ID do artigo: 875357 - Última revisão: segunda-feira, 22 de maio de 2006 - Revisão: 1.5

Solução de problemas da configuração do Firewall do Windows no Windows XP Service Pack 2

Exibir os produtos aos quais esse artigo se aplica.
Dica do SistemaEste artigo aplica-se a um sistema operativo diferente do que está a utilizar. Foi desactivado o conteúdo do artigo, que pode não ser relevante para si.

Nesta página

Expandir tudo | Recolher tudo

Sumário

O Microsoft Windows XP Service Pack 2 (SP2) inclui o Firewall do Microsoft Windows, o software de firewall atualizado que substitui o Firewall de conexão com a Internet (ICF). Se o Firewall do Microsoft Windows estiver bloqueando uma porta usada por um serviço ou por um programa, será possível configurar o Firewall do Windows para criar uma exceção. O Firewall do Windows pode estar bloqueando um programa ou um serviço se as seguintes condições forem verdadeiras:
  • Os programas não respondem às solicitações do cliente.
  • Os programas clientes não recebem dados do servidor.
Um alerta de segurança do Firewall do Windows pode notificá-lo de que o Firewall do Windows está bloqueando um programa específico. Quando essa situação ocorrer, é possível desbloquear o programa selecionando Desbloquear este programa na caixa de diálogo Alerta de segurança. Para ajudar a determinar quais programas estão sendo bloqueados, é possível configurar o Firewall do Windows para registrar os pacotes ignorados. Com o Auxiliar Netsh do Firewall do Windows, é possível configurar o Firewall do Windows e o registro do Firewall do Windows no prompt de comando. A compatibilidade do programa nem sempre pode ser o problema. As configurações da diretiva de grupo também podem impedir a execução dos programas. O Windows XP Service Pack 2 (SP2) inclui diversos utilitários que podem ser usados para solucinar problemas com o Firewall do Windows.
Voltar para o início

INTRODUÇÃO

A melhor maneira de resolver os problemas de bloqueio do firewall é modificar os programas de modo a funcionarem com firewalls de filtragem monitorada. Se não for possível modificar um programa, você poderá configurar o Firewall do Windows para adicionar exceções para portas e programas específicos. Este artigo descreve os sintomas das falhas relacionadas à configuração padrão do firewall do Windows XP Service Pack 2, como configurar exceções para as portas e para os programas e como solucionar problemas de configuração do firewall.

Voltar para o início

Mais Informações

Voltar para o início

Reconhecendo os sintomas das falhas

As falhas relacionadas à configuração padrão do firewall aparecem de duas maneiras:
  • Os programas cliente podem não receber dados de um servidor. Por exemplo, os seguintes programas cliente podem não receber dados:
    • Um cliente FTP
    • Um software de multimídia de fluxo contínuo
    • Notificações de mensagem nova em alguns programas de email
  • Os programas para servidor que são executados em um computador com o Windows XP podem não responder às solicitações do cliente. Por exemplo, os seguintes programas para servidor podem não receber dados:
    • Um servidor Web, como o Serviços de informação da Internet (IIS)
    • Área de trabalho remota
    • Compatilhamento de arquivos
    Observações
    • As falhas nos programas da rede não estão limitadas aos problemas do firewall. Essas falhas podem ser causadas por alterações de segurança em RPC ou em DCOM. Por isso, é necessário determinar se a falha é acompanhada por um alerta de segurança do Firewall do Windows indicando que um programa está sendo bloqueado.
    • Falhas no serviço não são acompanhadas por um alerta de segurança do Firewall do Windows porque os serviços não são associados normalmente com uma sessão de logon do usuário. Se a falha tiver relação com o serviço, configure o firewall conforme descrito na seção "Configurando o Firewall do Windows usando a Central de segurança do Windows".
Se um programa estiver sendo bloqueado, você poderá receber o seguinte alerta de segurança do Firewall do Windows:

Para auxiliar na proteção do seu computador, o Firewall do Windows bloqueou o recebimento de informações não solicitadas provenientes da Internet ou de uma rede para esse programa.

Nome: Nome do programa
Editor: Nome do editor
Desbloquear este programa
Continuar bloqueando este programa
Continuar bloqueando este programa, mas me pergunte novamente mais tarde

Saiba mais sobre o Firewall do Windows.



Voltar para o início

Configurando o Firewall do Windows usando o Alerta de segurança do Firewall do Windows

O alerta de segurança do Firewall do Windows fornece as três opções a seguir:
  • Desbloquear este programa.
  • Continuar bloqueando este programa.
  • Continuar bloqueando este programa, mas me pergunte novamente mais tarde.

Para desbloquear o programa, clique em Desbloquear este programa na caixa de diálogo Alerta de segurança e clique em OK.
Voltar para o início

Configurando o Firewall do Windows usando a Central de segurança do Windows

Adicionado uma exceção a um programa

Ao adicionar um programa à lista de exceções, você ativa o firewall para abrir intervalos de portas que poderiam ser alterados toda vez que o programa fosse executado. Para adicionar uma exceção a um programa, execute essas etapas:
  1. Use uma conta de administrador para fazer o logon.

    Para obter informações adicionais sobre como determinar se a conta com a qual está conectado no momento é a conta de administrador, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
    871211  (http://support.microsoft.com/kb/871211/ ) Como verificar se está conectado como um admininstrador e se uma diretiva de grupo está no local para seu computador
  2. Clique em Iniciar, em Executar, digite Wscui.cpl e clique em OK.
  3. Na janela Central de segurança do Windows, clique em Firewall do Windows.
  4. Na guia Exceções, clique em Adicionar programa.
  5. Na lista de programas, clique no nome do programa que deseja adicionar e clique em OK. Se o nome do seu programa não estiver na lista de programas, clique em Pesquisar para localizar o programa e clique em OK.


    Observação Se você não souber onde o programa está localizado, contate o fornecedor do programa para determinar o local do programa.

    Para obter informações adicionais sobre como entrar em contato com o fornecedor do seu programa, clique no número apropriado na seguinte lista para ler o artigo na Base de Dados de Conhecimento da Microsoft:
    65416  (http://support.microsoft.com/kb/65416/ ) Lista de informações para contato de fornecedores de hardware e software de terceiros, de A a K

    60781  (http://support.microsoft.com/kb/60781/ ) Informações para contato de fornecedores de hardware e software, de L a P

    60782  (http://support.microsoft.com/kb/60782/ ) Informações para contato de fornecedores de hardware e software, de Q a Z
  6. Clique em OK para fechar o Firewall do Windows.
  7. Teste o programa para verificar se as configurações do firewall estão corretas.


Adicionado uma exceção a uma porta

Se esse problema não for resolvido adicionando um programa à lista de exceções, será possível adicionar portas manualmente. Para fazer isso, é necessário primeiro identificar as portas usadas pelo programa. Uma maneira confiável de determinar o uso da porta é contatar o fornecedor do programa. Se não for possível contatar um fornecedor, ou se uma lista de portas não estiver disponível, você poderá usar a ferramenta Netstat.exe para identificar as portas em uso.

Identificando as portas
  1. Inicie o programa e tente usar os recursos da rede. Por exemplo, com um programa de multimídia, tente iniciar o fluxo de áudio. Com um servidor Web, tente iniciar o serviço.
  2. Em um prompt de comando, digite Netstat ?ano > netstat.txt e pressione ENTER. Esse comando cria o arquivo Netstat.txt. Esse arquivo lista todas as portas de escuta.
  3. No prompt de comando, digiteTasklist > tasklist.txt e pressione ENTER. Se o programa em questão executar como um serviço, digite Tasklist /svc > tasklist.txt em vez de Tasklist > tasklist.txt de modo que os serviços carregados em cada processo sejam listados.
  4. Abra o arquivo Tasklist.txt e localize o programa em que está solucionado o problema. Anote o identificador do processo para o processo e abra o arquivo Netstat.txt. Anote quaisquer entradas associadas ao Identificador do processo e o protocolo usado.
Se os números das portas para o processo forem menores que 1024, provavelmente não haverá alterações nos números das portas. Se os números usados forem maiores que 1024, o programa poderá usar um intervalo de portas. Portanto, abrir portas individuais pode não resolver o problema.

Adicionando a exceção a uma porta
  1. Clique em Iniciar, em Executar, digite Wscui.cpl e clique em OK para abrir o Firewall do Windows.
  2. Clique na guia Exceções e clique em Adicionar porta para exibir a caixa de diálogo Adicionar uma porta.
  3. Digite o número da porta que seu programa usa.
  4. Selecione o protocolo TCP ou UDP, dependendo de qual seu programa use.
  5. No campo Nome, digite um nome descritivo para a porta.
  6. Clique em Alterar escopo para exibir ou definir o escopo para a exceção da porta e clique em OK.
  7. Clique em OK para fechar a caixa de diálogo Adicionar uma porta.
  8. Para verificar se as configurações da porta estão corretas para seu programa, teste o programa.


Voltar para o início

Usando o registro em log

É possível ativar o registro em log para ajudar a identificar a origem do tráfego de entrada e fornecer detalhes sobre qual tráfego está sendo bloqueado. %Windir%\pfirewall.log é o arquivo de log padrão. Para ativar o registro em log, execute estas etapas:
  1. Clique em Iniciar, em Executar, digite Firewall.cpl e clique em OK.
  2. Clique na guia Avançado.
  3. Em Log de segurança, clique em Configurações.
  4. Em Configurações do log, marque a caixa de seleção Registrar os pacotes ignorados e clique em OK.
  5. Clique em OK para fechar o Firewall do Windows.

Observação As saídas bem-sucedidas não são registradas. Tráfego de entrada que não é bloqueado não é registrado.


Interpretando o arquivo de log

As seguintes informações de log são coletadas para cada pacote registrado:

Recolher esta tabelaExpandir esta tabela
CamposDescriçãoExemplo
DataExibe o ano, mês e dia que a transação registrada ocorreu. As datas são registradas no formato DD-MM-AAAA, no qual AAAA é o ano, MM é o mês e DD é o dia.27-01-2001
HoraExibe a hora, minuto e os segundos no qual a transação registrada ocorreu. As horas são registradas no seguinte formato: HH:MM:SS, no qual HH é a hora no formato de 24 horas, MM é o número de minutos e SS é o número de segundos.21:36:59
AçãoIndica a operação que foi observada pelo firewall. As opções disponíveis para o firewall são ABRIR, FECHAR, DROP, e INFO-EVENTS-LOST. Uma ação INFO-EVENTS-LOST indica o número de eventos que ocorreu mas não foram registrados no log.ABRIR
ProtocoloExibe o protocolo usado para a comunicação. Uma entrada de protocolo também pode ser um número para os pacotes que não estão usando TCP, UDP ou ICMP.TCP
src-ipExibe o endereço IP de origem ou o endereço IP do computador que está tentando estabelecer as comunicações.192.168.0.1
dst-ipExibe o endereço IP de destino de uma tentativa de comunicação.192.168.0.1
src-portExibe o número da porta de origem do computador remetente. Uma entrada de src-port é registrada na forma de um número inteiro, entre 1 e 65.535. Apenas TCP e UDP exibem uma entrada de src-port válida. Todos os outros protocolos exibem uma entrada de src-port de -.4039
dst-portExibe o número da porta do computador de destino. Uma entrada de dst-port é registrada na forma de um número inteiro, entre 1 e 65.535. Apenas TCP e UDP exibem uma entrada de dst-port válida. Todos os outros protocolos exibem uma entrada de dst-port de -.53
tamanhoExibe o tamanho do pacote em bytes.60
tcpflagsExibe os sinalizadores do controle TCP encontrados no cabeçalho TCP de um pacote IP:
  • Ack Campo de confimação
  • Fin Não existem mais dados do destinatário
  • Psh Função ativar
  • Rst Reinicar a conexão
  • Syn Sincronizar os números de seqüência
  • Urg Campo do indicador de urgência
Sinalizadores são gravados como letras maiúsculas.		AFP
tcpsynExibe o número da seqüência TCP no pacote.1315819770
tcpackExibe o número de confirmação TCP no pacote.0
tcpwinExibe o tamanho da janela TCP em bytes no pacote.64240
icmptypeExibe um número que representa o campo Tipo da mensagem ICMP.8
icmpcodeExibe um número que representa o campo Código da mensagem ICMP.0
infoExibe as entradas de informações que dependem do tipo de ação que ocorreu. Por exemplo, uma ação INFO-EVENTS-LOST cria uma entrada para o número de eventos que ocorreram mas não foram registrados no log no momento da última ocorrência desse tipo de evento.23

Observação O hífen (-) é usado para campos nos quais nenhuma informação está disponível para uma entrada.


Voltar para o início

Usando suporte para linha de comando

O Auxiliar Netsh do Firewall do Windows foi adicionado ao Windows XP no Microsoft Advanced Networking Pack. Esse auxiliar para linha de comando aplicava-se anteriormente para o Firewall do Windows IPv6. Com o Windows XP Service Pack 2, o auxiliar inclui agora suporte para configuração de IPv4.

Com o Auxiliar Netsh, é possível:
  • Configurar o estado padrão do Firewall do Windows. (As opções incluem Desativado, Ativado e Ativado sem exceções.)
  • Configurar as portas que devem ser abertas.
  • Configurar as portas para ativar acesso global ou restringir o acesso à sub-rede local.
  • Definir portas para serem abertas em todas as interfaces ou apenas em uma interface específica.
  • Configurar as opções de registro em log.
  • Configurar as opções de controle ICMP (Internet Control Message Protocol).
  • Adicionar ou remover programas da lista de exceções.
Essas opções de configuração aplicam-se ao Firewall do Windows IPv4 e ao Firewall do Windows IPv6, exceto onde uma funcionalidade específica não exista na versão do Firewall do Windows.


Reunindo dados de diagnóstico

A configuração e o status das informações do Firewall do Windows podem ser recuperadas na linha de comando usando a ferramenta Netsh.exe. Essa ferramenta adiciona suporte ao firewall IPv4 para o seguinte contexto de Netsh:
netsh firewall
Para usar esse contexto, digite netsh firewall em um prompt de comando e use comandos Netsh adicionais conforme necessário. Os seguintes comandos são úteis para reunir informações de configuração e status do firewall:
  • Netsh firewall show state
  • Netsh firewall show config

Compare o resultado desses comandos com o resultado do comando netstat ?ano para identificar os programas que podem ter portas de escuta abertas e não possuem exceções correspondentes na configuração do firewall. Os comandos suportados de configuração e reunião de dados estão listados nas seguintes tabelas.

Observação As configurações podem ser modificadas apenas por um administrador.

Reunião de dados
Recolher esta tabelaExpandir esta tabela
ComandoDescrição
show allowedprogramExibe os programas permitidos.
show configExibe as informações detalhadas da configuração local.
show currentprofileExibe o perfil atual.
show icmpsettingExibe as configurações de ICMP.
show loggingExibe as configurações de registro em log.
show opmodeExibe o modo operacional.
show portopeningExibe as portas em exceções.
show serviceExibe os serviços.
show stateExibe as informações do estado atual.
show notificationsExibe as configurações atuais para as notificações.

Configuração
Recolher esta tabelaExpandir esta tabela
ComandoDescrição
add allowedprogramUsado para adicionar tráfego em exceção especificando o nome do arquivo do programa.
set allowedprogramUsado para modificar as configurações de um programa permitido existente.
delete allowedprogramUsado para excluir um programa permitido existente.
set icmpsettingUsado para especificar tráfego ICMP permitido.
set loggingUsado para especificar as opções de registro em log para o Firewall do Windows globalmente ou para uma conexão específica (interface).
set opmodeUsado para especificar o modo de operação do Firewall do Windows globalmente ou para uma conexão específica (interface).
add portopeningUsado para adicionar tráfego em exceção especificando uma porta TCP ou UDP.
set portopeningUsado para modificar as configurações de uma porta TCP ou UDP existente aberta.
delete portopeningUsado para excluir uma porta TCP ou UDP existente aberta.
set serviceUsado para ativar ou ignorar tráfego RPC e DCOM, compartilhamento de arquivos e impressoras e tráfego UPnP.
set notificationsUsado para especificar se as notificações ao usuário quando o programa tenta abrir portas estão ativadas.
resetRedefine a configuração do firewall para o padrão. Isso fornece a mesma funcionalidade que o botão Restaurar padrões na interface do Firewall do Windows.



Voltar para o início

Solucionando problemas com o firewall

Junto com os problemas de compatibilidade do programa, o Firewall do Windows pode enfrentar outros problemas. Execute estas etapas para diagnosticar problemas:
  1. Para verificar se o TCP/IP está funcionando corretamente, use o comando ping para testar o endereço de auto-retorno (127.0.0.1) e o endereço IP atribuído.
  2. Verifique a configuração na interface do usuário para determinar se o firewall foi definido de maneira não-intencional como Desativado ou Ativado sem exceções.
  3. Use os comandos netsh para obter informações de status e configuração para procurar por configurações não-intencionais que poderiam estar interferindo com o comportamento esperado.
  4. Determine o status do serviço Firewall do Windows/Compartilhamento de conexão com a Internet digitando o seguinte em um prompt de comando:
    sc query sharedaccess
    (o nome curto desse serviço é SharedAccess.) Solucione o problema de inicialização do serviço com base no código de saída Win32, se esse serviço não iniciar.
  5. Determine o status do driver do firewall Ipnat.sys digitando o seguinte em um prompt de comando:
    sc query ipnat
    Esse comando também retorna o código de saída Win32 a partir da última tentativa de inicialização. Se o driver não estiver iniciando, use as etapas para solucionar os problemas que se aplicariam a qualquer outro driver.
  6. Se o driver e o serviço estiverem em execução e nenhum erro relacionado exista nos log de eventos, use a opção Restaurar padrões na guia Avançado das propriedades do Firewall do Windows para eliminar qualquer possível problema de configuração.
  7. Se o problema ainda não for resolvido, procure por configurações da diretiva que possam produzir o comportamento inesperado. Para fazer isso, digite GPResult /v > gpresult.txt no prompt de comando e examine o arquivo de texto resultante para as diretivas configuradas relacionadas ao firewall.

Voltar para o início

Configurando a diretiva de grupo do Firewall do Windows

Contate seu administrador de rede para determinar se uma configuração da diretiva de grupo impede os programas e as situações de executar em um ambiente corporativo.

As configurações da diretiva de grupo do Firewall do Windows estão localizadas nos seguintes caminhos do snap-in do Editor de objetos da diretiva de grupo:
  • Configuração do computador/Modelos administrativos/Rede/Conexões de rede/Firewall do Windows
  • Configuração do computador/Modelos administrativos/Rede/Conexões de rede/Firewall do Windows/Perfil do domínio
  • Configuração do computador/Modelos administrativos/Rede/Conexões de rede/Firewall do Windows/Perfil padrão

A partir desses locais, é possível configurar as seguintes configurações da diretiva de grupo:
  • Firewall do Windows: Permite a não utilização de IPSec (Internet Protocol security) autenticado
  • Firewall do Windows: Protege todas as conexões da rede
  • Firewall do Windows: Não permite exceções
  • Firewall do Windows: Define exceções aos programas
  • Firewall do Windows: Permite exceções aos programas locais
  • Firewall do Windows: Permite exceção de administração remota
  • Firewall do Windows: Permite exceção de compartilhamento de impressora e arquivo
  • Firewall do Windows: Permite exceções ICMP
  • Firewall do Windows: Permite exceção de Área de trabalho remota
  • Firewall do Windows: Permite exceção de framework UpnP (Universal Plug and Plan)
  • Firewall do Windows: Notificações de proibição
  • Firewall do Windows: Permitir registro em log
  • Firewall do Windows: Proibir resposta de transmissão em unicast para solicitações de difusão seletiva ou difusão
  • Firewall do Windows: Definir as portas em exceção
  • Firewall do Windows: Permitir exceções às portas locais

Para obter mais informações sobre as configurações da diretiva de grupo do Firewall do Windows, baixe o seguinte documento (documento em inglês):
Implantando as configurações do Firewall do Windows para Microsoft Windows XP com Service Pack 2 (http://download.microsoft.com/download/6/8/a/68a81446-cd73-4a61-8665-8a67781ac4e8/wf_xpsp2.doc)
Voltar para o início
A informação contida neste artigo aplica-se a:
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
Voltar para o início
Palavras-chave: 
kbhowtomaster kbtshoot kbgraphxlink kbscreenshot KB875357
Voltar para o início