personalizando o windows firewall – SP2

[J.Augusto]

>:-|

aki esta para novas analises dos colegas...



O Windows Firewall permite o monitoramento de aplicações e de portas TCP/IP, descartando o tráfico de entrada não solicitado, fornecendo um nível de proteção para computadores conectados para qualquer tipo de rede, como por exemplo, a Internet, rede de casa, ou uma rede corporativa. O Windows XP SP2 ativa o Windows Firewall sobre todas as conexões de rede por padrão. Administradores de rede podem usar o arquivo Netfw.inf para personalizar as configurações do Windows Firewall antes ou após a instalação do Windows XP SP2.


LOCALIZAÇÃO DO ARQUIVO INF DO WINDOWS FIREWALL
Sobre o CD de imagem do Windows XP SP2, a localização do arquivo INF do Windows Firewall é:

DRIVE_CD:\I386\Netfw.in_

Nota
Sobre o CD de imagem do Windows XP SP2, o nome do arquivo é Netfw.in_ e não Netfw.inf.
Após a instalação do Windows XP SP2, a localização do arquivo INF do Windows Firewall é:
%systemroot%\Inf\Netfw.inf

Nota
Onde %systemroot% é o local onde o sistema operacional está instalado.

CONHECENDO O ARQUIVO INF DO WINDOWS FIREWALL
Após ter localizado o arquivo Netfw.inf do Windows Firewall o seu conteúdo será semelhante ao mostrado abaixo:

[version]
Signature = "$Windows NT$"
DriverVer =07/01/2001,5.1.2600.2180

[DefaultInstall]
AddReg=ICF.AddReg.DomainProfile
AddReg=ICF.AddReg.StandardProfile

[ICF.AddReg.DomainProfile]
HKLM,"SYSTEM\CurrentControlSet\Services\SharedAcce ss\Parameters\FirewallPolicy\DomainProfile\Authori zedApplications\List","%windir%\system32\sessmgr.e xe",0x00000000,"%windir%\system32\sessmgr.exe:*:en abled:@xpsp2res.dll,-22019"

[ICF.AddReg.StandardProfile]
HKLM,"SYSTEM\CurrentControlSet\Services\SharedAcce ss\Parameters\FirewallPolicy\StandardProfileStanda rdProfile\AuthorizedApplications\List","%windir%\s ystem32\sessmgr.exe",0x00000000,"%windir%\system32 \sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

As duas primeiras seções ([version] e [DefaultInstall]) do Netfw.inf contém informações de versão e configuração e não precisam ser alteradas. As seções as quais são significantes para a modificação das configurações padrão do Windows Firewall são as seguintes:


[ICF.AddReg.DomainProfile] - O Windows Firewall mantém dois grupos de configurações conhecidos como profiles. Um profile é usado quando um computador está conectado para um domínio para qual ele faz parte, enquanto o outro profile é usado quando o computador não está conectado para um domínio. Esta seção é para definir as alterações das configurações padrão do Windows Firewall quando um computador está conectado em uma rede ao qual contém um domínio.

[ICF.AddReg.StandardProfile] – Esta seção é para definir alterações para configurações padrão do Windows Firewall quando um computador não está conectado para uma rede. Se um computador não é um membro de um domínio, então o Windows Firewall sempre irá forçar as configurações armazenadas no Standard Profile.

OPÇÕES DE CONFIGURAÇÕES FORNECIDAS NO ARQUIVO INF DO WINDOWS FIREWALL
A maioria das configurações padrão para o Windows Firewall pode ser definida dentro do arquivo INF. Essas configurações incluem:

Modo Operacional

Desabilitar Notificações

Bloquear Respostas Unicast para Pacotes Multicat e Broadcast

Ativar Administração Remota

Permitir Mensagens ICMP

Abrir Portas

Permitir Programas





******ALTERANDO O MODO OPERACIONAL PADRÃO DO WINDOWS FIREWALL**************

O Windows Firewall pode ser colocado em um dos três modos operacionais:

• On (recommended) (Ativado (recomendável)) – Esse é o modo operacional padrão para o Windows Firewall. Nesse modo, o Windows Firewall descarta todos os tráficos de entrada não solicitados, exceto aqueles com entradas ativadas dentro da lista Exceptions (Exceções) do Windows Firewall. Sendo que este é o modo operacional padrão, nenhuma entrada precisa ser incluída dentro do arquivo INF do Windows Firewall.


A entrada para o Domain Profile dentro da seção [ICF.AddReg.DomainProfile] do arquivo INF do Windows Firewall é semelhante ao exemplo abaixo:

[ICF.AddReg.DomainProfile]
HKLM,"SYSTEM\CurrentControlSet\Services\SharedAcce ss\Parameters\FirewallPolicy\DomainProfile","DoNot AllowExceptions",0x00010001,0

Nota
Dentro da seção [ICF.AddReg.DomainProfile] o conteúdo que irá mudar será o (","DoNotAllowExceptions",0x00010001,0), o qual irá permitir as entradas de portas ou programas na lista Exceptions (Exceções) do Windows Firewall.
A chave que irá ativar ou desativar o comando será sempre o último caractere da expressão, como no exemplo acima (","DoNotAllowExceptions",0x00010001,0), o último zero (0) está desativando o comando Don´t allow exceptions (Não permitir exceções) do Windows Firewall.

Ainda dentro da seção [ICF.AddReg.StandardProfile] você poderá adicionar o comando abaixo:

HKLM,"SYSTEM\CurrentControlSet\Services\SharedAcce ss\Parameters\FirewallPolicy\StandardProfile","Ena bleFirewall",0x00010001,0x00000001

Nota
O commando (","EnableFirewall",0x00010001,1) irá ativar o Firewall do Windows.
A chave que irá ativar ou desativar o comando será o último número, como no exemplo acima (","EnableFirewall",0x00010001,1), o último número um (1) está ativando o comando On (recommended) (Ativado (recomendável)) do Windows Firewall.
Lembrando que ambas as configurações serão aplicadas para computadores que não estão conectados para uma rede.

• On (recommended) (Ativado (recomendável)) com Don´t allow exceptions (Não permitir exceções) Dentro desse modo, o Windows Firewall irá bloquear todo tráfico de entrada não solicitado, mesmo daqueles que se encontram dentro da lista Exceptions (Exceções) do Windows Firewall.


Para tornar esse modo operacional padrão para o Domain Profile, adicione a seguinte entrada na seção [ICF.AddReg.DomainProfile] do arquivo INF do Windows Firewall, como mostra o exemplo abaixo:

[ICF.AddReg.DomainProfile]
HKLM,"SYSTEM\CurrentControlSet\Services\SharedAcce ss\Parameters\FirewallPolicy\DomainProfile","DoNot AllowExceptions",0x00010001,1
HKLM,"SYSTEM\CurrentControlSet\Services\SharedAcce ss\Parameters\FirewallPolicy\DomainProfile","Enabl eFirewall",0x00010001,1

Nota
Dentro da seção [ICF.AddReg.DomainProfile] o conteúdo que irá mudar será o (","DoNotAllowExceptions",0x00010001,1), o qual irá ignorar as entradas de portas ou programas na lista Exceptions (Exceções) do Windows Firewall.
A chave que irá ativar ou desativar o comando será o último número, como no exemplo acima (","EnableFirewall",0x00010001,1), o último número um (1) está ativando o comando On (recommended) (Ativado (recomendável)) do Windows Firewall.
A chave que irá ativar ou desativar o comando será sempre o último caractere da expressão, como no exemplo acima (","DoNotAllowExceptions",0x00010001,1), o último número um (1) está ativando o comando Don´t allow exceptions (Não permitir exceções) do Windows Firewall.

Nota
O commando (","EnableFirewall",0x00010001,1)irá ativar o Firewall do Windows.
A chave que irá ativar ou desativar o comando será o último número, como no exemplo acima (","EnableFirewall",0x00010001,1), o último número um (1) está ativando o comando On (recommended) (Ativado (recomendável)) do Windows Firewall.
Lembrando que ambas as configurações serão aplicadas para computadores que estão conectados em uma rede ao qual contém um domínio.

A entrada para o Standard Profile dentro da seção [ICF.AddReg.StandardProfile] do arquivo INF do Windows Firewall é semelhante ao exemplo abaixo:

[ICF.AddReg.StandardProfile] HKLM,"SYSTEM\CurrentControlSet\Services\SharedAcce ss\Parameters\FirewallPolicy\StandardProfile","DoN otAllowExceptions",0x00010001,1
HKLM,"SYSTEM\CurrentControlSet\Services\SharedAcce ss\Parameters\FirewallPolicy\StandardProfile","Ena bleFirewall",0x00010001,1

Nota
Dentro da seção [ICF.AddReg.StandardProfile]o conteúdo que irá mudar será o (","DoNotAllowExceptions",0x00010001,1), o qual irá ignorar as entradas de portas ou programas na lista Exceptions (Exceções) do Windows Firewall.
A chave que irá ativar ou desativar o comando será sempre o último caractere da expressão, como no exemplo acima (","DoNotAllowExceptions",0x00010001,1), o último número um (1) está ativando o comando Don´t allow exceptions (Não permitir exceções) do Windows Firewall.
O commando (","EnableFirewall",0x00010001,1) irá ativar o Firewall do Windows.
A chave que irá ativar ou desativar o comando será o último número, como no exemplo acima (","EnableFirewall",0x00010001,1), o último número um (1) está ativando o comando On (recommended) (Ativado (recomendável)) do Windows Firewall.
Lembrando que ambas as configurações serão aplicadas para computadores que não estão conectados para uma rede.

• Off (not recommended) (Desativado (não recomendável)) – Dentro desse modo, o Windows Firewall é desativado e não faz qualquer filtragem de tráfico não solicitado. Todo tráfico não solicitado é permitido, e o Windows Firewall não irá proteger o seu computador de ataques de redes vindo da Internet, ou de qualquer outra rede.


Para tornar esse modo operacional padrão para o Domain Profile, adicione a seguinte entrada na seção [ICF.AddReg.DomainProfile] do arquivo INF do Windows Firewall, como mostra o exemplo abaixo:

[ICF.AddReg.DomainProfile]
HKLM,"SYSTEM\CurrentControlSet\Services\SharedAcce ss\Parameters\FirewallPolicy\DomainProfile","DoNot AllowExceptions",0x00010001,0
HKLM,"SYSTEM\CurrentControlSet\Services\SharedAcce ss\Parameters\FirewallPolicy\DomainProfile","Enabl eFirewall",0x00010001,0

Nota
Dentro da seção [ICF.AddReg.DomainProfile] o conteúdo que irá mudar será o (","DoNotAllowExceptions",0x00010001,0), o qual irá permitir as entradas de portas ou programas na lista Exceptions (Exceções) do Windows Firewall.
A chave que irá ativar ou desativar o comando será sempre o último caractere da expressão, como no exemplo acima (","DoNotAllowExceptions",0x00010001,0), o último zero (0) está desativando o comando Don´t allow exceptions (Não permitir exceções) do Windows Firewall.
O commando (","EnableFirewall",0x00010001,0) irá desativar o Firewall do Windows.
A chave que irá ativar ou desativar o comando será o último número, como no exemplo acima (","EnableFirewall",0x00010001,0), o último número zero (0) está desativando o comando On (recommended) (Ativado (recomendável)) do Windows Firewall.
Lembrando que ambas as configurações serão aplicadas para computadores que estão conectados em uma rede ao qual contém um domínio.

A entrada para o Standard Profile dentro da seção [ICF.AddReg.StandardProfile] do arquivo INF do Windows Firewall é semelhante ao exemplo abaixo:

[ICF.AddReg.StandardProfile]
HKLM,"SYSTEM\CurrentControlSet\Services\SharedAcce ss\Parameters\FirewallPolicy\StandardProfile","DoN otAllowExceptions",0x00010001,0
HKLM,"SYSTEM\CurrentControlSet\Services\SharedAcce ss\Parameters\FirewallPolicy\StandardProfile","Ena bleFirewall",0x00010001,0


Nota
Dentro da seção [ICF.AddReg.DomainProfile] o conteúdo que irá mudar será o (","DoNotAllowExceptions",0x00010001,0), o qual irá permitir as entradas de portas ou programas na lista Exceptions (Exceções) do Windows Firewall.
A chave que irá ativar ou desativar o comando será sempre o último caractere da expressão, como no exemplo acima (","DoNotAllowExceptions",0x00010001,0), o último zero (0) está desativando o comando Don´t allow exceptions (Não permitir exceções) do Windows Firewall.
O commando (","EnableFirewall",0x00010001,0) irá desativar o Firewall do Windows.
A chave que irá ativar ou desativar o comando será o último número, como no exemplo acima (","EnableFirewall",0x00010001,0), o último número zero (0) está desativando o comando On (recommended) (Ativado (recomendável)) do Windows Firewall.
Lembrando que ambas as configurações serão aplicadas para computadores que estão conectados em uma rede ao qual contém um domínio.

A entrada para o Standard Profile dentro da seção [ICF.AddReg.StandardProfile] do arquivo INF do Windows Firewall é semelhante ao exemplo abaixo:

[ICF.AddReg.StandardProfile]
HKLM,"SYSTEM\CurrentControlSet\Services\SharedAcce ss\Parameters\FirewallPolicy\StandardProfile","DoN otAllowExceptions",0x00010001,0
HKLM,"SYSTEM\CurrentControlSet\Services\SharedAcce ss\Parameters\FirewallPolicy\StandardProfile","Ena bleFirewall",0x00010001,0


Nota
Dentro da seção [ICF.AddReg.StandardProfile] o conteúdo que irá mudar será o (","DoNotAllowExceptions",0x00010001,0), o qual irá permitir as entradas de portas ou programas na lista Exceptions (Exceções) do Windows Firewall.
A chave que irá ativar ou desativar o comando será sempre o último caractere da expressão, como no exemplo acima (","DoNotAllowExceptions",0x00010001,0), o último zero (0) está desativando o comando Don´t allow exceptions (Não permitir exceções) do Windows Firewall.
O commando (","EnableFirewall",0x00010001,0) irá desativar o Firewall do Windows.
A chave que irá ativar ou desativar o comando será o último número, como no exemplo acima (","EnableFirewall",0x00010001,0), o último número zero (0) está desativando o comando On (recommended) (Ativado (recomendável)) do Windows Firewall.
Lembrando que ambas as configurações serão aplicadas para computadores que não estão conectados para uma rede.

Alerta
Use somente essa última configuração em casos específicos, para não comprometer a segurança da sua rede. Faça sempre teste em um laboratório antes de aplicá-lo em um ambiente de produção.


+++++DESATIVANDO AS NOTIFICAÇÕES DO WINDOWS FIREWALL++++++


Por padrão, o Windows Firewall mostra as notificações para os usuários quando um programa não está incluído dentro da lista Exceptions (Exceções) do Windows Firewall, permitindo o usuário adicioná-lo a lista Exceptions (Exceções). Você poderá adicionar algumas entradas no arquivo INF do Windows Firewall, para desabilitar essas notificações dentro de ambos os Profiles (Domain Profile e Standard Profile) do Windows Firewall, evitando que usuários sem experiência possa comprometer a segurança dos computadores e de toda a rede.

Para desativar as notificações por padrão dentro do Domain Profile, adicione a seguinte entrada na seção [ICF.AddReg.DomainProfile] do arquivo INF do Windows Firewall, como mostra o exemplo abaixo:

[ICF.AddReg.DomainProfile]
HKLM,"SYSTEM\CurrentControlSet\Services\SharedAcce ss\Parameters\FirewallPolicy\DomainProfile","Disab leNotifications",0x00010001,1



Dentro da seção [ICF.AddReg.DomainProfile] o conteúdo que irá mudar será o (","DisableNotifications",0x00010001,1), o qual irá desativar as notificações de programas que não estão incluídos dentro da lista Exceptions (Exceções) do Windows Firewall.
A chave que irá ativar ou desativar o comando será sempre o último caractere da expressão, como no exemplo acima (","DisableNotifications",0x00010001,1), o último número um (1) está desativando as notificações de programas que não estão incluídos dentro da lista Exceptions (Exceções) do Windows Firewall, evitando que usuários sem experiência possam comprometer a segurança dos computadores e de toda a rede.
Lembrando que as configurações serão aplicadas para computadores que estão conectados em uma rede ao qual contém um domínio.

Para desativar as notificações por padrão dentro do Standard Profile, adicione a seguinte entrada na seção [ICF.AddReg.StandardProfile] do arquivo INF do Windows Firewall, como mostra o exemplo abaixo:

[ICF.AddReg.StandardProfile]
HKLM,"SYSTEM\CurrentControlSet\Services\SharedAcce ss\Parameters\FirewallPolicy\StandardProfile","Dis ableNotifications",0x00010001,1






Dentro da seção [ICF.AddReg.StandardProfile] o conteúdo que irá mudar será o (","DisableNotifications",0x00010001,1), o qual irá desativar as notificações de programas que não estão incluídos dentro da lista Exceptions (Exceções) do Windows Firewall.
A chave que irá ativar ou desativar o comando será sempre o último caractere da expressão, como no exemplo acima (","DisableNotifications",0x00010001,1), o último número um (1) está desativando as notificações de programas que não estão incluídos dentro da lista Exceptions (Exceções) do Windows Firewall, evitando que usuários sem experiência possam comprometer a segurança dos computadores e de toda a rede.
Lembrando que as configurações serão aplicadas para computadores que não estão conectados para uma rede.


****BLOQUEANDO RESPOSTAS UNICAST PARA PACOTES MULTICAT E BROADCAST******


Por padrão, o Windows Firewall permite resposta de pacotes unicast de entrada para uma porta por 3 segundos após um pacote multicast ou broadcast ser enviado para a porta. Adicionando as entradas apropriadas dentro do arquivo INF do Windows Firewall, você poderá desativar esse comportamento em ambos os Profiles (Domain Profile e Standard Profile) do Windows Firewall.

Para bloquear respostas unicast para pacotes multicast e broadcast por padrão dentro do Domain Profile, adicione a seguinte entrada para a seção [ICF.AddReg.DomainProfile] do arquivo INF do Windows Firewall, como mostra o exemplo abaixo:

[ICF.AddReg.DomainProfile]
lSet\Services\SharedAccess\Parameters\FirewallPoli cy\DomainProfile","DisableUnicastResponsesToMultic astBroadcast",0x00010001,1


Dentro da seção [ICF.AddReg.DomainProfile] o conteúdo que irá mudar será o (","DisableUnicastResponsesToMulticastBroadcast",0 x00010001,1), o qual irá bloquear respostas unicast para pacotes multicast e broacast.
A chave que irá ativar ou desativar o comando será sempre o último caractere da expressão, como no exemplo acima (","DisableUnicastResponsesToMulticastBroadcast",0 x00010001,1), o último número um (1) está bloqueando respostas unicast para pacotes multicast e broacast.
Lembrando que as configurações serão aplicadas para computadores que estão conectados em uma rede ao qual contém um domínio.

Para bloquear respostas unicast para pacotes multicast e broadcast por padrão dentro do Standard Profile, adicione a seguinte entrada para a seção [ICF.AddReg.StandardProfile] do arquivo INF do Windows Firewall, como mostra o exemplo abaixo:

[ICF.AddReg.StandardProfile]
HKLM,"SYSTEM\CurrentControlSet\Services\SharedAcce ss\Parameters\FirewallPolicy\StandardProfile","Dis ableUnicastResponsesToMulticastBroadcast",0x000100 01,1

Nota
Dentro da seção [ICF.AddReg.StandardProfile] o conteúdo que irá mudar será o (","DisableUnicastResponsesToMulticastBroadcast",0 x00010001,1), o qual irá bloquear respostas unicast para pacotes multicast e broacast.
A chave que irá ativar ou desativar o comando será sempre o último caractere da expressão, como no exemplo acima (","DisableUnicastResponsesToMulticastBroadcast",0 x00010001,1), o último número um (1) está bloqueando respostas unicast para pacotes multicast e broacast.
Lembrando que as configurações serão aplicadas para computadores que não estão conectados para uma rede.




>:-|

achei muito interessante mostrar aqui para os colegas menos mexedores ...

postarei o restante depois de analize do documento e aprovação >:-|



FONTE: microsoft MCP + MCSA + MCSE + MVP

[wilbasilio]

Amigo preciso de sua ajuda....trabalho numa empresa que usa conexão da star one Via satelite.tem cerca de 20 computadores ligados em rede com faixa de ip interno 10.1.2.1 - OS computadores nao deixam eu acessar salas de chat,como por ex:O terra,uol,ig,bol etc.Estou achando me corrija se estiver errado que é o fato de o firewell estar ativo. Vc poderia me ajudar?
ja configurei o proxy a porta pelo internet explorer configuração da lan como:localhost(127.0.0.1) e porta "9877".
Como faço para o a sala de bate papo funcionar?pq toda ves que eu entro na pagina ocorre o erro:"chat.terra.com.br:9781" e ai fica nisto.As veses dis a mesma coisa e coloca porta "80" no lugar de "9781"
ja nao sei o que faço mais...

bem espero que tenha entendido a minha pergunta....valeu!

[J.Augusto]

(...)OS computadores nao deixam eu acessar salas de chat,como por ex:O terra,uol,ig,bol etc.Estou achando me corrija se estiver errado que é o fato de o firewell estar ativo. Vc poderia me ajudar?(...)

>:-\ Sinceramente? não... Se vc não tem permissão na sua rede de trabalho para acessar chats, quem vc deve procurar é o seu Administrador de rede e não um forum, e explanar para ele. o pq vc precisar de acesso a chats no trabalho. Se não pode algum motivo tem.

(...)a configurei o proxy a porta pelo internet explorer configuração da lan como:localhost(127.0.0.1) e porta "9877".(...)

Foi? aqui no trabalho se pegamos alguma maquina mexida nesse ambito nós cancelamos o login do usuário. E ele tem que se reportar ao chefe dele para este re-autorizar o junto ao meu chefe o acesso dele a rede.

(...)Como faço para o a sala de bate papo funcionar?pq toda ves que eu entro na pagina ocorre o erro:"chat.terra.com.br:9781" e ai fica nisto.As veses dis a mesma coisa e coloca porta "80" no lugar de "9781"(...)

É ? eu acho é pouco, aqui no DPTO quando alguem vai acessar algo proibido o que se mostra no browser é a pagina do orgão.

(...)bem espero que tenha entendido a minha pergunta....valeu!(...)

Não vejo nesse seu post, contribuição para melhorar é nada. >:-(