Microsoft Windows [Version 6.1.7000] (C) Copyright 2009 Microsoft Corp. C:\Windows>netsh advfirewall consec set rule ?
Utilização: set rule
group=| name=[type=dynamic|static][profile=public|private|domain|any[,...] (predefinição=any)][endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|||||][endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|||||][port1=0-65535|[,...]|any][port2=0-65535|[,...]|any][protocol=0-255|tcp|udp|icmpv4|icmpv6|any]
new
[name=][profile=public|private|domain|any[,...]][description=][mode=transport|tunnel][endpoint1=any|localsubnet|dns|dhcp|wins|defaultgateway|||||][endpoint2=any|localsubnet|dns|dhcp|wins|defaultgateway|||||][action=requireinrequestout|requestinrequestout|
requireinrequireout|requireinclearout|noauthentication][enable=yes|no][type=dynamic|static][localtunnelendpoint=any||][remotetunnelendpoint=any||][port1=0-65535|[,...]|any][port2=0-65535|[,...]|any][protocol=0-255|tcp|udp|icmpv4|icmpv6|any][interfacetype=wiresless|lan|ras|any][auth1=computerkerb|computercert|computercertecdsap256|
computercertecdsap384|computerpsk|computerntlm|anonymous[,...]][auth1psk=][auth1ca="[certmapping:yes|no][excludecaname:yes|no][catype:root|intermediate (predefinição=root)]|..."][auth1healthcert=yes|no][auth1ecdsap256ca="[certmapping:yes|no][excludecaname:yes|no][catype:root|intermediate (predefinição=root)]|..."][auth1ecdsap256healthcert=yes|no (predefinição=no)][auth1ecdsap384ca="[certmapping:yes|no][excludecaname:yes|no][catype:root|intermediate (predefinição=root)]|..."][auth1ecdsap384healthcert=yes|no (predefinição=no)][auth2=computercert|computercertecdsap256|computercertecdsap384|
userkerb|usercert|usercertecdsap256|usercertecdsap384|userntlm|
anonymous[,...]][auth2ca="[certmapping:yes|no][catype:root|intermediate (predefinição=root)]|..."][auth2ecdsap256ca="[certmapping:yes|no][catype:root|intermediate (predefinição=root)]|..."][auth2ecdsap384ca="[certmapping:yes|no][catype:root|intermediate (predefinição=root)]|..."][qmpfs=dhgroup1|dhgroup2|dhgroup14|ecdhp256|ecdhp384|mainmode|none][qmsecmethods=authnoencap:+[valuemin]+[valuekb]|
ah:+esp:-+[valuemin]+[valuekb]|default][exemptipsecprotectedconnections=yes|no (predefinição=no)][applyauthz=yes|no (predefinição=no)]
Comentários:
- Define um novo valor de parâmetro numa regra identificada. O comando
falha se a regra não existir. Para criar uma regra, utilize o comando
add.
- Os valores que se seguem à palavra-chave new são actualizados na
regra. Se não houver valores, ou se a palavra-chave new estiver em
falta, não são efectuadas alterações.
- Um grupo de regras só pode ser activado ou desactivado.
- Se várias regras corresponderem aos critérios, todas as regras
correspondentes serão actualizadas.
- O nome da regra deve ser exclusivo e não pode ser "all".
- Auth1 e auth2 podem ser listas de opções separadas por vírgulas.
- Os métodos computerpsk e computerntlm não podem ser especificados em
conjunto para auth1.
- Computercert não pode ser especificado com credenciais de utilizador
para auth2.
- As opções de certsigning ecdsap256 e ecdsap384 só são suportadas no
Windows Vista SP1 e superior.
- Qmsecmethods pode ser uma lista de propostas separadas por ",".
- Para qmsecmethods, integrity=md5|sha1|sha256|aesgmac128|aesgmac192|
aesgmac256|aesgcm128|aesgcm192|aesgcm256 e
encryption=3des|des|aes128|aes192|aes256|aesgcm128|aesgcm192|aesgcm256.
- Se for especificado aesgcm128, aesgcm192 ou aesgcm256, o mesmo tem de
ser utilizado para encriptação e integridade ESP.
- Aesgmac128, aesgmac192, aesgmac256, aesgcm128, aesgcm192, aesgcm256 e
sha256 só são suportados no Windows Vista SP1 e superior.
- Se qmsemethods for definido como default, qmpfs também será definido
como default.
- Qmpfs=mainmode utiliza a definição de troca de chaves de modo
principal para PFS.
- A utilização de DES, MD5 e DHGroup1 não é recomendada. Estes
algoritmos criptográficos são fornecidos apenas para efeitos de
retro-compatibilidade.
- Os caracteres " no nome da AC têm de ser substituídos por \'
- Para auth1ca e auth2ca, o nome da AC tem de ter o prefixo 'CN='.
- catype pode ser utilizado para especificar o tipo de autoridade de
certificação -catype=root/intermediate
- authnoencap é suportado no Windows 7 e superior.
- authnoencap significa que os computadores só irão utilizar
autenticação e não irão utilizar nenhum algoritmo de encriptação nem
encapsulamento por pacote para proteger subsequentes pacotes de rede
trocados como parte desta ligação.
- QMPFS e authnoencap não podem ser utilizados em conjunto na mesma
regra.
- AuthNoEncap tem de ser acompanhado por pelo menos um conjunto de
integridade AH ou ESP.
- Quando mode=tunnel, a acção tem de ser requireinrequireout,
requireinclearout ou noauthentication.
- requireinclearout não é válido quando mode=Transport.
- applyauthz só pode ser especificado para regras de modo de túnel.
- exemptipsecprotectedconnections só pode ser especificado para regras
de modo de túnel. Ao definir este sinalizador como "Yes", o tráfego
ESP será isentado do túnel.
O tráfego só AH NÃO será isentado do túnel.
- Port1, Port2 e Protocol só podem ser especificados quando
mode=transport.
- Valuemin (quando especificado) para qmsecmethod tem de situar-se entre
5-2880 minutos. Valuekb (quando especificado) para qmsecmethod deve
situar-se entre 20480-2147483647 quilobytes.
Exemplos:
Mudar o nome da regra1 para regra2:
netsh advfirewall consec set rule name="regra1" new
name="regra2"
Alterar a acção de uma regra:
netsh advfirewall consec set rule name="regra1"
endpoint1=1.2.3.4 endpoint2=4.3.2.1 new action=requestinrequestout
Adicionar uma regra com propostas de modo rápido personalizadas:
netsh advfirewall consec set rule name="QM Personalizado" new
endpoint1=any endpoint2=any
qmsecmethods=authnoencap:aesgmac256,ah:aesgmac256+esp:aesgmac256-none
