none
CONFIURAR FIREWALL POR GPO RRS feed

  • Pregunta

  • Hola, llevo varios dias intentando establecer una directiva de Grupo, para configurar el Firewall, pero no se me establece correctamnte, querria agregar varias reglas, pero no se me aplican al equipo, donde se deben poner?

    Las pongo aqui: Configuracion de equipo> Directivas> Plantillas Administrativas> Red > Conexiones > Firewall > Perfil de Dominio

                            Configuracion de equipo> Directivas> Configuracion de Windows > Configuracion de Seguridad>> Firewall > Firewall > Reglas de entrada

     

    En un equipo local, me doy cuenta de que en el partado de Firewal sale "SUPERVISIÓN" qu es exactamnte?

    gracias de antemano.

     

     


    JAIME Usando Win Server 2008 con Windows 7
    lunes, 10 de octubre de 2011 8:33

Respuestas

  • Hola Jaime,

    Creo que hay que aclarar algunos conceptos ;-)

    En primer lugar las GPOs las puedes configurar (para que toquen directivas) a nivel de USUARIO, COMPUTER o de ambos. Cuando editas o creas una directiva de seguridad, la configuras con los valores que crees oportunos, dentro de cada directiva está la parte que toca directivas a NIVEL DE COMPUTER y la parte que toca directivas a NIVEL DE USUARIO.

    Por lo tanto, primer punto a tener en cuenta es ... queremos que el firewall o una configuración especial se aplique sobre ciertas máquinas o sobre ciertos usuarios?? O sobre ambos.  En tu primer post habías definido las directivas de firewall en CONFIGURACION DE EQUIPO, por lo tanto esa parte solo afecta a EQUIPOS, y para que funcione has de enlazar esa directiva sobre una OU que contenga los equipos a los que quieres aplicar esa GPO.

     

    Ahora has comentado que quieres aplicar la directiva sobre los EDITORES? que son usuarios, en ese caso deberías configurar los valores de firewall en la parte de CONFIGURACION DE USUARIO dentro de la GPO, y enlazar la GPO sobre la OU EDITORES.

     

    Si una GPO la quieres aplicar sobre EQUIPOS, dentro de la GPO tienes que configurar la directiva en CONFIGURACION DE MAQUINA y dentro las directivas oportunas y enlazarla a una OU que contenga dichas máquinas (o hacer algún filtro), si la quieres aplicar sobre USUARIOS, pues ya sabes CONFIGURACION DE USUARIO tocas las directivas oportunas, la enlazas sobre la OU que contenga los usuarios a los que quieres aplicar esa configuración.

     


     Salu2!, Dani Gracia - Madrid España

    MCSA/MCSE 2003 Security
    MAP: Microsoft Active Professional (2010/2011)
    MCC Microsoft Community Contributor 2011

    viernes, 14 de octubre de 2011 10:16

Todas las respuestas

  • Hola, los equipos clientes a los que no se aplica la configuración que sistema operativo tienen?

    Comprobaste por ejemplo con GPRESULT (desde un equipo a los que quieres aplicar dcha GPO) que se llega a procesar esa GPO?

    Verás que hay una parte de políticas de equipo y de usuario, en tu caso mira en las procesadas de equipo.

     

    Es importante saber si la GPO se aplica, pero por la razón qeu sea no configura el FIrewall, o por lo contrario no se está aplicando ni tan siquiera la GPO.


    Salu2!, Dani Gracia - Madrid España

    MCSA/MCSE 2003 Security
    MCITP: Enterprise Administrator (Windows Server 2008)
    MCTS: System Center Operations Manager 2005
    MAP: Microsoft Active Professional (2010/2011)
    MCC Microsoft Community Contributor 2011

    lunes, 10 de octubre de 2011 19:45
  • Hola, como especifico en la firma, para que no pregunteis mas, que siempre preguntais, estoy usando Win Server 2008 con Windows 7.

     

    Se que la directiva no se me aplica, porque despues de hacer un GPRESULT me sale esto:

     

    RSOP datos para DOM01PRE\jaime en WIN7-VIRTUAL-PC : modo de inicio de sesión
    -----------------------------------------------------------------------------
     
    Configuración del sistema operativo: Estación de trabajo miembro
    Versión del sistema operativo:       6.1.7600
    Nombre de sitio:                   n/a
    Perfil móvil:             n/a
    Perfil local:                        C:\Users\jaime
    ¿Conectado a un vínculo de baja velocidad?: No
     
     
    CONFIGURACIÓN DE USUARIO
    -------------------------
        CN=jaime,OU=Pruebas,DC=dom01pre,DC=local
        Última vez que se aplicó la Directiva de grupo: 11/10/2011 a las 7:56:37
        Directivas de grupo aplicadas desde XX.XX.local
        Umbral del vínculo de baja velocidad de las Directivas de grupo:500 kbps
        Nombre de dominio:                  XXX
        Tipo de dominio:                     Windows 2000
     
        Objetos de directiva de grupo aplicados
        ----------------------------------------
            n/a
     
        Los objetos GPO siguientes no se aplicaron porque fueron filtrados
        -------------------------------------------------------------------
            Prueba_1
                Filtrar:  No aplicado (vacío)
     
            Directiva de grupo local
                Filtrar:  No aplicado (vacío)
     
        El usuario es parte de los siguientes Grupos de seguridad
        ---------------------------------------------------------
            Usuarios del dominio
            Todos
            Usuarios
            Usuarios de escritorio remoto
            Inicio de sesión remoto interactivo
            NT AUTHORITY\INTERACTIVE
            Usuarios autentificados
            Esta compañía
            LOCAL
            pruebas
            Nivel obligatorio medio

     

    De la configuracion del Equipo no me dice absolutamente nada; en el dominio teno que habilitar algo?

     

    Querria establecer ciertas reglas para el firewall, permitir ciertos programas, instalar el AVG Admin Remote Console, que instala el AVG, pero hay que abrir ciertos puertos, me pueden echar una mano??

     

    Gracias de antemano


    JAIME Usando Win Server 2008 con Windows 7
    • Editado JAIME.13 martes, 11 de octubre de 2011 6:09
    martes, 11 de octubre de 2011 6:01
  • La configuración que comentabas en el primer post, era referente a Configuracion de equipo, por lo tanto se aplica sobre máquinas.

    La GPO las has enlazado a una OU que contiene la máquina sobre la cual quieres configurar el firewall?


    Salu2!, Dani Gracia - Madrid España

    MCSA/MCSE 2003 Security
    MCITP: Enterprise Administrator (Windows Server 2008)
    MCTS: System Center Operations Manager 2005
    MAP: Microsoft Active Professional (2010/2011)
    MCC Microsoft Community Contributor 2011

    martes, 11 de octubre de 2011 7:43
  • Hola, al final conseguí que se aplicara, fallaba eso, que no habia movida las maquinas a la OU a la que queria configurar el firewall, pero al mover la máquina, me sale el error:

    Error en la relacion de confianza entre usuario y la estacion de trabajo.

     

    como hay que organizar los equipo?

     

      - Librerias

              - Escritores

               - Editores

               -PC editores

                -PC escritores

     

    La tengo asi, en Pc Editores meto la directiva de firewall y en editores los usuarios que son editores que a su vez serán los que necesiten configurar el firewall,

     

    alguien me podria echar una mano? decirme como tengo que crear los grupos y demas??

    un saludo

     

    gracias


    JAIME Usando Win Server 2008 con Windows 7
    viernes, 14 de octubre de 2011 9:58
  • Hola Jaime,

    Creo que hay que aclarar algunos conceptos ;-)

    En primer lugar las GPOs las puedes configurar (para que toquen directivas) a nivel de USUARIO, COMPUTER o de ambos. Cuando editas o creas una directiva de seguridad, la configuras con los valores que crees oportunos, dentro de cada directiva está la parte que toca directivas a NIVEL DE COMPUTER y la parte que toca directivas a NIVEL DE USUARIO.

    Por lo tanto, primer punto a tener en cuenta es ... queremos que el firewall o una configuración especial se aplique sobre ciertas máquinas o sobre ciertos usuarios?? O sobre ambos.  En tu primer post habías definido las directivas de firewall en CONFIGURACION DE EQUIPO, por lo tanto esa parte solo afecta a EQUIPOS, y para que funcione has de enlazar esa directiva sobre una OU que contenga los equipos a los que quieres aplicar esa GPO.

     

    Ahora has comentado que quieres aplicar la directiva sobre los EDITORES? que son usuarios, en ese caso deberías configurar los valores de firewall en la parte de CONFIGURACION DE USUARIO dentro de la GPO, y enlazar la GPO sobre la OU EDITORES.

     

    Si una GPO la quieres aplicar sobre EQUIPOS, dentro de la GPO tienes que configurar la directiva en CONFIGURACION DE MAQUINA y dentro las directivas oportunas y enlazarla a una OU que contenga dichas máquinas (o hacer algún filtro), si la quieres aplicar sobre USUARIOS, pues ya sabes CONFIGURACION DE USUARIO tocas las directivas oportunas, la enlazas sobre la OU que contenga los usuarios a los que quieres aplicar esa configuración.

     


     Salu2!, Dani Gracia - Madrid España

    MCSA/MCSE 2003 Security
    MAP: Microsoft Active Professional (2010/2011)
    MCC Microsoft Community Contributor 2011

    viernes, 14 de octubre de 2011 10:16
  • Gracias por la respuesta, pero...

    A la hora de agregar las reglas del firewall en configuración del usuario, como me indicas que haga, no esta disponible la opción de firewall en la configuración del usuario, entonces la meto en la configuración del equipo, pero ésta no se me aplica. (estuve buscando y debía mover los equipos a la ou que se aplica la directiva, al hacerlo así, la primera vez que entra un usuario del dominio, se aplica todo correctamente, pero a la segunda vez que se conecta un usuario, me da el error de relación de confianza)

     

    No se si tengo que meter los usuarios y los equipos en un mismo grupo, o en una misma OU, o ninguna, he probado con las dos y no es correcto.

     

    como se debe hacer?


    JAIME Usando Win Server 2008 con Windows 7
    viernes, 14 de octubre de 2011 10:28
  • Hola de nuevo,

    Si la GPO es de Configuracion de máquina solo aplica sobre máquinas, entonces lo estás haciendo bien.

    Esa estación de trabajo ha sido clonada?

    Si ha sido clonada quizás tengas duplicado ese SID.

    El error de relación de confianza que te muestra, nos puedes dar más información al respecto, mira en el visor de eventos del cliente.

     


    Salu2!, Dani Gracia - Madrid España

    MCSA/MCSE 2003 Security
    MAP: Microsoft Active Professional (2010/2011)
    MCC Microsoft Community Contributor 2011
    viernes, 14 de octubre de 2011 10:45
  • no, es amáquina no ha sido clonada, es una maquina virtual instalada nada mas que para esto.

    que es lo que hace falta del visor de eventos para saber más?

    como se puede ver el sid de la maquina?

     

    gracias de antemano


    JAIME Usando Win Server 2008 con Windows 7
    viernes, 14 de octubre de 2011 10:51
  • Vale, entonces es una máquina que has instalado para realizar est etipo de pruebas, eso está bien.

    La has unido al dominio y la has movido a la OU PC Editores, sobre la OU PC Editores has aplicado la GPO que configura el firewall.

     

    Dices que con el primer usuario que conectas a esa máquina si te carga el firewall o mejor dicho la configuración a través de la GPO, cuando hagas logon con el primer usuario ejecuta de nuevo GPRESULT, en la parte de políticas de equipo te tiene que mostrar la GPO del firewall.

    Luego con el siguiente usuario que haces logon, dices que ya no funciona o carga la GPO del firewall (cosa extraña si esa GPo es por máquina, siempre te pasa con el mismo usuario?) ejecuta GPRESULT y mira si aplica o no la GPO del firewall. Si no la aplica dinos los eventos de ERROR los que aparecen en rojo y algún warning los que aparecen en amarillo, que esté relacionado con GPOs o problemas al cargarlas, etc. Ya sabes eventos de SISTEMA y APLICACION. 

     


    Salu2!, Dani Gracia - Madrid España

    MCSA/MCSE 2003 Security
    viernes, 14 de octubre de 2011 17:26
  • Hago esto:

    Creo nueva GPO administrando el Firewall, meto el pc dentro de la OU a la que vinculo esa GPO, inicio sesion en un equipo, hago un gpresult y compruebo que la GPO se me aplica correctamnte, reinicio el equipo, vuelvo a intentar iniciar sesión y me sale el error de relación de confianza, entonces entro como administrador local, lo saco del dominio, le vuelvo a meter, y puedo volver a inicar sesión con el usuario y puedo inicar sesion correctamente...

    gracias


    JAIME Usando Win Server 2008 con Windows 7
    lunes, 17 de octubre de 2011 10:34
  • Hola, despues de dias intentandolo, moviendo y quitando los grupos de seguridad, cuando actulizo la idrectiva desde el equipo local me sale esto:

     

    "Actualizando directiva...
     
    Se completó correctamente la Actualización de directiva de usuario.
    La directiva de equipo no se puede actualizar correctamente debido a los siguien
    tes errores:
     
    Error al procesar la directiva de grupo. Windows intentó recuperar una configura ción de directiva de grupo nueva para este usuario o equipo y reintentará automá ticamente esta operación en el siguiente ciclo de actualización. Busque el códig o y la descripción del error en la ficha de detalles. Los equipos unidos al domi nio deben contar con resolución de nombres y conectividad de red adecuadas en un  controlador de dominio para detectar nuevos valores y objetos de directiva de g rupo. Se registrará un evento cuando se procese la directiva de grupo correctame nte.
     
    Para diagnosticar el error, revise el registro de eventos o ejecute GPRESULT /H
    GPReport.html para obtener acceso a la información sobre los resultados de la di
    rectiva de grupo."


    JAIME Usando Win Server 2008 con Windows 7
    martes, 18 de octubre de 2011 11:30
  • Buenas, esto ya está, cada dia voy solucinando un poquito más, el problema que tengo ahora es que cuando el usuario Administrador local hace login en ese equipo, tambien se me aplica la directiva, esto es logico ya que el equipo esta dentro de esa  unidad organizativa y se aplica a los equipos del dominio, pero se podria evitar esta situación?

    es decir que sólo se aplique esa directiva a los usuarios de cierto grupo en ese equipo...

     

    me explico?

     

    gracias de antemano


    JAIME Usando Win Server 2008 con Windows 7
    miércoles, 19 de octubre de 2011 12:22