Artigo: 875357 - Última revisão: segunda-feira, 22 de Maio de 2006 - Revisão: 1.4

Resolver problemas relacionados com definições do 'Firewall do Windows' no Windows XP Service Pack 2

Ver produtos para os quais este artigo se aplica.
Dica do SistemaEste artigo aplica-se a um sistema operativo diferente do que está a utilizar. Foi desactivado o conteúdo do artigo, que pode não ser relevante para si.

Nesta página

Expandir tudo | Reduzir tudo

Sumário

O Microsoft Windows XP Service Pack 2 (SP2) inclui o Firewall do Windows da Microsoft, o software de firewall actualizado que substitui o Firewall de ligação à Internet (ICF, Internet Connection Firewall). Se o Firewall do Windows estiver a bloquear uma porta utilizada por um serviço ou programa, poderá configurá-lo para criar uma excepção. O Firewall do Windows poderá estar a bloquear um programa ou serviço se as seguintes condições forem verdadeiras:
  • Os programas não respondem ao pedido de um cliente.
  • Os programas cliente não recebem dados do servidor.
Um alerta de segurança do Firewall do Windows poderá notificá-lo de que este está a bloquear um programa específico. Quando esta situação ocorrer, poderá desbloquear o programa, seleccionando Desbloquear este programa na caixa de diálogo Alerta de segurança. Para auxílio na determinação dos programas e portas que estão a ser bloqueados, pode configurar o Firewall do Windows para registar os pacotes ignorados. Com o programa auxiliar Netsh do Firewall do Windows, pode configurar o Firewall do Windows e o respectivo registo a partir da linha de comandos. O problema pode nem sempre estar relacionado com a compatibilidade com programas. As definições de política de grupo também podem impedir a execução de programas. O Windows XP Service Pack 2 (SP2) inclui vários utilitários que poderá utilizar para resolver problemas do Firewall do Windows.

Este artigo poderá conter hiperligações para conteúdo em inglês (ainda não traduzido).
Voltar ao topo

INTRODUÇÃO

A melhor maneira de resolver problemas de bloqueio do firewall consiste em modificar os programas para que estes funcionem com firewalls de filtragem estáveis. Se não puder modificar o programa, pode configurar o Firewall do Windows para adicionar excepções relativas a portas e programas específicos. Este artigo explica os sintomas de falha relacionados com a configuração predefinida do firewall do Windows XP Service Pack 2, como configurar excepções para portas e programas e como resolver problemas relativos às definições do firewall.

Voltar ao topo

Mais Informação

Voltar ao topo

Identificar os sintomas de falha

As falhas relacionadas com a configuração predefinida do firewall manifestam-se de duas maneiras:
  • Os programas cliente podem não receber dados de um servidor. Por exemplo, os seguintes programas cliente podem não receber dados:
    • Um cliente de FTP
    • Software de transmissão de multimédia em sequência
    • Notificações de mensagens novas em alguns programas de correio electrónico
  • Os programas de servidor em execução num computador com o Windows XP poderão não responder a pedidos de clientes. Por exemplo, os seguintes programas de servidor podem não responder:
    • Um servidor da Web como o IIS (Serviços de informação Internet - Internet Information Services)
    • Ambiente de trabalho remoto
    • Partilha de ficheiros
    Notas
    • As falhas nos programas de rede não estão limitadas a problemas relacionados com o firewall. Estas falhas podem ser causadas por alterações de segurança da RPC ou do DCOM. Consequentemente, terá de determinar se a falha é acompanhada por um alerta de segurança do Firewall do Windows que indica que um programa está a ser bloqueado.
    • As falhas de serviços não são acompanhadas de um alerta de segurança do Firewall do Windows porque os serviços não estão habitualmente associados a um início de sessão do utilizador. Se a falha for relacionada com um serviço, configure o firewall conforme explicado na secção "Configurar o 'Firewall do Windows' utilizando o 'Centro de Segurança do Windows'".
Se um programa estiver a ser bloqueado, poderá receber o seguinte alerta de segurança do Firewall do Windows:

Para ajudar a proteger o computador, o 'Firewall do Windows' bloqueou este programa de receber informação não solicitada da Internet ou de uma rede.

Nome: Nome_programa
Editor: Nome_fabricante
Desbloquear este programa
Manter este programa bloqueado
Manter este programa bloqueado, mas perguntar novamente depois

Saber mais acerca do 'Firewall do Windows'.



Voltar ao topo

Configurar o 'Firewall do Windows' utilizando o alerta de segurança do 'Firewall do Windows'

O alerta de segurança do Firewall do Windows apresenta as três opções seguintes:
  • Desbloquear este programa.
  • Manter este programa bloqueado.
  • Manter este programa bloqueado, mas perguntar novamente depois.

Para desbloquear o programa, clique em Desbloquear este programa na caixa de diálogo Alerta de segurança e clique em OK.
Voltar ao topo

Configurar o 'Firewall do Windows' utilizando o 'Centro de segurança do Windows'

Adicionar uma excepção de programa

Quando adiciona um programa à lista de excepções, permite que o firewall abra intervalos de portas, que podem ser alterados sempre que o programa é executado. Para adicionar uma excepção de programa, siga estes passos:
  1. Utilize uma conta de administrador para iniciar sessão.

    Para obter informações adicionais sobre como determinar se a conta utilizada para iniciar a sessão actual é uma conta de administrador, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
    871211  (http://support.microsoft.com/kb/871211/ ) How to check if you are logged in as an administrator and if a group policy is in place for your computer
  2. Clique em Iniciar, clique em Executar, escreva Wscui.cpl e clique em OK.
  3. Na caixa de diálogo Centro de Segurança do Windows, clique em Firewall do Windows.
  4. No separador Excepções, clique em Adicionar programa.
  5. Na lista de programas, clique no nome do programa que pretende adicionar e clique em OK. Se o nome do programa não se encontrar na lista de programas, clique em Procurar para o localizar e clique em OK.


    Nota: se não conhecer a localização do programa, contacte o fabricante do mesmo para determinar essa localização.

    Para obter informações sobre como contactar o fabricante do programa, clique no número de artigo adequado na lista que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
    65416  (http://support.microsoft.com/kb/65416/ ) Hardware and software vendor contact information, A-K

    60781  (http://support.microsoft.com/kb/60781/ ) Hardware and software vendor contact information, L-P

    60782  (http://support.microsoft.com/kb/60782/ ) Hardware and software vendor contact information, Q-Z
  6. Clique em OK para fechar o Firewall do Windows.
  7. Teste o programa para verificar se as definições do firewall estão correctas.


Adicionar uma excepção de porta

Se não resolver este problema adicionando um programa à lista de excepções, poderá adicionar portas manualmente. Para tal, primeiro tem de identificar as portas utilizadas pelo programa. Um método fiável de determinar a utilização das portas consiste em contactar o fabricante do programa. Se não conseguir contactar um fabricante, ou se a lista de portas não estiver disponível, poderá utilizar a ferramenta Netstat.exe para identificar as portas em utilização.

Identificar as portas
  1. Inicie o programa e tente utilizar as respectivas funcionalidades de rede. Por exemplo, num programa multimédia, tente iniciar uma sequência de áudio. Num servidor da Web, tente iniciar o serviço.
  2. Numa linha de comandos, escreva Netstat ?ano > netstat.txt e prima ENTER. Este comando cria o ficheiro Netstat.txt. Este ficheiro lista todas as portas de escuta.
  3. Na linha de comandos, escreva Tasklist > tasklist.txt e prima ENTER. Se o programa em questão for executado como um serviço, escreva Tasklist /svc > tasklist.txt em vez de Tasklist > tasklist.txt de modo a que os serviços carregados em cada processo sejam listados.
  4. Abra o ficheiro Tasklist.txt e localize o programa cujos problemas está a resolver. Anote o identificador do processo e abra o ficheiro Netstat.txt. Anote quaisquer entradas associadas a esse identificador de processo, bem como o protocolo utilizado.
Se os números das portas do processo forem menores que 1024, é provável que não mudem. Se os números utilizados forem maiores que 1024, é possível que o programa utilize um intervalo de portas. Consequentemente, o problema não poderá ser resolvido através da abertura de portas individuais.

Adicionar a excepção de porta
  1. Clique em Iniciar, clique em Executar, escreva Wscui.cpl e clique em OK para abrir o Firewall do Windows.
  2. Clique no separador Excepções e clique em Adicionar porta para visualizar a caixa de diálogo Adicionar uma porta.
  3. Introduza o número da porta utilizada pelo programa.
  4. Seleccione o protocolo, TCP ou UDP, utilizado pelo programa.
  5. No campo Nome, escreva um nome descritivo para a porta.
  6. Clique em Modificar âmbito para ver ou definir o âmbito da excepção de porta e clique em OK.
  7. Clique em OK para fechar a caixa de diálogo Adicionar uma porta.
  8. Para verificar se as definições da porta estão correctas para o programa, teste o programa.


Voltar ao topo

Utilizar o registo

Pode activar o registo para auxílio na identificação da origem do tráfego recebido e para obter detalhes sobre o tráfego que está a ser bloqueado. %Windir%\pfirewall.log é o ficheiro de registo predefinido. Para activar o registo, siga estes passos:
  1. Clique em Iniciar, clique em Executar, escreva Firewall.cpl e clique em OK.
  2. Clique no separador Avançadas.
  3. Em Registo de segurança, clique em Definições.
  4. Em Definições de registo, clique para seleccionar a caixa de verificação Registar pacotes ignorados e clique em OK.
  5. Clique em OK para fechar o Firewall do Windows.

Nota: o tráfego que sai com êxito não é registado. O tráfego de saída que não é bloqueado não é registado.


Interpretar o ficheiro de registo

As informações de registo seguintes são recolhidas para cada pacote registado:

Reduzir esta tabelaExpandir esta tabela
CamposDescriçãoExemplo
DateApresenta o ano, o mês e o dia em que a transacção registada ocorreu. As datas são registadas no formato AAAA-MM-DD, onde AAAA é o ano, MM é o mês e DD é o dia.2001-01-27
TimeApresenta o hora, os minutos e os segundos em que a transacção registada ocorreu. As horas são registadas no formato: HH:MM:SS, onde HH é a hora no formato de 24 horas, MM é o número de minutos e SS é o número de segundos.21:36:59
ActionIndica a operação observada pelo firewall. As opções disponíveis para o firewall são OPEN, CLOSE, DROP e INFO-EVENTS-LOST. Uma acção INFO-EVENTS-LOST indica o número de eventos ocorridos que não foram guardados no registo.OPEN
ProtocolApresenta o protocolo utilizado para a comunicação. Uma entrada de protocolo também pode representar um número de pacotes que não estão a utilizar TCP, UDP ou ICMP.TCP
src-ipApresenta o endereço IP de origem, ou o endereço IP do computador, que está a tentar estabelecer comunicação.192.168.0.1
dst-ipApresenta o endereço IP de destino de uma tentativa de comunicação.192.168.0.1
src-portApresenta o número da porta do computador de origem. Uma entrada src-port é registada sob a forma de um número inteiro entre 1 e 65.535. Apenas os protocolos TCP e UDP apresentam entradas src-port válidas. Todos os outros protocolos apresentam uma entrada src-port igual a -.4039
dst-portApresenta o número da porta do computador de destino. Uma entrada dst-port é registada sob a forma de um número inteiro entre 1 e 65.535. Apenas os protocolos TCP e UDP apresentam entradas dst-port válidas. Todos os outros protocolos apresentam uma entrada dst-port igual a -.53
sizeApresenta o tamanho dos pacotes em bytes.60
tcpflagsApresenta os sinalizadores de controlo TCP existentes no cabeçalho TCP de um pacote IP:
  • Ack Campo de confirmação significativo
  • Fin Não existem mais dados do remetente
  • Psh Função de emissão
  • Rst Reiniciar a ligação
  • Syn Sincronizar números de sequência
  • Urg Campo de apontador urgente significativo
Os sinalizadores são escritos em maiúsculas.		AFP
tcpsynApresenta o número de sequência TCP do pacote.1315819770
tcpackApresenta o número de confirmação TCP do pacote.0
tcpwinApresenta o tamanho da janela TCP do pacote, em bytes.64240
icmptypeApresenta um número que representa o campo de tipo da mensagem ICMP.8
icmpcodeApresenta um número que representa o campo de código da mensagem ICMP.0
infoApresenta uma entrada de informações que depende do tipo de acção ocorrido. Por exemplo, uma acção INFO-EVENTS-LOST cria uma entrada relativa ao número de eventos ocorridos que não foram escritos no registo a partir da hora da última ocorrência deste tipo de evento.23

Nota: o hífen (-) é utilizado para os campos sem informações disponíveis.


Voltar ao topo

Utilizar o suporte da linha de comandos

O programa auxiliar Netsh do Firewall do Windows foi adicionado ao Windows XP no Microsoft Advanced Networking Pack. Este utilitário de linha de comandos aplicava-se anteriormente ao Firewall do Windows IPv6. No Windows XP Service Pack 2, o utilitário inclui suporte para a configuração do IPv4.

Com o utilitário Netsh, é possível:
  • Configurar o estado predefinido do Firewall do Windows. (As opções incluem Desligado, Ligado e Ligado sem excepções.)
  • Configurar as portas que têm de estar abertas.
  • Configurar as portas para permitir acesso global ou restringir o acesso à sub-rede local.
  • Definir as portas para estarem abertas em todas as interfaces ou apenas numa interface específica.
  • Configurar as opções de registo.
  • Configurar as opções de processamento do protocolo de mensagens de controlo da Internet (ICMP, Internet Control Message Protocol).
  • Adicionar ou remover programas da lista de excepções.
Estas opções de configuração aplicam-se ao Firewall do Windows IPv4 e IPv6, excepto onde não exista funcionalidade específica na versão do Firewall do Windows em questão.


Recolher dados de diagnóstico

A ferramenta Netsh.exe permite obter informações sobre a configuração e o estado do Firewall do Windows a partir da linha de comandos. Esta ferramenta adiciona suporte para o firewall IPv4 ao seguinte contexto do Netsh:
netsh firewall
Para utilizar este contexto, escreva netsh firewall numa linha de comandos e, em seguida, utilize comandos Netsh adicionais conforme necessário. Os comandos seguintes são úteis para recolher informações sobre o estado e a configuração do firewall:
  • Netsh firewall show state
  • Netsh firewall show config

Compare o resultado destes comandos com o resultado do comando netstat ?ano para identificar os programas que podem ter portas de escuta abertas e que não têm excepções correspondentes na configuração do firewall. Os comandos de recolha de dados e configuração suportados encontram-se listados nas tabelas seguintes.

Nota: as definições só podem ser modificadas por um administrador.

Recolha de dados
Reduzir esta tabelaExpandir esta tabela
ComandoDescrição
show allowedprogramApresenta os programas autorizados.
show configApresenta as informações de configuração local detalhadas.
show currentprofileApresenta o perfil actual.
show icmpsettingApresenta as definições de ICMP.
show loggingApresenta as definições de registo.
show opmodeApresenta o modo de funcionamento.
show portopeningApresenta as portas com excepções.
show serviceApresenta os serviços.
show stateApresenta as informações do estado actual.
show notificationsApresenta as definições actuais das notificações.

Configuração
Reduzir esta tabelaExpandir esta tabela
ComandoDescrição
add allowedprogramUtilizado para adicionar tráfego com excepções especificando o nome de ficheiro do programa.
set allowedprogramUtilizado para modificar as definições de um programa autorizado existente.
delete allowedprogramUtilizado para eliminar um programa autorizado existente.
set icmpsettingUtilizado para especificar tráfego ICMP autorizado.
set loggingUtilizado para especificar opções de registo para o Firewall do Windows, globalmente ou para uma ligação (interface) específica.
set opmodeUtilizado para especificar o modo de funcionamento do Firewall do Windows, globalmente ou para uma ligação (interface) específica.
add portopeningUtilizado para adicionar tráfego com excepções através da especificação de uma porta TCP ou UDP.
set portopeningUtilizado para modificar as definições de uma porta TCP ou UDP aberta existente.
delete portopeningUtilizado para eliminar uma porta TCP ou UDP aberta existente.
set serviceUtilizado para permitir ou ignorar tráfego RCP e DCOM, partilha de ficheiros e impressoras e tráfego UPnP.
set notificationsUtilizado para especificar se são apresentadas notificações ao utilizador quando os programas tentam abrir portas.
resetRepõe a configuração predefinida do firewall. Este comando proporciona a mesma funcionalidade que o botão Restaurar predefinições da interface do Firewall do Windows.



Voltar ao topo

Resolver problemas do firewall

O Firewall do Windows pode ter outros problemas, além dos relacionados com a compatibilidade com programas. Siga estes passos para diagnosticar os problemas:
  1. Para verificar se o TCP/IP está a funcionar correctamente, utilize o comando ping para testar o endereço de loopback (127.0.0.1) e o endereço IP atribuído.
  2. Verifique a configuração na interface do utilizador para determinar se o firewall foi acidentalmente configurado como Desligado ou Ligado sem excepções.
  3. Utilize os comandos netsh relativos a informações de estado e configuração para identificar definições não pretendidas que possam estar a interferir com o comportamento esperado.
  4. Determine o estado do serviço Firewall do Windows/Partilha de ligação à Internet escrevendo o seguinte numa linha de comandos:
    sc query sharedaccess
    (O nome abreviado deste serviço é Acesso partilhado.) Se este serviço não for iniciado, resolva os problemas de arranque do serviço com base no código de saída Win32.
  5. Determine o estado do controlador de firewall Ipnat.sys escrevendo o seguinte numa linha de comandos:
    sc query ipnat
    Este comando também devolve o código de saída Win32 relativo à última tentativa de arranque. Se o controlador não estiver a arrancar, utilize os passos de resolução de problemas que aplicaria a qualquer outro controlador.
  6. Se o controlador e o serviço estiverem em execução, e não existirem erros relacionados nos registos de eventos, utilize a opção Restaurar predefinições do separador Avançadas da propriedades do Firewall do Windows para eliminar potenciais configurações problemáticas.
  7. Se o problema continuar por resolver, procure definições de política que possam produzir o comportamento inesperado. Para tal, escreva GPResult /v > gpresult.txt na linha de comandos e examine o ficheiro de texto resultante, procurando políticas configuradas que estejam relacionadas com o firewall.

Voltar ao topo

Configurar a política de grupo do 'Firewall do Windows'

Contacte o administrador de rede para determinar se uma definição de política de grupo impede que os programas e os cenários funcionem num ambiente empresarial.

As definições de política de grupo do Firewall do Windows estão localizados nos seguintes caminhos do snap-in do Editor de objecto de política de grupo:
  • Configuração do computador/Modelos administrativos/Rede/Ligações de rede/Firewall do Windows
  • Configuração do computador/Modelos administrativos/Rede/Ligações de rede/Firewall do Windows/Perfil de Domínio
  • Configuração do computador/Modelos administrativos/Rede/Ligações de rede/Firewall do Windows/Perfil Padrão

A partir destas localizações, pode configurar as seguintes definições de política de grupo:
  • Firewall do Windows: Permitir que IPSec autenticado seja ignorado
  • Firewall do Windows: Proteger todas as ligações de rede
  • Firewall do Windows: Não permitir excepções
  • Firewall do Windows: Definir excepções do programa
  • Firewall do Windows: Permitir excepções do programa local
  • Firewall do Windows: Permitir excepção de administração remota
  • Firewall do Windows: Permitir excepção de partilha de ficheiros e impressoras
  • Firewall do Windows: Permitir excepções de ICMP
  • Firewall do Windows: Permitir excepção de Ambiente de Trabalho Remoto
  • Firewall do Windows: Permitir excepção de estrutura UPnP
  • Firewall do Windows: Proibir notificações
  • Firewall do Windows: Permitir registo
  • Firewall do Windows: Proibir resposta unicast a pedidos multicast ou de difusão
  • Firewall do Windows: Definir excepções da porta
  • Firewall do Windows: Permitir excepções da porta local

Para obter mais informações sobre as definições de política de grupo do Firewall do Windows, transfira a seguinte documentação técnica:
Deploying Windows Firewall Settings for Microsoft Windows XP with Service Pack 2 (http://download.microsoft.com/download/6/8/a/68a81446-cd73-4a61-8665-8a67781ac4e8/wf_xpsp2.doc)
Voltar ao topo
A informação contida neste artigo aplica-se a:
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows XP Home Edition
Voltar ao topo
Palavras-chave: 
kbhowtomaster kbtshoot kbgraphxlink kbscreenshot KB875357
Voltar ao topo