TAGS
En este artículo voy a hablar de cómo se puede usar la directiva de grupo para controlar el cortafuegos que sale de la caja con Windows, pero primero quiero darle un poco de historia de la evolución de firewall basado en host en Windows. han sido durante mucho tiempo alrededor por año protegiendo las redes corporativas internas de ataques externos (ver imagen abajo).
Con la explosión de los trabajadores móviles a finales de los 90 más y más gente se conecta sus ordenadores portátiles directamente a Internet sin el beneficio de la protección de un firewall corporativo. Como resultado de nuevo en productos de firewall de terceros de la década de 2000, como se convirtió en una forma muy popular para la seguridad contra los ataques. A continuación, Microsoft ha añadido un firewall basado en host con el lanzamiento de Windows XP / 2003 que, lamentablemente, fue desactivada por defecto. Como resultado de tener el firewall desactivado por defecto en había un gran número de las cuales eran más notablemente el y que se extendió como la pólvora a prácticamente cualquier ordenador Windows que no se había obtenido en concreto.
Como resultado Microsoft decidió hacer un cambio importante con la forma en que Windows XP se configuró con el lanzamiento de Service Pack 2. Cuando los usuarios instalan Service Pack 2 que ahora se le pide que activar el firewall protegiéndolos así de comunicaciones maliciosas. El problema con la activación de un servidor de seguridad sin embargo, es que por lo general bloquear todo el tráfico de entrada por defecto que significa producto, tales como Skype y / o Windows Messenger ya no podía recibir la llamada de o mensajes entrantes. Para conseguir alrededor de estos temas los usuarios finales les pedirá cuando una aplicación quería abrir un puerto de entrada en la red. El personal de TI de las empresas podría controlar esto para los usuarios que utilizan la directiva de grupo a través de la sección Firewall de Windows bajo plantillas Conexiones> Red> Red administrativas.
Paso 3 opcional. Vamos a tener una visión general de alto nivel rápido de las reglas del firewall haciendo clic en el "Permitir un programa o una característica a través de Firewall de Windows" en el panel de la izquierda.
Como se puede ver Skype se ha configurado para trabajar en el Dominio, Privado y perfiles públicos. En este ejemplo vamos a configurar este modo que sólo funcionará en el hogar / trabajo y los perfiles públicos de manera que los usuarios no pueden utilizar Skype cuando están conectados al dominio de la empresa a través de la LAN.
Nota: las opciones aquí están bloqueados como usted todavía no ha elevado sus credenciales.
Paso 4 opcional. Haga clic en Cancelar
Paso 5. Haga clic en "Configuración avanzada" en el panel de la izquierda.
Paso 6. Haga clic en "Reglas de entrada" y haga doble clic en la entrada de reglas de firewall "Skype" en la columna de la derecha.
Nota: El perfil configurado actualmente se establece en "Todos"
Ahora vamos a configurar la regla de Skype para ser desactivar usando el perfil de dominio sin embargo, también puede utilizar este cuadro de diálogo de propiedades de otra configuración granular configurado. Yo recomiendo que vaya a pesar de todas estas pestañas y se familiarice con todo el ajuste puede controlar mediante este cuadro de diálogo.
Paso 7. Haga clic en la pestaña "Avanzado"
Paso 8. desmarca la casilla de verificación "dominio" y haga clic en "OK"
Nota: El perfil está configurado a "Privado, Público"
Paso 2. Seleccione una ubicación para guardar las reglas de firewall y luego escriba el nombre del archivo que desea guardar como (por ejemplo default_rules.wfw) y luego haga clic en "Guardar".
También puede desactivar selectivamente las reglas y cortar, copiar y pegar entre reglas separada de GPO. Así es como se fusionaría reglas si ha importado el conjunto de reglas desde un nuevo GPO en la espalda en el paso 4.
Cómo copiar, eliminar o desactivar una regla ...
Cómo pegar una regla en una directiva existente ...
Ahora debe ser notificado de que en todos los cuadros de diálogo de firewall (ver imágenes abajo) de la estación de trabajo que el directivo de seguridad está siendo controlado a través de la política del grupo.
Tenga en cuenta la nueva columna que indica resistir esta se configura mediante la directiva de grupo. Cada regla está lista dos veces como uno representan la regla de cortafuegos controlado a través de directivas de grupo que no pueden ser configurados y el otro representa la regla local que todavía puede ser habilitada por el administrador local.
Si no desea que el administrador local para poder aplicar reglas de cortafuegos adicionales a la red, entonces también puede configurarse de modo que las reglas de directiva de grupo se aplican exclusivamente al servidor de seguridad local.
Paso 1. Una vez más abrir el mismo GPO que tiene las reglas de firewall aplicadas y vaya a Configuración del equipo> Políticas> Configuración de Windows> Configuración de seguridad> Firewall de Windows con seguridad avanzada y haga clic derecho en "Firewall de Windows con seguridad avanzada" y haga clic en "Propiedades"
Paso 2. Haga clic en el botón "Personalizar .." en la sección Configuración
Paso 3. Cambiar el "Aplicar reglas de firewall local:" opción de "No" y haga clic en OK
Ahora bien, si usted vuelve a los "programas permitidos" en "Firewall de Windows" se dará cuenta de que la columna de dominio está ahora totalmente atenuado y no hay reglas puede ser aplicado a el perfil de dominio, incluso si usted es un administrador local.
Esperemos que esto le ha dado lo suficiente para empezar a controlar sus ventanas servidor de seguridad mediante la directiva de grupo.
.
