Habilitar Firewall por GPO

Vamos aplicar una regla de firewall en todas las estaciones de trabajo de la empresa.

La GPO la aplicamos a la OU en la que estén los equipos cliente de la empresa. Lo suyo es tener una OU por lo menos, la mía se llama equiposcliente

Hay 2 posibilidades:

A-Generar la regla directamente en la política de grupo.

B-Generar la regla de firewall en un equipo cliente y exportarla en .wfw a la política de grupo que vamos aplicar en el controlador de dominio, además este método me permite en el cliente comprobar que las reglas funcionan antes de distribuir la GPO.

Vamos hacer el método B), para mi es el único factible ya que para hacerlo por el método A, debería instalar el Skype en un Servidor y no me apetece mucho tener el Skype en el servidor.

La regla la vamos hacer de entrada y de salida para el fichero ejecutable de la aplicación, es decir sobre el .exe

No hacemos las reglas por puerto ya que siempre se pueden cambiar, de esta manera la regla es mucho más restrictiva.

Cuando activemos la regla de salida «OUT» habremos cortado el resto de tráfico en esa dirección, viene implícito permitir en nuestro caso la salida del Skype pero cortar todo lo demás por que deberemos activar nuevas reglas para el resto de programas, como el emule J pobre emule … ande andaras …

Primero instalar el Skype J.

Botón derecho sobre regla de entrada y nueva regla.

Vamos hacer las reglas de entrada y salida, solo os dejo la captura de una:

Ahora necesitamos introducir la ruta de instalación de ahí usar en mi caso una máquina virtual de W7 para las pruebas:

%programfiles%\Skype\Phone\Skype.exe»

Si hay portátiles a ellos les podemos hacer una especial que les permita conectarse en casa, por ejemplo privado, aunque lo suyo sería que como mínimo se conectaran en dominio desde casa por VPN.

Ya están creadas las dos, echamos un poco de imaginación. Ahora exportamos la directiva entera.

Botón derecho sobre Firewall de …, lo que está marcado en la imagen y exportar directiva.

Una vez exportada nos la llevamos al servidor a la GPO que citábamos al principio.

Mensaje que nos dice que vamos bien, me recuerda al mensaje, póngase en contacto con su administrador y te preguntas pero si soy cojones !!!! En este caso vamos a depositar la confianza de siempre en Microsoft y vamos comprobar que las reglas están, así que este mensajito sobraba.

Siii, están, bueno pues acabamos, el resto ya lo sabéis. Lo único que tengáis cuidado ya que no importasteis unas reglas sino que importasteis todas las reglas del cliente, tener eso en cuenta para jugar con otras GPOs del dominio, pero ya sabéis que las grises no están habilitadas.

Auditar y mirar siempre las auditorias del firewall usando los filtros, son fáciles de usar, echarles un buen vistazo.

Si seguimos bajando en el árbol:

-Ahora hacer vosotros el método A, sobre una aplicación que elijáis.

Imaginemos ahora que tenemos una usuaria que nos cae bien, una compañera de trabajo J y tenemos la nave nodriza inutilizada, solo nos queda tirar todas nuestras naves contra sus acantilados y que se vayan ahí destruyendo entre todos sus tácticas de contra-ataque, pero seguimos intentándolo, así que vamos a su equipo en local e instalamos el Utorrent, que pueda disfrutar un poco de lo que es trabajar en una empresa.

Introducimos nuestras vacilonas credenciales de administradores y:

MERDAAAA…, ya casi no me quedan naves de combate, más concentración …

Conseguidooo, yeeeeeeaaaaaaaaaaahhhhhhhhhhh !!!!!

Los otros utorrent que se ven son de experimentos 😉

Nos viene bien la línea de comandos sobre todo en un windows server core.

Otro ejemplo sería: Agregar una regla de entrada que requiera seguridad y cifrado para el
tráfico TCP del puerto 80:
netsh advfirewall firewall add rule name=»Requerir cifrado para el tráfico TCP/80 entrante»
protocol=TCP dir=in localport=80 security=authdynenc action=allow

Si todavía no tenemos todo el tráfico bloqueado lo podemos hacer en las propiedades con botón derecho en Firewall de Windows con seguridad avanzado.

Conexiones salientes bloquear:

Solo se permiten los que aparecen en las reglas.

Ahora os toca a vosotros habilitar la navegación, ya sabéis.

Podemos pinchar en Configuración en el botón de personalizar como ves dos imágenes más arriba.

Nos aparece esta ventana y cambiamos Mostrar una notificación a Sí.

Según el mensaje de Microsoft nos va avisar cada vez que bloquea una recepción, pero no es así, es un mensaje mal escrito, únicamente nos avisa si alguien o algo se intenta conectar contra nosotros.

No olvidéis activar la salida para el antivirus.

Otro día más sobre Firewall de Windows.

Anuncio publicitario