Risoluzione dei problemi relativi alle impostazioni della funzionalitÓ Windows Firewall in Windows XP Service Pack 2;

Traduzione articoli Traduzione articoli
Identificativo articolo: 875357 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

In Microsoft Windows XP Service Pack 2 (SP2) Ŕ incluso Microsoft Windows Firewall, il software firewall aggiornato che sostituisce Firewall connessione Internet (ICF). Se tramite Microsoft Windows Firewall viene bloccata una porta utilizzata da un servizio o da un programma, Ŕ possibile configurare la creazione di un'eccezione. Un programma o un servizio potrebbe essere bloccato da Windows Firewall in presenza delle seguenti condizioni:
  • I programmi non rispondono alla richiesta di un client.
  • I programmi client non ricevono dati dal server.
╚ possibile che un avviso di protezione di Windows Firewall informi l'utente che un particolare programma Ŕ bloccato. In questo caso, il programma pu˛ essere sbloccato selezionando Sblocca programma nella finestra di dialogo Avviso di protezione. Per determinare quali programmi e porte sono bloccati, Ŕ possibile configurare Windows Firewall in modo che vengano registrati i pacchetti ignorati. Tramite l'helper Netsh Ŕ possibile configurare sia Windows Firewall sia la registrazione di Windows Firewall dal prompt dei comandi. La compatibilitÓ dei programmi non Ŕ sempre la causa del problema. Anche le impostazioni di Criteri di gruppo possono impedire l'esecuzione dei programmi. In Windows XP Service Pack 2 (SP2) sono disponibili numerose utilitÓ che possono contribuire alla risoluzione dei problemi relativi a Windows Firewall.

INTRODUZIONE

Il metodo migliore per risolvere i problemi relativi al blocco del firewall consiste nel modificare i programmi in modo che siano in grado di interagire con i firewall di filtro con stato. Se risulta impossibile modificare un programma, in Windows Firewall Ŕ possibile configurare l'aggiunta di eccezioni per porte e programmi specifici. In questo articolo vengono descritti i sintomi di errore correlati alla configurazione predefinita del firewall disponibile in Windows XP Service Pack 2, la modalitÓ di configurazione delle eccezioni per porte e programmi e i metodi per risolvere i problemi relativi al firewall.

Informazioni

Riconoscimento dei sintomi di errore

Gli errori riguardanti la configurazione predefinita del firewall si manifestano in due modi:
  • I programmi client potrebbero non ricevere dati da un server. I seguenti programmi client, ad esempio, potrebbero non ricevere dati:
    • Un client FTP
    • Software di flusso multimediale
    • Notifiche di ricezione della posta in alcuni programmi di posta elettronica
  • I programmi server eseguiti su computer basati su Windows XP potrebbero non rispondere alle richieste dei client. I seguenti programmi server, ad esempio, potrebbero non rispondere:
    • Un server Web quale Internet Information Services (IIS)
    • Desktop remoto
    • Condivisione file
    Note
    • Gli errori dei programmi di rete non sono limitati ai problemi relativi al firewall. Possono infatti essere causati da modifiche della protezione di RPC o DCOM. ╚ quindi necessario determinare se l'errore Ŕ accompagnato da un avviso di protezione di Windows Firewall che segnala il blocco di un programma.
    • Gli errori dei servizi non sono accompagnati da questo tipo di avviso, poichÚ i servizi non sono di solito associati a una sessione di accesso dell'utente. Se l'errore riguarda il servizio, configurare il firewall come illustrato nella sezione "Configurazione di Windows Firewall tramite il Centro protezione Windows".
Se un programma viene bloccato, Ŕ possibile che venga visualizzato un avviso di protezione di Windows Firewall analogo al seguente:

Per facilitare la protezione del computer, Windows Firewall impedisce a questo programma di ricevere informazioni non richieste da Internet o da una rete.

Nome: Nome_programma
Autore: Nome_autore
Sblocca programma
Blocco continuo del programma
Blocco continuo del programma, con richiesta di conferma ogni volta

Ulteriori informazioni su Windows Firewall.



Configurazione di Windows Firewall tramite la funzione Avviso di protezione di Windows Firewall

In Avviso di protezione di Windows Firewall sono disponibili le seguenti tre opzioni:
  • Sblocca programma.
  • Blocco continuo del programma.
  • Blocco continuo del programma, con richiesta di conferma ogni volta.

Per sbloccare il programma scegliere Sblocca programma nella finestra di dialogo Avviso di protezione, quindi scegliere OK.

Configurazione di Windows Firewall tramite il Centro protezione Windows

Aggiunta di un'eccezione programma

Aggiungendo un programma all'elenco delle eccezioni del firewall, si consente l'apertura di intervalli di porte che possono cambiare ogni volta che si esegue il programma. Per aggiungere un'eccezione programma, attenersi alla procedura seguente:
  1. Utilizzare un account di amministratore per l'accesso al sistema.

    Per ulteriori informazioni su come determinare se l'account utilizzato per l'accesso Ŕ un account amministratore, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
    871211 How to check if you are logged in as an administrator and if a group policy is in place for your computer
  2. Fare clic sul pulsante Start, scegliere Esegui, digitare Wscui.cpl, quindi scegliere OK.
  3. Nella finestra Centro protezione Windows fare clic su Windows Firewall.
  4. Nella scheda Eccezioni fare clic su Aggiunta programma.
  5. Nell'elenco di programmi selezionare il nome del programma che si desidera aggiungere, quindi scegliere OK. Se il nome del programma non Ŕ nell'elenco, scegliere Sfoglia per individuarlo, quindi scegliere OK.


    Nota Se non si conosce il percorso del programma, contattare il produttore per sapere in quale percorso viene installato.

    Per ulteriori informazioni su come contattare il fornitore del programma, fare clic sul numero dell'articolo della Microsoft Knowledge Base appropriato tra quelli riportati di seguito (il contenuto potrebbe essere in inglese):
    65416 Elenco dei contatti relativi ai fornitori di terze parti di hardware e software, A-K

    60781 Elenco dei contatti relativi ai fornitori di terze parti di hardware e software, L-P

    60782 Elenco dei contatti relativi ai fornitori di terze parti di hardware e software, Q-Z
  6. Scegliere OK per chiudere Windows Firewall.
  7. Effettuare il test del programma per stabilire se le impostazioni del firewall sono corrette.


Aggiunta di un'eccezione porta

Se non Ŕ possibile risolvere il problema aggiungendo un programma all'elenco di eccezioni, Ŕ possibile aggiungere porte manualmente. Per effettuare questa operazione Ŕ necessario identificare prima di tutto le porte utilizzate dal programma. Per determinare l'uso delle porte in maniera affidabile, contattare il fornitore del programma. Se non Ŕ possibile contattare un fornitore oppure se non Ŕ disponibile un elenco di porte, provare a utilizzare lo strumento Netstat.exe per identificare le porte in uso.

Identificazione delle porte
  1. Avviare il programma e provare a utilizzarne le funzionalitÓ di rete. Per un programma multimediale provare ad esempio ad avviare un flusso audio. Nel caso di un server Web, provare ad avviare il servizio.
  2. Al prompt dei comandi digitare Netstat ?ano > netstat.txt, quindi premere INVIO. Con questo comando viene creato il file Netstat.txt, nel quale sono elencate tutte le porte in ascolto.
  3. Al prompt dei comandi digitare Tasklist > tasklist.txt, quindi premere INVIO. Se il programma in questione viene eseguito come servizio, digitare Tasklist /svc > tasklist.txt anzichÚ Tasklist > tasklist.txt in modo che vengano elencati i servizi caricati in ogni processo.
  4. Aprire il file Tasklist.txt e individuare il programma affetto dal problema che si desidera risolvere. Prendere nota dell'identificativo (PID) del processo, quindi aprire il file Netstat.txt. Annotare le eventuali voci associate al PID in questione e il protocollo utilizzato.
Se i numeri di porta del processo sono inferiori a 1024, probabilmente tali numeri non verranno modificati. Se i numeri utilizzati sono superiori a 1024, Ŕ possibile che venga utilizzato un intervallo di porte. ╚ quindi possibile che il problema non possa essere risolto aprendo le singole porte.

Aggiunta dell'eccezione porta
  1. Fare clic sul pulsante Start, scegliere Esegui, digitare Wscui.cpl, quindi scegliere OK per aprire Windows Firewall.
  2. Fare clic sulla scheda Eccezioni, quindi scegliere Aggiungi porta per visualizzare la finestra di dialogo corrispondente.
  3. Immettere il numero di porta utilizzato dal programma.
  4. Selezionare il protocollo TCP o UDP, a seconda del tipo utilizzato dal programma.
  5. Nel campo Nome digitare il nome descrittivo da assegnare alla porta.
  6. Scegliere Cambia ambito per visualizzare o impostare l'ambito dell'eccezione porta, quindi scegliere OK.
  7. Scegliere OK per chiudere la finestra di dialogo Aggiungi porta.
  8. Effettuare il test del programma per verificare che le impostazioni della porta siano corrette.


Utilizzo della registrazione

Attivando la registrazione, sarÓ possibile identificare pi¨ facilmente l'origine del traffico in ingresso e fornire dettagli sul tipo di traffico bloccato. Il file registro predefinito si trova nel percorso %Windir%\pfirewall.log. Per attivare la registrazione, attenersi alla seguente procedura:
  1. Fare clic sul pulsante Start, scegliere Esegui, digitare Firewall.cpl, quindi scegliere OK.
  2. Scegliere la scheda Avanzate.
  3. In Registrazione protezione scegliere Impostazioni.
  4. In Impostazioni registro selezionare la casella di controllo Registra pacchetti ignorati, quindi scegliere OK.
  5. Scegliere OK per chiudere Windows Firewall.

Nota I pacchetti in uscita inviati correttamente non vengono registrati. Il traffico in uscita non bloccato non viene registrato.


Interpretazione del file registro

Per ogni pacchetto registrato, vengono raccolte le seguenti informazioni:

Riduci questa tabellaEspandi questa tabella
CampiDescrizioneEsempio
DataVisualizza l'anno, il mese e il giorno in cui si Ŕ verificata la transazione registrata. Le date vengono registrate nel formato AAAA-MM-GG, dove AAAA Ŕ l'anno, MM Ŕ il mese e GG corrisponde al giorno.2001-01-27
OraVisualizza l'ora, i minuti e i secondi in cui si Ŕ verificata la transazione registrata. Le ore vengono registrate nel formato: HH.MM.SS, dove HH indica l'ora nel formato di 24 ore, MM Ŕ il numero di minuti e SS il numero di secondi.21.36.59
AzioneIndica l'operazione osservata dal firewall. Le opzioni disponibili per il firewall sono OPEN, CLOSE, DROP e INFO-EVENTS-LOST. Un'azione INFO-EVENTS-LOST indica il numero di eventi che si sono verificati ma che non sono stati registrati.OPEN
ProtocolloVisualizza il protocollo utilizzato per la comunicazione. Una voce di protocollo pu˛ anche corrispondere a un numero di pacchetti che non utilizzano TCP, UDP o ICMP.TCP
src-ipVisualizza l'indirizzo IP dell'origine o del computer che tenta di stabilire le comunicazioni.192.168.0.1
dst-ipVisualizza l'indirizzo IP di destinazione di un tentativo di comunicazione.192.168.0.1
src-portVisualizza il numero di porta di origine del computer di invio. La voce src-port viene registrata sotto forma di numero intero, compreso tra 1 e 65.535. Una voce src-port valida viene visualizzata solo per TCP e UDP. Per tutti gli altri protocolli viene visualizzata una voce src-port -.4039
dst-portVisualizza il numero di porta del computer di destinazione. La voce dst-port viene registrata sotto forma di numero intero, compreso tra 1 e 65.535. Una voce src-port valida viene visualizzata solo per TCP e UDP. Per tutti gli altri protocolli viene visualizzata una voce dst-port -.53
dimensioneVisualizza la dimensione del pacchetto in byte.60
tcpflagsVisualizza i flag di controllo TCP che si trovano nell'intestazione TCP di un pacchetto IP:
  • Ack Acknowledgment field significant (Campo riconoscimento significativo)
  • Fin No more data from sender (Nessun'altra informazione dal mittente)
  • Psh Push function (Funzione Push)
  • Rst Reset the connection (Ripristino della connessione)
  • Syn Synchronize sequence numbers (Sincronizzazione dei numeri di sequenza)
  • Urg Urgent Pointer field significant (Campo puntatore di urgenza significativo)
I flag vengono registrati in lettere maiuscole.
AFP
tcpsynVisualizza il numero di sequenza TCP nel pacchetto.1315819770
tcpackVisualizza il numero di riconoscimento TCP nel pacchetto.0
tcpwinVisualizza la dimensione in byte della finestra TCP nel pacchetto.64240
icmptypeVisualizza il numero che rappresenta il campo Tipo del messaggio ICMP.8
icmpcodeVisualizza il numero che rappresenta il campo Codice del messaggio ICMP.0
infoVisualizza una voce di informazioni che dipende dal tipo di azione che si Ŕ verificata. Ad esempio, per un'azione INFO-EVENTS-LOST viene creata una voce relativa al numero di eventi che si sono verificati, ma che non sono stati scritti nel registro dall'ultima volta che si Ŕ verificato questo tipo di evento.23

Nota Per i campi in cui non sono disponibili informazioni per una voce viene utilizzato un trattino (-).


Utilizzo del supporto dalla riga di comando

L'helper Netsh di Windows Firewall Ŕ stato aggiunto a Windows XP nel Microsoft Advanced Networking Pack. Questo helper della riga di comando veniva applicato in precedenza a Windows Firewall IPv6. Nell'helper disponibile con Windows XP Service Pack 2 Ŕ incluso il supporto per la configurazione di IPv4.

Tramite l'helper Netsh Ŕ possibile:
  • Configurare lo stato predefinito di Windows Firewall. Le opzioni disponibili comprendono Disattivato, Attivato e Attivato senza eccezioni.
  • Configurare le porte che devono essere aperte.
  • Configurare le porte per consentire l'accesso globale o per limitare l'accesso alla subnet locale.
  • Impostare l'apertura delle porte su tutte le interfacce o solo su un'interfaccia specifica.
  • Configurare le opzioni di registrazione.
  • Configurare le opzioni per la gestione di ICMP (Internet Control Message Protocol).
  • Aggiungere o rimuovere programmi dall'elenco di eccezioni.
Queste opzioni di configurazione si applicano sia a Windows Firewall IPv4 sia a Windows Firewall IPv6, fatta eccezione per i casi in cui nella versione di Windows Firewall non siano presenti funzionalitÓ specifiche.


Raccolta di dati diagnostici

Le informazioni sullo stato e sulla configurazione di Windows Firewall sono accessibili dalla riga di comando utilizzando lo strumento Netsh.exe. Con questo strumento viene aggiunto il supporto per il firewall IPv4 al seguente contesto di Netsh:
netsh firewall
Per utilizzare questo contesto, digitare netsh firewall al prompt dei comandi, quindi utilizzare gli ulteriori comandi di Netsh secondo le esigenze. I comandi riportati di seguito consentono di raccogliere informazioni sulla configurazione e sullo stato del firewall:
  • Netsh firewall show state
  • Netsh firewall show config

Confrontare l'output di questi comandi con l'output del comando netstat ?ano per identificare i comandi con porte di ascolto eventualmente aperte e privi delle corrispondenti eccezioni nella configurazione del firewall. Nelle tabelle seguenti sono riportati i comandi supportati per la raccolta di dati e configurazione.

Nota Le impostazioni possono essere modificate solo dall'amministratore.

Raccolta dati
Riduci questa tabellaEspandi questa tabella
ComandoDescrizione
show allowedprogramConsente di visualizzare i programmi consentiti.
show configConsente di visualizzare informazioni dettagliate sulla configurazione locale.
show currentprofileConsente di visualizzare il profilo corrente.
show icmpsettingConsente di visualizzare le impostazioni di ICMP.
show loggingConsente di visualizzare le impostazioni per la registrazione.
show opmodeConsente di visualizzare la modalitÓ operativa.
show portopeningConsente di visualizzare le eccezioni porte.
show serviceConsente di visualizzare i servizi.
show stateConsente di visualizzare le informazioni correnti sullo stato.
show notificationsConsente di visualizzare le impostazioni correnti per la notifica.

Configurazione
Riduci questa tabellaEspandi questa tabella
ComandoDescrizione
add allowedprogramViene utilizzato per aggiungere eccezioni relative al traffico specificando il nome file del programma.
set allowedprogramViene utilizzato per modificare le impostazioni di un programma consentito esistente.
delete allowedprogramViene utilizzato per eliminare un programma consentito esistente.
set icmpsettingViene utilizzato per specificare traffico ICMP consentito.
set loggingViene utilizzato per specificare le opzioni di registrazione per Windows Firewall, globalmente o per una connessione, o interfaccia, specifica.
set opmodeViene utilizzato per specificare la modalitÓ operativa di Windows Firewall, globalmente o per una connessione, o interfaccia, specifica.
add portopeningViene utilizzato per aggiungere eccezioni relative al traffico specificando una porta TCP o UDP.
set portopeningViene utilizzato per modificare le impostazioni di una porta esistente TCP o UDP aperta.
delete portopeningViene utilizzato per eliminare una porta esistente TCP o UDP aperta.
set serviceViene utilizzato per consentire o ignorare il traffico RPC e DCOM, la condivisione di file e stampanti e il traffico UPnP.
set notificationsViene utilizzato per specificare se Ŕ attivata la visualizzazione di notifiche all'utente quando vengono effettuati tentativi di apertura delle porte da parte di programmi.
resetConsente di ripristinare la configurazione predefinita del firewall, disponendo della stessa funzionalitÓ del pulsante Ripristina nell'interfaccia di Windows Firewall.



Risoluzione dei problemi relativi al firewall

Oltre ai problemi di compatibilitÓ dei programmi, in Windows Firewall possono verificarsi altri problemi. Attenersi alla seguente procedura per diagnosticarli:
  1. Per verificare che TCP/IP funzioni correttamente, utilizzare il comando ping per verificare l'indirizzo di loopback (127.0.0.1) e l'indirizzo IP assegnato.
  2. Verificare la configurazione nell'interfaccia utente per determinare se il firewall Ŕ stato involontariamente impostato su Disattivato o su Attivato senza eccezioni.
  3. Utilizzare i comandi di netsh per accedere alle informazioni sulla configurazione e sullo stato e verificare che non siano presenti impostazioni accidentali che potrebbero interferire con la funzionalitÓ prevista.
  4. Determinare lo stato del servizio Windows Firewall / Condivisione connessione Internet (ICS) digitando quanto segue al prompt dei comandi:
    sc query sharedaccess
    Il nome breve di questo servizio Ŕ SharedAccess. Risolvere i problemi relativi all'avvio del servizio in base al codice di uscita Win32 se non Ŕ possibile avviare il servizio.
  5. Determinare lo stato del driver del firewall Ipnat.sys digitando quanto segue al prompt dei comandi:
    sc query ipnat
    Con questo comando viene restituito anche il codice di uscita Win32 dall'ultimo tentativo di avvio. Se il driver non viene avviato, utilizzare la procedura di risoluzione dei problemi applicabile per qualsiasi altro driver.
  6. Se il driver e il servizio sono in esecuzione e nei registri eventi non esistono errori ad essi correlati, utilizzare l'opzione Ripristina nella scheda Avanzate della finestra delle proprietÓ Windows Firewall per eliminare qualsiasi potenziale problema di configurazione.
  7. Se il problema non viene risolto, verificare che le impostazioni dei criteri non possano generare un comportamento imprevisto. Per effettuare questa operazione, digitare GPResult /v > gpresult.txt al prompt dei comandi, quindi cercare nel file di testo risultante i criteri configurati relativamente al firewall.

Configurazione dei Criteri di gruppo di Windows Firewall

Per determinare se un'impostazione di Criteri di gruppo impedisce l'esecuzione di programmi e scenari in un ambiente aziendale, contattare l'amministratore della rete.

Le impostazioni di Criteri di gruppo per Windows Firewall si trovano nei seguenti percorsi dello snap-in Editor oggetti Criteri di gruppo:
  • Configurazione computer/Modelli amministrativi/Rete/Connessioni di rete/Windows Firewall
  • Configurazione computer/Modelli amministrativi/Rete/Connessioni di rete/Windows Firewall/Domain Profile
  • Configurazione computer/Modelli amministrativi/Rete/Connessioni di rete/Windows Firewall/Standard Profile

Da questi percorsi Ŕ possibile configurare le seguenti impostazioni di Criteri di gruppo:
  • Windows Firewall: consenti messaggi da computer con autenticazione IPSec
  • Windows Firewall: proteggi tutte le connessioni di rete
  • Windows Firewall: non consentire eccezioni
  • Windows Firewall: definisci eccezioni programmi
  • Windows Firewall: consenti eccezioni programmi locali
  • Windows Firewall: consenti eccezione per amministrazione remota
  • Windows Firewall: consenti eccezione per condivisione file e stampanti
  • Windows Firewall: consenti eccezioni ICMP
  • Windows Firewall: consenti eccezione per Desktop remoto
  • Windows Firewall: consenti eccezione per framework UPnP
  • Windows Firewall: proibisci notifiche
  • Windows Firewall: consenti registrazione
  • Windows Firewall: impedisci risposte unicast a richieste multicast o broadcast
  • Windows Firewall: definisci eccezioni porte
  • Windows Firewall: consenti eccezioni porte locali

Per ulteriori impostazioni sulle impostazioni di Criteri di gruppo per Windows Firewall, scaricare il seguente white paper (informazioni in lingua inglese):
Distribuzione delle impostazioni di Windows Firewall per Microsoft Windows XP con Service Pack 2

ProprietÓ

Identificativo articolo: 875357 - Ultima modifica: lunedý 10 giugno 2013 - Revisione: 1.6
Le informazioni in questo articolo si applicano a:
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
Chiavi:á
kbscreenshot kbgraphxlink kbtshoot kbhowtomaster KB875357
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com