Microsoft Windows [Version 6.1.7000] (C) Copyright 2009 Microsoft Corp. C:\Windows>netsh advfirewall consec set rule ?
Uso: set rule
group=| name=[type=dynamic|static][profile=public|private|domain|any[,...] (padrão=any)][endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|||||][endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|||||][port1=0-65535|[,...]|any][port2=0-65535|[,...]|any][protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
new
[name=][profile=public|private|domain|any[,...]][description=][mode=transport|tunnel][endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|||||][endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|||||][action=requireinrequestout|requestinrequestout|
requireinrequireout|requireinclearout|noauthentication][enable=yes|no][type=dynamic|static][localtunnelendpoint=any||][remotetunnelendpoint=any||][port1=0-65535|[,...]|any][port2=0-65535|[,...]|any][protocol=0-255|tcp|udp|icmpv4|icmpv6|any][interfacetype=wiresless|lan|ras|any][auth1=computerkerb|computercert|computercertecdsap256|
computercertecdsap384|computerpsk|computerntlm|anonymous[,...]][auth1psk=][auth1ca="[certmapping:yes|no][excludecaname:yes|no][catype:root|intermediate (padrão=root)]| ..."][auth1healthcert=yes|no][auth1ecdsap256ca="[certmapping:yes|no][excludecaname:yes|no][catype:root|intermediate (padrão=root)]| ..."][auth1ecdsap256healthcert=yes|no (padrão=no)][auth1ecdsap384ca="[certmapping:yes|no][excludecaname:yes|no][catype:root|intermediate (padrão=root)]| ..."][auth1ecdsap384healthcert=yes|no (padrão=no)][auth2=computercert|computercertecdsap256|computercertecdsap384|
userkerb|usercert|usercertecdsap256|usercertecdsap384|userntlm|
anonymous[,...]][auth2ca="[certmapping:yes|no][catype:root|intermediate (padrão=root)]| ..."][auth2ecdsap256ca="[certmapping:yes|no][catype:root|intermediate (padrão=root)]| ..."][auth2ecdsap384ca="[certmapping:yes|no][catype:root|intermediate (default=root)]| ..."][qmpfs=dhgroup1|dhgroup2|dhgroup14|ecdhp256|ecdhp384|mainmode|none][qmsecmethods=authnoencap:+[valuemin]+[valuekb]|
ah:+esp:-+[valuemin]+[valuekb]|default][exemptipsecprotectedconnections=yes|no (padrão=no)][applyauthz=yes|no (padrão=no)]
Comentários:
- Define um novo valor de parâmetro em uma regra identificada.
O comando falha se a regra não existe. Para criar uma regra,
use o comando add.
- Os valores após a nova palavra-chave são atualizados na regra.
Se não houver valores ou a palavra-chave nova estiver ausente,
nenhuma alteração será feita.
- Um grupo de regras só pode ser habilitado ou desabilitado.
- Se várias regras corresponderem aos critérios, todas as
regras correspondentes serão atualizadas.
- O nome da regra deve ser exclusivo e não pode ser "all".
- Auth1 e auth2 podem ser listas de opções separadas por vírgulas.
- Os métodos computerpsk e computerntlm não podem ser
especificados juntos para auth1.
- Computercert não pode ser especificado com credenciais de usuário
para auth2.
- As opções ecdsap256 e ecdsap384 do Certsigning só são compatíveis
com o Windows Vista SP1 e superior.
- Qmsecmethods pode ser uma lista de propostas separadas por ",".
- Para qmsecmethods,
integrity=md5|sha1|sha256|aesgmac128|aesgmac192|
aesgmac256|aesgcm128|aesgcm192|aesgcm256 e
encryption=3des|des|aes128|aes192|aes256|aesgcm128|aesgcm192|
aesgcm256.
- Se aesgcm128, aesgcm192 ou aesgcm256 forem especificados,
eles deverão ser usados para criptografia e integridade de ESP.
- Aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192,
aesgcm256, sha256 só são compatíveis com o Windows Vista SP1 e
posterior.
- Se qmsemethods for definido como padrão, qmpfs também será
definido como padrão.
- Qmpfs=mainmode usa a configuração de troca de chave do modo
principal referente a PFS.
- O uso de DES, MD5 e DHGroup1 não é recomendado. Esses
algoritmos criptográficos são fornecidos somente por
questões de compatibilidade com versões anteriores.
- Os caracteres " no nome da CA devem ser substituídos por \'
- Para auth1ca e auth2ca, o nome da CA deve ter o prefixo 'CN='.
- catype pode ser usado para especificar o tipo de Autoridade de
certificação - catype=root/intermediate
- authnoencap é compatível com o Windows 7 e superior.
- authnoencap significa que os computadores usarão apenas
autenticação e não usarão algoritmos de túnel
e criptografia por pacote para proteger pacotes de redes
subsequentes trocados como parte desta conexão.
- QMPFS e authnoencap não podem ser usados juntos na mesma regra.
- AuthNoEncap deve estar acompanhado de pelo menos um pacote de
integridade AH ou ESP.
- Quando mode=tunnel, a ação deve ser requireinrequireout,
requireinclearout ou noauthentication.
- requireinclearout não é válido quando mode=Transport.
- applyauthz só pode ser especificado para regras do modo de
túnel.
- exemptipsecprotectedconnections só pode ser especificado
para regras do modo de túnel. Se este sinalizador
for definido como "Yes", o tráfego de ESP será isento
do túnel.
O tráfego somente AH NÃO será isento do túnel.
- Port1, Port2 e Protocol só podem ser especificados quando
mode=transport.
- O Valuemin (quando especificado) de um qmsecmethod deve
estar entre 5 e 2880 minutos. O Valuekb (quando especificado)
de um qmsecmethod deve estar entre 20480 e 2147483647 quilobytes.
Exemplos:
Renomear rule1 para rule 2:
netsh advfirewall consec set rule name="rule1" new
name="rule2"
Alterar a ação em uma regra:
netsh advfirewall consec set rule name="rule1"
endpoint1=1.2.3.4 endpoint2=4.3.2.1 new action=requestinrequestout
Adicionar uma regra com propostas de modo rápido personalizadas:
netsh advfirewall consec set rule name="Custom QM" new
endpoint1=any endpoint2=any
qmsecmethods=authnoencap:aesgmac256,ah:aesgmac256+esp:aesgmac256-none
