Abilitare o disabilitare i profili del firewall di Windows con Powershell

Garantire la sicurezza di reti e sistemi è una pietra angolare dell’IT. Una delle difese principali in un ambiente Windows è il firewall di Windows. Controllando il flusso del traffico in entrata e in uscita, agisce come un gatekeeper. In questo articolo parleremo in modo approfondito di uno script PowerShell che fornisce un metodo semplificato per abilitare o disabilitare i profili del firewall di Windows, un’attività cruciale per i professionisti IT.

Background

Lo script presentato è stato progettato per abilitare o disabilitare i profili del firewall di Windows, ovvero Domain, Public, e Private. Questi profili determinano le impostazioni e le regole applicate in base al tipo di rete a cui il computer è collegato. Per i fornitori di servizi gestiti (MSP) e i professionisti IT, uno strumento in grado di passare rapidamente da uno di questi profili all’altro è prezioso. Questo script offre una rapida soluzione sia per la risoluzione dei problemi che per il rafforzamento della sicurezza e la configurazione della rete.

Lo script per disabilitare i profili del firewall di Windows

#Requires -Version 5.1

<#
.SYNOPSIS
    Enable or disable all Windows Firewall profiles(Domain, Public, Private).
.DESCRIPTION
    Enable or disable all Windows Firewall profiles(Domain, Public, Private).
.EXAMPLE
     -Disable
    Disables all Windows Firewall profiles(Domain, Public, Private).
.EXAMPLE
     -Enable
    Enables all Windows Firewall profiles(Domain, Public, Private).
.EXAMPLE
     -Enable -BlockAllInbound
    Enables all Windows Firewall profiles(Domain, Public, Private).
    Blocks all inbound traffic on the Domain, Public, Private profiles
.OUTPUTS
    String[]
.OUTPUTS
    PSCustomObject[]
.NOTES
    Minimum OS Architecture Supported: Windows 10, Windows Server 2016
    Release Notes:
    Initial Release
By using this script, you indicate your acceptance of the following legal terms as well as our Terms of Use at https://www.ninjaone.com/terms-of-use.
    Ownership Rights: NinjaOne owns and will continue to own all right, title, and interest in and to the script (including the copyright). NinjaOne is giving you a limited license to use the script in accordance with these legal terms. 
    Use Limitation: You may only use the script for your legitimate personal or internal business purposes, and you may not share the script with another party. 
    Republication Prohibition: Under no circumstances are you permitted to re-publish the script in any script library or website belonging to or under the control of any other software provider. 
    Warranty Disclaimer: The script is provided “as is” and “as available”, without warranty of any kind. NinjaOne makes no promise or guarantee that the script will be free from defects or that it will meet your specific needs or expectations. 
    Assumption of Risk: Your use of the script is at your own risk. You acknowledge that there are certain inherent risks in using the script, and you understand and assume each of those risks. 
    Waiver and Release: You will not hold NinjaOne responsible for any adverse or unintended consequences resulting from your use of the script, and you waive any legal or equitable rights or remedies you may have against NinjaOne relating to your use of the script. 
    EULA: If you are a NinjaOne customer, your use of the script is subject to the End User License Agreement applicable to you (EULA).
.COMPONENT
    ProtocolSecurity
#>

[CmdletBinding(DefaultParameterSetName = "Enable")]
param (
    [Parameter(
        Mandatory = $true,
        ParameterSetName = "Enable"
    )]
    [Switch]
    $Enable,
    [Parameter(
        Mandatory = $true,
        ParameterSetName = "Disable"
    )]
    [Switch]
    $Disable,
    [Parameter(
        ParameterSetName = "Enable"
    )]
    [Switch]
    $BlockAllInbound
)

begin {
    function Test-IsElevated {
        $id = [System.Security.Principal.WindowsIdentity]::GetCurrent()
        $p = New-Object System.Security.Principal.WindowsPrincipal($id)
        $p.IsInRole([System.Security.Principal.WindowsBuiltInRole]::Administrator)
    }
}
process {
    if (-not $(Test-IsElevated)) {
        Write-Error -Message "Access Denied. Please run with Administrator privileges."
        exit 1
    }
    if ($(Get-Command "Get-NetFirewallProfile" -ErrorAction SilentlyContinue).Name -like "Get-NetFirewallProfile") {
        # Use Get-NetFirewallProfile if available
        try {
            $NetFirewallSplat = @{
                Profile     = @("Domain", "Public", "Private")
                Enabled     = $(if ($Enable) { "True" }elseif ($Disable) { "False" })
                ErrorAction = "Stop"
            }
            if ($Enable -and $BlockAllInbound) {
                $NetFirewallSplat.Add('DefaultInboundAction', 'Block')
                $NetFirewallSplat.Add('DefaultOutboundAction', 'Allow')
            }
            Set-NetFirewallProfile @NetFirewallSplat
            
        }
        catch {
            Write-Error $_
            Write-Host "Failed to turn $(if ($Enable) { "on" }elseif ($Disable) { "off" }) the firewall."
            exit 1
        }
        # Proof of work
        Get-NetFirewallProfile -ErrorAction Stop | Format-Table Name, Enabled        
    }
    else {
        # Fall back onto netsh
        netsh.exe AdvFirewall set AllProfiles state $(if ($Enable) { "on" }elseif ($Disable) { "off" })
        if ($LASTEXITCODE -gt 0) { exit $LASTEXITCODE }
        netsh.exe AdvFirewall set DomainProfile state $(if ($Enable) { "on" }elseif ($Disable) { "off" })
        if ($LASTEXITCODE -gt 0) { exit $LASTEXITCODE }
        netsh.exe AdvFirewall set PrivateProfile state $(if ($Enable) { "on" }elseif ($Disable) { "off" })
        if ($LASTEXITCODE -gt 0) { exit $LASTEXITCODE }
        netsh.exe AdvFirewall set PublicProfile state $(if ($Enable) { "on" }elseif ($Disable) { "off" })
        if ($LASTEXITCODE -gt 0) { exit $LASTEXITCODE }
        
        if ($Enable -and $BlockAllInbound) {
            try {
                netsh.exe AdvFirewall set DomainProfile FirewallPolicy "BlockInbound,AllowOutbound"
                if ($LASTEXITCODE -gt 0) { exit $LASTEXITCODE }
                netsh.exe AdvFirewall set PrivateProfile FirewallPolicy "BlockInbound,AllowOutbound"
                if ($LASTEXITCODE -gt 0) { exit $LASTEXITCODE }
                netsh.exe AdvFirewall set PublicProfile FirewallPolicy "BlockInbound,AllowOutbound"
                if ($LASTEXITCODE -gt 0) { exit $LASTEXITCODE }
            }
            catch {
                Write-Error $_
                Write-Host "Could not set Block All Inbound Traffic to 1"
            }
        }
        # Proof of work
        netsh.exe AdvFirewall show AllProfiles state
        if ($LASTEXITCODE -gt 0) { exit $LASTEXITCODE }
    }
}
end {}

 

Accedi a oltre 700 script nel Dojo di NinjaOne

Ottieni l’accesso

Analisi dettagliata

Nella sua funzione principale, lo script per disabilitare i profili del firewall di Windows verifica la presenza di privilegi di amministratore, essenziali poiché la modifica delle impostazioni del firewall di Windows richiede permessi elevati. Quindi verifica la presenza del cmdlet Get-NetFirewallProfile, un moderno comando PowerShell per la gestione dei profili del firewall di Windows. 

Se questo cmdlet è disponibile, lo script lo utilizza per abilitare o disabilitare i profili del firewall di Windows specificati. L’opzione che consente di bloccare tutto il traffico in entrata, pur permettendo quello in uscita, aggiunge un ulteriore livello di sicurezza. 

In assenza del cmdlet Get-NetFirewallProfile, lo script torna al vecchio strumento a riga di comando netsh.exe.

Situazioni d’uso potenziali

Immagina una professionista IT, Jane, di una grande azienda. L’azienda sta introducendo una nuova applicazione, ma durante i test viene notato che l’applicazione non riesce a comunicare con il server. Sospettando un problema di firewall, Jane utilizza questo script per disabilitare i profili del firewall di Windows temporaneamente, testare l’applicazione e quindi riattivarli prontamente. Questa azione rapida aiuta a diagnosticare il problema senza dover ricorrere a un intervento manuale.

Confronti

Lo script fornisce un approccio programmatico alla gestione dei profili del firewall di Windows. Le alternative sono la regolazione manuale tramite la GUI del firewall di Windows o l’utilizzo degli Oggetti dei Criteri di gruppo (GPO) per i computer collegati al dominio. Tuttavia, a entrambi manca l’immediatezza offerta da questo script.

Domande frequenti

  • Posso eseguire questo script su qualsiasi macchina Windows?
    Lo script per disabilitare i profili del firewall di Windows è progettato per Windows 10 e Windows Server 2016 e versioni successive. 
  • Ho bisogno di permessi speciali per eseguire questo script?
    Sì, sono necessari i privilegi di amministratore. 

Implicazioni per la sicurezza

La possibilità di modificare rapidamente i profili del firewall di Windows è un’arma a doppio taglio. La loro disattivazione, anche momentanea, può esporre i sistemi alle minacce. È fondamentale comprendere le implicazioni per la sicurezza e garantire che i sistemi rimangano protetti.

Raccomandazioni

  • Testa prima lo script per disabilitare i profili del firewall di Windows in un ambiente controllato. 
  • Se stai disabilitando i profili del firewall di Windows per la diagnostica, riabilitali subito dopo. 
  • Controlla regolarmente le regole del firewall di Windows per garantire l’allineamento con i criteri di sicurezza.

Considerazioni finali

La gestione dei profili del firewall di Windows è essenziale per la sicurezza della rete e del sistema. Mentre strumenti come NinjaOne offrono soluzioni di gestione IT complete a tutti i livelli, script come quello discusso sono preziosi per attività specifiche. Come sempre, la comprensione del loro funzionamento e delle implicazioni garantisce un uso efficace e sicuro.

Passi successivi

La creazione di un team IT efficiente ed efficace richiede una soluzione centralizzata che funga da principale strumento per la fornitura di servizi. NinjaOne consente ai team IT di monitorare, gestire, proteggere e supportare tutti i dispositivi, ovunque essi si trovino, senza la necessità di una complessa infrastruttura locale.

Per saperne di più su NinjaOne Endpoint Management, fai un tour dal vivo, o inizia la tua prova gratuita della piattaforma NinjaOne.

Categorie:

Ti potrebbe interessare anche

×

Guarda NinjaOne in azione!

Inviando questo modulo, accetto La politica sulla privacy di NinjaOne.

Termini e condizioni NinjaOne

Cliccando sul pulsante “Accetto” qui sotto, dichiari di accettare i seguenti termini legali e le nostre condizioni d’uso:

  • Diritti di proprietà: NinjaOne possiede e continuerà a possedere tutti i diritti, i titoli e gli interessi relativi allo script (compreso il copyright). NinjaOne ti concede una licenza limitata per l’utilizzo dello script in conformità con i presenti termini legali.
  • Limitazione d’uso: Puoi utilizzare lo script solo per legittimi scopi personali o aziendali interni e non puoi condividere lo script con altri soggetti.
  • Divieto di ripubblicazione: In nessun caso ti è consentito ripubblicare lo script in una libreria di script appartenente o sotto il controllo di un altro fornitore di software.
  • Esclusione di garanzia: Lo script viene fornito “così com’è” e “come disponibile”, senza garanzie di alcun tipo. NinjaOne non promette né garantisce che lo script sia privo di difetti o che soddisfi le tue esigenze o aspettative specifiche.
  • Assunzione del rischio: L’uso che farai dello script è da intendersi a tuo rischio. Riconosci che l’utilizzo dello script comporta alcuni rischi intrinseci, che comprendi e sei pronto ad assumerti.
  • Rinuncia e liberatoria: Non riterrai NinjaOne responsabile di eventuali conseguenze negative o indesiderate derivanti dall’uso dello script e rinuncerai a qualsiasi diritto legale o di equità e a qualsiasi rivalsa nei confronti di NinjaOne in relazione all’uso dello script.
  • EULA: Se sei un cliente NinjaOne, l’uso dello script è soggetto al Contratto di licenza con l’utente finale (EULA) applicabile.