Windows bloqueia todo o tráfego de entrada enviado às portas.

Adicionando serviços do sistema

Não adicione serviços do sistema à lista de exceções se o serviço do sistema é executado dentro de Svchost.exe. Adicionar Svchost.exe à lista de exceções permite que qualquer serviço do sistema executado dentro de qualquer instância de Svchost.exe receba tráfego de entrada não solicitado. Você só deve adicionar serviços do sistema à lista de exceções se o serviço do sistema for executado a partir de um arquivo .exe ou você puder ativar uma exceção preconfigurada de serviço do sistema no Firewall do Windows, como a exceção Estrutura UPnP ou a exceção Compartilhamento de Arquivos e Impressoras.

Adicionando portas

Você só deve adicionar uma porta à lista de exceções como último recurso. Ao adicionar uma porta à lista de exceções, o Firewall do Windows permite o tráfego de entrada naquela porta, independentemente de haver um programa ou serviço do sistema ouvindo a porta para o tráfego de entrada.

Consulte também

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários

Contribuições da comunidade

Mostrar:
© 2014 Microsoft