O Firewall do Windows pode ser um dos maiores pesadelos para os administradores de sistema configurar, com a adição da precedência da Política de Grupo, ele se torna uma dor de cabeça. Aqui, o levaremos do início ao fim sobre como configurar facilmente o Firewall do Windows por meio da Política de Grupo e, como bônus, mostraremos como corrigir um dos maiores problemas.
Nossa missão
Fomos informados de que muitos usuários têm o Skype instalado em suas máquinas e isso os está tornando menos produtivos. Recebemos a tarefa de garantir que os usuários não possam usar o Skype no trabalho, no entanto, eles podem mantê-lo instalado em seus laptops e usá-lo em casa ou durante os intervalos de almoço em uma conexão 3G / 4G. Com essas informações, decidimos fazer uso do Firewall do Windows e da Política de Grupo.
O método
A maneira mais fácil de começar a controlar o Firewall do Windows por meio da Política de Grupo é configurar um PC de referência e criar as regras usando o Windows 7, podemos então exportar essa política e importá-la para a Política de Grupo. Fazendo isso, temos a vantagem extra de poder ver se todas as regras estão configuradas e funcionando como queremos, antes de implantá-las em todas as máquinas clientes.
Criação de um modelo de firewall
Para criar um modelo para o Firewall do Windows, precisamos iniciar a Central de Rede e Compartilhamento. A maneira mais fácil de fazer isso é clicar com o botão direito do mouse no ícone de rede e selecionar Abrir Rede e Central de Compartilhamento no menu de contexto.
Quando a Central de Rede e Compartilhamento abrir, clique no link Firewall do Windows no canto esquerdo inferior.
Ao criar um modelo para o Firewall do Windows, é melhor fazê-lo por meio do console do Firewall do Windows com Segurança Avançada; para iniciá-lo, clique em Configurações Avançadas no lado esquerdo.
Observação: neste ponto, irei editar as regras específicas do Skype, mas você pode adicionar suas próprias regras para portas ou mesmo aplicativos. Quaisquer modificações que você precise fazer no firewall devem ser feitas agora.
A partir daqui podemos começar a editar nossas regras de firewall, no nosso caso, quando o aplicativo Skype é instalado, ele cria suas próprias exceções de Firewall que permitem que o skype.exe se comunique nos perfis de domínio, rede privada e pública.
Agora precisamos editar nossa regra de Firewall, para editá-la clique duas vezes na regra. Isso abrirá as propriedades da regra do Skype.
Alterne para a guia Avançado e desmarque a caixa de seleção Domínio.
Ao tentar iniciar o Skype agora, você será solicitado a perguntar se ele pode se comunicar no Perfil de Rede do Domínio, desmarque a caixa e clique em permitir acesso.
Se você voltar às suas Regras de firewall de entrada, verá que há duas novas regras, porque, quando solicitado, você optou por não permitir o tráfego de entrada do Skype. Se você examinar a coluna do perfil, verá que ambos são para o perfil de rede do Domínio.
Nota: A razão de haver duas regras é porque há regras separadas para TCP e UDP
Tudo está bem até agora, no entanto, se você iniciar o Skype, ainda poderá fazer login.
Mesmo se você alterar as regras para bloquear o tráfego de entrada do skype.exe e configurá-lo para bloquear o tráfego usando QUALQUER protocolo, ele ainda será capaz de voltar de alguma forma. A correção é simples, pare de ser capaz de se comunicar em primeiro lugar. Para fazer isso, mude para Regras de saída e comece a criar uma nova regra.
Como queremos criar uma regra para o programa Skype, basta clicar em Avançar, depois navegar até o arquivo executável do Skype e clicar em Avançar.
Você pode deixar a ação no padrão que é bloquear a conexão e clicar em Avançar.
Desmarque as caixas de seleção Privado e Público e clique em Avançar para continuar.
Agora dê um nome à sua regra e clique em Concluir
Agora, se você tentar iniciar o Skype enquanto estiver conectado a uma rede de domínio, ele não funcionará
No entanto, se eles tentarem se conectar quando chegarem em casa, isso permitirá que se conectem sem problemas
Essas são todas as regras de firewall que vamos criar por enquanto, não se esqueça de testar suas regras como fizemos para o Skype.
Exportando a Política
Para exportar a política, no painel esquerdo, clique na raiz da árvore que diz Firewall do Windows com Segurança Avançada. Em seguida, clique em Ação e selecione Exportar política no menu.
Você deve salvá-lo em um compartilhamento de rede ou mesmo em um USB se tiver acesso físico ao servidor. Iremos com um compartilhamento de rede.
Nota: Tenha cuidado com vírus ao usar um USB, a última coisa que você deseja fazer é infectar um servidor com um vírus
Importando a política para a política de grupo
Para importar a política de firewall, você precisa abrir um GPO existente ou criar um novo GPO e vinculá-lo a uma UO que contém contas de computador. Temos um GPO chamado Política de Firewall que está vinculado a uma UO chamada Computadores Geek, essa UO contém todos os nossos computadores. Vamos apenas seguir em frente e usar essa política.
Agora navegue para:
Abra Configuração do Computador \ Políticas \ Configurações do Windows \ Configurações de Segurança \ Firewall do Windows com Segurança Avançada
Clique em Firewall do Windows com Segurança Avançada e clique em Ação e Política de Importação
Você será informado de que, se importar a política, ela substituirá todas as configurações existentes. Clique em sim para continuar e navegue até a política que você exportou na seção anterior deste artigo. Assim que a política terminar de ser importada, você será notificado.
Se você olhar nossas regras, verá que as regras do Skype que criei ainda estão lá.
Testando
Nota: Você não deve fazer nenhum teste antes de concluir a próxima seção do artigo. Se você fizer isso, todas as regras configuradas localmente serão respeitadas. A única razão pela qual fiz alguns testes agora foi apontar algumas coisas.
Para ver se as Regras de Firewall foram implantadas nos clientes, você precisará alternar para uma máquina cliente e abrir novamente as Configurações do Firewall do Windows. Como você pode ver, deve haver uma mensagem dizendo que algumas das regras do firewall são gerenciadas pelo administrador do sistema.
Clique no link Permitir um programa ou recurso através do Firewall do Windows no lado esquerdo.
Como você deve ver agora, temos regras aplicadas tanto pela Política de Grupo quanto pelas criadas localmente.
O que está acontecendo aqui e como posso corrigir isso?
Por padrão, a fusão de regras é habilitada entre as políticas de firewall locais em computadores Windows 7 e as políticas de firewall especificadas nas Políticas de Grupo que visam esses computadores. Isso significa que os administradores locais podem criar suas próprias regras de firewall, e essas regras serão mescladas com as regras obtidas por meio da Diretiva de Grupo. Para corrigir isso, clique com o botão direito em Firewall do Windows com Segurança Avançada e selecione propriedades no menu de contexto. Quando a caixa de diálogo abrir, clique no botão Personalizar na seção de configurações.
Altere a opção Aplicar regras de firewall local de Não configurado para Não.
Depois de clicar em ok, alterne para os perfis Privado e Público e faça o mesmo para os dois.
Isso é tudo, rapazes, divirtam-se com o firewall.
