Configuración de directivas de firewall para dispositivos conectados a inquilinos en Microsoft Intune

  • Artículo

Vea la configuración de Microsoft Windows Firewall que puede administrar con el perfil de Firewall de Windows (ConfigMgr) de Intune. El perfil está disponible al configurar la directiva de firewall de Intune y la directiva se implementa en los dispositivos que administra con Configuration Manager cuando ha configurado el escenario de asociación de inquilinos.

Firewall de Windows

  • Comprobación de la lista de revocación de certificados (dispositivo)
    CSP: MdmStore/Global/CRLcheck

    Especifique cómo se aplica la comprobación de la lista de revocación de certificados (CRL).

    • No configurado (valor predeterminado): use el valor predeterminado del cliente, que es deshabilitar la comprobación de CRL.
    • Ninguna
    • Intento
    • Obligatoria

  • Deshabilitar ftp con estado (dispositivo)
    CSP: MdmStore/Global/DisableStatefulFtp

    • No configurado (valor predeterminado)
    • True : FTP con estado deshabilitado
    • False : el firewall realiza el filtrado con estado del Protocolo de transferencia de archivos (FTP) para permitir conexiones secundarias.

  • Habilitar la cola de paquetes (dispositivo)
    CSP: MdmStore/Global/EnablePacketQueue

    Seleccione una de las siguientes opciones para configurar el escalado del software en el lado de recepción para la recepción cifrada y borrar el texto hacia delante para el escenario de puerta de enlace de túnel IPsec. Esto garantiza que se conserva el orden del paquete. De forma predeterminada, no se selecciona ninguna opción.

    • Disabled
    • Cola entrante
    • Salida de cola

  • Excepciones de IPsec (dispositivo)
    CSP: MdmStore/Global/IPsecExempt

    Seleccione una de las siguientes opciones para configurar las excepciones de IPsec.

    • Los vecinos exentos detectan códigos de tipo ICMP IPv6 de IPsec
    • Exención de ICMP de IPsec
    • El enrutador exento detecta códigos de tipo ICMP IPv6 de IPsec
    • Exención del tráfico DHCP de IPv4 e IPv6 de IPsec

  • Coincidencia oportunista del conjunto de autenticación por KM (dispositivo)
    CSP: oportunistaMatchAuthSetPerKM

    • No configurado (valor predeterminado)
    • True
    • False

  • Codificación de clave previamente compartida (dispositivo)
    CSP: MdmStore/Global/PresharedKeyEncoding

    • No configurado (valor predeterminado)
    • Ninguna
    • UTF8

  • Tiempo de inactividad de la asociación de seguridad (dispositivo)
    CSP: MdmStore/Global/SaIdleTime

    Especifique un tiempo en segundos entre 300 y 3600, durante cuánto tiempo se mantienen las asociaciones de seguridad después de que no se vea el tráfico de red. Si no especifica ningún valor, el sistema elimina una asociación de seguridad después de que haya estado inactiva durante 300 segundos.

Perfil de dominio

  • Habilitar firewall de red de dominio (dispositivo)
    CSP: EnableFirewall

    • No configurado (valor predeterminado): el cliente vuelve a su valor predeterminado, que es habilitar el firewall.
    • True : el Firewall de Windows para el tipo de red de dominio está activado y aplicado.
    • False : deshabilite el firewall.

    Cuando se establece en True, puede configurar los siguientes valores para este tipo de perfil de firewall:

    • Permitir combinación de directivas de IPsec local (dispositivo)
      CSP: AllowLocalIpsecPolicyMerge

      • No configurado (valor predeterminado)
      • True
      • False : las reglas de seguridad de conexión del almacén local se omiten y no se aplican.

    • Permitir combinación de directivas locales (dispositivo)
      CSP: AllowLocalPolicyMerge

      • No configurado (valor predeterminado)
      • True
      • False : las reglas de firewall del almacén local se omiten y no se aplican.

    • Auth Apps Allow User Pref Merge (Device)
      CSP: AuthAppsAllowUserPrefMerge

      • No configurado (valor predeterminado)
      • True
      • False

    • Acción de entrada predeterminada para el perfil de dominio (dispositivo)
      CSP: DefaultInboundAction

      • No configurado (valor predeterminado)
      • Permitir
      • Bloquear

    • Acción de salida predeterminada (dispositivo)
      CSP: DefaultOutboundAction

      • Permitir
      • Bloquear

    • Deshabilitar notificaciones entrantes (dispositivo)
      CSP: DisableInboundNotifications

      • No configurado (valor predeterminado)
      • True : el firewall no mostrará una notificación al usuario cuando se bloquee la escucha de una aplicación en un puerto.
      • False : el firewall podría mostrar una notificación al usuario cuando se bloquea la escucha de una aplicación en un puerto.

    • Deshabilitar modo sigiloso (dispositivo)
      CSP: DisableStealthMode

      • No configurado (valor predeterminado)
      • True
      • False : el servidor funciona en modo sigiloso. Las reglas de firewall usadas para aplicar el modo sigiloso son específicas de la implementación.

    • Deshabilitar respuestas de unidifusión a difusión de multidifusión (dispositivo)
      CSP: DisableUnicastResponsesToMulticastBroadcast

      • No configurado (valor predeterminado)
      • True : se bloquea la respuesta de unidifusión al tráfico de difusión de multidifusión.
      • False

    • Los puertos globales permiten la combinación pref de usuario (dispositivo)
      CSP: GlobalPortsAllowUserPrefMerge

      • No configurado (valor predeterminado)
      • True
      • False : las reglas de firewall de puerto global del almacén local se omiten y no se aplican.

    • Blindada (dispositivo)
      CSP: blindada

      • No configurado (valor predeterminado)
      • True : el servidor bloquea todo el tráfico entrante independientemente de la configuración de otra directiva.
      • False

Perfil privado

  • Habilitar firewall de red privada (dispositivo)
    CSP: EnableFirewall

    • No configurado (valor predeterminado): el cliente vuelve a su valor predeterminado, que es habilitar el firewall.
    • True : el Firewall de Windows para el tipo de red privado está activado y aplicado.
    • False : deshabilite el firewall.

    Cuando se establece en True, puede configurar los siguientes valores para este tipo de perfil de firewall:

    • Permitir combinación de directivas de IPsec local (dispositivo)
      CSP: AllowLocalIpsecPolicyMerge

      • No configurado (valor predeterminado)
      • True
      • False : las reglas de seguridad de conexión del almacén local se omiten y no se aplican.

    • Permitir combinación de directivas locales (dispositivo)
      CSP: AllowLocalPolicyMerge

      • No configurado (valor predeterminado)
      • True
      • False : las reglas de firewall del almacén local se omiten y no se aplican.

    • Auth Apps Allow User Pref Merge (Device)
      CSP: AuthAppsAllowUserPrefMerge

      • No configurado (valor predeterminado)
      • True
      • False

    • Acción de entrada predeterminada para perfil privado (dispositivo)
      CSP: DefaultInboundAction

      • No configurado (valor predeterminado)
      • Permitir
      • Bloquear

    • Acción de salida predeterminada (dispositivo)
      CSP: DefaultOutboundAction

      • Permitir
      • Bloquear

    • Deshabilitar notificaciones entrantes (dispositivo)
      CSP: DisableInboundNotifications

      • No configurado (valor predeterminado)
      • True : el firewall no mostrará una notificación al usuario cuando se bloquee la escucha de una aplicación en un puerto.
      • False : el firewall podría mostrar una notificación al usuario cuando se bloquea la escucha de una aplicación en un puerto.

    • Deshabilitar modo sigiloso (dispositivo)
      CSP: DisableStealthMode

      • No configurado (valor predeterminado)
      • True
      • False : el servidor funciona en modo sigiloso. Las reglas de firewall usadas para aplicar el modo sigiloso son específicas de la implementación.

    • Deshabilitar respuestas de unidifusión a difusión de multidifusión (dispositivo)
      CSP: DisableUnicastResponsesToMulticastBroadcast

      • No configurado (valor predeterminado)
      • True : se bloquea la respuesta de unidifusión al tráfico de difusión de multidifusión.
      • False

    • Los puertos globales permiten la combinación pref de usuario (dispositivo)
      CSP: GlobalPortsAllowUserPrefMerge

      • No configurado (valor predeterminado)
      • True
      • False : las reglas de firewall de puerto global del almacén local se omiten y no se aplican.

    • Blindada (dispositivo)
      CSP: blindada

      • No configurado (valor predeterminado)
      • True : el servidor bloquea todo el tráfico entrante independientemente de la configuración de otra directiva.
      • False

Perfil público

  • Habilitación del firewall de red pública (dispositivo)
    CSP: EnableFirewall

    • No configurado (valor predeterminado): el cliente vuelve a su valor predeterminado, que es habilitar el firewall.
    • True : el Firewall de Windows para el tipo de red pública está activado y aplicado.
    • False : deshabilite el firewall.

    Cuando se establece en True, puede configurar los siguientes valores para este tipo de perfil de firewall:

    • Permitir combinación de directivas de IPsec local (dispositivo)
      CSP: AllowLocalIpsecPolicyMerge

      • No configurado (valor predeterminado)
      • True
      • False : las reglas de seguridad de conexión del almacén local se omiten y no se aplican.

    • Permitir combinación de directivas locales (dispositivo)
      CSP: AllowLocalPolicyMerge

      • No configurado (valor predeterminado)
      • True
      • False : las reglas de firewall del almacén local se omiten y no se aplican.

    • Auth Apps Allow User Pref Merge (Device)
      CSP: AuthAppsAllowUserPrefMerge

      • No configurado (valor predeterminado)
      • True
      • False

    • Acción de entrada predeterminada para perfil público (dispositivo)
      CSP: DefaultInboundAction

      • No configurado (valor predeterminado)
      • Permitir
      • Bloquear

    • Acción de salida predeterminada (dispositivo)
      CSP: DefaultOutboundAction

      • Permitir
      • Bloquear

    • Deshabilitar notificaciones entrantes (dispositivo)
      CSP: DisableInboundNotifications

      • No configurado (valor predeterminado)
      • True : el firewall no mostrará una notificación al usuario cuando se bloquee la escucha de una aplicación en un puerto.
      • False : el firewall podría mostrar una notificación al usuario cuando se bloquea la escucha de una aplicación en un puerto.

    • Deshabilitar modo sigiloso (dispositivo)
      CSP: DisableStealthMode

      • No configurado (valor predeterminado)
      • True
      • False : el servidor funciona en modo sigiloso. Las reglas de firewall usadas para aplicar el modo sigiloso son específicas de la implementación.

    • Deshabilitar respuestas de unidifusión a difusión de multidifusión (dispositivo)
      CSP: DisableUnicastResponsesToMulticastBroadcast

      • No configurado (valor predeterminado)
      • True : se bloquea la respuesta de unidifusión al tráfico de difusión de multidifusión.
      • False

    • Los puertos globales permiten la combinación pref de usuario (dispositivo)
      CSP: GlobalPortsAllowUserPrefMerge

      • No configurado (valor predeterminado)
      • True
      • False : las reglas de firewall de puerto global del almacén local se omiten y no se aplican.

    • Blindada (dispositivo)
      CSP: blindada

      • No configurado (valor predeterminado)
      • True : el servidor bloquea todo el tráfico entrante independientemente de la configuración de otra directiva.
      • False

Siguientes pasos

Directiva de seguridad de puntos de conexión para firewalls