{"id":1924,"date":"2013-02-06T11:46:47","date_gmt":"2013-02-06T14:46:47","guid":{"rendered":"http:\/\/www.radians.com.ar\/blog\/?p=1924"},"modified":"2013-02-06T11:46:47","modified_gmt":"2013-02-06T14:46:47","slug":"como-controlar-el-firewall-de-windows-por-medio-de-politicas-de-grupo-gpo-modo-1-howto","status":"publish","type":"post","link":"https:\/\/www.radians.com.ar\/blog\/?p=1924","title":{"rendered":"Como controlar el Firewall de Windows por medio de Politicas de Grupo (GPO) Modo 1 {HowTo}"},"content":{"rendered":"

\"www.radians.com.ar<\/a>Hoy vamos a hablar nuevamente de las Pol\u00edticas de Grupo (GPOs); ya ven\u00edamos hablando en varias notas anteriores, como funcionan, para que sirven y como nos ayudan a mantener y administrar nuestra arquitectura de Directory Services. Hoy puntualmente veremos como podemos administrar nuestro firewall de Windows en nuestro entorno de forma centralizada por medio de pol\u00edticas. <\/font><\/p>\n

Es decir, que pasa en mi empresa donde tengo 1000 o 2000 maquinas y tengo que habilitar una regla en el firewall local de las maquinas? Obviamente no recomiendo deshabilitar el firewall de las workstations, ya que seria una mala practica, por mas que la empresa tenga un firewall general en la capa superior de la arquitectura. No nos olvidemos de todos nuestros usuarios m\u00f3viles, que pasa si un usuario con una notebook tiene deshabilitado el firewall constantemente; dejar\u00edamos abierta la puerta a muchas vulnerabilidades. No es viable.<\/font><\/p>\n

El problema con la activaci\u00f3n del firewall, es que por lo general, bloquear todo el tr\u00e1fico de entrada por defecto que significa que productos, tales como Skype o Windows Messenger (entre otros), ya no podr\u00eda recibir llamadas entrantes o mensajes. Para evitar esto, el firewall de Windows les pregunta los usuarios cuando una aplicaci\u00f3n quiere abrir un puerto de entrada en la red.<\/font><\/p>\n

\"www.radians.com.ar<\/a><\/p>\n

\"www.radians.com.ar<\/a><\/p>\n

Entonces, que hacemos? bueno, para solucionar esto podemos tener una pol\u00edtica de grupo que distribuya nuestra regla del firewall en todos los Workstations de la empresa.<\/font><\/p>\n

Bueno para ello tenemos dos opciones, o generamos la regla directamente en la pol\u00edtica de grupo (Modo1) o generamos la regla de firewall en un equipo y la exportamos a la pol\u00edtica de grupo (Modo2). B\u00e1sicamente la diferencia es que uno genera mas trabajo en el medio, pero nos permite chequear que todo funcione correctamente antes de distribuirlo; pero el resultado final es el mismo.<\/font><\/p>\n

Hoy vamos a ver el modo 1: generamos la regla directamente en la pol\u00edtica de grupo: vamos a la consola Group Policy Management<\/strong><\/em> y en nuestra OU que corresponde a las Workstations, generamos una nueva pol\u00edtica que llamaremos Skype<\/em><\/strong>.<\/font><\/p>\n

\"www.radians.com.ar<\/a><\/p>\n

\"www.radians.com.ar<\/a><\/p>\n

Ahora debemos editar esta pol\u00edtica, y vamos a: Computer Configuration \/ Policies \/ Windows Settings \/ Security Settings \/ Windows Firewall with Advances Security<\/font><\/p>\n

\"www.radians.com.ar<\/a><\/p>\n

Seleccionamos New Rule, y se abrir\u00e1 el wizard de las reglas de firewall de Windows, en donde vamos a generar nuestra regla. Recordemos que en nuestro caso vamos a generar una regla que permita todo tipo de conexi\u00f3n de un programa, en este caso Skype, pero podr\u00edamos generar una regla de un puerto o de lo que necesitemos. Si quisi\u00e9ramos hilar mas fino podr\u00edamos puntualmente abrir un puerto determinado, aqu\u00ed lo que queremos mostrar mas que nada es el procedimiento y no como securizar el equipo o cerrar aun mas el firewall; pero se podr\u00eda hacer sin problemas. Entonces seleccionamos Program<\/em><\/strong>, y hacemos clic en Next<\/em><\/strong>.<\/font><\/p>\n

\"www.radians.com.ar<\/a><\/p>\n

Seleccionamos This program path<\/em><\/strong> e ingresamos %ProgramFiles% (x86)\\Skype\\Phone\\Skype.exe<\/font>, y hacemos clic en Next<\/em><\/strong>.<\/font><\/p>\n

\"www.radians.com.ar<\/a><\/p>\n

Ahora debemos elegir que es lo que queremos hacer, si bloquear la conexi\u00f3n o permitirla. En nuestro ejemplo seleccionamos Allor the connection<\/em><\/strong>.<\/font><\/p>\n

\"www.radians.com.ar<\/a><\/p>\n

\"www.radians.com.ar<\/a><\/p>\n

\"www.radians.com.ar<\/a><\/p>\n

Al hacer clic en Finish<\/em><\/strong>, veremos lo siguiente:<\/p>\n

\"www.radians.com.ar<\/a><\/p>\n

Recordemos que nuestro firewall tiene dividido las reglas en conexiones entrantes y salientes (Inbound Rules y Outbound Rules<\/em><\/strong>) entonces en nuestro ejemplo solo permitimos las conexiones entrantes, deber\u00edamos hacer lo mismo para las conexiones salientes. Si vemos el resumen de nuestra pol\u00edtica vemos lo siguiente:<\/font><\/p>\n

\"www.radians.com.ar<\/a><\/p>\n

Esto es todo. Si, con esto ya quedo configurada nuestra regla de Firewall, la cual configuramos por medio de la consola Group Policy Management y la distribuimos a todos nuestras Workstations de nuestra arquitectura de Directory Services. <\/font><\/p>\n

Como vieron el procedimiento es muy sencillo, y tome el Skype por tomar un programa actual (ya que el MSN esta saliendo de mercado) y mas que nada que sirva de ejemplo. Personalmente prefiero abrir los puertos necesarios y no tener todo abierto en el firewall. Tengamos en cuenta, como hemos visto, que podemos tener distintos ambientes de aplicaci\u00f3n: Dominio, Privado y Publico. Con lo cual podemos permitirlo que los usuarios lo usen en sus casas y no puedan usarlo en el dominio, o lo que se adapte mas a las necesidades de nuestra organizaci\u00f3n.<\/font><\/p>\n

Espero que les sea de inter\u00e9s y de utilidad. La pr\u00f3xima veremos como hacerlo seg\u00fan el Modo2: generamos la regla de firewall en un equipo y la exportamos a la pol\u00edtica de grupo. Saludos, Roberto Di Lello.<\/font><\/p>\n","protected":false},"excerpt":{"rendered":"

Hoy vamos a hablar nuevamente de las Pol\u00edticas de Grupo (GPOs); ya ven\u00edamos hablando en…<\/p>\n","protected":false},"author":1,"featured_media":4291,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"categories":[12,11,158,69,297,13],"tags":[],"class_list":["post-1924","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-2003-r2","category-2008-r2","category-windows-server-2012","category-windows-7","category-windows-8","category-vista-xp"],"_links":{"self":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts\/1924","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1924"}],"version-history":[{"count":0,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts\/1924\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/media\/4291"}],"wp:attachment":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1924"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1924"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1924"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}