Welcome to TechNet Blogs Sign in | Join | Help

News

  • Locations of visitors to this page Todos los mensajes publicados en este blog son proporcionados "como están" sin garantías de ninguna clase, y no otorgan ningún derecho. Scripts de ejemplo eventualmente publicados en este blog están sujetos a las condiciones especificadas en http://www.microsoft.com/info/cpyright.htm. Disclaimer: All postings are provided "AS IS" with no warranties, and confer no rights. This weblog does not represent the thoughts, intentions, plans or strategies of Microsoft. Because a weblog is intended to provide a semi-permanent point-in-time snapshot, you should not consider out of date posts to reflect current thoughts and opinions.
Cómo configurar el Firewall de Windows para el perfil de dominio excluyendo un interfaz de red

Hola, soy Javier Rama, del equipo de Directorio Activo / Networking. En algunas ocasiones hemos tenido casos en los que el cliente necesita configurar el Firewall de Windows a través de GPO en su dominio.

Como sabemos, tenemos multitud de settings para configurarlo desde la consola de edición de Políticas de Grupo en:  

Computer Configuration\Administrative Templates\Network\Network Connections\Windows Firewall

Sin embargo, puede haber ocasiones en que necesitemos deshabilitar todas las reglas y excepciones que aplicamos en el Firewall para un interfaz de red concreto del equipo.

Esto no podemos conseguirlo directamente con el conjunto de parámetros que podemos configurar a través de GPO.

Para conseguirlo, debemos realizar los siguientes pasos:

1. Deshabilitar la siguiente política en el perfil de Dominio,  Windows Firewall: Protect all network connections

Gracias a este setting , habilitamos o deshabilitamos el Firewall de Windows.

El inconveniente que nos encontramos estableciéndolo es que, además de habilitar el Firewall, también lo configuramos para que aplique todas las reglas en todos los interfaces de red disponibles en la máquina destino.

Por tanto, lo deshabilitaremos estableciéndolo a Disabled y ,como veremos a continuación, activaremos el Firewall gracias a la herramienta netsh.

2. A continuación, crearemos un script de inicio para el equipo con el siguiente contenido:

netsh firewall set opmode mode=enable profile=domain (Habilitar el Firewall de Windows para el perfil de dominio)

netsh firewall set opmode mode=enable interface=”Red” (Proteger este interfaz de red con el Firewall de Windows)

netsh firewall set opmode mode=disable interface=”Red Externa” (No aplicar las reglas del Firewall para este intefaz)

               …

               (Continuar con todos los dispositivos poniéndolos a enable o disable según nos interese)

Como vemos, es necesario especificarle el nombre completo de cada interfaz de red.

Tras la aplicación de este script, conseguiremos el siguiente efecto:

    clip_image002

3. El resto de parámetros que queramos configurar, tales como reglas específicas o excepciones, podemos hacerlo normalmente a través de GPO.

 

- Javier Rama del Castillo

Posted: Friday, September 26, 2008 10:47 AM by esplat

Comments

Oscar Soto said:

Hola, excelente artículo, sólo hay que hacer notar que los nombres de las tarjetas de red cambian de acuerdo al idioma del sistema operativo y netsh es sensible a ese parámetro y eventualmente si el usuario tiene capacidades de administrador de la máquina (no debería) puede haber renombrado las tarjetas de red y netsh no tendrá efecto.

Oscar Soto Casali

MVP Directory Services

# September 29, 2008 3:21 PM

esplat said:

Hola Óscar,

Muchas gracias por tu comentario.

Efectivamente, tienes toda la razón al comentar que la sentencia con netsh es completamente dependiente del nombre del interfaz de red.

Además, también es cierto que, los nombres que se dan por defecto a estos interfaces, cambian en función del idioma del sistema operativo.

(Por ejemplo un sistema en Inglés los nombrará por defecto como “Local Area Connection” mientras que uno en Español lo hará como “Conexión de Área Local”).

Además, es indispensable que, como bien dices, los usuarios de los equipos cliente no tengan la capacidad de cambiar el nombre de los interfaces de red, ya que anularía por completo el efecto que queremos conseguir con netsh.

Javier Rama

# October 6, 2008 11:08 AM

Ramón Valladares said:

Me ha encantado tu artículo Javier. Muy buen trabajo ;-)

# November 11, 2008 5:40 AM
Leave a Comment

(required) 

(required) 

(optional)

(required) 

  
Enter Code Here: Required

Comment Notification

If you would like to receive an email when updates are made to this post, please register here

Subscribe to this post's comments using RSS

Page view tracker