Configuración de reglas con directiva de grupo

• Se aplica a:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

En este artículo se incluyen ejemplos de cómo configurar reglas de Firewall de Windows mediante la consola firewall de Windows con seguridad avanzada .

Acceso al Firewall de Windows con la consola de Advanced Security

Si va a configurar dispositivos unidos a un dominio de Active Directory, para completar estos procedimientos debe ser miembro del grupo Administradores de dominio o tener permisos delegados para modificar los GPO en el dominio. Para acceder al Firewall de Windows con la consola de Seguridad avanzada, cree o edite un objeto de directiva de grupo (GPO) y expanda los nodosDirectivas>de configuración> del equipoConfiguración de Windows Configuración>de> seguridadFirewall de Windows con seguridad avanzada.

Si va a configurar un único dispositivo, debe tener derechos administrativos en el dispositivo. En cuyo caso, para acceder al Firewall de Windows con la consola de Seguridad avanzada , seleccione START, escriba wf.mscy presione ENTRAR.

Crear una regla ICMP entrante

Este tipo de regla permite que los dispositivos de la red reciban solicitudes y respuestas ICMP. Para crear una regla ICMP de entrada:

1. Abrir firewall de Windows con la consola de advanced security
2. En el panel de navegación, seleccione Reglas de entrada.
3. Seleccione Acción y, a continuación, seleccione Nueva regla.
4. En la página Tipo de regla del Asistente para nueva regla de entrada, seleccione Personalizado y, a continuación, seleccione Siguiente.
5. En la página Programa , seleccione Todos los programas y, a continuación, seleccione Siguiente.
6. En la página Protocolo y puertos , seleccione ICMPv4 o ICMPv6 en la lista Tipo de protocolo . Si usa IPv4 e IPv6 en la red, debe crear una regla ICMP independiente para cada una.
7. Seleccione Personalizar.
8. En el cuadro de diálogo Personalizar configuración icmp , realice una de las siguientes acciones:
   • Para permitir todo el tráfico de red ICMP, seleccione Todos los tipos ICMP y, a continuación, seleccione Aceptar.
   • Para seleccionar uno de los tipos ICMP predefinidos, seleccione Tipos ICMP específicos y, a continuación, seleccione cada tipo de la lista que desea permitir. Seleccione Aceptar.
   • Para seleccionar un tipo ICMP que no aparece en la lista, seleccione Tipos ICMP específicos, seleccione el número de tipo de la lista, seleccione el número de código de la lista, seleccione Agregar y, a continuación, seleccione la entrada recién creada de la lista. Seleccione Aceptar.
9. Seleccione Siguiente.
10. En la página Ámbito , puede especificar que la regla solo se aplica al tráfico de red hacia o desde las direcciones IP especificadas en esta página. Configure según corresponda para el diseño y, a continuación, seleccione Siguiente.
11. En la página Acción , seleccione Permitir la conexión y, a continuación, seleccione Siguiente.
12. En la página Perfil , seleccione los tipos de ubicación de red a los que se aplica esta regla y, a continuación, seleccione Siguiente.
13. En la página Nombre, escriba un nombre y una descripción para la regla y, a continuación, seleccione Finalizar.

Crear una regla de puerto de entrada

Este tipo de regla permite que cualquier programa que escuche en un puerto TCP o UDP especificado reciba el tráfico de red enviado a ese puerto. Para crear una regla de puerto de entrada:

1. Abrir firewall de Windows con la consola de advanced security
2. En el panel de navegación, seleccione Reglas de entrada.
3. Seleccione Acción y, a continuación, seleccione Nueva regla.
4. En la página Tipo de regla del Asistente para nueva regla de entrada, seleccione Personalizado y, a continuación, seleccione Siguiente.

   Nota

   Aunque puede crear reglas seleccionando Programa o Puerto, esas opciones limitan el número de páginas presentadas por el asistente. Si selecciona Personalizado, verá todas las páginas y tendrá la mayor flexibilidad para crear las reglas.

5. En la página Programa , seleccione Todos los programas y, a continuación, seleccione Siguiente.

   Nota

   Este tipo de regla suele combinarse con una regla de programa o servicio. Si combina los tipos de regla, obtiene una regla de firewall que limita el tráfico a un puerto especificado y permite el tráfico solo cuando se ejecuta el programa especificado. El programa especificado no puede recibir tráfico de red en otros puertos y otros programas no pueden recibir tráfico de red en el puerto especificado. Si decide hacerlo, siga los pasos descritos en el procedimiento Crear un programa de entrada o una regla de servicio , además de los pasos de este procedimiento para crear una sola regla que filtre el tráfico de red mediante criterios de programa y puerto.

6. En la página Protocolo y puertos , seleccione el tipo de protocolo que desea permitir. Para restringir la regla a un número de puerto especificado, debe seleccionar TCP o UDP. Dado que se trata de una regla entrante, normalmente solo se configura el número de puerto local Si selecciona otro protocolo, solo se permiten a través del firewall los paquetes cuyo campo de protocolo en el encabezado IP coincida con esta regla.
   Para seleccionar un protocolo por su número, seleccione Personalizado en la lista y escriba el número en el cuadro Número de protocolo .
   Cuando haya configurado los protocolos y puertos, seleccione Siguiente.
7. En la página Ámbito , puede especificar que la regla solo se aplica al tráfico de red hacia o desde las direcciones IP especificadas en esta página. Configure según corresponda para el diseño y, a continuación, seleccione Siguiente.
8. En la página Acción , seleccione Permitir la conexión y, a continuación, seleccione Siguiente.
9. En la página Perfil , seleccione los tipos de ubicación de red a los que se aplica esta regla y, a continuación, seleccione Siguiente.

   Nota

   Si este GPO está destinado a equipos de servidor que ejecutan Windows Server 2008 que nunca se mueven, considere la posibilidad de modificar las reglas para aplicarlas a todos los perfiles de tipo de ubicación de red. Esto evita un cambio inesperado en las reglas aplicadas si el tipo de ubicación de red cambia debido a la instalación de una nueva tarjeta de red o a la desconexión del cable de una tarjeta de red existente. Una tarjeta de red desconectada se asigna automáticamente al tipo de ubicación de red pública.

10. En la página Nombre, escriba un nombre y una descripción para la regla y, a continuación, seleccione Finalizar.

Crear una regla de puerto saliente

De forma predeterminada, Firewall de Windows permite todo el tráfico de red saliente, a menos que coincida con una regla que prohíba el tráfico. Este tipo de regla bloquea cualquier tráfico de red saliente que coincida con los números de puerto TCP o UDP especificados. Para crear una regla de puerto de salida:

1. Abrir firewall de Windows con la consola de advanced security
2. En el panel de navegación, seleccione Reglas de salida.
3. Seleccione Acción y, a continuación, seleccione Nueva regla.
4. En la página Tipo de regla del Asistente para nueva regla de salida, seleccione Personalizado y, a continuación, seleccione Siguiente.

   Nota

   Aunque puede crear reglas seleccionando Programa o Puerto, esas opciones limitan el número de páginas presentadas por el asistente. Si selecciona Personalizado, verá todas las páginas y tendrá la mayor flexibilidad para crear las reglas.

5. En la página Programa , seleccione Todos los programas y, a continuación, seleccione Siguiente.
6. En la página Protocolo y puertos , seleccione el tipo de protocolo que desea bloquear. Para restringir la regla a un número de puerto especificado, debe seleccionar TCP o UDP. Dado que esta regla es una regla de salida, normalmente solo se configura el número de puerto remoto Si selecciona otro protocolo, Windows Defender Firewall bloquea solo los paquetes cuyo campo de protocolo en el encabezado IP coincide con esta regla. El tráfico de red de los protocolos se permite siempre que otras reglas que coincidan no lo bloqueen. Para seleccionar un protocolo por su número, seleccione Personalizado en la lista y escriba el número en el cuadro Número de protocolo . Cuando haya configurado los protocolos y puertos, seleccione Siguiente.
7. En la página Ámbito , puede especificar que la regla solo se aplica al tráfico de red hacia o desde las direcciones IP especificadas en esta página. Configure según corresponda para el diseño y, a continuación, seleccione Siguiente.
8. En la página Acción , seleccione Bloquear la conexión y, a continuación, seleccione Siguiente.
9. En la página Perfil , seleccione los tipos de ubicación de red a los que se aplica esta regla y, a continuación, seleccione Siguiente.
10. En la página Nombre, escriba un nombre y una descripción para la regla y, a continuación, seleccione Finalizar.

Crear una regla de servicio o programa entrante

Este tipo de regla permite al programa escuchar y recibir tráfico de red entrante en cualquier puerto.

Nota

Este tipo de regla suele combinarse con una regla de programa o servicio. Si combina los tipos de regla, obtiene una regla de firewall que limita el tráfico a un puerto especificado y permite el tráfico solo cuando se ejecuta el programa especificado. El programa no puede recibir tráfico de red en otros puertos y otros programas no pueden recibir tráfico de red en el puerto especificado. Para combinar los tipos de regla de puerto y programa en una sola regla, siga los pasos del procedimiento Crear una regla de puerto de entrada , además de los pasos de este procedimiento.

Para crear una regla de firewall de entrada para un programa o servicio:

1. Abrir firewall de Windows con la consola de advanced security

2. En el panel de navegación, seleccione Reglas de entrada.

3. Seleccione Acción y, a continuación, seleccione Nueva regla.

4. En la página Tipo de regla del Asistente para nueva regla de entrada, seleccione Personalizado y, a continuación, seleccione Siguiente.

   Nota

   Información que el usuario debe observar incluso si se puede crear reglas seleccionando Programa o Puerto, esas opciones limitan el número de páginas presentadas por el asistente. Si selecciona Personalizado, verá todas las páginas y tendrá la mayor flexibilidad para crear las reglas.

5. En la página Programa, seleccione Esta ruta de acceso del programa.

6. Escriba la ruta de acceso al programa en el cuadro de texto. Use variables de entorno, cuando corresponda, para asegurarse de que los programas instalados en diferentes ubicaciones en distintos equipos funcionan correctamente.

7. Realiza una de las siguientes acciones:

   • Si el archivo ejecutable contiene un solo programa, seleccione Siguiente.
   • Si el archivo ejecutable es un contenedor para varios servicios que deben tener permiso para recibir tráfico de red entrante, seleccione Personalizar, seleccione Aplicar solo a servicios, Aceptar y, a continuación, seleccione Siguiente.
   • Si el archivo ejecutable es un contenedor para un único servicio o contiene varios servicios, pero la regla solo se aplica a uno de ellos, seleccione Personalizar, aplicar a este servicio y, a continuación, seleccione el servicio en la lista. Si el servicio no aparece en la lista, seleccione Aplicar al servicio con este nombre corto de servicio y, a continuación, escriba el nombre corto del servicio en el cuadro de texto. Seleccione Aceptar y, a continuación, seleccione Siguiente.

   Importante

   Para usar las opciones Aplicar a este servicio o Aplicar al servicio con este nombre corto de servicio , el servicio debe configurarse con un identificador de seguridad (SID) con un tipo de RESTRICTED o UNRESTRICTED. Para comprobar el tipo de SID de un servicio, ejecute el siguiente comando: sc qsidtype <ServiceName>

   Si el resultado es NONE, no se puede aplicar una regla de firewall a ese servicio.

   Para establecer un tipo de SID en un servicio, ejecute el siguiente comando: sc sidtype <ServiceName> <Type>

   En el comando anterior, el valor de <Type> puede ser UNRESTRICTED o RESTRICTED. Aunque el comando también permite el valor de NONE, esa configuración significa que el servicio no se puede usar en una regla de firewall como se describe aquí. De forma predeterminada, la mayoría de los servicios de Windows están configurados como UNRESTRICTED. Si cambia el tipo de SID a RESTRICTED, es posible que el servicio no se inicie. Se recomienda cambiar el tipo de SID solo en los servicios que desea usar en las reglas de firewall y que cambie el tipo de SID a UNRESTRICTED.

8. Se recomienda restringir la regla de firewall del programa solo a los puertos que necesita para funcionar. En la página Protocolos y puertos , puede especificar los números de puerto para el tráfico permitido. Si el programa intenta escuchar en un puerto distinto del especificado aquí, se bloquea. Para obtener más información sobre las opciones de protocolo y puerto, vea Crear una regla de puerto de entrada. Después de configurar las opciones de protocolo y puerto, seleccione Siguiente.

9. En la página Ámbito , puede especificar que la regla solo se aplica al tráfico de red hacia o desde las direcciones IP especificadas en esta página. Configure según corresponda para el diseño y, a continuación, seleccione Siguiente.

10. En la página Acción , seleccione Permitir la conexión y, a continuación, seleccione Siguiente.

11. En la página Perfil , seleccione los tipos de ubicación de red a los que se aplica esta regla y, a continuación, seleccione Siguiente.

12. En la página Nombre, escriba un nombre y una descripción para la regla y, a continuación, seleccione Finalizar.

Crear una regla de servicio o programa saliente

De forma predeterminada, Windows Defender Firewall permite todo el tráfico de red saliente a menos que coincida con una regla que prohíba el tráfico. Este tipo de regla impide que el programa envíe tráfico de red saliente en cualquier puerto. Para crear una regla de firewall de salida para un programa o servicio:

1. Abrir firewall de Windows con la consola de advanced security
2. En el panel de navegación, seleccione Reglas de salida.
3. Seleccione Acción y, a continuación, seleccione Nueva regla.
4. En la página Tipo de regla del Asistente para nueva regla de salida, seleccione Personalizado y, a continuación, seleccione Siguiente.

   Nota

   Aunque puede crear muchas reglas seleccionando Programa o Puerto, esas opciones limitan el número de páginas presentadas por el asistente. Si selecciona Personalizado, verá todas las páginas y tendrá la mayor flexibilidad para crear las reglas.

5. En la página Programa, seleccione Esta ruta de acceso del programa.
6. Escriba la ruta de acceso al programa en el cuadro de texto. Use las variables de entorno según corresponda para asegurarse de que los programas instalados en diferentes ubicaciones en distintos equipos funcionan correctamente
7. Realiza una de las siguientes acciones:
   • Si el archivo ejecutable contiene un solo programa, seleccione Siguiente.
   • Si el archivo ejecutable es un contenedor para varios servicios que deben bloquearse al enviar tráfico de red saliente, seleccione Personalizar, seleccione Aplicar solo a servicios, Aceptar y, a continuación, Seleccione Siguiente.
   • Si el archivo ejecutable es un contenedor para un único servicio o contiene varios servicios, pero la regla solo se aplica a uno de ellos, seleccione Personalizar, aplicar a este servicio y, a continuación, seleccione el servicio en la lista. Si el servicio no aparece en la lista, seleccione Aplicar al servicio con este nombre corto de servicio y escriba el nombre corto del servicio en el cuadro de texto. Seleccione Aceptar y, a continuación, seleccione Siguiente.
8. Si desea que el programa pueda enviarse en algunos puertos, pero que se bloquee el envío en otros, puede restringir la regla de firewall para bloquear solo los puertos o protocolos especificados. En la página Protocolos y puertos , puede especificar los números de puerto o los números de protocolo para el tráfico bloqueado. Si el programa intenta enviar a o desde un número de puerto diferente del especificado aquí, o mediante un número de protocolo diferente del especificado aquí, el comportamiento predeterminado del firewall de salida permite el tráfico. Para obtener más información sobre las opciones de protocolo y puerto, consulte Creación de una regla de puerto de salida. Cuando haya configurado las opciones de protocolo y puerto, seleccione Siguiente.
9. En la página Ámbito , puede especificar que la regla solo se aplica al tráfico de red hacia o desde las direcciones IP especificadas en esta página. Configure según corresponda para el diseño y, a continuación, seleccione Siguiente.
10. En la página Acción , seleccione Bloquear la conexión y, a continuación, seleccione Siguiente.
11. En la página Perfil , seleccione los tipos de ubicación de red a los que se aplica esta regla y, a continuación, seleccione Siguiente.
12. En la página Nombre, escriba un nombre y una descripción para la regla y, a continuación, seleccione Finalizar.

Crear reglas de entrada para admitir RPC

Para permitir el tráfico de red de llamada a procedimiento remoto (RPC) entrante, debe crear dos reglas de firewall:

• la primera regla permite paquetes de red entrantes en el puerto TCP 135 al servicio asignador de puntos de conexión RPC. El tráfico entrante consta de solicitudes para comunicarse con un servicio de red especificado. El asignador de puntos de conexión RPC responde con un número de puerto asignado dinámicamente que el cliente debe usar para comunicarse con el servicio.
• la segunda regla permite el tráfico de red que se envía al número de puerto asignado dinámicamente

El uso de las dos reglas configuradas como se describe en este tema ayuda a proteger el dispositivo al permitir el tráfico de red solo de los dispositivos que han recibido el redireccionamiento dinámico de puertos RPC y solo a los números de puerto TCP asignados por el asignador de puntos de conexión RPC.

Servicio asignador de puntos de conexión RPC

1. Abrir firewall de Windows con la consola de advanced security
2. En el panel de navegación, seleccione Reglas de entrada.
3. Seleccione Acción y, a continuación, seleccione Nueva regla.
4. En la página Tipo de regla del Asistente para nueva regla de entrada, seleccione Personalizado y, a continuación, seleccione Siguiente.
5. En la página Programa , seleccione Esta ruta de acceso del programa y escriba %systemroot%\system32\svchost.exe
6. Seleccione Personalizar.
7. En el cuadro de diálogo Personalizar configuración de servicio, seleccione Aplicar a este servicio, seleccione Llamada a procedimiento remoto (RPC) con un nombre corto de RpcS, seleccione Aceptar y, a continuación, seleccione Siguiente.
8. En la advertencia sobre las reglas de protección de servicios de Windows, seleccione Sí.
9. En el cuadro de diálogo Protocolo y puertos, en Tipo de protocolo, seleccione TCP.
10. En Puerto local, seleccione Asignador de puntos de conexión RPC y, a continuación, seleccione Siguiente.
11. En la página Ámbito , puede especificar que la regla solo se aplica al tráfico de red hacia o desde las direcciones IP especificadas en esta página. Configure según corresponda para el diseño y, a continuación, seleccione Siguiente.
12. En la página Acción , seleccione Permitir la conexión y, a continuación, seleccione Siguiente.
13. En la página Perfil , seleccione los tipos de ubicación de red a los que se aplica esta regla y, a continuación, seleccione Siguiente.
14. En la página Nombre, escriba un nombre y una descripción para la regla y, a continuación, seleccione Finalizar.

Servicios de red habilitados para RPC

1. En el mismo GPO que editó en el procedimiento anterior, seleccione Acción y, a continuación, seleccione Nueva regla.
2. En la página Tipo de regla del Asistente para nueva regla de entrada, seleccione Personalizado y, a continuación, seleccione Siguiente.
3. En la página Programa , seleccione Esta ruta de acceso del programa y escriba la ruta de acceso al archivo ejecutable que hospeda el servicio de red. Seleccione Personalizar.
4. En el cuadro de diálogo Personalizar configuración del servicio, seleccione Aplicar a este servicio y, a continuación, seleccione el servicio que desea permitir. Si el servicio no aparece en la lista, seleccione Aplicar al servicio con este nombre corto de servicio y, a continuación, escriba el nombre corto del servicio en el cuadro de texto.
5. Seleccione Aceptar y, a continuación, seleccione Siguiente.
6. En el cuadro de diálogo Protocolo y puertos, en Tipo de protocolo, seleccione TCP.
7. En Puerto local, seleccione Puertos dinámicos RPC y, a continuación, seleccione Siguiente.
8. En la página Ámbito , puede especificar que la regla solo se aplica al tráfico de red hacia o desde las direcciones IP especificadas en esta página. Configure según corresponda para el diseño y, a continuación, seleccione Siguiente.
9. En la página Acción , seleccione Permitir la conexión y, a continuación, seleccione Siguiente.
10. En la página Perfil , seleccione los tipos de ubicación de red a los que se aplica esta regla y, a continuación, seleccione Siguiente.
11. En la página Nombre, escriba un nombre y una descripción para la regla y, a continuación, seleccione Finalizar.