Procedimientos recomendados para configurar Windows Defender Firewall

Windows Defender Firewall con advanced security proporciona filtrado de tráfico de red bidireccional basado en host y bloquea el tráfico de red no autorizado que fluye hacia el dispositivo local o desde él. La configuración del Firewall de Windows en función de los siguientes procedimientos recomendados puede ayudarle a optimizar la protección de los dispositivos de la red. Estas recomendaciones abarcan una amplia gama de implementaciones, incluidas las redes domésticas y los sistemas de escritorio y servidor empresariales.

Para abrir Firewall de Windows, vaya al menú Inicio , seleccione Ejecutar, escriba WF.msc y, a continuación, seleccione Aceptar. Consulte también Abrir firewall de Windows.

Mantener la configuración predeterminada

Al abrir el firewall de Windows Defender por primera vez, puede ver la configuración predeterminada aplicable al equipo local. En el panel Información general se muestra la configuración de seguridad de cada tipo de red a la que se puede conectar el dispositivo.

Windows Defender firewall con seguridad avanzada la primera vez que se abre.

Figura 1: firewall de Windows Defender

  1. Perfil de dominio: se usa para redes donde hay un sistema de autenticación de cuenta en un controlador de dominio de Active Directory
  2. Perfil privado: diseñado para redes privadas, como una red doméstica, y se usa mejor.
  3. Perfil público: diseñado teniendo en cuenta una mayor seguridad para redes públicas, como puntos de acceso Wi-Fi, cafeterías, aeropuertos, hoteles o tiendas

Para ver la configuración detallada de cada perfil, haga clic con el botón derecho en el nodo Firewall de nivel superior Windows Defender con seguridad avanzada en el panel izquierdo y, a continuación, seleccione Propiedades.

Mantenga la configuración predeterminada en Windows Defender Firewall siempre que sea posible. Esta configuración se ha diseñado para proteger el dispositivo para su uso en la mayoría de los escenarios de red. Un ejemplo clave es el comportamiento de bloque predeterminado para las conexiones entrantes.

Captura de pantalla de una descripción de teléfono móvil generada automáticamente.

Figura 2: Configuración predeterminada de entrada y salida

Importante

Para mantener la máxima seguridad, no cambie la configuración predeterminada bloquear para las conexiones entrantes.

Para obtener más información sobre cómo configurar los valores básicos del firewall, consulta Activar firewall de Windows y Configurar el comportamiento predeterminado y la lista de comprobación: Configuración de la configuración básica del firewall.

Descripción de la precedencia de reglas para las reglas de entrada

En muchos casos, un paso siguiente para los administradores será personalizar estos perfiles mediante reglas (a veces denominadas filtros) para que puedan trabajar con aplicaciones de usuario u otros tipos de software. Por ejemplo, un administrador o usuario puede optar por agregar una regla para dar cabida a un programa, abrir un puerto o protocolo o permitir un tipo predefinido de tráfico.

Esta tarea de adición de reglas se puede realizar haciendo clic con el botón derecho en Reglas de entrada o Reglas de salida y seleccionando Nueva regla. La interfaz para agregar una nueva regla tiene este aspecto:

Asistente para la creación de reglas.

Figura 3: Asistente para la creación de reglas

Nota

En este artículo no se trata la configuración de reglas paso a paso. Consulta la Guía de implementación de Firewall de Windows con seguridad avanzada para obtener instrucciones generales sobre la creación de directivas.

En muchos casos, se necesitará permitir tipos específicos de tráfico entrante para que las aplicaciones funcionen en la red. Los administradores deben tener en cuenta los siguientes comportamientos de precedencia de reglas al permitir estas excepciones entrantes.

  1. Las reglas de permiso definidas explícitamente tendrán prioridad sobre la configuración de bloque predeterminada.
  2. Las reglas de bloque explícitas tendrán prioridad sobre las reglas de permiso en conflicto.
  3. Las reglas más específicas tendrán prioridad sobre las reglas menos específicas, excepto si hay reglas de bloque explícitas como se menciona en 2. (Por ejemplo, si los parámetros de la regla 1 incluyen un intervalo de direcciones IP, mientras que los parámetros de la regla 2 incluyen una única dirección de host IP, la regla 2 tendrá prioridad).

Debido a 1 y 2, es importante que, al diseñar un conjunto de directivas, asegúrese de que no haya ninguna otra regla de bloque explícita que pueda superponerse involuntariamente, lo que impide el flujo de tráfico que desea permitir.

Un procedimiento recomendado de seguridad general al crear reglas de entrada es ser lo más específico posible. Sin embargo, cuando se deben realizar nuevas reglas que usen puertos o direcciones IP, considere la posibilidad de usar intervalos o subredes consecutivos en lugar de direcciones individuales o puertos siempre que sea posible. Este enfoque evita la creación de varios filtros bajo el capó, reduce la complejidad y ayuda a evitar la degradación del rendimiento.

Nota

Windows Defender Firewall no admite el orden de reglas ponderado y asignado por el administrador tradicional. Se puede crear un conjunto de directivas efectivo con comportamientos esperados teniendo en cuenta los pocos comportamientos de reglas lógicas, coherentes y descritos anteriormente.

Creación de reglas para nuevas aplicaciones antes del primer inicio

Reglas de permitido de entrada

Cuando se instalan por primera vez, las aplicaciones y servicios en red emiten una llamada de escucha que especifica la información de protocolo o puerto necesaria para que funcionen correctamente. Como hay una acción de bloque predeterminada en Windows Defender Firewall, es necesario crear reglas de excepción de entrada para permitir este tráfico. Es habitual que la aplicación o el propio instalador de la aplicación agreguen esta regla de firewall. De lo contrario, el usuario (o el administrador de firewall en nombre del usuario) debe crear manualmente una regla.

Si no hay ninguna aplicación activa o reglas de permiso definidas por el administrador, un cuadro de diálogo pedirá al usuario que permita o bloquee los paquetes de una aplicación la primera vez que se inicie la aplicación o intente comunicarse en la red.

  • Si el usuario tiene permisos de administrador, se le pedirá. Si responden No o cancelan el aviso, se crearán reglas de bloque. Normalmente se crean dos reglas, una para el tráfico TCP y UDP.

  • Si el usuario no es un administrador local, no se le pedirá. En la mayoría de los casos, se crearán reglas de bloque.

En cualquiera de los escenarios anteriores, una vez agregadas estas reglas, deben eliminarse para volver a generar el mensaje. Si no es así, el tráfico seguirá bloqueado.

Nota

La configuración predeterminada del firewall está diseñada para la seguridad. Permitir todas las conexiones entrantes de forma predeterminada presenta la red a varias amenazas. Por lo tanto, la creación de excepciones para las conexiones entrantes desde software de terceros debe estar determinada por desarrolladores de aplicaciones de confianza, el usuario o el administrador en nombre del usuario.

Problemas conocidos con la creación automática de reglas

Al diseñar un conjunto de directivas de firewall para la red, se recomienda configurar reglas de permiso para las aplicaciones en red implementadas en el host. Tener estas reglas en su lugar antes de que el usuario inicie por primera vez la aplicación ayudará a garantizar una experiencia sin problemas.

La ausencia de estas reglas almacenadas provisionalmente no significa necesariamente que, al final, una aplicación no pueda comunicarse en la red. Sin embargo, los comportamientos implicados en la creación automática de reglas de aplicación en tiempo de ejecución requieren la interacción del usuario y privilegios administrativos. Si se espera que los usuarios no administrativos usen el dispositivo, debe seguir los procedimientos recomendados y proporcionar estas reglas antes del primer inicio de la aplicación para evitar problemas de red inesperados.

Para determinar por qué algunas aplicaciones no se comunican en la red, compruebe las siguientes instancias:

  1. Un usuario con privilegios suficientes recibe una notificación de consulta que le informa de que la aplicación necesita realizar un cambio en la directiva de firewall. Al no comprender completamente el aviso, el usuario cancela o descarta el aviso.
  2. Un usuario carece de privilegios suficientes y, por tanto, no se le pide que permita a la aplicación realizar los cambios de directiva adecuados.
  3. La combinación de directivas local está deshabilitada, lo que impide que la aplicación o el servicio de red creen reglas locales.

Los administradores también pueden prohibir la creación de reglas de aplicación en tiempo de ejecución mediante la aplicación Configuración o directiva de grupo.

Símbolo del sistema de Firewall de Windows.

Figura 4: Cuadro de diálogo para permitir el acceso

Consulte también Lista de comprobación: Creación de reglas de firewall de entrada.

Establecimiento de reglas de aplicación y combinación de directivas locales

Las reglas de firewall se pueden implementar:

  1. Uso local del complemento Firewall (WF.msc)
  2. Uso local de PowerShell
  3. Uso remoto de directiva de grupo si el dispositivo es miembro de un nombre de Active Directory, System Center Configuration Manager o Intune (mediante la unión al área de trabajo)

La configuración de combinación de reglas controla cómo se pueden combinar las reglas de diferentes orígenes de directiva. Los administradores pueden configurar diferentes comportamientos de combinación para perfiles de dominio, privado y público.

La configuración de combinación de reglas permite o impide que los administradores locales creen sus propias reglas de firewall, además de las que se obtienen de directiva de grupo.

Personalice la configuración.

Figura 5: Configuración de combinación de reglas

Sugerencia

En el proveedor de servicios de configuración del firewall, la configuración equivalente es AllowLocalPolicyMerge. Esta configuración se puede encontrar en cada nodo de perfil respectivo, DomainProfile, PrivateProfile y PublicProfile.

Si la combinación de directivas locales está deshabilitada, se requiere la implementación centralizada de reglas para cualquier aplicación que necesite conectividad de entrada.

Los administradores pueden deshabilitar LocalPolicyMerge en entornos de alta seguridad para mantener un control más estricto sobre los puntos de conexión. Esta configuración puede afectar a algunas aplicaciones y servicios que generan automáticamente una directiva de firewall local tras la instalación, como se ha explicado anteriormente. Para que estos tipos de aplicaciones y servicios funcionen, los administradores deben insertar reglas de forma centralizada a través de la directiva de grupo (GP), la Administración de dispositivos móvil (MDM) o ambas (para entornos híbridos o de administración conjunta).

CSP de firewall y CSP de directiva también tienen configuraciones que pueden afectar a la combinación de reglas.

Como procedimiento recomendado, es importante enumerar y registrar dichas aplicaciones, incluidos los puertos de red que se usan para las comunicaciones. Normalmente, puede encontrar qué puertos deben estar abiertos para un servicio determinado en el sitio web de la aplicación. Para implementaciones de aplicaciones más complejas o de clientes, es posible que se necesite un análisis más exhaustivo mediante herramientas de captura de paquetes de red.

En general, para mantener la máxima seguridad, los administradores solo deben insertar excepciones de firewall para aplicaciones y servicios determinados para servir con fines legítimos.

Nota

El uso de patrones comodín, como C:*\teams.exe , no se admite en las reglas de aplicación. Actualmente solo se admiten las reglas creadas mediante la ruta de acceso completa a las aplicaciones.

Saber cómo usar el modo "escudos hacia arriba" para ataques activos

Una característica de firewall importante que puede usar para mitigar el daño durante un ataque activo es el modo "se blinda". Se trata de un término informal que hace referencia a un método sencillo que un administrador de firewall puede usar para aumentar temporalmente la seguridad frente a un ataque activo.

Para lograr los escudos, active Bloquear todas las conexiones entrantes, incluidas las de la lista de opciones de aplicaciones permitidas que se encuentran en la aplicación Configuración de Windows o en el archivo heredado firewall.cpl.

Conexiones entrantes.

Figura 6: Configuración de Windows App/Seguridad de Windows/Firewall Protection/Network Type

Cpl de firewall.

Figura 7: firewall.cplheredado

De forma predeterminada, el firewall de Windows Defender bloqueará todo a menos que se cree una regla de excepción. Esta configuración invalida las excepciones.

Por ejemplo, la característica Escritorio remoto crea automáticamente reglas de firewall cuando está habilitada. Sin embargo, si hay una vulnerabilidad de seguridad activa mediante varios puertos y servicios en un host, puede, en lugar de deshabilitar reglas individuales, usar el modo de blindaje para bloquear todas las conexiones entrantes, reemplazando las excepciones anteriores, incluidas las reglas de Escritorio remoto. Las reglas de Escritorio remoto permanecen intactas, pero el acceso remoto no funcionará mientras se activen los escudos.

Una vez finalizada la emergencia, desactive la configuración para restaurar el tráfico de red normal.

Creación de reglas de salida

A continuación se indican algunas directrices generales para configurar las reglas de salida.

  • La configuración predeterminada de Bloqueado para reglas de salida se puede tener en cuenta para determinados entornos altamente seguros. Sin embargo, la configuración de la regla de entrada nunca debe cambiarse de forma que permita el tráfico de forma predeterminada.
  • Se recomienda permitir la salida de forma predeterminada para la mayoría de las implementaciones con el fin de simplificar las implementaciones de aplicaciones, a menos que la empresa prefiera controles de seguridad estrictos sobre la facilidad de uso.
  • En entornos de alta seguridad, el administrador o los administradores deben realizar y registrar un inventario de todas las aplicaciones de expansión empresarial. Los registros deben incluir si una aplicación usada requiere conectividad de red. Los administradores tendrán que crear nuevas reglas específicas para cada aplicación que necesite conectividad de red e insertar esas reglas de forma centralizada, a través de la directiva de grupo (GP), la Administración de dispositivos móvil (MDM) o ambas (para entornos híbridos o de administración conjunta).

Para las tareas relacionadas con la creación de reglas de salida, consulte Lista de comprobación: Creación de reglas de firewall de salida.

Documentar los cambios

Al crear una regla de entrada o salida, debe especificar detalles sobre la propia aplicación, el intervalo de puertos utilizado y notas importantes como la fecha de creación. Las reglas deben estar bien documentadas para facilitar su revisión tanto por usted como por otros administradores. Recomendamos encarecidamente tomarse el tiempo para facilitar el trabajo de revisión de las reglas de firewall en una fecha posterior. Y nunca cree agujeros innecesarios en el firewall.