Consulta con el equipo de Windows

Windows Server, Directorio Activo y Redes

Cómo configurar el Firewall de Windows para el perfil de dominio excluyendo un interfaz de red

Cómo configurar el Firewall de Windows para el perfil de dominio excluyendo un interfaz de red

  • Comments 4
  • Likes

Hola, soy Javier Rama, del equipo de Directorio Activo / Networking. En algunas ocasiones hemos tenido casos en los que el cliente necesita configurar el Firewall de Windows a través de GPO en su dominio.

Como sabemos, tenemos multitud de settings para configurarlo desde la consola de edición de Políticas de Grupo en:  

Computer Configuration\Administrative Templates\Network\Network Connections\Windows Firewall

Sin embargo, puede haber ocasiones en que necesitemos deshabilitar todas las reglas y excepciones que aplicamos en el Firewall para un interfaz de red concreto del equipo.

Esto no podemos conseguirlo directamente con el conjunto de parámetros que podemos configurar a través de GPO.

Para conseguirlo, debemos realizar los siguientes pasos:

1. Deshabilitar la siguiente política en el perfil de Dominio,  Windows Firewall: Protect all network connections

Gracias a este setting , habilitamos o deshabilitamos el Firewall de Windows.

El inconveniente que nos encontramos estableciéndolo es que, además de habilitar el Firewall, también lo configuramos para que aplique todas las reglas en todos los interfaces de red disponibles en la máquina destino.

Por tanto, lo deshabilitaremos estableciéndolo a Disabled y ,como veremos a continuación, activaremos el Firewall gracias a la herramienta netsh.

2. A continuación, crearemos un script de inicio para el equipo con el siguiente contenido:

netsh firewall set opmode mode=enable profile=domain (Habilitar el Firewall de Windows para el perfil de dominio)

netsh firewall set opmode mode=enable interface=”Red” (Proteger este interfaz de red con el Firewall de Windows)

netsh firewall set opmode mode=disable interface=”Red Externa” (No aplicar las reglas del Firewall para este intefaz)

               …

               (Continuar con todos los dispositivos poniéndolos a enable o disable según nos interese)

Como vemos, es necesario especificarle el nombre completo de cada interfaz de red.

Tras la aplicación de este script, conseguiremos el siguiente efecto:

    clip_image002

3. El resto de parámetros que queramos configurar, tales como reglas específicas o excepciones, podemos hacerlo normalmente a través de GPO.

 

- Javier Rama del Castillo

Comments
  • Hola, excelente artículo, sólo hay que hacer notar que los nombres de las tarjetas de red cambian de acuerdo al idioma del sistema operativo y netsh es sensible a ese parámetro y eventualmente si el usuario tiene capacidades de administrador de la máquina (no debería) puede haber renombrado las tarjetas de red y netsh no tendrá efecto.

    Oscar Soto Casali

    MVP Directory Services

  • Hola Óscar,

    Muchas gracias por tu comentario.

    Efectivamente, tienes toda la razón al comentar que la sentencia con netsh es completamente dependiente del nombre del interfaz de red.

    Además, también es cierto que, los nombres que se dan por defecto a estos interfaces, cambian en función del idioma del sistema operativo.

    (Por ejemplo un sistema en Inglés los nombrará por defecto como “Local Area Connection” mientras que uno en Español lo hará como “Conexión de Área Local”).

    Además, es indispensable que, como bien dices, los usuarios de los equipos cliente no tengan la capacidad de cambiar el nombre de los interfaces de red, ya que anularía por completo el efecto que queremos conseguir con netsh.

    Javier Rama

  • Me ha encantado tu artículo Javier. Muy buen trabajo ;-)

  • es posible hacer esto con windows 7? habilitar o des-habilitar interfaces para el firewall?

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment