none
Firewall do Windows com Segurança Avançada

    Question

  • Olá, eu gostaria de saber se a Microsoft ou alguém possuí algum artigo/tutorial que ensine a configurar o 'Firewall do Windows com Segurança Avançada' no Windows Vista/7.

    Agradeço quem puder ajudar =)


    www.securityhacker.org
    Sunday, June 27, 2010 6:42 PM

Answers

  • http://technet.microsoft.com/pt-br/library/cc772589(WS.10).aspx
    • Proposed as answer by Diego Intersoft Tuesday, July 20, 2010 1:04 PM
    • Marked as answer by Sahathor Tuesday, July 27, 2010 7:36 PM
    Tuesday, July 20, 2010 1:04 PM
  • Firewall do Windows com Segurança Avançada

    Atualizado: janeiro de 2008

    Aplica-se a: Windows Server 2008

    Começando com Windows Vista® e Windows Server® 2008, as configurações do Firewall do Windows® e do protocolo IPsec (Internet Protocol security) são combinadas em uma única ferramenta, o snap-in Console de Gerenciamento Microsoft (MMC) do Firewall do Windows com Segurança Avançada.

    O snap-in MMC do Firewall do Windows com Segurança Avançada substitui os dois snap-ins IPsec anteriores, as Diretivas de Segurança IP e o Monitor de Segurança IP, para configurar os computadores que estiverem executando Windows Vista e Windows Server 2008. Os snap-ins IPsec anteriores ainda são incluídos no Windows para gerenciar computadores clientes que estejam executando Windows Server® 2003, Windows XP ou Microsoft® Windows 2000. Embora os computadores com Windows Vista e Windows Server 2008 também possam ser configurados e monitorados usando os snap-ins IPsec anteriores, você não pode usar ferramentas antigas para configurar os muitos novos recursos e opções de segurança introduzidos no Windows Vista e Windows Server 2008. Para aproveitar esses novos recursos, você deve fazer as configurações usando o snap-in Firewall do Windows com Segurança Avançada, ou os comandos no contexto advfirewall da ferramenta Netsh.

    O que o Firewall do Windows com Segurança Avançada faz?

    Firewall do Windows com Segurança Avançada fornece várias funções em um computador com Windows Vista ou Windows Server 2008:

    • Filtragem de todo o tráfego de IP versão 4 (IPv4) e IP versão 6 (IPv6) entrando ou saindo do computador. Por padrão, o tráfego de entrada é bloqueado, a menos que seja a resposta a uma solicitação de saída anterior do computador (tráfego solicitado) ou seja especificamente permitido por uma regra criada para permitir o tráfego. Por padrão, todo o tráfego de saída é permitido, exceto para regras de proteção de serviço que impedem os serviços padrão de se comunicarem de maneiras inesperadas. Você pode escolher permitir o tráfego com base em números de porta, endereços IPv4 ou IPv6, o caminho e o nome de um aplicativo ou o nome de um serviço que esteja em execução no computador, ou outros critérios.
    • Proteger o tráfego da rede entrando ou saindo do computador com o protocolo IPsec para verificar a integridade do tráfego da rede, autenticar a identidade dos computadores ou usuários de envio e recebimento, e opcionalmente criptografar o tráfego para oferecer confidencialidade.

    Quem estaria interessado nesse recurso?

    Iniciando com o Windows XP Service Pack 2, o Firewall do Windows é habilitado por padrão nos sistemas operacionais cliente da Microsoft. O Windows Server 2008 é o primeiro sistema operacional servidor da Microsoft a ter o Firewall do Windows habilitado por padrão. Como o Firewall do Windows é ativado por padrão, cada administrador de um servidor com Windows Server 2008 deve estar ciente desse recurso e entender como configurar o firewall para permitir o tráfego da rede necessário.

    O Firewall do Windows com Segurança Avançada pode ser totalmente configurado usando o snap-in MMC do Firewall do Windows com Segurança Avançada ou os comandos disponíveis no contexto advfirewall da ferramenta de linha de comando Netsh. As ferramentas gráficas e de linha de comando suportam o gerenciamento do Firewall do Windows com Segurança Avançada no computador local ou em um computador remoto com Windows Server 2008 ou Windows Vista que está na rede. As configurações criadas usando uma dessas ferramentas podem ser implantadas nos computadores conectados à rede usando a Diretiva de Grupo.

    Você deve rever esta seção no Firewall do Windows com Segurança Avançada caso esteja em um dos seguintes grupos:

    • Planejadores e analistas de TI que estão avaliando o produto tecnicamente
    • Planejadores e designers de TI do Enterprise
    • Profissionais de TI que implantam ou administram soluções de segurança em rede na sua organização

    Que funcionalidade nova esse recurso oferece?

    O Firewall do Windows com Segurança Avançada consolida duas funções que são gerenciadas separadamente nas versões anteriores do Windows. Além disso, a principal funcionalidade de cada componente do firewall e IPsec do Firewall do Windows com Segurança Avançada é sensivelmente aperfeiçoada no Windows Vista e Windows Server 2008.

    O Firewall do Windows é ativado por padrão

    O Firewall do Windows tem sido ativado por padrão nos sistemas operacionais clientes do Windows desde o Windows XP Service Pack 2, mas o Windows Server 2008 é a primeira versão de servidor do sistema operacional do Windows a ter o Firewall do Windows ativado por padrão. Isso tem implicações sempre que um aplicativo ou serviço instalado tiver permissão de receber tráfego de entrada não solicitado pela rede. Muitos aplicativos antigos não são projetados para funcionar com um firewall baseado em host e talvez não funcionem corretamente, a menos que você defina regras para permitir que esse aplicativo aceite tráfego de rede de entrada não solicitada. Quando você instala uma função ou recurso de servidor incluída com o Windows Server 2008, o instalador habilita ou cria automaticamente regras de firewall para ter certeza de que a função ou recurso do servidor funcione corretamente. Para determinar as configurações do firewall que devem ser configuradas para um aplicativo, entre em contato com o fornecedor do aplicativo. As configurações do firewall são publicadas freqüentemente no site de suporte do fornecedor.

    note Observação
    Um computador executando o Windows Server 2003 que foi atualizado para o Windows Server 2008 mantém o mesmo estado operacional de firewall que tinha antes da atualização. Se o firewall estava desativado antes da atualização, permanecerá desativado após a atualização. É altamente recomendável que você ative o firewall assim que confirmar que os aplicativos no servidor funcionam com o firewall conforme a configuração, ou assim que você configurar as regras de firewall apropriadas para os aplicativos que estão em execução no computador.

    O gerenciamento da diretiva IPsec é simplificado

    Em versões anteriores do Windows, as implementações de servidor ou isolamento de domínio às vezes exigiam a criação de um grande número de regras IPsec para certificar que o tráfego de rede necessário estava protegido adequadamente, ao mesmo tempo em que ainda permitiam tráfego de rede necessário que não pudesse ser protegido com IPsec.

    A necessidade de um conjunto grande e complexo de regras IPsec foi reduzida graças a um novo comportamento padrão para negociação de IPsec que solicita mas não necessita de proteção IPsec. Quando essa configuração é usada, o IPsec envia uma tentativa de negociação de IPsec, ao mesmo tempo em que envia pacotes de texto simples para o computador de destino. Se o computador de destino responder e concluir com êxito a negociação, a comunicação de texto simples será interrompida e a comunicação subseqüente será protegida por IPsec. Entretanto, se o computador de destino não responder à negociação de IPsec, a tentativa de texto simples poderá continuar. As versões anteriores do Windows aguardavam três segundos após a tentativa de negociação de IPsec antes de tentarem se comunicar usando texto simples. Isso resultava em atrasos significativos de desempenho do tráfego que não podia ser protegido e tinha que ser repetido em texto simples. Para evitar esse atraso do desempenho, um administrador tinha que criar várias regras IPsec para dar conta de diferentes requisitos de cada tipo de tráfego de rede.

    O novo comportamento permite a opção de solicitar, mas não exige proteção IPsec para realizar quase tão bem quanto tráfego não protegido, porque ele não exige mais um atraso de três segundos. Isso permite que você proteja o tráfego onde é necessário, sem ter que criar muitas regras que permitam explicitamente as exceções necessárias. Isso resulta em um ambiente mais seguro, menos complexo e mais fácil de solucionar problemas.

    Suporte para IP Autenticado (AuthIP)

    Nas versões anteriores do Windows, o IPsec suportava somente o protocolo IKE (Internet Key Exchange) para negociar as associações de segurança do IPsec. O Windows Vista e o Windows Server 2008 suportam uma extensão para IKE conhecida como IP Autenticado (AuthIP) . O AuthIP fornece capacidades de autenticação adicionais como:

    • Suporte para novos tipos de credenciais que não estão disponíveis somente no IKE. Entre elas estão as seguintes: certificados de integridade fornecidos pelo servidor HRA (Autoridade de Registro de Autoridade), que é parte de uma implantação NAP (Proteção do Acesso à Rede); certificados baseados em usuário; credenciais de usuário Kerberos; e credenciais de usuário ou computador NTLM versão 2. Estes são tipos de credenciais adicionais que o IKE suporta, como certificados baseados em computador, credenciais Kerberos para a conta do computador ou simples chaves pré-compartilhadas.
    • Suporte para autenticação usando várias credenciais. Por exemplo, o IPsec pode ser configurado para exigir que as credenciais de computador e usuário sejam processadas com sucesso, antes da permissão do tráfego. Isso aumenta a segurança da rede, reduzindo a chance de um computador confiável ser usado por um usuário não confiável.

    Suporte para proteção do membro do domínio para o tráfego do controlador de domínio, usando IPsec

    Versões anteriores do Windows não suportam o uso do IPsec para proteger o tráfego entre controladores de domínio e computadores membros de domínio. Windows Vista e Windows Server 2008 suportam a proteção do tráfego de rede entre computadores membros de domínio e controladores de domínio usando IPsec, ao mesmo tempo em que ainda habilitam um computador membro não-domínio a se juntar a um domínio usando o controlador de domínio protegido por IPsec.

    Suporte criptográfico aperfeiçoado

    A implementação de IPsec no Windows Vista e Windows Server 2008 suporta algoritmos adicionais para o principal modo de negociação de SAs:

    • Elliptic Curve Diffie-Hellman P-256, um algoritmo de curva elíptica que usa um grupo de curva aleatória de 256 bits.
    • Elliptic Curve Diffie-Hellman P-384, um algoritmo de curva elíptica que usa um grupo de curva aleatória de 384 bits.

    Também são suportados os métodos de criptografia a seguir, que usam AES (Advanced Encryption Standard):

    • AES com CBC (cipher block chaining) e um tamanho de chave de 128 bits (AES 128).
    • AES com CBC e um tamanho de chave de 192 bits (AES 192).
    • AES com CBC e um tamanho de chave de 256 bits (AES 256).

    As configurações podem mudar dinamicamente com base no tipo de local de rede

    Windows Vista e Windows Server 2008 podem notificar aplicativos habilitados por rede, como o Firewall do Windows, sobre alterações nos tipos de locais de rede disponíveis por meio de qualquer adaptador de rede conectado, conexões dial-up, redes privadas virtuais (VPNs) etc. O Windows suporta três tipos de locais de rede, e os programas podem usar esses tipos de locais para aplicar automaticamente o conjunto apropriado de opções de configuração. Os aplicativos devem ser escritos para aproveitar esse recurso e receber notificações de alterações nos tipos de locais de local de rede. O Firewall do Windows com Segurança Avançada no Windows Vista e Windows Server 2008 pode fornecer diferentes níveis de proteção com base no tipo de local de rede ao qual o computador está conectado. Os tipos de locais de rede são:

    • Domínio . Esse tipo de local de rede é selecionado quando o computador é membro de um domínio, e o Windows determina se o computador está atualmente conectado à rede que hospeda o domínio. Essa seleção é automática, com base na autenticação bem-sucedida com um controlador de domínio na rede.
    • Privado . Esse tipo de local de rede pode ser selecionado para as redes em que o usuário confia, como redes domésticas ou de pequenos escritórios. As configurações atribuídas a esse tipo de local são normalmente mais restritivas que uma rede de domínio, porque não se espera que uma rede doméstica seja tão ativamente gerenciada quanto uma rede de domínio. Uma rede detectada recentemente nunca é atribuída automaticamente ao tipo de local Privado. Um usuário deve escolher explicitamente a atribuição da rede ao tipo de local Privado.
    • Público . Esse tipo de local de rede é atribuído por padrão a todas as redes detectadas recentemente. As configurações atribuídas a esse tipo de local normalmente são as mais restritivas, devido aos riscos de segurança que se encontram em uma rede pública.
    note Observação
    O recurso do tipo de local de rede é mais útil em computadores clientes, especialmente os portáteis, que provavelmente se movem de rede para rede. Um servidor provavelmente não é móvel, portanto, uma estratégia sugerida para um computador típico que esteja executando o Windows Server 2008 é configurar igualmente os três perfis.

    Integração do Firewall do Windows e do gerenciamento do IPsec em uma única interface de usuário

    No Windows Vista e no Windows Server 2008, a interface de usuário do firewall e os componentes do IPsec estão agora combinados no snap-in MMC do Firewall do Windows com Segurança Avançada, e os comandos no contexto advfirewall da ferramenta de linha de comando Netsh. As ferramentas usadas no Windows XP, Windows Server 2003 e Windows 2000 — as configurações de Diretiva de Grupo do modelo administrativo do Firewall do Windows , os snap-ins MMC Diretiva de Segurança IP e Monitor de Segurança IP , e os contextos ipsec e firewall do comando Netsh — ainda estão disponíveis, mas não suportam nenhum dos recursos mais recentes incluídos no Windows Vista e Windows Server 2008. O ícone do Firewall do Windows no Painel de Controle também está presente, mas é uma interface de usuário final para gerenciar a funcionalidade básica do firewall e não apresenta as opções avançadas exigidas por um administrador.

    Usando as várias ferramentas para firewall e IPsec nas versões mais recentes do Windows, os administradores podem criar acidentalmente configurações conflitantes, como uma regra IPsec que faça um tipo específico de pacote de rede ser descartado, mesmo que uma regra de firewall permita a presença do mesmo tipo de pacote de rede. Isso pode resultar em cenários de solução de problemas muito difíceis. A combinação das duas funções reduz a possibilidade de criar regras conflitantes e ajuda a garantir a proteção adequada do tráfego desejado.

    Suporte total para proteção de tráfego de rede IPv4 e IPv6

    Todos os recursos de firewall e IPsec disponíveis no Windows Vista e no Windows Server 2008 estão disponíveis para proteger tanto o tráfego de rede IPv4 quanto o IPv6.

    Eu preciso alterar algum código existente?

    Se você criar um software projetado para ser instalado com Windows Vista ou Windows Server 2008, deverá ter certeza de que a ferramenta de instalação configure corretamente o firewall, criando ou habilitando regras que permitam que o tráfego da rede do seu programa passe pelo firewall. O programa deve reconhecer os diferentes tipos de locais de rede reconhecidos pelo Windows: domínio , privado e público , respondendo corretamente a uma alteração no tipo de local de rede. Uma alteração no tipo de local de rede pode resultar em diferentes regras de firewall funcionando no computador. Por exemplo, se você deseja que o aplicativo apenas seja executado em um ambiente seguro, como um domínio ou rede privada, as regras de firewall devem impedir que o aplicativo envie tráfego de rede quando o computador estiver em uma rede pública. Se o tipo de local de rede mudar inesperadamente enquanto o aplicativo estiver em execução, ele deve tratar a alteração normalmente.

    Espero ter te ajudado, qualquer coisa poste aqui novamente.

    Até mais...

    (caso tenha resolvido sua questão, marque este thread como "respondido")
    • Marked as answer by Sahathor Tuesday, July 27, 2010 7:36 PM
    Monday, July 26, 2010 4:12 PM

All replies

  • http://technet.microsoft.com/pt-br/library/cc772589(WS.10).aspx
    • Proposed as answer by Diego Intersoft Tuesday, July 20, 2010 1:04 PM
    • Marked as answer by Sahathor Tuesday, July 27, 2010 7:36 PM
    Tuesday, July 20, 2010 1:04 PM
  • Mias tecnicamente o usuário acima respondeu. Mas para uma modo mais comum então é só entrar no firewall do windows e configurarar as opções para nível médio-alto ou nível alto.

    Outra solução é usar um firewall de terceiros.

    Saturday, July 24, 2010 2:17 PM
  • Firewall do Windows com Segurança Avançada

    Atualizado: janeiro de 2008

    Aplica-se a: Windows Server 2008

    Começando com Windows Vista® e Windows Server® 2008, as configurações do Firewall do Windows® e do protocolo IPsec (Internet Protocol security) são combinadas em uma única ferramenta, o snap-in Console de Gerenciamento Microsoft (MMC) do Firewall do Windows com Segurança Avançada.

    O snap-in MMC do Firewall do Windows com Segurança Avançada substitui os dois snap-ins IPsec anteriores, as Diretivas de Segurança IP e o Monitor de Segurança IP, para configurar os computadores que estiverem executando Windows Vista e Windows Server 2008. Os snap-ins IPsec anteriores ainda são incluídos no Windows para gerenciar computadores clientes que estejam executando Windows Server® 2003, Windows XP ou Microsoft® Windows 2000. Embora os computadores com Windows Vista e Windows Server 2008 também possam ser configurados e monitorados usando os snap-ins IPsec anteriores, você não pode usar ferramentas antigas para configurar os muitos novos recursos e opções de segurança introduzidos no Windows Vista e Windows Server 2008. Para aproveitar esses novos recursos, você deve fazer as configurações usando o snap-in Firewall do Windows com Segurança Avançada, ou os comandos no contexto advfirewall da ferramenta Netsh.

    O que o Firewall do Windows com Segurança Avançada faz?

    Firewall do Windows com Segurança Avançada fornece várias funções em um computador com Windows Vista ou Windows Server 2008:

    • Filtragem de todo o tráfego de IP versão 4 (IPv4) e IP versão 6 (IPv6) entrando ou saindo do computador. Por padrão, o tráfego de entrada é bloqueado, a menos que seja a resposta a uma solicitação de saída anterior do computador (tráfego solicitado) ou seja especificamente permitido por uma regra criada para permitir o tráfego. Por padrão, todo o tráfego de saída é permitido, exceto para regras de proteção de serviço que impedem os serviços padrão de se comunicarem de maneiras inesperadas. Você pode escolher permitir o tráfego com base em números de porta, endereços IPv4 ou IPv6, o caminho e o nome de um aplicativo ou o nome de um serviço que esteja em execução no computador, ou outros critérios.
    • Proteger o tráfego da rede entrando ou saindo do computador com o protocolo IPsec para verificar a integridade do tráfego da rede, autenticar a identidade dos computadores ou usuários de envio e recebimento, e opcionalmente criptografar o tráfego para oferecer confidencialidade.

    Quem estaria interessado nesse recurso?

    Iniciando com o Windows XP Service Pack 2, o Firewall do Windows é habilitado por padrão nos sistemas operacionais cliente da Microsoft. O Windows Server 2008 é o primeiro sistema operacional servidor da Microsoft a ter o Firewall do Windows habilitado por padrão. Como o Firewall do Windows é ativado por padrão, cada administrador de um servidor com Windows Server 2008 deve estar ciente desse recurso e entender como configurar o firewall para permitir o tráfego da rede necessário.

    O Firewall do Windows com Segurança Avançada pode ser totalmente configurado usando o snap-in MMC do Firewall do Windows com Segurança Avançada ou os comandos disponíveis no contexto advfirewall da ferramenta de linha de comando Netsh. As ferramentas gráficas e de linha de comando suportam o gerenciamento do Firewall do Windows com Segurança Avançada no computador local ou em um computador remoto com Windows Server 2008 ou Windows Vista que está na rede. As configurações criadas usando uma dessas ferramentas podem ser implantadas nos computadores conectados à rede usando a Diretiva de Grupo.

    Você deve rever esta seção no Firewall do Windows com Segurança Avançada caso esteja em um dos seguintes grupos:

    • Planejadores e analistas de TI que estão avaliando o produto tecnicamente
    • Planejadores e designers de TI do Enterprise
    • Profissionais de TI que implantam ou administram soluções de segurança em rede na sua organização

    Que funcionalidade nova esse recurso oferece?

    O Firewall do Windows com Segurança Avançada consolida duas funções que são gerenciadas separadamente nas versões anteriores do Windows. Além disso, a principal funcionalidade de cada componente do firewall e IPsec do Firewall do Windows com Segurança Avançada é sensivelmente aperfeiçoada no Windows Vista e Windows Server 2008.

    O Firewall do Windows é ativado por padrão

    O Firewall do Windows tem sido ativado por padrão nos sistemas operacionais clientes do Windows desde o Windows XP Service Pack 2, mas o Windows Server 2008 é a primeira versão de servidor do sistema operacional do Windows a ter o Firewall do Windows ativado por padrão. Isso tem implicações sempre que um aplicativo ou serviço instalado tiver permissão de receber tráfego de entrada não solicitado pela rede. Muitos aplicativos antigos não são projetados para funcionar com um firewall baseado em host e talvez não funcionem corretamente, a menos que você defina regras para permitir que esse aplicativo aceite tráfego de rede de entrada não solicitada. Quando você instala uma função ou recurso de servidor incluída com o Windows Server 2008, o instalador habilita ou cria automaticamente regras de firewall para ter certeza de que a função ou recurso do servidor funcione corretamente. Para determinar as configurações do firewall que devem ser configuradas para um aplicativo, entre em contato com o fornecedor do aplicativo. As configurações do firewall são publicadas freqüentemente no site de suporte do fornecedor.

    note Observação
    Um computador executando o Windows Server 2003 que foi atualizado para o Windows Server 2008 mantém o mesmo estado operacional de firewall que tinha antes da atualização. Se o firewall estava desativado antes da atualização, permanecerá desativado após a atualização. É altamente recomendável que você ative o firewall assim que confirmar que os aplicativos no servidor funcionam com o firewall conforme a configuração, ou assim que você configurar as regras de firewall apropriadas para os aplicativos que estão em execução no computador.

    O gerenciamento da diretiva IPsec é simplificado

    Em versões anteriores do Windows, as implementações de servidor ou isolamento de domínio às vezes exigiam a criação de um grande número de regras IPsec para certificar que o tráfego de rede necessário estava protegido adequadamente, ao mesmo tempo em que ainda permitiam tráfego de rede necessário que não pudesse ser protegido com IPsec.

    A necessidade de um conjunto grande e complexo de regras IPsec foi reduzida graças a um novo comportamento padrão para negociação de IPsec que solicita mas não necessita de proteção IPsec. Quando essa configuração é usada, o IPsec envia uma tentativa de negociação de IPsec, ao mesmo tempo em que envia pacotes de texto simples para o computador de destino. Se o computador de destino responder e concluir com êxito a negociação, a comunicação de texto simples será interrompida e a comunicação subseqüente será protegida por IPsec. Entretanto, se o computador de destino não responder à negociação de IPsec, a tentativa de texto simples poderá continuar. As versões anteriores do Windows aguardavam três segundos após a tentativa de negociação de IPsec antes de tentarem se comunicar usando texto simples. Isso resultava em atrasos significativos de desempenho do tráfego que não podia ser protegido e tinha que ser repetido em texto simples. Para evitar esse atraso do desempenho, um administrador tinha que criar várias regras IPsec para dar conta de diferentes requisitos de cada tipo de tráfego de rede.

    O novo comportamento permite a opção de solicitar, mas não exige proteção IPsec para realizar quase tão bem quanto tráfego não protegido, porque ele não exige mais um atraso de três segundos. Isso permite que você proteja o tráfego onde é necessário, sem ter que criar muitas regras que permitam explicitamente as exceções necessárias. Isso resulta em um ambiente mais seguro, menos complexo e mais fácil de solucionar problemas.

    Suporte para IP Autenticado (AuthIP)

    Nas versões anteriores do Windows, o IPsec suportava somente o protocolo IKE (Internet Key Exchange) para negociar as associações de segurança do IPsec. O Windows Vista e o Windows Server 2008 suportam uma extensão para IKE conhecida como IP Autenticado (AuthIP) . O AuthIP fornece capacidades de autenticação adicionais como:

    • Suporte para novos tipos de credenciais que não estão disponíveis somente no IKE. Entre elas estão as seguintes: certificados de integridade fornecidos pelo servidor HRA (Autoridade de Registro de Autoridade), que é parte de uma implantação NAP (Proteção do Acesso à Rede); certificados baseados em usuário; credenciais de usuário Kerberos; e credenciais de usuário ou computador NTLM versão 2. Estes são tipos de credenciais adicionais que o IKE suporta, como certificados baseados em computador, credenciais Kerberos para a conta do computador ou simples chaves pré-compartilhadas.
    • Suporte para autenticação usando várias credenciais. Por exemplo, o IPsec pode ser configurado para exigir que as credenciais de computador e usuário sejam processadas com sucesso, antes da permissão do tráfego. Isso aumenta a segurança da rede, reduzindo a chance de um computador confiável ser usado por um usuário não confiável.

    Suporte para proteção do membro do domínio para o tráfego do controlador de domínio, usando IPsec

    Versões anteriores do Windows não suportam o uso do IPsec para proteger o tráfego entre controladores de domínio e computadores membros de domínio. Windows Vista e Windows Server 2008 suportam a proteção do tráfego de rede entre computadores membros de domínio e controladores de domínio usando IPsec, ao mesmo tempo em que ainda habilitam um computador membro não-domínio a se juntar a um domínio usando o controlador de domínio protegido por IPsec.

    Suporte criptográfico aperfeiçoado

    A implementação de IPsec no Windows Vista e Windows Server 2008 suporta algoritmos adicionais para o principal modo de negociação de SAs:

    • Elliptic Curve Diffie-Hellman P-256, um algoritmo de curva elíptica que usa um grupo de curva aleatória de 256 bits.
    • Elliptic Curve Diffie-Hellman P-384, um algoritmo de curva elíptica que usa um grupo de curva aleatória de 384 bits.

    Também são suportados os métodos de criptografia a seguir, que usam AES (Advanced Encryption Standard):

    • AES com CBC (cipher block chaining) e um tamanho de chave de 128 bits (AES 128).
    • AES com CBC e um tamanho de chave de 192 bits (AES 192).
    • AES com CBC e um tamanho de chave de 256 bits (AES 256).

    As configurações podem mudar dinamicamente com base no tipo de local de rede

    Windows Vista e Windows Server 2008 podem notificar aplicativos habilitados por rede, como o Firewall do Windows, sobre alterações nos tipos de locais de rede disponíveis por meio de qualquer adaptador de rede conectado, conexões dial-up, redes privadas virtuais (VPNs) etc. O Windows suporta três tipos de locais de rede, e os programas podem usar esses tipos de locais para aplicar automaticamente o conjunto apropriado de opções de configuração. Os aplicativos devem ser escritos para aproveitar esse recurso e receber notificações de alterações nos tipos de locais de local de rede. O Firewall do Windows com Segurança Avançada no Windows Vista e Windows Server 2008 pode fornecer diferentes níveis de proteção com base no tipo de local de rede ao qual o computador está conectado. Os tipos de locais de rede são:

    • Domínio . Esse tipo de local de rede é selecionado quando o computador é membro de um domínio, e o Windows determina se o computador está atualmente conectado à rede que hospeda o domínio. Essa seleção é automática, com base na autenticação bem-sucedida com um controlador de domínio na rede.
    • Privado . Esse tipo de local de rede pode ser selecionado para as redes em que o usuário confia, como redes domésticas ou de pequenos escritórios. As configurações atribuídas a esse tipo de local são normalmente mais restritivas que uma rede de domínio, porque não se espera que uma rede doméstica seja tão ativamente gerenciada quanto uma rede de domínio. Uma rede detectada recentemente nunca é atribuída automaticamente ao tipo de local Privado. Um usuário deve escolher explicitamente a atribuição da rede ao tipo de local Privado.
    • Público . Esse tipo de local de rede é atribuído por padrão a todas as redes detectadas recentemente. As configurações atribuídas a esse tipo de local normalmente são as mais restritivas, devido aos riscos de segurança que se encontram em uma rede pública.
    note Observação
    O recurso do tipo de local de rede é mais útil em computadores clientes, especialmente os portáteis, que provavelmente se movem de rede para rede. Um servidor provavelmente não é móvel, portanto, uma estratégia sugerida para um computador típico que esteja executando o Windows Server 2008 é configurar igualmente os três perfis.

    Integração do Firewall do Windows e do gerenciamento do IPsec em uma única interface de usuário

    No Windows Vista e no Windows Server 2008, a interface de usuário do firewall e os componentes do IPsec estão agora combinados no snap-in MMC do Firewall do Windows com Segurança Avançada, e os comandos no contexto advfirewall da ferramenta de linha de comando Netsh. As ferramentas usadas no Windows XP, Windows Server 2003 e Windows 2000 — as configurações de Diretiva de Grupo do modelo administrativo do Firewall do Windows , os snap-ins MMC Diretiva de Segurança IP e Monitor de Segurança IP , e os contextos ipsec e firewall do comando Netsh — ainda estão disponíveis, mas não suportam nenhum dos recursos mais recentes incluídos no Windows Vista e Windows Server 2008. O ícone do Firewall do Windows no Painel de Controle também está presente, mas é uma interface de usuário final para gerenciar a funcionalidade básica do firewall e não apresenta as opções avançadas exigidas por um administrador.

    Usando as várias ferramentas para firewall e IPsec nas versões mais recentes do Windows, os administradores podem criar acidentalmente configurações conflitantes, como uma regra IPsec que faça um tipo específico de pacote de rede ser descartado, mesmo que uma regra de firewall permita a presença do mesmo tipo de pacote de rede. Isso pode resultar em cenários de solução de problemas muito difíceis. A combinação das duas funções reduz a possibilidade de criar regras conflitantes e ajuda a garantir a proteção adequada do tráfego desejado.

    Suporte total para proteção de tráfego de rede IPv4 e IPv6

    Todos os recursos de firewall e IPsec disponíveis no Windows Vista e no Windows Server 2008 estão disponíveis para proteger tanto o tráfego de rede IPv4 quanto o IPv6.

    Eu preciso alterar algum código existente?

    Se você criar um software projetado para ser instalado com Windows Vista ou Windows Server 2008, deverá ter certeza de que a ferramenta de instalação configure corretamente o firewall, criando ou habilitando regras que permitam que o tráfego da rede do seu programa passe pelo firewall. O programa deve reconhecer os diferentes tipos de locais de rede reconhecidos pelo Windows: domínio , privado e público , respondendo corretamente a uma alteração no tipo de local de rede. Uma alteração no tipo de local de rede pode resultar em diferentes regras de firewall funcionando no computador. Por exemplo, se você deseja que o aplicativo apenas seja executado em um ambiente seguro, como um domínio ou rede privada, as regras de firewall devem impedir que o aplicativo envie tráfego de rede quando o computador estiver em uma rede pública. Se o tipo de local de rede mudar inesperadamente enquanto o aplicativo estiver em execução, ele deve tratar a alteração normalmente.

    Espero ter te ajudado, qualquer coisa poste aqui novamente.

    Até mais...

    (caso tenha resolvido sua questão, marque este thread como "respondido")
    • Marked as answer by Sahathor Tuesday, July 27, 2010 7:36 PM
    Monday, July 26, 2010 4:12 PM
  • Obrigado a todos as informações ajudaram bastante!
    www.securityhacker.org
    Tuesday, July 27, 2010 7:36 PM