Creare una regola di servizio o programma in entrata

Si applica a

  • Windows 10
  • Windows Server 2016

Per consentire il traffico di rete in ingresso verso un programma o un servizio specificato, utilizzare il nodo firewall di Windows Defender con sicurezza avanzata nello snap-in MMC Gestione Criteri di gruppo per creare regole del firewall. Questo tipo di regola consente al programma di ascoltare e ricevere il traffico di rete in ingresso su qualsiasi porta.

Nota: Questo tipo di regola viene spesso combinato con un programma o una regola di servizio. Se si combinano i tipi di regole, si ottiene una regola firewall che limita il traffico a una porta specificata e consente il traffico solo quando il programma specificato è in esecuzione. Il programma non può ricevere traffico di rete su altre porte e altri programmi non possono ricevere traffico di rete sulla porta specificata. Per combinare i tipi di regole di programma e di porta in una singola regola, seguire i passaggi della procedura Create an Inbound Port Rule oltre ai passaggi di questa procedura.

Credenziali amministrative

Per completare queste procedure, è necessario essere membri del gruppo Domain Administrators o disporre delle autorizzazioni delegate per modificare gli oggetti Criteri di gruppo.

Per creare una regola del firewall in ingresso per un programma o un servizio

  1. Aprire la Console Gestione Criteri di gruppo per Windows Defender firewall con sicurezza avanzata.

  2. Nel riquadro di spostamento fare clic su Regole in ingresso.

  3. Fare clic suAzione e quindi su Nuova regola.

  4. Nella pagina Tipo di regola della Creazione guidata nuova regola in ingresso fare clic su Personalizzatoe quindi su Avanti.

    Nota: Sebbene sia possibile creare regole selezionando Programma o Porta, queste scelte limitano il numero di pagine presentate dalla procedura guidata. Se si seleziona Personalizzato, verranno visualizzati tutte le pagine e sarà possibile creare le regole con la massima flessibilità.

  5. Nella pagina Programma fare clic su Percorso programma.

  6. Digitare il percorso del programma nella casella di testo. Utilizzare variabili di ambiente, se applicabile, per garantire il corretto funzionamento dei programmi installati in posizioni diverse in computer diversi.

  7. Effettua una delle seguenti operazioni:

    • Se il file eseguibile contiene un singolo programma, fare clic su Avanti.

    • Se il file eseguibile è un contenitore per più servizi a cui deve essere consentito ricevere il traffico di rete in ingresso, fare clic su Personalizza, selezionare Applica solo ai servizi, fare clic su OKe quindi su Avanti.

    • Se il file eseguibile è un contenitore per un singolo servizio o contiene più servizi, ma la regola si applica solo a uno di essi, fare clic su Personalizza, selezionare Applica al servizio equindi selezionare il servizio nell'elenco. Se il servizio non viene visualizzato nell'elenco, fare clic su Applica al servizio con il nome breve del servizio equindi digitare il nome breve del servizio nella casella di testo. Fare clic su OKe quindi su Avanti.

    Importante
    Per utilizzare **** le opzioni **** Applica a questo servizio o Applica al servizio con questo nome breve servizio, il servizio deve essere configurato con un identificatore di sicurezza (SID) con un tipo di RESTRICTED o UNRESTRICTED. Per controllare il tipo di SID di un servizio, eseguire il comando seguente:

    sc qsidtype * < ServiceName > *

    Se il risultato è NONE, non è possibile applicare una regola del firewall a tale servizio.

    Per impostare un tipo di SID in un servizio, eseguire il comando seguente:

    sc sidtype * < ServiceName > < Type > *

    Nel comando precedente, il valore di * < Type > * può essere UNRESTRICTED o RESTRICTED. Anche se il comando consente anche il valore nonE, questa impostazione indica che il servizio non può essere utilizzato in una regola del firewall, come descritto qui. Per impostazione predefinita, la maggior parte dei Windows sono configurati come UNRESTRICTED. Se si modifica il tipo di SID in RESTRICTED, il servizio potrebbe non essere avviato. È consigliabile modificare il tipo di SID solo nei servizi che si desidera utilizzare nelle regole del firewall e modificare il tipo di SID in UNRESTRICTED.

  8. È consigliabile limitare la regola del firewall per il programma solo alle porte necessarie per il funzionamento. Nella pagina Protocolli e porte è possibile specificare i numeri di porta per il traffico consentito. Se il programma tenta di restare in ascolto su una porta diversa da quella specificata qui, viene bloccata. Per ulteriori informazioni sulle opzioni di protocollo e porta, vedere Create an Inbound Port Rule. Dopo aver configurato le opzioni di protocollo e porta, fare clic su Avanti.

  9. Nella pagina Ambito è possibile specificare che la regola si applica solo al traffico di rete da o verso gli indirizzi IP immessi in questa pagina. Configurare come appropriato per la progettazione e quindi fare clic su Avanti.

  10. Nella pagina Azione selezionare Consenti connessionee quindi fare clic su Avanti.

  11. Nella pagina Profilo selezionare i tipi di percorso di rete a cui si applica la regola e quindi fare clic su Avanti.

  12. Nella pagina Nome digitare un nome e una descrizione per la regola e quindi fare clic su Fine.