Configurar o firewall do Hyper-V

  • Artigo
  • Aplica-se a:
    Windows 11

A partir de Windows 11, versão 22H2, o firewall do Hyper-V é uma solução de firewall de rede que permite a filtragem do tráfego de entrada e saída de/para contêineres hospedados pelo Windows, incluindo o Subsistema do Windows para Linux (WSL).
Este artigo descreve como configurar regras e configurações de firewall do Hyper-V usando o PowerShell ou o CSP (provedor de serviços de configuração).

Importante

A configuração do firewall do Hyper-V não está disponível por meio de GPO (política de grupo). Se as configurações do Firewall do Windows estiverem configuradas por meio de configurações de firewall GPO e Hyper-V não forem configuradas por meio do CSP, as regras e as configurações aplicáveis serão automaticamente espelhadas da configuração de GPO.

Configurar o firewall do Hyper-V com o PowerShell

Esta seção descreve as etapas para gerenciar o firewall do Hyper-V usando o PowerShell.

Obter o GUID do WSL

As regras de firewall do Hyper-V estão habilitadas por VMCreatorId. Para obter o VMCreatorId, use o cmdlet:

Get-NetFirewallHyperVVMCreator

A saída contém um tipo de objeto VmCreator, que tem identificador VMCreatorId e friendly name propriedades exclusivas. Por exemplo, a saída a seguir mostra as propriedades do WSL:

PS C:\> Get-NetFirewallHyperVVMCreator
VMCreatorId : {40E0AC32-46A5-438A-A0B2-2B479E8F2E90} 
FriendlyName : WSL

Observação

O WSL VMCreatorId é {40E0AC32-46A5-438A-A0B2-2B479E8F2E90}.

Verificar configurações de firewall do Hyper-V

O firewall do Hyper-V tem configurações que se aplicam em geral a uma VMCreatorId. Use o cmdlet Get-NetFirewallHyperVVMSetting para marcar as configurações. Por exemplo, você pode obter as políticas aplicadas ao WSL com o comando:

Get-NetFirewallHyperVVMSetting -PolicyStore ActiveStore -Name '{40E0AC32-46A5-438A-A0B2-2B479E8F2E90}'

Observação

-PolicyStore ActiveStore retorna as configurações aplicadas .

A saída contém os seguintes valores:

Valor Descrição
Enabled (True/False) True se o Firewall do Hyper-V estiver habilitado para VMs WSL.
DefaultInboundAction, DefaultOutboundAction Estas são políticas de regra padrão aplicadas a pacotes que entram ou saem do contêiner WSL. As políticas de regra podem ser modificadas, conforme descrito neste artigo.
LoopbackEnabled Rastreia se o tráfego de loopback entre o host e o contêiner for permitido, sem exigir regras de Firewall do Hyper-V. O WSL permite, por padrão, permitir que o Windows Host fale com o WSL e o WSL para conversar com o Host do Windows.
AllowHostPolicyMerge Determina como as configurações corporativas do Firewall do Windows Host (GPO), CSP (Configurações corporativas do Firewall do Hyper-V), CSP (Configurações corporativas do Firewall do Windows Host), configurações locais do Firewall do Hyper-V e configurações locais do Firewall do Host interagem.
Essa configuração é detalhada com o cmdlet Set-NetFirewallHyperVVMSetting .

Configurar configurações de firewall do Hyper-V

Para configurar o firewall do Hyper-V, use o comando Set-NetFirewallHyperVVMSetting . Por exemplo, o seguinte comando define a conexão de entrada padrão como Permitir:

Set-NetFirewallHyperVVMSetting -Name '{40E0AC32-46A5-438A-A0B2-2B479E8F2E90}' -DefaultInboundAction Allow

Regras de firewall

As regras de firewall do Hyper-V podem ser enumeradas e criadas do PowerShell. Para exibir regras, use o cmdlet Get-NetFirewallHyperVRule . Por exemplo, para exibir regras de firewall que pertencem apenas ao WSL, use o seguinte comando:

Get-NetFirewallHyperVRule -VMCreatorId '{40E0AC32-46A5-438A-A0B2-2B479E8F2E90}'

Para configurar regras específicas, use o cmdlet Set-NetFirewallHyperVRule .

Por exemplo, para criar uma regra de entrada para permitir o tráfego TCP para WSL na porta 80, use o seguinte comando:

New-NetFirewallHyperVRule -Name MyWebServer -DisplayName "My Web Server" -Direction Inbound -VMCreatorId '{40E0AC32-46A5-438A-A0B2-2B479E8F2E90}' -Protocol TCP -LocalPorts 80

Direcionar regras e configurações de firewall do Hyper-V para perfis específicos

As regras e as configurações de firewall do Hyper-V podem ser direcionadas aos perfis de Firewall, que são baseados no tipo de rede ao qual o dispositivo está conectado:

  • Perfil público
  • Perfil privado
  • Perfil de domínio

As opções de política são semelhantes às já descritas, mas são aplicadas a perfis específicos para o adaptador de rede do Windows Host conectado.

Para exibir as configurações por perfil, use o seguinte comando:

Get-NetFirewallHyperVProfile -PolicyStore ActiveStore

Observação

-PolicyStore ActiveStore retorna as configurações aplicadas .

A saída contém um valor extra em comparação com os descritos na seção anterior:

Valor Descrição
AllowLocalFirewallRules (True/False) Essa configuração determina como as regras de firewall do Hyper-V da empresa (CSP ou GPO) interagem com as regras de firewall do Hyper-V definidas localmente:
- se o valor for True, as regras de firewall do Hyper-V da empresa e as regras definidas localmente serão aplicadas
- se o valor for False, as regras de firewall do Hyper-V definidas localmente não serão aplicadas e somente as regras corporativas serão aplicadas.

Observação

Para configurar essas configurações por perfil, use o cmdlet Set-NetFirewallHyperVProfile .

Para configurar essas regras por perfil usando o cmdlet Set-NetFirewallHyperVRule com a opção -Profile .

Configurar o firewall do Hyper-V com o CSP

Você pode configurar o firewall do Hyper-V usando o CSP do Firewall, por exemplo, com uma solução MDM como Microsoft Intune.

Para saber mais sobre as opções CSP, siga estes links:

Para saber como configurar o firewall com Microsoft Intune, consulte Política de firewall para segurança do ponto de extremidade.

Fornecer comentários

Para fornecer comentários sobre o firewall do Hyper-V, abra o Hub de Comentários e use a categoria Segurança e Privacidade > Microsoft Defender Firewall e proteção de rede.