Herramientas de Firewall de Windows
Windows ofrece diferentes herramientas para ver el estado y configurar Firewall de Windows. Todas las herramientas interactúan con los mismos servicios subyacentes, pero proporcionan distintos niveles de control sobre esos servicios:
- Seguridad de Windows
- Panel de control
- Windows Defender Firewall con seguridad avanzada (WFAS)
- Proveedor de servicios de configuración (CSP)
- Herramientas de línea de comandos
Nota
Para cambiar la configuración de Firewall de Windows en un dispositivo, debe tener derechos de administrador.
Seguridad de Windows
La aplicación Seguridad de Windows se puede usar para ver el estado del Firewall de Windows y acceder a herramientas avanzadas para configurarla. Seleccione START, escriba Windows Securityy presione ENTRAR. Una vez que Seguridad de Windows esté abierto, seleccione la pestaña Firewall & protección de red. O bien, use el siguiente acceso directo:
Panel de control
El applet Panel de control firewall de Windows Defender proporciona funcionalidades básicas para configurar firewall de Windows. Seleccione START, escriba firewall.cply presione ENTRAR.
firewall de Windows Defender con seguridad avanzada
El firewall de Windows Defender con seguridad avanzada (WFAS) es un complemento de Microsoft Management Console (MMC) que proporciona funcionalidades de configuración avanzadas. Se puede usar localmente y en implementaciones de directiva de grupo (GPO).
- Si va a configurar un único dispositivo, seleccione START, escriba
wf.mscy presione ENTRAR. - Si va a configurar dispositivos unidos a un dominio de Active Directory, cree o edite un objeto de directiva de grupo (GPO) y expanda los nodosDirectivas> de configuración> del equipoConfiguración de Windows Configuración>de> seguridadFirewall de Windows con seguridad avanzada
Proveedor de servicios de configuración (CSP)
El CSP de firewall proporciona una interfaz para configurar y consultar el estado de Firewall de Windows, que se puede usar con una solución de administración de dispositivos móviles (MDM) como Microsoft Intune.
Herramientas de línea de comandos
El NetSecurity módulo de PowerShell y Network Command Shell (netsh.exe) son utilidades de línea de comandos que se pueden usar para consultar el estado y configurar firewall de Windows.
Consideraciones sobre el procesamiento de directivas de grupo
La configuración de la directiva de Firewall de Windows se almacena en el Registro. De forma predeterminada, las directivas de grupo se actualizan en segundo plano cada 90 minutos, con un desplazamiento aleatorio entre 0 y 30 minutos.
Firewall de Windows supervisa los cambios en el Registro y, si se escribe algo en el registro, notifica a la Plataforma de filtrado de Windows (WFP), que realiza las siguientes acciones:
- Lee todas las reglas y la configuración del firewall.
- Aplica los filtros nuevos.
- Quita los filtros antiguos
Nota
Las acciones se desencadenan cada vez que se escribe algo en o se elimina de la ubicación del Registro en la que se almacena la configuración del GPO, independientemente de si realmente hay un cambio de configuración. Durante el proceso, las conexiones IPsec se desconectan.
Muchas implementaciones de directiva especifican que solo se actualizan cuando se cambian. Sin embargo, es posible que quiera actualizar las directivas sin cambios, como volver a aplicar una configuración de directiva deseada en caso de que un usuario la haya cambiado. Para controlar el comportamiento del procesamiento de directivas de grupo del Registro, puede usar la directivaSistema> deplantillas> administrativas de configuración> del equipo directiva de grupo>Configurar el procesamiento de directivas del Registro. El proceso incluso si los objetos directiva de grupo no han cambiado la opción actualiza y vuelve a aplicar las directivas incluso si las directivas no han cambiado. Esta opción está deshabilitada de forma predeterminada.
Si habilita la opción Proceso incluso si los objetos directiva de grupo no han cambiado, los filtros WFP se vuelven a aplicar en cada actualización en segundo plano. En caso de que tenga 10 directivas de grupo, los filtros WFP se volverán a aplicar 10 veces durante el intervalo de actualización. Si se produce un error durante el procesamiento de directivas, la configuración aplicada podría estar incompleta, lo que da lugar a problemas como:
- Firewall de Windows bloquea el tráfico entrante o saliente permitido por las directivas de grupo
- La configuración del firewall local se aplica en lugar de la configuración de directiva de grupo
- Las conexiones IPsec no se pueden establecer
La solución temporal consiste en actualizar la configuración de la directiva de grupo mediante el comando gpupdate.exe /force, que requiere conectividad con un controlador de dominio.
Para evitar el problema, deje la directiva Configurar el procesamiento de directivas del Registro en el valor predeterminado No configurado o, si ya está configurado, configúrelo deshabilitado.
Importante
La casilla situada junto a Procesar aunque los objetos de directiva de grupo no hayan cambiado debe estar desactivada. Si lo deja desactivado, los filtros WFP solo se escriben en caso de que se produzca un cambio de configuración.
Si hay un requisito para forzar la eliminación y reescritura del Registro, deshabilite el procesamiento en segundo plano activando la casilla situada junto a No aplicar durante el procesamiento en segundo plano periódico.
Blinda el modo de ataques activos
Una característica importante de Firewall de Windows que puedes usar para mitigar el daño durante un ataque activo es el modo de blindaje. Se trata de un término informal que hace referencia a un método sencillo que un administrador de firewall puede usar para aumentar temporalmente la seguridad frente a un ataque activo.
Los escudos se pueden lograr si se activa Bloquear todas las conexiones entrantes, incluidas las de la configuración de la lista de aplicaciones permitidas que se encuentra en la aplicación Configuración de Windows o en Panel de control.
De forma predeterminada, firewall de Windows bloquea todo a menos que se cree una regla de excepción. La opción blindar invalida las excepciones. Por ejemplo, la característica Escritorio remoto crea automáticamente reglas de firewall cuando está habilitada. Sin embargo, si hay una vulnerabilidad de seguridad activa mediante varios puertos y servicios en un host, puede, en lugar de deshabilitar reglas individuales, usar el modo de blindaje para bloquear todas las conexiones entrantes, reemplazando las excepciones anteriores, incluidas las reglas de Escritorio remoto. Las reglas de Escritorio remoto permanecen intactas, pero el acceso remoto no puede funcionar mientras los escudos estén activos.
Una vez finalizada la emergencia, desactive la configuración para restaurar el tráfico de red normal.
Pasos siguientes
En la lista desplegable siguiente, seleccione una de las herramientas para aprender a configurar Firewall de Windows: