Group Policy Geek Cómo controlar el Firewall de Windows con un GPO
El Firewall de Windows puede ser una de las mayores pesadillas para que los administradores de sistemas configuren, con la adición de la prioridad de la Política de grupo, se convierte en un dolor de cabeza. Aquí lo llevaremos de principio a fin sobre cómo configurar fácilmente el Firewall de Windows a través de la Política de grupo y, como ventaja adicional, le mostraremos cómo solucionar uno de los mayores errores..
Nuestra misión
Nos hemos enterado de que muchos usuarios tienen Skype instalado en sus máquinas y los está haciendo menos productivos. Se nos ha encomendado la tarea de asegurarnos de que los usuarios no puedan usar Skype en el trabajo; sin embargo, pueden mantenerlo instalado en sus computadoras portátiles y usarlo en casa o durante el almuerzo en una conexión 3G / 4G. Dada esta información, decidimos utilizar el Firewall de Windows y la Política de grupo..
El método
La forma más fácil de comenzar a controlar el Firewall de Windows a través de la Política de grupo es configurar una PC de referencia y crear las reglas con Windows 7; luego podemos exportar esa política e importarla a la Política de grupo. Al hacer esto, tenemos la ventaja adicional de poder ver si todas las reglas están configuradas y funcionan como queremos, antes de implementarlas en todas las máquinas cliente..
Creación de una plantilla de firewall
Para crear una plantilla para el Firewall de Windows necesitamos iniciar el Centro de redes y recursos compartidos, la forma más sencilla de hacerlo es hacer clic con el botón derecho en el icono de la red y seleccionar Abrir centro de redes y recursos compartidos en el menú contextual..
Cuando se abra el Centro de redes y recursos compartidos, haga clic en el enlace Firewall de Windows en la esquina inferior izquierda.
Al crear una plantilla para Firewall de Windows, es mejor hacerlo a través de la consola Firewall de Windows con seguridad avanzada, para iniciar este clic en Configuración avanzada en el lado izquierdo.
Nota: En este punto, voy a editar las reglas específicas de Skype, sin embargo, puede agregar sus propias reglas para puertos o incluso aplicaciones. Cualquier modificación que necesite hacer al firewall debe hacerse ahora.
Desde aquí podemos comenzar a editar nuestras reglas de firewall, en nuestro caso, cuando la aplicación de Skype está instalada, crea sus propias excepciones de firewall que permiten a skype.exe comunicarse en los perfiles de dominio, red privada y pública..
Ahora necesitamos editar nuestra regla de Firewall, para editarla haga doble clic en la regla. Esto abrirá las propiedades de la regla de Skype.
Pase a la pestaña Avanzado y desactive la casilla de verificación Dominio.
Cuando intente iniciar Skype ahora, se le pedirá que pregunte si se puede comunicar con el perfil de red del dominio, desmarque la casilla y haga clic en permitir acceso.
Si ahora regresa a sus Reglas de firewall entrantes verá que hay dos reglas nuevas, esto se debe a que cuando se le pidió que eligiera no permitir el tráfico entrante de Skype. Si observa la columna del perfil, verá que ambos son para el perfil de red del dominio..
Nota: la razón por la que hay dos reglas es porque hay reglas separadas para TCP y UDP
Todo está bien hasta ahora, sin embargo, si inicia Skype, todavía podrá iniciar sesión.
Incluso si cambia las reglas para bloquear el tráfico entrante para skype.exe y lo configura para bloquear el tráfico utilizando CUALQUIER protocolo, todavía es posible volver a ingresar. La solución es simple, evitar que se pueda comunicar en primer lugar. Para hacer esto, cambie a Reglas de salida y comience a crear una nueva regla..
Ya que queremos crear una regla para el programa de Skype, simplemente haga clic en siguiente, luego busque el archivo ejecutable de Skype y haga clic en siguiente..
Puede dejar la acción en el valor predeterminado, que es bloquear la conexión y hacer clic en siguiente..
Desmarque las casillas de verificación Privado y Público y haga clic en Siguiente para continuar.
Ahora dale un nombre a tu regla y haz clic en finalizar
Ahora, si intentas iniciar Skype mientras estás conectado a una red de dominio, no funcionará
Sin embargo, si intentan conectarse cuando llegan a casa, les permitirá conectarse bien.
Esas son todas las reglas de Firewall que vamos a crear por ahora, no olvides probar tus reglas como lo hicimos con Skype..
Exportando la Política
Para exportar la política, en el panel de la izquierda, haga clic en la raíz del árbol que dice Firewall de Windows con seguridad avanzada. Luego haga clic en Acción y seleccione Exportar Política desde el Menú.
Debe guardar esto en un recurso compartido de red o incluso en un USB si tiene acceso físico a su servidor. Iremos con una red compartida..
Nota: tenga cuidado con los virus cuando use un USB, lo último que quiere hacer es infectar un servidor con un virus
Importación de la política en la política de grupo
Para importar la política de firewall, necesita abrir un GPO existente o crear un GPO nuevo y vincularlo a una OU que contenga cuentas de computadora. Tenemos un GPO llamado Política de Firewall que está vinculado a una OU llamada Geek Computers, esta OU contiene todas nuestras computadoras. Seguiremos adelante y usaremos esta política..
Ahora navega a:
Abra Configuración del equipo \ Políticas \ Configuración de Windows \ Configuración de seguridad \ Firewall de Windows con seguridad avanzada
Haga clic en Firewall de Windows con seguridad avanzada y luego haga clic en Acción y Política de importación
Se le informará que si importa la política, se sobrescribirán todas las configuraciones existentes, haga clic en Sí para continuar y luego busque la política que exportó en la sección anterior de este artículo. Una vez que la política haya terminado de ser importada, serás notificado.
Si miras nuestras reglas, verás que las reglas de Skype que he creado todavía están allí..
Pruebas
Nota: no debe realizar ninguna prueba antes de completar la siguiente sección del artículo. Si lo hace, se respetará cualquier regla que se haya configurado localmente. La única razón por la que hice algunas pruebas ahora fue para señalar algunas cosas.
Para ver si las Reglas de Firewall se han implementado en los clientes, deberá cambiar a una máquina cliente y abrir nuevamente la Configuración de Firewall de Windows. Como puede ver, debería aparecer un mensaje que indique que el administrador del sistema administra algunas de las reglas del firewall..
Haga clic en el enlace Permitir un programa o característica a través del Firewall de Windows en el lado izquierdo.
Como debe ver ahora, tenemos reglas aplicadas por la Política de grupo y también aquellas creadas localmente.
¿Qué está pasando aquí y cómo puedo solucionarlo??
De forma predeterminada, la fusión de reglas está habilitada entre las políticas de firewall local en las computadoras con Windows 7 y la política de firewall especificada en las Políticas de grupo que apuntan a esas computadoras. Esto significa que los administradores locales pueden crear sus propias reglas de firewall, y estas reglas se fusionarán con las reglas obtenidas a través de la Política de grupo. Para solucionarlo, haga clic con el botón derecho en Firewall de Windows con seguridad avanzada y seleccione las propiedades en el menú contextual. Cuando se abra el cuadro de diálogo, haga clic en el botón Personalizar en la sección de configuración.
Cambie la opción Aplicar reglas de cortafuegos locales de No configurado a No.
Una vez que haga clic en Aceptar, cambie a los perfiles Privado y Público y haga lo mismo para ambos.
Eso es todo lo que hay que hacer chicos, ve y diviértete..