Exportar (0) Imprimir
Expandir Todos

Firewall do Windows no Windows Server 2003 Service Pack 1

Qual a função do Firewall do Windows?

O Firewall do Windows (anteriormente denominado ICF ou Internet Connection Firewall - Firewall de Ligação à Internet) é um firewall de filtragem com estado, baseado em software, para o Microsoft Windows XP e Microsoft Windows Server 2003. O Firewall do Windows fornece protecção para os computadores ligados a uma rede, impedindo tráfego a receber não solicitado através de TCP/IP versão 4 (IPv4) e TCP/IP versão 6 (IPv6). As opções de configuração incluem:

  • Configurar e activar excepções baseadas nas portas
  • Configurar e activar excepções baseadas nos programas
  • Configurar opções básicas de ICMP
  • Registar pacotes ignorados e ligações com êxito

O Firewall do Windows no Windows Server 2003 Service Pack 1 não é activado por predefinição quando a actualização é aplicada ao servidor. Só será activado nas seguintes situações:

  • Se a Partilha de Ligação à Internet tiver sido activada anteriormente.
  • Se o Firewall de Ligação à Internet tiver sido activado anteriormente.
  • Se o servidor for uma nova instalação do Windows Server 2003 com Service Pack 1 (também conhecida por instalação integrada).

Os melhores recursos para ajudá-lo a compreender totalmente o funcionamento do Firewall do Windows Firewall e como pode ser utilizado no ambiente são as Informações sobre o Firewall do Windows e os tópicos de Ajuda no Web site Windows Server 2003 Tech Center em http://go.microsoft.com/fwlink/?LinkId=48911 e o Windows Firewall Operations Guide no Web site Windows Server 2003 TechCenter em http://go.microsoft.com/fwlink/?LinkId=48912.

noteNota
Se decidir utilizar o Firewall do Windows com o servidor, recomenda-se vivamente que reinicie os servidores depois de activar e configurar o firewall. O Firewall do Windows no Windows Server 2003 com Service Pack 1 já suporta as excepções e necessidades das aplicações para manter o estado das mesmas. Consequentemente, quaisquer aplicações ou serviços adicionados à lista de excepções do firewall que estivessem em execução antes de o firewall ser iniciado continuarão a falhar. Uma vez reiniciado o servidor, o firewall estará em execução antes de qualquer uma das aplicações da lista de excepções e poderá manter com êxito o estado das aplicações e processá-los correctamente.

A quem se aplica esta função?

Esta função aplica-se a:

  • Todos os computadores ligados a uma rede, incluindo a Internet.
  • Todos os programas (aplicações e serviços) que escutem na rede.
  • Todos os programas que não funcionam com filtragem com estado.

Que nova funcionalidade foi adicionada a esta função no Windows Server 2003 Service Pack 1?

Integração do Firewall de Ligação à Internet e do Firewall de Ligação à Internet IPv6 no Firewall do Windows

Descrição detalhada

A versão do Firewall de Ligação à Internet introduzida com o Windows XP só filtrava tráfego de IPv4. O Firewall de Ligação à Internet IPv6 foi introduzido com o Advanced Networking Pack for Windows XP. Com o Windows Server 2003 Service Pack 1, o Firewall de Ligação à Internet e o Firewall de Ligação à Internet IPv6 estão integrados num único componente denominado Firewall do Windows.

Com esta modificação, qualquer alteração à configuração é aplicada tanto ao tráfego do IPv4 como do IPv6. Por exemplo, quando uma porta estática é aberta, é aberta para o tráfego do IPv4 e do IPv6.

Porque é que esta alteração é importante?

Esta alteração facilita a gestão da configuração e a compatibilidade das aplicações.

O que funciona de maneira diferente?

O serviço Firewall de Ligação à Internet foi removido do sistema e substituído pelo serviço Firewall do Windows, que filtra o tráfego tanto do IPv4 como do IPv6. As APIs de firewall foram integralmente substituídas pelas novas APIs disponibilizadas com o Windows Server 2003 Service Pack 1.

Como posso resolver estes problemas?

Para mais informações, consulte "Necessito de alterar o código para funcionar com o Windows Server 2003 Service Pack 1?", posteriormente neste documento.

Activado por predefinição para as novas instalações do Windows Server 2003 que incluam um service pack

Descrição detalhada

O Firewall do Windows é activado por predefinição durante as novas instalações do Windows Server 2003 que incluam um service pack (também conhecidas por versões integradas). Através da nova função Actualizações de Segurança Pós-configuração, o Firewall do Windows fornece protecção na rede enquanto os utilizadores actualizam o sistema com os patches mais recentes. Assim que as actualizações terminarem, o firewall é desactivado, a menos que tenha sido activado explicitamente.

Se um servidor com o Windows Server 2003 for actualizado para uma nova versão ou para o Service Pack 1, por predefinição o firewall é desactivado e a funcionalidade Actualizações de Segurança Pós-configuração não é utilizada.

Porque é que esta alteração é importante? Que ameaças ajuda a atenuar?

Ao activar o Firewall do Windows por predefinição em novas instalações, o computador fica mais protegido contra muitos dos ataques baseados na rede durante a instalação e configuração. Por exemplo, se o Firewall do Windows tiver sido activado por predefinição, o ataque de MSBlaster teria tido um impacto muito menor, independentemente de os utilizadores terem instalado as actualizações relevantes nos computadores.

O que funciona de maneira diferente?

Após uma nova instalação de uma versão integrada do Windows Server 2003 com Service Pack 1, o Firewall do Windows fica activado por predefinição e o tráfego a receber fica bloqueado até as Actualizações de Segurança Pós-configuração serem concluídas. Isto pode originar incompatibilidade de aplicações ou serviços se, por predefinição, a aplicação ou o serviço não funcionar com filtragem com estado.

Como posso resolver estes problemas?

Conclua a função Actualizações de Segurança Pós-configuração, que desactivará automaticamente o firewall, antes de continuar com qualquer outra tarefa de configuração do servidor.

Também é possível configurar o firewall para trabalhar com aplicações ou serviços necessários, se só quiser concluir a função Actualizações de Segurança Pós-configuração posteriormente.

Configuração com o Assistente de Configuração de Segurança

Descrição detalhada

O método recomendado de activação do Firewall do Windows e de execução da respectiva configuração inicial para Windows Server 2003 com Service Pack 1 consiste em utilizar o SCW (Security Configuration Wizard, Assistente de Configuração de Segurança). O SCW activará automaticamente o Firewall do Windows e criará as definições apropriadas com base nas necessidades do servidor. Para mais informações sobre o SCW, consulte "Assistente de Configuração de Segurança", posteriormente neste documento.

Porque é que esta alteração é importante?

Alguns componentes de servidor e aplicações não devem ser utilizados com o Firewall do Windows ou devem ser utilizados em configurações muito específicas. O SCW foi concebido de maneira a ajudá-lo a determinar as definições recomendadas para o Firewall do Windows com base no ambiente em questão.

Segurança no tempo do arranque

Descrição detalhada

Nas versões anteriores do Windows, existe um período de tempo entre o momento em que a pilha de rede é iniciada e o momento em que o Firewall de Ligação à Internet fornece protecção. Deste modo, é possível que um pacote seja recebido e entregue a um serviço sem que o Firewall de Ligação à Internet forneça filtragem, tornando o computador potencialmente vulnerável. Isto devia-se ao facto de o controlador do firewall só começar a filtrar quando o serviço de firewall em modo de utilizador estivesse carregado e tivesse aplicado as definições de política adequadas. O serviço de firewall tem um número de dependências, o que faz com que o serviço aguarde que essas mesmas dependências cessem para enviar a política para o controlador. Este período de tempo baseia-se na velocidade do computador.

No Windows Server 2003 Service Pack 1, os controladores de firewall IPv4 e IPv6 têm uma regra estática para executar a filtragem com estado. Esta regra estática denomina-se política de tempo do arranque. Permite ao computador executar funções básicas de rede, tais como DNS e DHCP, e comunicar com um controlador de domínio para obter as definições de política. Depois de o Firewall do Windows estar em execução, o serviço carrega e aplica as definições da política de tempo de execução. Não é possível configurar a política de tempo do arranque.

Não haverá qualquer tipo de segurança no tempo do arranque se o serviço Firewall do Windows (listado como Firewall do Windows/Partilha de Ligação à Internet (ICS) no Gestor de Controlo de Serviços) for definido como Manual ou Desactivado.

Porque é que esta alteração é importante? Que ameaças ajuda a atenuar?

Com esta alteração, o computador fica sujeito a menos ataques durante o arranque e o encerramento.

O que funciona de maneira diferente?

Se a inicialização do serviço Firewall do Windows falhar, a segurança no tempo do arranque continua em vigor. Isto significa que todas as ligações de entrada são bloqueadas. Neste caso, um administrador não conseguirá resolver o problema remotamente, porque todas as portas estarão fechadas, incluindo a porta utilizada pelo Ambiente de Trabalho Remoto.

Se um serviço tentar iniciar antes do serviço de firewall, poderá ocorrer uma condição de execução concorrente ("race condition"). Se um serviço necessário for bloqueado por esta condição, terá de desactivar o Firewall do Windows.

Como posso resolver estes problemas?

Para desactivar a segurança no tempo do arranque, pare o serviço Firewall do Windows/ICS (Internet Connection Sharing/Partilha de Ligação à Internet) e defina o respectivo tipo de arranque como Manual ou Desactivado.

Se o computador se encontrar no modo de segurança no tempo do arranque porque o serviço de firewall não foi iniciado, o administrador terá de iniciar sessão no computador, resolver a causa da falha e, em seguida, iniciar manualmente o serviço de firewall.

Executar em modo de segurança (Firewall em modo de segurança)

Descrição detalhada

O estado do firewall é mantido quando o servidor é iniciado em modo de segurança.

Porque é que esta alteração é importante?

Com esta alteração, o computador fica menos vulnerável a ataques quando é iniciado em modo de segurança com ligação à rede.

O que funciona de maneira diferente?

Nas versões anteriores, o Firewall de Ligação à Internet não estava disponível quando era executado em modo de segurança.

Configuração global

Descrição detalhada

Nas versões anteriores do Windows, o Firewall de Ligação à Internet era configurado interface a interface. Isto significava que cada ligação de rede tinha o seu próprio conjunto de definições de firewall, por exemplo, um conjunto de definições para redes sem fios, outro conjunto de definições para redes Ethernet. Isto dificultava a sincronização das definições do firewall entre ligações. Além disso, as novas ligações não teriam nenhuma das alterações de configuração aplicadas anteriormente às ligações existentes. Não era possível proteger as ligações de rede não padrão, como as criadas por marcadores proprietários (por exemplo, ligações de acesso telefónico à rede configuradas por ISP).

Com a configuração global no Firewall do Windows, sempre que ocorre uma alteração de configuração, é aplicada automaticamente a todas as ligações de rede na pasta Ligações de Rede, assim como a marcadores sem ser da Microsoft. Quando são criadas novas ligações, a configuração é igualmente aplicada às mesmas. Continua a ser possível efectuar a configuração interface a interface. Para as ligações de rede não padrão só está disponível a configuração global. As alterações de configuração também se aplicam ao IPv4 e ao IPv6.

Porque é que esta alteração é importante?

Uma configuração global facilita aos utilizadores a tarefa de gerir a sua política de firewall em todas as ligações de rede e permite a configuração através da Política de Grupo. Permite igualmente definir as aplicações de modo a que funcionem em qualquer interface com uma única opção de configuração.

O que funciona de maneira diferente?

Nas versões anteriores do Windows Server, a configuração do firewall do Windows era efectuada interface a interface. No Windows Server 2003 Service Pack 1, a configuração é global e aplica-se ao IPv4 e ao IPv6.

Como posso resolver estes problemas?

Se a sua aplicação ou serviço requer aberturas estáticas para funcionar, deve abrir as portas globalmente, conforme é descrito posteriormente neste tópico em "Necessito de alterar o código para funcionar com o Windows Server 2003 Service Pack 1?"

Registo de auditoria

Descrição detalhada

O Registo de Auditoria permite controlar as alterações efectuadas às definições do Firewall do Windows e ver que aplicações e serviços pediram ao computador para escutar numa porta. Uma vez activado o registo de auditoria, os eventos de auditoria serão registados no registo de eventos de segurança. O registo de auditoria pode ser activado nos computadores cliente com o Windows XP Service Pack 2 e nos servidores com Windows Server 2003 Service Pack 1. Pode utilizar o seguinte procedimento para activar o registo de auditoria no computador.

Para activar o registo de auditoria
  1. Inicie sessão utilizando uma conta de administrador local.

  2. Clique em Iniciar, em Painel de Controlo e, em seguida, em Ferramentas Administrativas.

  3. Em Ferramentas Administrativas, faça duplo clique em Política de Segurança Local para abrir a consola Definições da Segurança Local.

  4. Na árvore da consola Definições da Segurança Local, clique em Políticas Locais e, em seguida, clique em Política de Auditoria.

  5. No painel de detalhes da consola Definições da Segurança Local, faça duplo clique em Auditar a alteração de políticas. Seleccione Êxito e Falha e, em seguida, clique em OK.

  6. No painel de detalhes da consola Definições da Segurança Local, faça duplo clique em Auditar o rastreio de processos. Seleccione Êxito e Falha e, em seguida, clique em OK.

Também pode activar o registo de auditoria para vários computadores num domínio de serviço de directório do Active Directory através da Política de Grupo modificando as definições Auditar a alteração de políticas e Auditar o rastreio de processos em Configuração do Computador\Definições do Windows\Definições de Segurança\Políticas Locais\Política de Auditoria para os objectos da Política de Grupo nos contentores de sistema do domínio apropriado.

Após a activação do registo de auditoria, pode utilizar o snap-in Visualizador de Eventos para ver os eventos de auditoria no registo de eventos de segurança.

O Firewall do Windows utiliza os seguintes IDs de evento:

  • 848 - Apresenta a configuração de arranque do Firewall do Windows.
  • 849 - Apresenta a configuração de excepção de uma aplicação.
  • 850 - Apresenta a configuração de excepção de uma porta.
  • 851 - Apresenta uma alteração efectuada à lista de excepções da aplicação.
  • 852 - Apresenta uma alteração efectuada à lista de excepções da porta.
  • 853 - Apresenta uma alteração efectuada ao modo de funcionamento do Firewall do Windows.
  • 854 - Apresenta uma alteração efectuada às definições de registo do Firewall do Windows.
  • 855 - Apresenta uma alteração efectuada às definições de ICMP.
  • 856 - Apresenta uma alteração efectuada à definição Proibir resposta unicast a pedidos de multicast ou difusão.
  • 857 - Apresenta uma alteração efectuada à definição Administração Remota.
  • 858 - Apresenta a aplicação das definições da Política de Grupo do Firewall do Windows.
  • 859 - Apresenta a remoção das definições da Política de Grupo do Firewall do Windows.
  • 860 - Apresenta uma alteração efectuada a um perfil diferente.
  • 861 - Apresenta a tentativa de escutar o tráfego a receber por parte de uma aplicação.

Porque é que esta alteração é importante?

A auditoria da actividade do Firewall do Windows faz parte de uma estratégia de defesa detalhada que pode ser utilizada para alertar sobre a utilização de software para a tentativa de modificação das definições do firewall por parte de utilizadores mal intencionados. A auditoria também ajuda normalmente os administradores a determinar as necessidades da rede das aplicações e a conceber uma política adequada para a implementação a um grande número de utilizadores.

Atribuição de âmbito do tráfego para excepções

Descrição detalhada

O ICF permitia que o tráfego de excepções fosse proveniente de qualquer endereço IPv4. Com o Firewall do Windows no Windows Server 2003 com Service Pack 1, também pode configurar uma excepção para apenas permitir tráfego a receber de endereços alcançáveis (acessíveis) directamente, através da selecção da opção de âmbito Apenas a minha rede (sub-rede) (baseada em entradas na tabela de encaminhamento IPv4 e IPv6), ou de intervalos de endereços IPv4 específicos, através da selecção da opção de âmbito Lista personalizada.

Para computadores integrados num grupo de trabalho, por predefinição algumas excepções são restringidas a endereços alcançáveis localmente. Estas excepções são as necessárias para a partilha de ficheiros e impressoras e para a estrutura UPnP. Para além disso, quando estas excepções estão abertas para endereços alcançáveis localmente num anfitrião de ICS (Internet Connection Sharing, Partilha de Ligação à Internet), as excepções não são abertas na interface pública de ICS. Se activar estas excepções para todos os endereços possíveis, as mesmas serão abertas na interface pública de ICS, o que não é recomendado. Quando a excepção incorporada Partilha de Ficheiros e Impressoras está activada com a API (application programming interface, interface de programação de aplicações) NetShare, o Assistente de Configuração de Rede ou através da interface do utilizador do Firewall do Windows, por predefinição, os pedidos de ligação de entrada de partilha de ficheiros e impressoras só podem vir de endereços alcançáveis directamente.

Se estiver a activar o Firewall do Windows num servidor que já está configurado para partilhar ficheiros e impressoras, a excepção Partilha de Ficheiros e Impressoras poderá ser activada automaticamente. É recomendado que aplique a restrição de endereços alcançáveis localmente a qualquer excepção que seja utilizada para comunicar na rede local. É possível fazê-lo de modo programático na linha de comandos através do Netsh Helper do Firewall do Windows ou clicando em Firewall do Windows no Painel de Controlo.

noteNota
Como procedimento recomendado, identifique os âmbitos personalizados com endereços ou sub-redes específicas para as excepções que especificar para o Firewall do Windows. Quando configurar e activar uma excepção, está a indicar ao Firewall do Windows para permitir tráfego de entrada não solicitado específico enviado do âmbito especificado (de qualquer endereço, de um endereço que pode ser alcançado directamente ou de uma lista personalizada). Para qualquer âmbito, a activação de uma excepção torna o computador acessível a ataques com base no tráfego de entrada não solicitado de computadores aos quais estão atribuídos os endereços permitidos e de computadores mal intencionados que falsificam tráfego. Não existe qualquer forma de impedir os ataques de falsificação a partir da Internet em endereços IPv4 públicos atribuídos a ligações excepto se desactivar a excepção. Assim, deve tentar configurar as opções de âmbito de modo a que o número de computadores permitidos para enviar tráfego não solicitado através de uma excepção esteja limitado ao valor mínimo. Este procedimento irá reduzir, mas não eliminar, a probabilidade de um ataque de falsificação. Se a política de segurança da sua empresa exigir que garanta que ninguém externo à rede pode aceder a um recurso, deve considerar a utilização de uma abordagem como IPsec, que suporta autenticação de peers ao nível da rede, autenticação da origem de dados, protecção da integridade dos dados, de confidencialidade dos dados (encriptação) e de reprodução.

Porque é que esta alteração é importante? Que ameaças ajuda a atenuar?

Algumas aplicações só precisam de comunicar com outros computadores na rede local e não com computadores na Internet. A configuração do Firewall do Windows para apenas permitir tráfego a partir de endereços alcançáveis localmente ou de intervalos de endereços específicos correspondentes a sub-redes ligadas localmente restringe o conjunto de endereços a partir dos quais o tráfego a receber não solicitado poderá ser aceite. Isto atenua, mas não elimina, ataques que possam ocorrer para excepções activadas.

O que funciona de maneira diferente?

Quando a excepção incorporada Partilha de Ficheiros e de Impressoras ou Estrutura UPnP é activada através do Painel de Controlo num computador que faz parte de um grupo de trabalho, o âmbito dos endereços alcançáveis localmente é aplicado às portas abertas. Se uma aplicação ou serviço também utilizar estas portas, apenas poderá comunicar com outros nós que tenham atribuídos endereços alcançáveis localmente. Todavia, se o computador pertencer a um domínio, será aplicado o âmbito global.

Se estas excepções forem activadas através de uma chamada API ou da utilização de Netsh.exe em vez de se utilizar o Painel de Controlo, a definição do âmbito predefinida corresponde a endereços alcançáveis localmente, independentemente de o computador ser membro de um grupo de trabalho ou de um domínio.

Como posso resolver estes problemas?

Se a sua aplicação ou serviço não funciona com este tipo de restrição, deve abrir a porta para qualquer computador, conforme é descrito em "Necessito de alterar o código para funcionar com o Windows Server 2003 Service Pack 1?", mais adiante neste documento.

Suporte de linha de comandos

Descrição detalhada

O Netsh Helper do Firewall do Windows foi adicionado ao Windows XP no Advanced Networking Pack. Este programa auxiliar só se aplicava ao Firewall do Windows IPv6. Com o Windows Server 2003 Service Pack 1, a estrutura e sintaxe do programa auxiliar foram alteradas e alargadas para incluir suporte para configurar também o IPv4. Com o Netsh Helper, pode configurar totalmente o Firewall do Windows, incluindo:

  • Configurar o estado predefinido do Firewall do Windows (Desligado, Ligado, Ligado sem excepções)
  • Configure as portas que têm de ser abertas.
  • Configure as portas de modo a permitir o acesso global ou restringir o acesso à sub-rede local.
  • Defina as portas para serem abertas em todas as interfaces ou apenas numa interface específica.
  • Configurar as opções de registo.
  • Configurar as opções de processamento de ICMP (Internet Control Message Protocol, Protocolo de Mensagens de Controlo da Internet).
  • Configurar e activar excepções baseadas nos programas.

As informações sobre o estado e a configuração do Firewall do Windows podem ser obtidas na linha de comandos através do contexto Netsh.exe. firewall.

Para utilizar este contexto, escreva netsh firewall numa linha de comandos e, em seguida, utilize os comandos Netsh adicionais, conforme necessário.

Os comandos que se seguem são úteis na recolha de informações sobre o estado e a configuração do firewall e podem ser úteis na resolução de problemas relacionados com o funcionamento do firewall:

  • Netsh firewall show state
  • Netsh firewall show config

Os comandos que se seguem podem ser úteis na modificação da configuração do Firewall do Windows.

 

Comando Descrição

add allowedprogram

Utilizado para adicionar tráfego excepcional mediante a especificação do nome de ficheiro do programa.

set allowedprogram

Utilizado para modificar as definições da excepção de um programa permitido existente.

delete allowedprogram

Utilizado para eliminar a excepção de um programa permitido existente.

set icmpsetting

Utilizado para especificar tráfego ICMP permitido.

set logging

Utilizado para especificar opções de registo.

set notifications

Utilizado para especificar se as notificações para o utilizador são activadas quando os programas tentam abrir portas.

set opmode

Utilizado para especificar o modo de funcionamento do Firewall do Windows, em termos globais ou para uma ligação (interface) específica.

add portopening

Utilizado para adicionar tráfego excepcional mediante a especificação de uma porta TCP ou UDP.

set portopening

Utilizado para modificar as definições da excepção de uma porta TCP ou UDP aberta existente.

delete portopening

Utilizado para eliminar a excepção de uma porta TCP ou UDP aberta existente.

set service

Utilizado para activar ou desactivar tráfego RPC e DCOM, Ambiente de Trabalho Remoto, partilha de ficheiros e impressoras e tráfego UPnP.

reset

Repõe a configuração predefinida do firewall. Proporciona a mesma funcionalidade que o botão Restaurar Predefinições em Painel de Controlo/Firewall do Windows.

A tabela que se segue especifica os comandos show suportados para o Firewall do Windows.

 

Comando Descrição

show allowedprogram

Apresenta os programas permitidos.

show config

Apresenta informações detalhadas sobre a configuração local.

show currentprofile

Apresenta o perfil actual.

show icmpsetting

Apresenta as definições de ICMP.

show logging

Apresenta as definições de registo.

show notification settings

Apresenta as definições actuais das notificações.

show opmode

Apresenta o modo operacional para perfis e interfaces.

show portopening

Apresenta as portas excepcionais.

show service

Apresenta as definições de excepção de serviços.

show state

Apresenta as informações sobre o estado actual.

Pode comparar o resultado destes comandos com o resultado do comando netstat –ano para identificar os programas que poderão ter portas de escuta abertas e que não têm excepções correspondentes na configuração do firewall.

Porque é que esta alteração é importante?

A existência de uma interface de linha de comandos permite aos administradores configurar o Firewall do Windows sem utilizar a interface gráfica do utilizador. É possível utilizar a interface da linha de comandos em scripts de início de sessão e na gestão remota.

O que funciona de maneira diferente?

Qualquer script que tenha sido criado com o Netsh Helper disponibilizado com o Advanced Networking Pack for Windows XP já não funciona e necessita de ser actualizado.

Como posso resolver estes problemas?

Actualize os scripts existentes de modo a que incluam o novo contexto e sintaxe do firewall.

Modo operacional de "Ligado sem excepções"

Descrição detalhada

O Firewall do Windows pode ser configurado para que as excepções permitam tráfego a receber não solicitado específico durante a utilização normal. Isto geralmente ocorre porque é necessário activar cenários-chave, como a partilha de ficheiros e impressoras. Se for detectado um problema de segurança num ou vários dos serviços ou aplicações em escuta no computador, poderá ser necessário mudar o computador para um modo apenas do cliente, denominado "Ligado sem excepções". Mudar para este modo de apenas-cliente configura o Firewall do Windows para impedir todo o tráfego a receber não solicitado sem ter de voltar a configurar o firewall.

Neste modo, todas as excepções são temporariamente desactivadas e quaisquer ligações existentes são abandonadas. Qualquer interface de aplicação que faça chamadas para o Firewall do Windows para criar uma excepção é permitida e a configuração pedida do firewall é armazenada, mas não é activada até o modo operacional mudar novamente para o funcionamento normal. Todos os pedidos de escuta levados a cabo pelas aplicações são igualmente ignorados e as caixas de diálogo de notificação não são apresentadas, impedindo efectivamente a aplicação de escutar numa porta enquanto o computador estiver neste modo operacional.

Porque é que esta alteração é importante?

Quando um sistema de rede é atacado por vírus, worms e outros intrusos, o intruso tenta explorar os serviços. O modo operacional “Activar sem excepções” proporciona uma forma de bloquear rapidamente o sistema em caso de ataque de modo a que as excepções válidas não possam ser utilizadas para contornar a protecção fornecida ao computador pelo Firewall do Windows.

O que funciona de maneira diferente?

Neste modo operacional, o computador não pode escutar pedidos que tenham origem na rede. Todas as ligações de entrada existentes são terminadas. As únicas ligações com êxito são as de saída.

Como posso resolver estes problemas?

Neste modo operacional, espera-se que parte da funcionalidade falhe devido à rigorosa segurança de rede em vigor. Pode restaurar a funcionalidade repondo o modo operacional como Ligado. Esta acção só deverá ser executada pelo utilizador depois de identificada e atenuada a ameaça, uma vez que a segurança do computador ficará reduzida.

Excepções baseadas nos programas

Descrição detalhada

Alguns programas (aplicações ou serviços) actuam quer como clientes quer como servidores de rede. Quando actuam como servidores, têm de permitir tráfego a receber não solicitado, pois não sabem previamente quem será o peer.

Nas versões anteriores do Windows, um programa necessitava de chamar as API do firewall para permitir a abertura das portas de escuta necessárias. Isto provou ser difícil em situações peer-to-peer em que a porta não era conhecida com antecedência. Dependia do programa o fecho da porta uma vez concluída a comunicação. Se o programa terminava inesperadamente, isso poderia resultar na existência de portas abertas desnecessárias no firewall.

Um problema adicional do anterior método de abertura de portas de firewall residia no facto de as portas só poderem ser abertas se os programas estivessem a ser executados no contexto de segurança de um administrador local. Isso violava o princípio do privilégio mínimo de segurança de informações básicas, ao exigir que os programas fossem executados num contexto administrativo, ao invés de apenas com os privilégios mínimos necessários.

No Windows Server 2003 with Service Pack 1, um programa que necessita de escutar na rede pode ser adicionado à lista de excepções do Firewall do Windows. Se um programa se encontrar activado na lista de excepções do Firewall do Windows, este abre e fecha de forma automática as portas de escuta necessárias, independentemente do contexto de segurança do programa. Para mais informações sobre como adicionar programas à lista de excepções do Firewall do Windows, consulte "Como posso resolver estes problemas?", posteriormente neste documento.

Os programas que funcionam com filtragem com estado não necessitam de ser colocados na lista de excepções do Firewall do Windows. Apenas os administradores podem adicionar um programa à lista de excepções do Firewall do Windows.

Porque é que esta alteração é importante? Que ameaças ajuda a atenuar?

Quando um programa se encontra na lista de excepções do Firewall do Windows, são abertas apenas as portas necessárias e apenas pelo período de tempo que o programa está a escutar nessas portas.

O que funciona de maneira diferente?

Se um programa necessita de escutar na rede, tem de estar activado na lista de excepções do Firewall do Windows. Caso não esteja, a porta necessária no Firewall do Windows não é aberta e o programa não poderá receber tráfego de entrada não solicitado.

Como posso resolver estes problemas?

Um programa pode ser colocado na lista de excepções do Firewall do Windows de cinco modos diferentes:

  1. Programaticamente. É recomendado que os fabricantes independentes de software (ISV, independent software vendors) coloquem os seus programas na lista de excepções do Firewall do Windows durante a instalação. Para mais informações sobre como adicionar programaticamente um programa à lista de excepções, consulte "Necessito de alterar o código para funcionar com o Windows Server 2003 Service Pack 1?", posteriormente neste documento.
  2. Interface da linha de comandos. Este método pode ser utilizado pelos administradores informáticos que gerem sistemas Windows XP e Windows Server 2003 utilizando scripts ou outras ferramentas da linha de comandos.
  3. Definições da Política de Grupo. Este método pode ser utilizado pelos administradores informáticos para adicionar o programa à lista de excepções através da Política de Grupo.
  4. Mensagem de notificação do Firewall do Windows. Um utilizador com direitos de Administrador pode interagir com a mensagem de notificação do Firewall do Windows e adicionar a aplicação à lista de excepções.
    Quando uma aplicação executa uma escuta de TCP ou vinculação UDP a uma porta não universal, a pilha de rede passa a porta e o nome da aplicação ao Firewall do Windows. O Firewall do Windows procura o nome da aplicação na lista de excepções. Se a aplicação existir na lista de excepções e estiver activada, a porta correspondente é aberta no firewall. Se a aplicação existir na lista de excepções e estiver desactivada, a porta correspondente não será aberta. Se a aplicação não estiver na lista de excepções, os utilizadores terão de escolher uma opção. Se os utilizadores tiverem direitos administrativos, podem:
    • Desbloquear a aplicação para permitir que escute na rede. A aplicação é adicionada à lista de excepções como estando Activada e a porta é aberta.
    • Bloquear a aplicação para que não possa escutar na rede. A aplicação é adicionada à lista de excepções como estando Desactivada e a porta não é aberta.
    • Decidir que lhe seja perguntado novamente mais tarde. A aplicação não é adicionada à lista de excepções e a porta não é aberta.
    Se o utilizador não tiver direitos administrativos, será notificado de que a aplicação não pode escutar na rede e que a excepção do programa tem de ser activada por um Administrador. Se o utilizador seleccionar a caixa de verificação Não voltar a perguntar, a aplicação é adicionada à lista de excepções como estando Desactivada.
    noteNota
    Só é possível utilizar mensagens de notificação com aplicações. Não podem ser utilizadas com serviços.
  5. Configuração manual. Os administradores podem decidir a activação manual de um programa no Firewall do Windows do painel de controlo, seleccionando-o numa lista que é preenchida a partir da lista de programas no menu Iniciar ou procurando o programa.

Vários perfis

Descrição detalhada

O suporte de múltiplos perfis no Firewall do Windows permite criar dois conjuntos de definições de políticas de firewall: um para quando o computador está ligado a uma rede gerida e outro para quando o computador não está. Pode especificar definições que sejam menos estritas quando o computador está ligado à rede da empresa de forma a que as aplicações relativas ao ramo de negócio da empresa funcionem de forma adequada. Também pode ter definições de política de segurança mais agressivas, que serão implementadas quando o computador deixar a rede da empresa, o que ajuda a proteger os utilizadores móveis (itinerantes ou com perfil guardado no servidor).

noteNota
Os vários perfis para o Firewall do Windows só se aplicam a computadores associados a um domínio do Active Directory. Os computadores que fazem parte de um grupo de trabalho utilizam um único perfil.

Porque é que esta alteração é importante? Que ameaças ajuda a atenuar?

Para um computador móvel, é aconselhável ter mais de uma configuração de firewall. Muitas vezes, uma configuração que é segura numa rede empresarial torna-se susceptível a ataques na Internet. Assim, a capacidade de ter portas abertas na rede da empresa e não noutras redes é essencial para garantir que, em qualquer altura, apenas as portas necessárias estão expostas.

O que funciona de maneira diferente?

Se uma aplicação necessita de estar listada na lista de excepções do Firewall do Windows para funcionar correctamente, pode não funcionar em ambas as redes, pois os dois perfis poderão não ter o mesmo conjunto de definições de políticas. Para que uma aplicação funcione em todas as redes, terá de estar listada em ambos os perfis. Para mais informações sobre a lista de excepções do Firewall do Windows, consulte a secção anterior.

Como posso resolver estes problemas?

Se o computador estiver associado a um domínio, deve certificar-se de que a aplicação está listada em ambas as configurações de firewall. Tenha em consideração a criação de excepções através da interface da linha de comandos ou da Política de Grupo, uma vez que só terá acesso ao perfil actualmente em execução através do Firewall do Windows no Painel deControlo.

Suporte de RPC para Serviços do Sistema

Descrição detalhada

Nas versões anteriores do Windows, o Firewall de Ligação à Internet bloqueava as comunicações RPC (remote procedure call, chamada de procedimento remoto). Enquanto o Firewall de Ligação à Internet poderia ser configurado para permitir o tráfego de rede para o Mapeador de Pontos Finais RPC, a porta utilizada pelo servidor RPC era desconhecida e a aplicação falhava na mesma.

Muitas aplicações e componentes empresariais falham se o RPC não estiver autorizado a comunicar na rede. Alguns exemplos incluem (sem limitações):

  • Administração remota, tal como a função Gestão de Computadores e a caixa de diálogo Seleccionar Utilizador, Computadores e Grupos, utilizada por muitas aplicações
  • Configuração remota de WMI (Windows Management Instrumentation)
  • Scripts que gerem clientes e servidores remotos

O RPC abre várias portas expondo, assim, muitos servidores diferentes nessas portas. Em seguida, pede que o Firewall do Windows crie excepções associadas para estas portas. Se o Firewall do Windows estiver configurado para permitir esse tipo de pedido, as portas necessárias serão abertas durante o tempo em que o RPC necessitar da excepção (semelhante a uma excepção do programa).

Porque é que esta alteração é importante? Que ameaças ajuda a atenuar?

Para permitir cenários de administração remota, muitas implementações no âmbito da empresa requerem que os serviços de sistema que utilizam RPC funcionem, por predefinição, com o Firewall do Windows.

O que funciona de maneira diferente?

Por predefinição, o RPC não funciona através do Firewall do Windows. Todos os serviços do sistema que utilizam RPC são afectados. No entanto, é possível configurar o Firewall do Windows de modo a permitir que o RPC funcione para estes serviços utilizando a definição da administração remota. Esta definição também activa excepções para o Mapeador de Pontos Finais RPC (TCP 135), SMB em TCP (TCP 445) e pedidos de eco ICMP.

Como posso resolver estes problemas?

Consulte "Necessito de alterar o código para funcionar com o Windows Server 2003 Service Pack 1?", posteriormente neste documento.

Restaurar predefinições

Descrição detalhada

Antigamente, o utilizador não tinha como repor a configuração do Firewall de Ligação à Internet (ICF). Com o passar do tempo, o firewall podia ser configurado de modo a permitir tráfego a receber não solicitado para portas que já não eram utilizadas por outras aplicações. Isto poderá tornar difícil ao utilizador repor rápida e facilmente a configuração predefinida.

Esta opção permite que o utilizador restaure as predefinições originais do Firewall do Windows. Além disso, as predefinições do Firewall do Windows podem ser modificadas pelos OEM (original equipment manufacturer, fabricante de equipamento original) e pelas empresas, de modo a fornecer opções de configuração predefinida personalizadas.

Porque é que esta alteração é importante?

Esta opção permite que os utilizadores finais restaurem as predefinições originais do Firewall do Windows.

O que funciona de maneira diferente?

Não existem alterações funcionais no Firewall do Windows resultantes desta adição. No entanto, a utilização desta função desactiva a Partilha de Ligação à Internet e a Bridge de Rede.

Suporte de configuração automática

Descrição detalhada

Nas versões anteriores do Windows, não era possível configurar o Firewall de Ligação à Internet durante a instalação. Assim, era difícil para os OEM e empresas pré-configurar o Firewall de Ligação à Internet antes de distribuírem um computador aos utilizadores finais. No Windows Server 2003 with Service Pack 1, é possível configurar as opções seguintes do Firewall do Windows através da configuração automática:

  • Modo operacional
  • Aplicações na lista de excepções do Firewall do Windows
  • Portas estáticas na lista de excepções
  • Opções de ICMP
  • Opções de registo

Porque é que esta alteração é importante?

Um método de pré-configuração do Firewall do Windows oferece aos revendedores do Windows e às grandes empresas uma maior flexibilidade e opções de personalização do Firewall do Windows.

O que funciona de maneira diferente?

Esta função oferece mais flexibilidade na configuração do Firewall do Windows. Não existem alterações funcionais no Firewall do Windows resultantes desta adição.

A sintaxe utilizada para activar ou desactivar o ICF num script automático foi substituída pela nova sintaxe do Firewall do Windows.

As secções do ficheiro Unattend.txt para a configuração do Firewall do Windows são compostas pelo seguinte:

  • [WindowsFirewall]
    Uma secção obrigatória que define os perfis a utilizar e as definições do ficheiro de registo do Firewall do Windows.
  • [WindowsFirewall.profile_name]
    A secção do perfil de domínio, [WindowsFirewall.Domain], contém definições para quando um computador está ligado a uma rede que contém controladores de domínio para o domínio do qual o computador é membro. O perfil padrão, [WindowsFirewall.Standard], contém definições para quando um computador não está ligado a uma rede que contém controladores de domínio para o domínio do qual o computador é membro. Se não pretende que o Firewall do Windows seja utilizado, pode especificar Profiles = WindowsFirewall.TurnOffFirewall
    A secção [WindowsFirewall.profile_name] é definida pelo utilizador que é referida pela secção [WindowsFirewall] para efectuar alterações na configuração predefinida do Firewall do Windows, incluindo programas, serviços, portas e definições de ICMP.
  • [WindowsFirewall.program_name]
    Uma secção definida pelo utilizador que adiciona um programa à lista de excepções do Firewall do Windows.
  • [WindowsFirewall.service_name]
    Uma secção definida pelo utilizador que adiciona um serviço predefinido à lista de excepções do Firewall do Windows (tal como a partilha de ficheiros e impressoras, a estrutura UPnP, o serviço Ambiente de Trabalho Remoto e Administração Remota).
  • [WindowsFirewall.portopening_name]
    Uma secção definida pelo utilizador que adiciona uma porta à lista de excepções do Firewall do Windows.
  • [WindowsFirewall.icmpsetting_name]
    Uma secção definida pelo utilizador que adiciona tipos de mensagem ICMP à lista de excepções do Firewall do Windows.

Que funcionalidade existente foi alterada no Windows Server 2003 Service Pack 1?

Suporte melhorado de multicast e difusão

Descrição detalhada

O tráfego de rede multicast e de difusão difere do tráfego unicast porque a resposta provém de um anfitrião desconhecido. Como tal, a filtragem com estado impede que a resposta seja aceite. Isto impede o funcionamento de vários cenários, desde a transmissão de multimédia em sequência à identificação.

Para permitir estes cenários, o Firewall do Windows permitirá uma resposta unicast, durante três segundos, de qualquer endereço de origem directamente alcançável na mesma porta em que o tráfego multicast ou de difusão teve origem.

Porque é que esta alteração é importante? Que ameaças ajuda a atenuar?

Isto permite que as aplicações e serviços que utilizam multicast e difusão para comunicar funcionem sem que o utilizador ou a aplicação/serviço tenha de alterar a política de firewall. Isto é muito importante para, por exemplo, o NETBIOS através de TCP/IP, para que as portas sensíveis, tal como a porta 135, não fiquem expostas.

O que funciona de maneira diferente? Existem dependências?

No Windows Server 2003, o Firewall de Ligação à Internet filtrava com estado o tráfego multicast e de difusão, obrigando o utilizador a abrir manualmente a porta para receber a resposta. No Windows Server 2003 Service Pack 1, o Firewall do Windows aceita a resposta ao tráfego multicast ou de difusão sem configuração adicional.

Interface do utilizador actualizada

Descrição detalhada

A interface de utilizador do firewall foi actualizada no Windows Server 2003 Service Pack 1 de modo a conciliar as novas opções de configuração e a integração do Firewall de Ligação à Internet IPv6. A nova interface do Firewall do Windows permite ao utilizador alterar os estados operacionais, a configuração global, as opções de registo e as opções de ICMP.

A entrada primária para a interface do utilizador foi movida da caixa de diálogo Propriedades da ligação para um ícone no Painel de Controlo. Continua a ser fornecida uma hiperligação para a localização antiga. Além disso, o Windows Server 2003 Service Pack 1 cria uma hiperligação a partir da pasta Ligações de Rede.

Porque é que esta alteração é importante?

A funcionalidade adicionada no Windows Server 2003 Service Pack 1 requeria actualizações à interface do utilizador.

O que funciona de maneira diferente?

A interface do utilizador foi movida do separador Avançadas da caixa de diálogo Propriedades da ligação de rede para um ícone Firewall do Windows específico no Painel de Controlo.

Novo suporte de Política de Grupo

Descrição detalhada

Nas versões anteriores do Windows, o Firewall de Ligação à Internet tinha um único GPO (Group Policy object, objecto de Política de Grupo): Proibir a Utilização do Firewall de Ligação à Internet na rede de domínio do DNS. Com o Windows Server 2003 Service Pack 1, todas as opções de configuração global podem ser definidas através da Política de Grupo. Exemplos das novas opções de configuração disponíveis:

  • Definir excepções de programas
  • Permitir excepções de programas locais
  • Permitir excepções de ICMP
  • Proibir notificações
  • Permitir excepção de partilha de ficheiros e impressoras
  • Permitir registo

É possível definir cada um destes objectos para o perfil empresarial e padrão. Para mais informações sobre as opções da Política de Grupo, consulte "Deploying Windows Firewall Settings for Microsoft Windows XP with Service Pack 2" no Centro de Transferências da Microsoft em http://go.microsoft.com/fwlink/?linkid=23277. Este documento também abrange as programações no Windows Server 2003 Service Pack 1.

Porque é que esta alteração é importante?

É importante que os administradores possam gerir as definições de política de Firewall do Windows de forma centralizada, para permitir o funcionamento de aplicações e cenários no ambiente empresarial.

O que funciona de maneira diferente?

Agora, o administrador informático pode decidir qual o conjunto de políticas predefinido do Firewall do Windows. Deste modo, é possível activar ou desactivar aplicações e cenários. O nível de controlo é maior, embora as políticas não alterem a funcionalidade subjacente do Firewall do Windows.

Quais as definições adicionadas ou alteradas no Windows Server 2003 Service Pack 1?

 

Nome da definição Localização Valor predefinido anterior Valor predefinido Valores possíveis

Proteger todas as ligações de rede

(Objecto de Política de Grupo) Configuração do Computador \Modelos Administrativos \Rede\Ligações de Rede\ Firewall do Windows

Não aplicável

Não configurado

Activado

Desactivado

Não permitir excepções

(Objecto de Política de Grupo) Configuração do Computador \Modelos Administrativos \Rede\Ligações de Rede \Firewall do Windows

Não aplicável

Não configurado

Activado

Desactivado

Definir excepções de programas

(Objecto de Política de Grupo) Configuração do Computador \Modelos Administrativos \Rede\Ligações de Rede \Firewall do Windows

Não aplicável

Não configurado

Activado [Caminho do programa] [Âmbito]

Desactivado

Permitir excepções de programas locais

(Objecto de Política de Grupo) Configuração do Computador \Modelos Administrativos \Rede\Ligações de Rede \Firewall do Windows

Não aplicável

Não configurado

Activado

Desactivado

Permitir excepção de administração remota

(Objecto de Política de Grupo) Configuração do Computador \Modelos Administrativos \Rede\Ligações de Rede \Firewall do Windows

Não aplicável

Não configurado

Activado

Desactivado

Permitir excepção de partilha de ficheiros e impressoras

(Objecto de Política de Grupo) Configuração do Computador \Modelos Administrativos \Rede\Ligações de Rede \Firewall do Windows

Não aplicável

Não configurado

Activado

Desactivado

Permitir excepções de ICMP

(Objecto de Política de Grupo) Configuração do Computador \Modelos Administrativos \Rede\Ligações de Rede \Firewall do Windows

Não aplicável

Não configurado

Activado

Após a activação, efectue a selecção entre os tipos de mensagens que se seguem:

[Permitir destino de saída inatingível]

[Permitir fluxo de saída inatingível]

[Permitir redireccionamento]

[Permitir a recepção de pedidos de eco]

[Permitir exceder o tempo na saída]

[Permitir problemas de parâmetros na saída]

[Permitir a recepção de pedidos de carimbo de data/hora]

[Permitir a recepção de pedidos de máscara]

[Permitir pacotes demasiado grandes na saída]

Desactivado

Permitir excepção de ambiente de trabalho remoto

(Objecto de Política de Grupo) Configuração do Computador \Modelos Administrativos \Rede\Ligações de Rede \Firewall do Windows

Não aplicável

Não configurado

Activado

Desactivado

Permitir excepção de estrutura UPnP

(Objecto de Política de Grupo) Configuração do Computador \Modelos Administrativos \Rede\Ligações de Rede \Firewall do Windows

Não aplicável

Não configurado

Activado

Desactivado

Proibir notificações

(Objecto de Política de Grupo) Configuração do Computador \Modelos Administrativos\Rede \Ligações de Rede \Firewall do Windows

Não aplicável

Não configurado

Activado

Desactivado

Permitir registo

(Objecto de Política de Grupo) Configuração do Computador \Modelos Administrativos\Rede \Ligações de Rede \Firewall do Windows

Não aplicável

Não configurado

Activado

Desactivado

Proibir resposta unicast a pedidos de multicast ou difusão

(Objecto de Política de Grupo) Configuração do Computador \Modelos Administrativos\Rede \Ligações de Rede \Firewall do Windows

Não aplicável

Não configurado

Activado

Desactivado

Definir excepções de portas

(Objecto de Política de Grupo) Configuração do Computador \Modelos Administrativos\Rede \Ligações de Rede \Firewall do Windows

Não aplicável

Não configurado

Activado

Desactivado

Permitir excepções de portas locais

(Objecto de Política de Grupo) Configuração do Computador \Modelos Administrativos\Rede \Ligações de Rede \Firewall do Windows

Não aplicável

Não configurado

Activado

Desactivado

Necessito de alterar o código para funcionar com o Windows Server 2003 Service Pack 1?

Recomendamos a utilização do Assistente de Configuração de Segurança para configurar o Firewall do Windows para utilização com o Windows Server 2003 Service Pack 1. O Assistente de Configuração de Segurança (SCW, Security Configuration Wizard) destina-se a acomodar os requisitos de diferentes cargas de trabalho e funções de servidor, bem como a configurar correctamente as definições do firewall. Se vai configurar manualmente as definições do firewall, reveja as seguintes informações para determinar em que medida as aplicações poderão ser afectadas.

Ligações de saída

Descrição

Para computadores normais de escritório e dos consumidores, o computador é um cliente na rede. O software do computador liga-se a um servidor (ligação de saída) e obtém respostas do servidor. O Firewall do Windows permite todas as ligações de saída, mas aplica regras aos tipos de comunicações cuja entrada é autorizada no computador.

Seguem-se alguns exemplos de tarefas que envolvem aplicações da Microsoft que podem funcionar desta forma:

  • Navegar na Web utilizando o Microsoft Internet Explorer.
  • Verificar correio electrónico no Outlook Express.
  • Conversar no MSN Messenger ou Windows Messenger.

Acção Requerida

Nenhuma. O Firewall do Windows permitirá automaticamente todas as ligações de saída, independentemente do programa e do contexto de utilizador.

noteNota
Quando um computador inicia um pedido de sessão de TCP para um computador de destino, só aceita uma resposta desse computador de destino. Quando o computador envia pacotes de UDP, o Firewall do Windows permite, durante cerca de 90 segundos, respostas de UDP para a porta a partir da qual os pacotes de UDP foram enviados de qualquer endereço IP. O Firewall do Windows permite respostas unicast ao tráfego multicast e de difusão, durante três segundos, se as respostas se destinarem à porta a partir da qual o tráfego foi enviado e se forem de endereços IP na mesma sub-rede que o computador. Existe uma definição no firewall que controla este comportamento e que, por predefinição, está activada.

Ligações de entrada não solicitadas para aplicações

Descrição

Este cenário abrange uma aplicação que conclui uma operação de escuta num socket de TCP ou que é vinculado com êxito a um socket de UDP específico através de Winsock. Neste cenário, o Firewall do Windows pode abrir e fechar portas automaticamente, conforme for necessário pela aplicação.

Seguem-se alguns exemplos de tarefas que envolvem aplicações da Microsoft que podem funcionar desta forma:

  • Utilizar áudio e vídeo no MSN Messenger ou Windows Messenger.
  • Transferir ficheiros no MSN Messenger ou Windows Messenger.
  • Alojar um jogo para múltiplos jogadores.

Acção requerida

Se estiver a desenvolver uma aplicação que necessita de estar em escuta numa porta (ou portas), a Microsoft solicita que actualize o código de modo a pedir aos utilizadores que indiquem se pretendem autorizar que a aplicação abra portas no firewall:

  • Se o utilizador autorizar, a aplicação pode utilizar a API INetFwAuthorizedApplication para adicionar-se à colecção AuthorizedApplications como Activada.
  • Se o utilizador não autorizar, a aplicação pode utilizar a API INetFwAuthorizedApplication para adicionar-se à colecção AuthorizedApplications como Desactivada.

Quando a API INetFwAuthorizedApplication é utilizada para adicionar uma aplicação à colecção AuthorizedApplications, são necessários os seguintes valores:

  • Nome do Ficheiro de Imagem. Corresponde ao ficheiro que chama o Winsock para escutar o tráfego de rede. Tem de ser um caminho totalmente qualificado, mas pode conter variáveis de ambiente.
  • Nome Amigável. Corresponde à descrição da aplicação que será mostrada aos utilizadores na interface do utilizador do Firewall do Windows.

Para mais informações sobre a API INetFwAuthorizedApplication, consulte "INetFwAuthorizedApplication" no Microsoft Platform Software Development Kit (SDK) no Web site MSDN em http://go.microsoft.com/fwlink/?LinkId=32000.

O Firewall do Windows monitoriza o Winsock para ver quando é iniciada e terminada a escuta de portas pelas aplicações. Como resultado, as portas são automaticamente abertas e fechadas para as aplicações, uma vez activadas as respectivas entradas na lista de excepções do Firewall do Windows. Isto significa que não é requerida nenhuma acção por parte das aplicações Winsock para abrir e fechar efectivamente as portas no firewall.

noteNota
Para se poder adicionar a si própria à lista de excepções do Firewall do Windows, a aplicação tem de estar a ser executada no contexto de um utilizador com direitos de Administrador. As portas são automaticamente abertas e fechadas no firewall para as aplicações Winsock permitidas, independentemente do contexto de utilizador em que as aplicações estão a ser executadas. As aplicações devem obter a autorização do utilizador antes de se adicionarem à colecção INetFwAuthorizedApplications. Não é possível adicionar Svchost.exe à colecção INetFwAuthorizedApplications.

Ligações de entrada para serviços que utilizam portas fixas

Descrição

Apesar de a utilização das APIs INetFWAuthorizedApplication ser aconselhada aos programadores para os restantes cenários, recomenda-se a utilização das APIs de portas globais no Firewall do Windows para serviços que escutem em portas fixas. Uma vez que estas portas estão sempre abertas, as vantagens em abrir dinamicamente as portas são mínimas. Já quando são utilizadas as API de portas globais, os utilizadores conseguem personalizar as definições de firewall relativas a estas portas fixas.

Seguem-se alguns exemplos de serviços que requerem ligações de entrada:

  • Partilha de ficheiros e impressoras.
  • Arquitectura UPnP.
  • Ambiente de Trabalho Remoto.

Acção Requerida

Quando um serviço necessita de escutar numa porta fixa, deve perguntar ao utilizador se deve permitir que o serviço abra portas no firewall. Idealmente, isto deveria ser efectuado quando o serviço está a ser instalado.

Se o utilizador autorizar, o serviço deve utilizar a API INetFwOpenPort para adicionar regras ao Firewall do Windows para a porta fixa (ou portas) necessária ao serviço. Estas regras devem ser activadas.

Se o utilizador não autorizar, o serviço deve utilizar a API INetFwOpenPort para adicionar regras ao Firewall do Windows para a porta ou portas fixas necessárias ao serviço. Estas regras, no entanto, não devem ser activadas.

Quando a API INetFwOpenPort é utilizada para adicionar uma abertura de porta ao Firewall do Windows, são necessários os seguintes valores:

  • Protocolo. Especifica o protocolo de rede utilizado pelo serviço, TCP ou UDP.
  • Porta. Corresponde ao número da porta a abrir.
  • Nome Amigável. Corresponde à descrição da abertura da porta que será mostrada aos utilizadores na interface do utilizador do Firewall do Windows.

Para mais informações sobre a API INetFwOpenPort, consulte "InetFwOpenPort" no Platform Software Development Kit no Web site MSDN em http://go.microsoft.com/fwlink/?LinkId=35316.

Quando um serviço é desactivado, deve utilizar, sempre que possível, a API INetFwOpenPort para fechar as portas estáticas que abriu. Trata-se de um procedimento fácil caso seja o único serviço a utilizar as portas. No entanto, se o serviço potencialmente partilha as portas com outros serviços, não deverá fechá-las a não ser que consiga verificar que nenhum dos outros serviços está a utilizar as portas.

Para abrir estaticamente as portas no Firewall do Windows, a aplicação tem de estar a ser executada no contexto de um utilizador com direitos de Administrador.

noteNota
Quando abrir estaticamente as portas através da API INetFw, o serviço deve, sempre que possível, limitar-se ao tráfego da sub-rede local. Antes de abrir as portas estaticamente no Firewall do Windows, os serviços devem obter a autorização do utilizador. Um serviço nunca deve abrir as portas automaticamente sem primeiro avisar o utilizador.

Ligações de entrada em portas RPC e DCOM para serviços do sistema

Descrição

Alguns serviços do sistema requerem a utilização de portas RPC, através de DCOM ou directamente por RPC, para as ligações de entrada. Devido às importantes implicações de segurança que a abertura de portas RPC envolve, estas portas são tratadas como um caso especial e os programadores só devem tentar activar o RPC para os serviços de sistema através do Firewall do Windows quando for absolutamente necessário.

Acção requerida

O Firewall do Windows pode ser configurado para permitir a abertura e fecho automáticos de portas RPC e DCOM para os serviços do sistema. Por predefinição, contudo, o RPC será bloqueado pelo Firewall do Windows. Isto significa que as aplicações que utilizam as portas RPC para transferir dados para os serviços do sistema irão necessitar de configurar correctamente o Firewall do Windows. Quando uma aplicação necessita de activar esta função, tem de perguntar ao utilizador se permite aos serviços abrir portas no firewall. Idealmente, isto devia ser feito na altura da instalação.

Se o utilizador autorizar a abertura das portas RPC, o serviço deve utilizar a API INetFwRemoteAdminSettings para abrir as portas necessárias ao serviço.

Se o utilizador não autorizar a abertura das portas RPC, a aplicação ou serviço não deve configurar o Firewall do Windows para permitir as portas RPC.

Para mais informações sobre a API INetFwRemoteAdminSettings, consulte "INetFwAuthorizedApplication" no Web site MSDN em http://go.microsoft.com/fwlink/?linkid=32000 e, no índice, clique em "RemoteAddresses Property of InetFwAuthorizedApplication".

noteNota
Para activar ou desactivar a abertura automática de portas RPC no Firewall do Windows, uma aplicação ou serviço tem de estar em execução no contexto de um utilizador com direitos de Administrador. A aplicação ou serviço só deverá permitir as portas RPC através do Firewall do Windows quando for absolutamente necessário. Se as portas RPC já forem permitidas, a aplicação ou serviço não necessita de executar nenhuma acção para funcionar correctamente. Pode determinar as portas que já estão abertas através da API IsPortAllowed. A definição de portas RPC só funciona para os servidores RPC em execução no contexto de sistema local, serviço de rede ou serviço local. As portas abertas por servidores RPC em execução noutros contextos de utilizador não serão activadas através desta definição. Em vez disso, esses servidores RPC devem utilizar a lista de excepções do Firewall do Windows.
Considera isto útil?
(1500 caracteres restantes)
Obrigado pelos seus comentários

Conteúdo da Comunidade

Mostrar:
© 2014 Microsoft