Cómo configurar el Firewall de Windows para el perfil de dominio excluyendo un interfaz de red

Hola, soy Javier Rama, del equipo de Directorio Activo / Networking. En algunas ocasiones hemos tenido casos en los que el cliente necesita configurar el Firewall de Windows a través de GPO en su dominio.

Como sabemos, tenemos multitud de settings para configurarlo desde la consola de edición de Políticas de Grupo en:  

Computer Configuration\Administrative Templates\Network\Network Connections\Windows Firewall

Sin embargo, puede haber ocasiones en que necesitemos deshabilitar todas las reglas y excepciones que aplicamos en el Firewall para un interfaz de red concreto del equipo.

Esto no podemos conseguirlo directamente con el conjunto de parámetros que podemos configurar a través de GPO.

Para conseguirlo, debemos realizar los siguientes pasos:

1. Deshabilitar la siguiente política en el perfil de Dominio,  Windows Firewall: Protect all network connections

Gracias a este setting , habilitamos o deshabilitamos el Firewall de Windows.

El inconveniente que nos encontramos estableciéndolo es que, además de habilitar el Firewall, también lo configuramos para que aplique todas las reglas en todos los interfaces de red disponibles en la máquina destino.

Por tanto, lo deshabilitaremos estableciéndolo a Disabled y ,como veremos a continuación, activaremos el Firewall gracias a la herramienta netsh.

2. A continuación, crearemos un script de inicio para el equipo con el siguiente contenido:

netsh firewall set opmode mode=enable profile=domain (Habilitar el Firewall de Windows para el perfil de dominio)

netsh firewall set opmode mode=enable interface=”Red” (Proteger este interfaz de red con el Firewall de Windows)

netsh firewall set opmode mode=disable interface=”Red Externa” (No aplicar las reglas del Firewall para este intefaz)

               …

               (Continuar con todos los dispositivos poniéndolos a enable o disable según nos interese)

Como vemos, es necesario especificarle el nombre completo de cada interfaz de red.

Tras la aplicación de este script, conseguiremos el siguiente efecto:

3. El resto de parámetros que queramos configurar, tales como reglas específicas o excepciones, podemos hacerlo normalmente a través de GPO.

 

- Javier Rama del Castillo

Comments

• Anonymous
  January 01, 2003
  Hola Óscar, Muchas gracias por tu comentario. Efectivamente, tienes toda la razón al comentar que la sentencia con netsh es completamente dependiente del nombre del interfaz de red. Además, también es cierto que, los nombres que se dan por defecto a estos interfaces, cambian en función del idioma del sistema operativo. (Por ejemplo un sistema en Inglés los nombrará por defecto como “Local Area Connection” mientras que uno en Español lo hará como “Conexión de Área Local”). Además, es indispensable que, como bien dices, los usuarios de los equipos cliente no tengan la capacidad de cambiar el nombre de los interfaces de red, ya que anularía por completo el efecto que queremos conseguir con netsh. Javier Rama

• Anonymous
  September 29, 2008
  The comment has been removed

• Anonymous
  November 11, 2008
  The comment has been removed

• Anonymous
  November 16, 2011
  es posible hacer esto con windows 7? habilitar o des-habilitar interfaces para el firewall?

• Anonymous
  February 12, 2016
  Hay alguna manera o proceso en backgrown que durante una sesión en el servidor sin avisar se habilite el firewall?