En el articulo del día de hoy veremos como mediante las Group Policy podemos controlar el Firewall de Windows pudiendo abrir los puertos que precisemos en forma centralizada.
Antes de comenzar, veremos que en el equipo cliente con Windows 10 para este ejemplo, el firewall de Windows nos muestra que el puerto de escritorio remoto (RDP 3389) no se encuentra configurado para ninguna de las redes.
Lo primero que debemos hacer es abrir el Group Policy Management en nuestro controlador de dominio.
Dentro de nuestro dominio crearemos una group policy general en la raíz para que se aplique a todos.
Establecemos el nombre a la política, en este caso le ponemos WindowsFirewall y hacemos un clic en Ok.
Ahora editamos la política creada haciendo un clic con el botón derecho del mouse y seleccionando Edit.
Luego debemos buscar dentro de la GPO, la rama Computer Configuration > Windows Settings > Security Settings > Windows Firewall with Advanced Security > Inbound Rules. Seleccionamos Inbound Rules debido a que queremos permitir el acceso hacia el equipo en cuestión. Allí hacemos un clic con el botón derecho del mouse sobre Inbound Rules y seleccionamos “New Rule”.
En el siguiente paso seleccionaremos del listado Predefined “Remote Desktop” y luego haremos un clic en Next.
En el próximo paso seleccionamos las reglas predefinidas que queramos habilitar, en nuestro caso dejamos seleccionada las tres opciones que tenemos y hacemos un clic en Next.
Ahora debemos seleccionar si queremos permitir o bloquear la conexión, siendo en nuestro ejemplo la opcion “Allow the conection” para permitir la comunicación.
Aquí vemos la regla del firewall configurada.
Ahora si vamos al equipo cliente ejecutamos el comando gpupdate /force para forzar la aplicación de la nueva GPO.
Como veremos en la siguiente imagen, aparece un nuevo item de Escritorio Remoto (aparece como duplicado) ya que el nuevo depende de la directiva de grupo y está activo para las tres redes.
Volviendo al servidor y haciendo un botón derecho del mouse sobre una de la reglas y seleccionamos Properties podremos editar algunos parámetros adicionales.
En la solapa Advanced podremos desmarcar las perfiles de redes a los cuales no queremos aplicar la regla, siendo en nuestro ejemplo el perfil dominio el único que dejaremos marcado. Haremos el mismo cambio para el resto de las reglas.
Una vez cambiada la configuración veremos que las tres reglas están aplicadas solo para el dominio.
Si volvemos de nuevo al equipo cliente y volvemos a ejecutar el comando gpupdate /force.
Vamos de nuevo a la configuración del firewall de Windows.
Ahora veremos que seguimos con la política aplicada pero se han desmarcado los perfiles de Publica y Privada.
Volviendo nuevamente al servidor, crearemos una nueva regla pero en este caso para un determinado puerto. Repetimos el paso anterior para crear una regla.
Ahora en lugar de una regla predefinida, seleccionaremos la opción Port para establecer un numero de puerto en particular. Luego hacemos un clic en Next.
En el siguiente paso seleccionamos Specific local ports y definimos el numero que queramos, en nuestro caso el 8080. Luego hacemos un clic en Next.
Permitimos la conexión seleccionando “Allow the connection” y luego haciendo un clic en Next.
En el siguiente paso podremos seleccionar los perfiles de red para los cuales aplica la regla. Dejamos solo el perfil Domain y hacemos un clic en Next.
Le definimos un nombre a la regla y hacemos un clic en Finish.
Ya creada la regla, veremos la misma en el listado con solo el profile Domain.
Si vamos al equipo cliente y ejecutamos un gpupdate /force y vamos a verificar el Windows Firewall veremos la regla con el nombre de la regla creada.
Hasta aquí hemos visto como controlar la configuración del firewall de Windows mediante una GPO.
Espero que les haya sido de utilidad.
Saludos,
Alejandro.
Tw: @amazzite
www.mazzitelli.com.ar
