11 mejores prácticas de cortafuegos de Windows

En esta guía, compartiré mis consejos y trucos para Windows Defender.

La mayoría de estas prácticas recomendadas están dirigidas a redes corporativas que usan directivas de grupo.

Estas son configuraciones que usé en el mundo real. Planearon cuidadosamente, realizaron muchas pruebas y aprobaciones. No hay dos redes u organizaciones iguales, por lo que es posible que esta configuración no funcione para usted. Le recomiendo encarecidamente que compruebe si hay cambios en el cortafuegos antes de ponerlos en producción. La implementación de todas estas configuraciones es un proceso que debería requerir un proceso de gestión de cambios en su empresa. Como mínimo, haz que tu jefe apruebe los cambios para cerrar tu propio trasero.

Índice

1. Gestión de cortafuegos central a través de políticas de grupo

Si tiene un entorno de Active Directory o Azure con ordenadors conectadas al dominio, debe administrar de manera centralizada la configuración de su firewall. No desea que los usuarios puedan administrar reglas o, peor aún, deshabilitar un firewall. Veo una ventana emergente de firewall con demasiada frecuencia y digo que algo está bloqueado y luego los usuarios simplemente hacen clic para agregar una regla. Esto puede ser un desastre y debilitar la seguridad de su terminal.

La administración central de firewall ayuda a garantizar que tenga las mismas reglas de firewall en todos los sistemas.

2. Cree una política básica de firewall

Me gusta crear una política básica de firewall que se pueda aplicar a todas las ordenadors o a una gran cantidad de ordenadors. Esto incluirá programas regulares que se instalarían en la mayoría de las ordenadors. Estos serán cosas como Microsoft Teams, Outlook, Java, programas de Office, Adobe, etc.

Creo una política básica separada para servidores y otras ordenadors de propósito especial que requieren reglas más estrictas. Por ejemplo, las ordenadors móviles en los autos de la policía recibirán una póliza básica separada.

Al crear una línea de base, solo permito lo que es necesario. Nuevamente, solo estoy buscando programas regulares que la mayoría de los usuarios usan. Elementos específicos, como la resolución de FTP o SMTP, se moverán a un GPO separado, que discutiré en la Junta №4.

3. Cree GPO separados para reglas específicas

Firewall de Windows permite ftp

Supongamos que implementa un firewall GPO básico y luego alguien necesita desbloquear FTP, ¿qué está haciendo? ¿Lo estás agregando a la línea de base? DE NINGUNA MANERA. Esto desbloqueará FTP para un gran grupo de usuarios y debilitará su seguridad.

Lo que estoy haciendo y lo estoy haciendo muy bien es crear un nuevo GPO que desbloqueará FTP (o lo que sea) y lo aplicará solo al grupo de seguridad. Esto funciona muy bien por dos razones. Primero, desbloquea FTP solo para un pequeño grupo de usuarios y lo mantiene bloqueado para todos los demás usuarios. En segundo lugar, con la ayuda de un grupo de seguridad, puede ver fácilmente qué usuarios o ordenadors tienen ciertas reglas abiertas.

¿Cómo aplicar GPO al grupo de seguridad?

Use la pestaña Delegación en el GPO para cambiar los permisos y permitir esto solo para el grupo. Deberá cambiar la directiva de grupo "Usuarios de confianza" a "Prohibir aplicar". Luego agregue un nuevo grupo y concédale permisos para leer y aplicar la Política de grupo. Asegúrese de verificar esto antes de desenrollarlo.

Esto ayuda a minimizar los GPO requeridos y permite que el firewall administre el 100 % de los GPO.

4. Deje las reglas de entrada y salida por defecto

Microsoft dice: "Estas configuraciones han sido diseñadas para proteger su dispositivo para su uso en la mayoría de los escenarios de red".

Estoy de acuerdo, ya que bloquea las conexiones entrantes no deseadas de forma predeterminada. Por basura me refiero a conexiones que no fueron iniciadas por su ordenador. Por ejemplo, si alguien intenta enviar un recurso compartido de administrador (c $) o RDP a su ordenador, se bloqueará. También bloqueará el movimiento lateral de herramientas de piratería y virus. ¡Una gran victoria!

Esto aún permite que su ordenador establezca las conexiones salientes que inicia su ordenador. Por ejemplo, si abre Chrome o Firefox, esto se permitirá usando estas reglas predeterminadas. Estas reglas predeterminadas facilitan la implementación de una configuración segura con menos problemas para los usuarios.

Si tiene requisitos estrictos y necesita controlar todo el tráfico entrante y saliente, no utilice la regla de permiso de salida predeterminada. Por ejemplo, si solo desea permitir que el puerto 443 envíe una salida a una dirección específica, no use estos valores predeterminados.

Es posible que como resultado obtenga una mezcla de GPO que usan valores predeterminados y otros que no. Tal vez su línea de base sea la predeterminada, pero luego hay ciertas ordenadors que bloquean todo de manera predeterminada. Cada organización es diferente y no existe un tamaño único para todas las reglas de firewall.

5. Habilite todos los perfiles de firewall

Firewall de Windows tiene tres perfiles: dominio, privado y público.

perfil de dominio: Este perfil se aplica a las redes donde el ordenador se puede autenticar en un controlador de dominio.

Perfil privado: Este perfil es un perfil definido por el usuario y se usa para redes privadas y domésticas.

Perfil público: Esto se usa cuando se conecta a redes públicas como Wi-Fi público.

Lo mejor es incluir los tres perfiles. Al crear nuevas reglas de firewall, puede establecer una regla en el grupo que funcione mejor (a veces los tres).

Por ejemplo, si crea una regla para permitir el acceso a un servidor FTP interno, no es necesario aplicarla a un perfil público. Si no aplica reglas muy estrictas y aplica esto a un perfil público, acaba de abrir conexiones FTP entrantes desde Internet (cuando está conectado a una red pública).

6. Deshabilitar la combinación de reglas

Deshabilitar la agregación de reglas significa que se ignoran las reglas de firewall locales. La configuración del firewall de punto final se guiará al 100 % por la directiva de grupo. Esto tiene beneficios.

Si no se gestiona al 100 % de forma centralizada, ¿cómo se puede mantener una posición de seguridad? No quiero que las aplicaciones o los usuarios creen sus propias reglas de firewall, solo abre agujeros en el firewall.

Si ha agregado reglas de firewall localmente en su ordenador y establece esta opción en "No", las reglas locales ya no se aplicarán.

7. Configuración de registro

Recomiendo habilitar el registro de paquetes de reinicio y aumentar el tamaño del archivo de registro. Hay momentos en que un firewall bloquea un programa legítimo y usted u otra persona deberá eliminarlo. Grabar conexiones bloqueadas hace que sea muy fácil determinar si un firewall está causando problemas de conexión.

El cortafuegos no tiene ningún problema con el archivo de registro.

Muchas veces, la ubicación predeterminada del archivo de registro no tiene permisos para escribir el archivo de registro. Supongo que es un error de Microsoft porque sucede a menudo. Para solucionar esto, el ordenador debe tener una cuenta mpssvc con permiso de escritura en el directorio c:windowssystem32logfiles.

Este es un ejemplo de un archivo de registro.

El tráfico bloqueado se registrará como una gota, mostrará la dirección IP y el protocolo de origen y destino. En este ejemplo, los paquetes ICMP están bloqueados.

8. Limite el alcance de las reglas de firewall

Al desbloquear un programa o servicio, restrinja el acceso a direcciones IP remotas o ordenadors autorizadas. Por ejemplo, si permite que el ordenador de Jim permita conexiones FTP, no permita FTP desde ninguna dirección IP. Puede limitar el alcance, por ejemplo, solo permitiré que el ordenador de Jim acepte conexiones FTP desde 192.168.100.20.

La regla de oro de los cortafuegos es permitir solo lo necesario. Permitir que el ordenador de Jim acepte conexiones FTP desde cualquier dirección remota es un riesgo de seguridad. Hay varias maneras de hacer esto. También recomendaría bloquear la regla para la aplicación, el número de puerto y la dirección remota.

Puede que esto no siempre sea posible, pero si puede bloquearlo tanto como sea posible.

9. Encienda el cortafuegos

Habilitar el cortafuegos de Windows

Me sorprende la cantidad de organizaciones que aún deshabilitan el Firewall de Windows o están mal configurados.

Firewall de Windows proporciona muchos beneficios de seguridad, que incluyen:

  • Supervisar las conexiones entrantes y salientes
  • Evite la propagación de virus y ransomware en su red
  • Prohibir a los usuarios generalizar carpetas e impresoras en sus equipos
  • Reducir las amenazas de red
  • Cifre la conexión de red en su red
  • Reduzca la velocidad del movimiento de los atacantes en su red
  • Bloquear puertos peligrosos por defecto

La mayoría de las organizaciones de seguridad como sans CEI y CISA recomendamos usar un firewall basado en host para reducir la actividad de red maliciosa.

Cuando salió Windows Firewall XP por primera vez, era tan malo que todos lo apagaron. Tenía capacidades limitadas y era difícil de configurar. Debido a todas las quejas, Microsoft ha realizado importantes mejoras y, desde entonces, ha sido un buen cortafuegos empresarial.

Desafortunadamente, todavía está ampliamente deshabilitado. Este es un gran error.

La mayoría de las organizaciones tienen un firewall de red y piensan que no necesitan un firewall de Windows. Esta es una práctica falsa y mala. La seguridad tiene que ver con las capas, cuantas más capas tenga, mejor estará protegido. Necesita un firewall de red en la configuración de su red y el firewall está habilitado en todos los puntos finales.

10. Convención sobre la denominación de las reglas de cortafuegos

Es probable que los puntos finales tengan todas las reglas predeterminadas si no ha aplicado una política para borrarlas. Las reglas de cortafuegos locales no funcionarán, pero seguirán mostrándose. Esto puede ser confuso y dificultar la búsqueda de las reglas que presenta a través de la directiva de grupo.

Me gusta comenzar el nombre de la regla de GPO con un guión bajo o con tres letras. Esto facilita encontrar mis reglas de firewall de GPO en un punto final local.

Por ejemplo, en la imagen de arriba las comencé con _GPO_, ahora cuando abro el firewall local, todas mis reglas de GPO están en la parte superior y son fáciles de encontrar.

Nuevamente, si deshabilita la combinación de reglas (sugerencia n.° 7), no se aplicarán todas las reglas de firewall de GPO. Esto no es un problema tan grande como crees usando el consejo n.º 5.

11. Configuración del documento y uso de comentarios de GPO

Documente la configuración de su firewall GPO y compártala con sus empleados. A menudo se culpa a los cortafuegos de todo, por lo que es útil que sus empleados sepan que están siguiendo las reglas de GPO. Incluso si lo saben, seguirán culpando al cortafuegos. Cuando esto sucede, les muestra los registros del firewall y demuestra que el firewall no está bloqueando nada.

La sección de comentarios en el GPO es útil y brinda a los administradores una forma rápida de averiguar para qué se utiliza el GPO.

Puede acceder al comentario haciendo clic con el botón derecho en GPO > Propiedades y luego haciendo clic en la pestaña Comentarios.

Ahora haga clic en la pestaña de comentarios.

Resumen

Los firewalls basados ​​en host son esenciales para la estrategia de seguridad de una organización. Para tener una buena seguridad, debe tener muchas capas de protección, y el Firewall de Windows agrega otra capa. Además es gratis.

Un gran beneficio del que no se habla a menudo es cómo los firewalls basados ​​en host pueden bloquear el tráfico lateral en su red. Esta es una táctica común utilizada por piratas informáticos y virus para piratear sistemas y toda la red. La implementación de estas mejores prácticas bloqueará este movimiento lateral y muchas otras conexiones no deseadas.

Si actualmente está deshabilitando un firewall o no lo administra de forma centralizada, le recomiendo que comience a buscar cambiar eso.

Artículos de interés

Subir