Configuración del registro de Firewall de Windows

• Se aplica a:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Para configurar firewall de Windows para registrar paquetes eliminados o conexiones correctas, puede usar:

• Proveedor de servicios de configuración (CSP), mediante una solución MDM como Microsoft Intune
• Directiva de grupo (GPO)

Las instrucciones siguientes proporcionan detalles sobre cómo configurar los dispositivos. Seleccione la opción que mejor se adapte a sus necesidades.

Intune/CSP

1. Inicie sesión en el centro de administración de Microsoft Intune
2. Vaya aFirewall> de seguridad > de punto de conexiónCrear directiva> Windows 10, Windows 11 yCreaciónde Firewall> de Windows De Windows Server>
3. Escriba un nombre y, opcionalmente, una descripción >Siguiente
4. En Configuración, para cada tipo de ubicación de red (Dominio, Privado, Público), configure:
   • Ruta de acceso del archivo de registro
   • Habilitación de paquetes eliminados del registro
   • Habilitación de conexiones correctas de registro
   • Tamaño máximo de archivo de registro
5. Seleccione Siguiente siguiente>
6. Asignar la directiva a un grupo que contiene como miembros los dispositivos o usuarios que desea configurar >next>create

Sugerencia

Si lo prefiere, también puede usar una directiva de catálogo configuración para configurar el registro de Firewall de Windows.

Como alternativa, puede configurar dispositivos mediante una directiva personalizada con el CSP de firewall.

Perfil de red	Configuración
Dominio	Nombre de configuración: EnableLogDroppedPackets OMA-URI: ./Vendor/MSFT/Firewall/MdmStore/DomainProfile/EnableLogDroppedPackets
Dominio	Nombre de configuración: LogFilePath OMA-URI: ./Vendor/MSFT/Firewall/MdmStore/DomainProfile/LogFilePath
Dominio	Nombre de configuración: EnableLogSuccessConnections OMA-URI: ./Vendor/MSFT/Firewall/MdmStore/DomainProfile/EnableLogSuccessConnections
Dominio	Nombre de configuración: LogMaxFileSize OMA-URI: ./Vendor/MSFT/Firewall/MdmStore/DomainProfile/LogMaxFileSize
Private	Nombre de configuración: EnableLogDroppedPackets OMA-URI: ./Vendor/MSFT/Firewall/MdmStore/PrivateProfile/EnableLogDroppedPackets
Private	Nombre de configuración: LogFilePath OMA-URI: ./Vendor/MSFT/Firewall/MdmStore/PrivateProfile/LogFilePath
Private	Nombre de configuración: EnableLogSuccessConnections OMA-URI: ./Vendor/MSFT/Firewall/MdmStore/PrivateProfile/EnableLogSuccessConnections
Private	Nombre de configuración: LogMaxFileSize OMA-URI: ./Vendor/MSFT/Firewall/MdmStore/PrivateProfile/LogMaxFileSize
Public	Nombre de configuración: EnableLogDroppedPackets OMA-URI: ./Vendor/MSFT/Firewall/MdmStore/PublicProfile/EnableLogDroppedPackets
Public	Nombre de configuración: LogFilePath OMA-URI: ./Vendor/MSFT/Firewall/MdmStore/PublicProfile/LogFilePath
Public	Nombre de configuración: EnableLogSuccessConnections OMA-URI: ./Vendor/MSFT/Firewall/MdmStore/PublicProfile/EnableLogSuccessConnections
Public	Nombre de configuración: LogMaxFileSize OMA-URI: ./Vendor/MSFT/Firewall/MdmStore/PublicProfile/LogMaxFileSize

GPO

Para configurar un dispositivo con directiva de grupo, use la directiva de grupo Editor Local. Para configurar varios dispositivos unidos a Active Directory, cree o edite un objeto de directiva de grupo (GPO) y use la siguiente configuración:

1. Expanda los nodosDirectivas>de configuración> del equipoConfiguración de Windows Configuración>de> seguridadFirewall de Windows con seguridad avanzada
2. En el panel de detalles, en la sección Información general, seleccione Windows Defender Propiedades del firewall.
3. Para cada tipo de ubicación de red (dominio, privado, público), siga estos pasos.
   1. Seleccione la pestaña correspondiente al tipo de ubicación de red.
   2. En Registro, seleccione Personalizar.
   3. La ruta de acceso predeterminada para el registro es %windir%\system32\logfiles\firewall\pfirewall.log. Si desea cambiar esta ruta de acceso, desactive la casilla No configurado y escriba la ruta de acceso a la nueva ubicación, o bien seleccione Examinar para seleccionar una ubicación de archivo.
4. El tamaño máximo predeterminado del archivo para el registro es de 4096 kilobytes (KB). Si desea cambiar este tamaño, desactive la casilla No configurado y escriba el nuevo tamaño en KB o use las flechas arriba y abajo para seleccionar un tamaño. El archivo no crecerá más allá de este tamaño; Cuando se alcanza el límite, se eliminan las entradas de registro antiguas para dejar espacio a las recién creadas.
5. No se produce ningún registro hasta que se establece una de las dos opciones siguientes:
   • Para crear una entrada de registro cuando Windows Defender Firewall quita un paquete de red entrante, cambie Registro de paquetes eliminados a Sí
   • Para crear una entrada de registro cuando Windows Defender Firewall permite una conexión entrante, cambie Log successful connections (Registro de conexiones correctas) a Sí.
6. Seleccione Aceptar dos veces

Las directivas de grupo se pueden vincular a dominios o unidades organizativas, filtrarse mediante grupos de seguridad o filtrarse mediante filtros WMI.

Importante

La ubicación que especifique debe tener asignados permisos que permitan al servicio Firewall de Windows escribir en el archivo de registro.

Recomendaciones

Estas son algunas recomendaciones para configurar el registro de Firewall de Windows:

• Cambie el tamaño del registro a al menos 20 480 KB (20 MB) para asegurarse de que el archivo de registro no se llene demasiado rápido. El tamaño máximo del registro es de 32 767 KB (32 MB)
• Para cada perfil (dominio, privado y público) cambie el nombre de archivo de registro predeterminado de %windir%\system32\logfiles\firewall\pfirewall.log a:
  • %windir%\system32\logfiles\firewall\pfirewall_Domain.log
  • %windir%\system32\logfiles\firewall\pfirewall_Private.log
  • %windir%\system32\logfiles\firewall\pfirewall_Public.log
• Registro de paquetes eliminados en Sí
• Registro de conexiones correctas a Sí

En un único sistema, puede usar los siguientes comandos para configurar el registro:

netsh advfirewall>set allprofiles logging allowedconnections enable
netsh advfirewall>set allprofiles logging droppedconnections enable

Métodos de análisis

Hay varios métodos para analizar los archivos de registro de Firewall de Windows. Por ejemplo:

• Habilitar el reenvío de eventos de Windows (WEF) a un recopilador de eventos de Windows (WEC). Para más información, consulte Uso del reenvío de eventos de Windows para ayudar con la detección de intrusiones.
• Reenvíe los registros al producto SIEM, como nuestro Azure Sentinel. Para más información, consulte Conector de Firewall de Windows para Microsoft Sentinel.
• Reenvíe los registros a Azure Monitor y use KQL para analizar los datos. Para más información, consulte Agente de Azure Monitor en dispositivos cliente Windows.

Sugerencia

Si los registros tardan en aparecer en la solución SIEM, puede reducir el tamaño del archivo de registro. Tenga en cuenta que la reducción de tamaño da lugar a un mayor uso de recursos debido al aumento de la rotación de registros.

Solución de problemas si el archivo de registro no se crea ni modifica

A veces no se crean los archivos de registro de Firewall de Windows o los eventos no se escriben en los archivos de registro. Algunos ejemplos en los que se puede producir esta condición son:

• Faltan permisos para Windows Defender Firewall Service (mpssvc) en la carpeta o en los archivos de registro.
• Quiere almacenar los archivos de registro en otra carpeta y faltan los permisos, o no se establecen automáticamente.
• si el registro de firewall está configurado a través de la configuración de directiva, puede ocurrir que
  • la carpeta de registro en la ubicación %windir%\System32\LogFiles\firewall predeterminada no existe
  • la carpeta de registro en una ruta de acceso personalizada no existe

En ambos casos, debe crear la carpeta manualmente o mediante script y agregar los permisos para mpssvc.

New-Item -ItemType Directory -Path $env:windir\System32\LogFiles\Firewall

Compruebe si mpssvc tiene FullControl en la carpeta y los archivos. Desde una sesión de PowerShell con privilegios elevados, use los siguientes comandos para asegurarse de usar la ruta de acceso correcta:

$LogPath = Join-Path -path $env:windir -ChildPath "System32\LogFiles\Firewall"
(Get-ACL -Path $LogPath).Access | Format-Table IdentityReference,FileSystemRights,AccessControlType,IsInherited,InheritanceFlags -AutoSize

La salida debe mostrar NT SERVICE\mpssvc que tiene FullControl:

IdentityReference      FileSystemRights AccessControlType IsInherited InheritanceFlags
-----------------      ---------------- ----------------- ----------- ----------------
NT AUTHORITY\SYSTEM         FullControl             Allow       False    ObjectInherit
BUILTIN\Administrators      FullControl             Allow       False    ObjectInherit
NT SERVICE\mpssvc           FullControl             Allow       False    ObjectInherit

Si no es así, agregue permisos FullControl para mpssvc a la carpeta, subcarpetas y archivos. Asegúrese de usar la ruta de acceso correcta.

$LogPath = Join-Path -path $env:windir -ChildPath "System32\LogFiles\Firewall"
$NewAcl = Get-Acl -Path $LogPath 

$identity = "NT SERVICE\mpssvc"
$fileSystemRights = "FullControl"
$inheritanceFlags = "ContainerInherit,ObjectInherit"
$propagationFlags = "None"
$type = "Allow"

$fileSystemAccessRuleArgumentList = $identity, $fileSystemRights, $inheritanceFlags, $propagationFlags, $type
$fileSystemAccessRule = New-Object -TypeName System.Security.AccessControl.FileSystemAccessRule -ArgumentList $fileSystemAccessRuleArgumentList

$NewAcl.SetAccessRule($fileSystemAccessRule)
Set-Acl -Path $LogPath -AclObject $NewAcl

Reinicie el dispositivo para reiniciar el servicio firewall de Windows Defender.