Entendendo e Configurando os Perfis do Firewall:
Um perfil é um determinado conjunto de configurações e regras. Por exemplo, você pode criar um perfil altamente seguro, para ser utilizado no seu Notebook, quando você utiliza o Notebook em pontos públicos de acesso, tais como um aeroporto ou em um cyber café. Nestes casos, você pode criar regras bastante rígidas, permitindo somente o tráfego de e-mail, por exemplo. Ao conectar o Notebook em um destes locais, você seleciona este perfil mais seguro, com regras mais rígidas. Ao voltar para a sua empresa, você pode retornar ao perfil mais aberto, o qual permite acesso a todos os recursos da rede da sua empresa. Este é um conceito bastante útil e extremamente simples de utilizar, conforme aprenderemos na parte prática, mais adiante. A Ajuda do Windows 7 define um perfil da seguinte maneira:
“Um perfil de firewall é um modo de agrupar configurações, como regras de firewall e de segurança de conexão, que são aplicadas ao computador dependendo de onde ele esteja conectado. Em computadores com o Windows 7, há três perfis para o Firewall do Windows com Segurança Avançada. Somente um perfil é aplicado por vez.”
Na tabela a seguir temos uma descrição dos perfis disponíveis:
Perfil |
Descrição |
Domínio |
Aplicado quando um computador está conectado a uma rede na qual está localizada a sua conta de domínio, ou seja, quando o computador faz parte de um domínio baseado no Active Directory, com servidores baseados no Windows Server. Para mais detalhes sobre o uso do Windows 7 em um domínio baseado no Active Directory, consulte o Capítulo 19. |
Particular |
Aplicado quando um computador está conectado a uma rede na qual sua conta do domínio não está localizada, como uma rede doméstica. As configurações do perfil particular devem ser mais restritivas do que as do perfil de domínio. É o caso típico de um usuário doméstico que tem um único computador ou uma pequena rede doméstica, com dois ou três computadores. |
Público |
Aplicada quando um computador está conectado a um domínio por meio de uma rede pública, como aquelas disponíveis em aeroportos e cafeterias. As configurações de perfil público devem ser mais restritivas, pois o computador está conectado a uma rede pública na qual a segurança não pode ser tão rigidamente controlada quanto em um ambiente empresarial ou doméstico. |
Se você não alterar as configurações de um determinado perfil (o que aprenderemos a fazer no exemplo prático a seguir), os valores padrão serão aplicados sempre que o Firewall do Windows com Segurança Avançada usar o respectivo perfil. É recomendável habilitar o Firewall do Windows com Segurança Avançada nos três perfis, para uma maior proteção.
Nota: Todas as configurações do Firewall do Windows com Segurança Avançada, inclusive os três perfis, são combinadas em uma diretiva. Os arquivos de diretivas têm a extensão .wfw e podem ser importados e exportados. Ao importar uma diretiva, você substituirá a atual e a importada será usada. Nos exemplos práticos a seguir mostrarei como importar e exportar diretivas.
Exemplo Prático: Para configurar os Perfis do Firewall do Windows com Segurança Avançada, siga os passos indicados a seguir:
1. Faça o logon com a conta Administrador ou com uma conta com permissão de Administrador.
2. Abra o Painel de Controle: Iniciar -> Painel de Controle e na lista Exibir por selecione a opção Ícones pequenos.
3. Abra a opção Ferramentas Administrativas.
4. Abra a opção Firewall do Windows com Segurança Avançada.
5. Será exibida a tela principal do Firewall.
6. No painel da esquerda clique na opção Firewall do Windows com Segurança Avançada em Computador Local (é a primeira opção, bem em cima, no painel da esquerda). Depois clique em Ação -> Propriedades. Será exibida a janela de propriedades do Firewall do Windows com Segurança Avançada, com a guia Perfil do Domínio selecionada por padrão, conforme indicado na Figura 18:12:
Figura 18.12 – Propriedades do Firewall do Windows com Segurança Avançada.
7. Observe que nesta janela tem uma guia para cada um dos Perfis disponíveis: Perfil do Domínio, Perfil Particular e Perfil Público. Em cada guia podemos definir as configurações para o respectivo perfil. A seguir comento as opções disponíveis na guia Perfil do Domínio, as quais estão também disponíveis nas demais guias:
- Estado do Firewall: Nesta lista você seleciona se o Firewall deve ser ativado ou desativado para o Perfil que está sendo configurado. As opções disponíveis são Ativado (Recomendável) o Desligado. Por questões de segurança é recomendado manter o Firewall ativado em todos os perfis disponíveis.
- Conexões de entrada: Nesta lista você configura o comportamento padrão do Firewall em relação ao tráfego de entrada. O valor padrão configurado em todos os perfis é Bloquear (padrão). Com este valor selecionado, todo o tráfego de entrada será analisado e se não houver uma regra permitindo o respectivo tráfego ou se ele não for uma resposta a uma solicitação interna, o tráfego será bloqueado. É o funcionamento no formato de lista branca, já explicado anteriormente. Outra opção é Bloquear Todas as Conexões. Esta opção deve ser usada quando você se conecta em um local público, tal como um aeroporto ou um Cyber café. Nestes tipo de ambiente, mais sujeito a problemas com vírus e outras pragas virtuais, você pode selecionar a opção Bloquear Todas as Conexões para o perfil que você está usando e depois criar exceções para usar somente os serviços realmente necessários, tais como usar o Email e navegar na Internet. A última opção disponível é Permitir, na qual todo tráfego de entrada será permitido, a não ser que tenha um regra, explicitamente bloqueando o tráfego. Este é o funcionamento conhecido como Lista Negra, ou seja, somente será barrado o tráfego para o qual existem regras de bloqueio, todos os demais serão permitidos. Esta opção não é indicada, principalmente em locais públicos de conexão, tais como aeroportos e cyber cafés.
- Conexões de saída: Nesta lista você configura o comportamento do Firewall em relação ao tráfego de saída, ou seja, ao tráfego gerado internamente no seu computador. O valor padrão configurado em todos os perfis é Permitir (padrão). Com este valor selecionado, todo o tráfego de saída será permitido, a não ser que exista alguma regra explicitamente proibindo o respectivo tipo de tráfigo. A última opção disponível é Bloquear, a qual bloqueia todas as conexões que não tiverem regras de firewall que permitam explicitamente a conexão. É pouco comum usar este tipo de configuração, a não ser em um computador onde você queira limitar os tipos de serviços que possam ser utilizados. Por exemplo, você pode querer configura o computador do seu filho, para não permitir que sejam acessados determinados tipos de tráfegos. Neste caso você pode usar a opção Bloquear e criar regras para liberar somente os tráfegos desejados. Ou seja, as opções e variações de configurações disponíveis com o Firewall do Windows com Segurança Avançada são infindáveis. Daria para escrever um livro ou curso inteiro só sobre estas configurações. Aliás não sei se não farei isso na forma de Ebook ou de tutoriais no meu site https://juliobattisti.com.br Seria um bom complemento para o livro. Vou pensar seriamente nisso e, se o tempo permitir, publicarei mais tutoriais sobre este assunto.
- Botão Personalizar... no grupo Configurações: Ao clicar neste botão será exibida a janela Personalizar Configurações para o Perfil Domínio (ou para outro perfil, caso você esteja configurando um dos outros perfis disponíveis), conforme indicado na Figura 18.13:
Figura 18.13 – Personalizando as Opções do Perfil Domínio.
Nesta janela estão disponíveis as configurações indicadas na tabela a seguir:
Configuração |
Descrição |
Exibir uma notificação |
Esta opção vem com o valor Sim selecionado, por padrão. Com o valor sim selecionado, o Firewall do Windows com Segurança Avançada exiba notificações para o usuário quando um programa for impedido de receber conexões de entrada. Em determinadas situações estas notificações podem ser úteis, para alertar o usuários sobre possíveis tentativas de invasão e acesso indevído ao seu computador. Caso as notificações estejam associadas a “alarmes falsos” e estejam “incomodando muito”, você poderá desativá-las, selecionando Não, nesta lista. |
Permitir que respostas unicast executem multicast ou transmissão de rede |
Esta opção é útil quando é necessário controlar se este computador recebe respostas unicast para as mensagens de saída de difusão ou multicast. Se você desabilitar esta configuração e este computador enviar uma mensagem de difusão ou multicast para outros computadores, o Firewall do Windows com Segurança Avançada aguardará até 3 segundos por respostas unicast desses outros computadores e, em seguida, bloqueará todas as respostas posteriores. Se você desabilitar esta configuração e o computador enviar uma mensagem de difusão ou multicast a outros computadores, o Firewall do Windows com Segurança Avançada bloqueará respostas unicast enviadas por eles.
Esta configuração não terá efeito se a mensagem de unicast for uma resposta a uma mensagem de difusão do protocolo DHCP enviada por este computador. O Firewall do Windows com Segurança Avançada sempre permitirá respostas unicast DHCP, para evitar que um cliente que recebe as configurações do protocolo TCP/IP a partir de um servidor DHCP, deixe de receber estas configurações. No entanto, esta configuração pode interferir na operação correta de qualquer protocolo de descoberta não incluído que use difusões: como NetBIOS, SSDP e WSDAPI. |
Mesclagem de Regras |
Neste grupo você define como será feita a mesclagem de regras de entrada e saída, caso existam regras definidas localmente e também regras recebidas via GPOs do domínio. Neste grupo você tem duas opções a serem configuradas:
Aplicar regras de firewall locais: Selecione Sim nesta opção quando, além das regras de firewall aplicadas pela Diretiva de Grupo do Domínio e específicas do computador, você também quer permitir que administradores criem regras de firewall para o computador. Quando você seleciona Não nesta opção, os administradores ainda conseguem criar regras, mas elas não serão aplicadas, ou seja, serão simplesmente ignoradas. Esta configuração está disponível apenas quando a diretiva é configurada através da diretiva de grupo. Nos demais casos esta opção estará desabilitada.
Aplicar regras de segurança de conexão local: Selecione Sim nesta opção quando, além das regras de segurança de conexão aplicadas pela Diretiva de Grupo do Domínio e específicas do computador, você também quer permitir que administradores criem regras de segurança de conexão para o computador. Quando essa opção está em Não, os administradores ainda conseguem criar regras, mas elas não serão Aplicadas. |
Definidas as configurações desejadas, clique em OK para fechar a janela Personalizar Configurações para o Perfil do Domínio. Você estará de volta à janela Propriedades do Firewall do Windows com Segurança Avançada, com a guia Perfil do Domínio selecionada.
- Botão Personalizar... no grupo Log: Ao clicar neste botão será exibida a janela Personalizar Configurações de Log Para o Perfil do Domínio (ou para outro perfil, caso você esteja configurando um dos outros perfis disponíveis), conforme indicado na Figura 18.14:
Figura 18.14 – Personalizando as Opções do Log do Perfil do Domínio.
Nesta janela estão disponíveis as configurações indicadas na tabela a seguir:
Configuração |
Descrição |
Nome |
Neste campo é informado o nome do arquivo onde são gravados os Logs do Firewall. O padrão é no seguinte arquivo:
C:\Windows\system32\LogFiles\Firewall\pfirewall.log |
Limite tamanho (KB) |
Define o tamanho máximo, em KB, para o arquivo de Log. O padrão é 4 MB, ou seja, 4096 KB. |
Registrar em log pacotes eliminados
|
Use esta opção para registrar quando, por algum motivo, o Firewall do Windows com Segurança Avançada descartar um pacote de entrada. O log explicará em detalhes por que e quando o pacote foi eliminado. O padrão é Não. |
Registrar em log as conexões bem-sucedidas |
Use esta opção para registrar quando o Firewall do Windows com Segurança Avançada permitir uma conexão de entrada. O log explicará em detalhes por que e quando a conexão foi formada. Esta opção, normalmente, deve ser deixada desabilitada (valor selecionado Não). Pois um grande número de conexões de entrada é aceito, frente a um pequeno número que é descartado. Se você deixar esta opção em Sim, poderá ser gerado um grande número de eventos, o que rapidamente poderá ocupar o tamanho máximo definido para o Log. Com isso, você correrá o risco de ter um número muito grande de eventos, o que não interessa. Pois o que interessa, na maioria dos casos é analisar quais conexões estão sendo rejeitadas e porque foram rejeitadas. |
Definidas as configurações desejadas, clique em OK para fechar a janela Personalizar Configurações de Log Para o Perfil do Domínio. Você estará de volta à janela Propriedades do Firewall do Windows com Segurança Avançada, com a guia Perfil do Domínio selecionada.
8. Todas as configurações que foram descritas para o Perfil do Domínio estão disponíveis também para os demais perfis: Perfil Particular e Perfil Público. Para configurar cada um dos Perfis é só clicar na respectiva guia, na janela Propriedades do Firewall do Windows com Segurança Avançada.
9. Na guia Configurações de IPSec são feitas as configurações para ativar a comunicação via IPSec com outros comptuadores que também usam o IPSec. Conforme descrevi anteriormente, as configurações do IPSec estão fora do Escopo deste livro. Para uma referência completa sobre como configurar dois ou mais computadores para utilizarem o IPSec, para uma comunicação segura, consulte o Capítulo 27 “Configuring Windows Firewall and IPSec”, do livro “Windos 7 – Resource Kit”, publicado pela Microsoft Press. Mais informações em http://www.microsoft.com/mspress No site, faça uma pesquisa por Resource Kit. O Resource Kit é sempre o livro que desce mais a fundo nos detalhes técnicos e avançados do Windows. Existe um Resource Kit para cada uma das versões do Windows. É um livro que, embora só esteja disponível em Inglês, vale a pena ler. Eu considero o Resource Kit de leitura obrigatória para usuários Avançados e para Administradores de redes baseadas no Windows.
10. Clique em OK para fechar a janela Propriedades do Firewall do Windows com Segurança Avançada.
11. Você estará de volta ao console Firewall do Windows com Segurança Avançada.
Como o Windows 7 Seleciona o Perfil a ser utilizado pelo Firewall?
No nosso exemplo vimos que está sendo utilizado o perfil Perfil Particular, pois aparece ao lado dele, a palavra Ativo, indicando que é este o perfil em uso pelo Firewall. Mas a questão a ser colocada é:
“Como eu seleciono o Perfil a ser Utilizado ou o Perfil a ser Utilizado é selecionado, automaticamente pelo Windows 7??”
Resposta: O Perfil a ser utilizado é selecionado, automaticamente, pelo Windows 7, com base em uma série de critérios, os quais passarei a excplicar logo a seguir.
- Perfil do Domínio: Este perfil será automaticamente selecionado quando o computador fizer parte de um domínio e for feito o logon no domínio, com sucesso. A autenticação tem que ser possível através de todas as interfaces de rede instaladas no computador (caso este possua mais de uma interface de rede).
- Perfil Particular: Este perfil é ativado para computadores que não fazem parte de um domínio. Um computador isolado ou um computador pertencente a uma rede local, baseada no modelo de Workgroup. Quando você conecta um computador que não faz parte de um domínio, a uma nova rede, é exibida uma janela para que você informe o tipo de rede a qual você está se conectando, se é uma rede Doméstica, de Trabalho ou Pública. Se o usuário selecionar as opções Doméstica ou De Trabalho, o tipo de conexão de rede será definido como Particular (Privada). Se o usuário selecionar a opção Pública, o tipo de conexão de rede será definido como Público. O Perfil Particular será automaticamente selecionado, quando todas as conexões de rede disponíveis, forem do tipo Particular. Se uma das conexões for do tipo Pública, o perfil selecionado será o Perfil Público.
- Perfil Público: Caso as regras para ativar o Perfil do Domínio ou para ativar o Perfil Particular não sejam atendidas, será ativado o Perfil Público. Ou seja, na dúvida, será ativado o Perfil Público, que é o perfil mais restritivo. Isso está de acordo com o novo modelo de segurnça do Windows 7, onde na dúvida, se aplicam as permissões mais restritivas.
Colocando de uma maneira resumida, as regras para definição de qual perfil será utilizado (o que é feito automaticamente pelo Windows 7), são as seguintes:
1. Se todas as interfaces de rede ativas puderem se autenticar, de maneira segura, com um domínio do Active Directory, o perfil a ser utilizado será o Perfil do Domínio.
2. Se todas as interfaces de rede ativas forem do tipo Privadas ou não puderem se autenticar com um domínio, o perfil seleciondado será o Perfil Particular.
3. Caso contrário, o perfil selecionado será o Perfil Público.
Sobre Perfis do Firewall do Windows com Segurança Avançada é isso. |
