Alex Ruben
Cómo restringir el acceso VPN para usuarios de dominio mediante la directiva de grupo en Windows Server 2022 y 2019
Introducción
Resulta que impedir que la gente se conecte mediante VPN en una red de dominio no es tan sencillo, pero es factible. Básicamente, se configura una GPO (Objeto de Directiva de Grupo) que restringe la creación o el uso de VPN en sus PC. Si te preocupan las VPN no autorizadas o simplemente quieres un control más estricto sobre quién accede a qué, estos pasos son de gran ayuda. Ten en cuenta que, en algunas configuraciones, estas políticas podrían requerir un reinicio o una actualización de grupo para que se activen correctamente. Y, como a Windows le encanta sorprender, es recomendable probar esto primero en un grupo pequeño.
Prerrequisitos
Antes de sumergirte en los detalles jugosos, asegúrate de tener:
- Derechos de administrador en su máquina Windows Server 2019 o 2022.
- Consola de administración de políticas de grupo (GPMC) instalada: generalmente forma parte de las herramientas de administración del servidor remoto.
- Una comprensión adecuada de la estructura de Active Directory, como por ejemplo dónde están sus unidades organizativas.
Paso 1: Abra la Consola de administración de políticas de grupo
El primer paso es encontrar GPMC. Dirígete al Administrador del servidor, haz clic en Herramientas y selecciona Administración de directivas de grupo. Si no está ahí, quizás necesites instalar las herramientas RSAT. Una vez abierto, verás tu dominio en la lista.
Paso 2: Crear un nuevo GPO
Navega por el árbol de dominios a la izquierda (como yourdomain.local ), haz clic derecho en la unidad organizativa (o en el dominio si quieres una regla general) y selecciona «Crear una GPO en este dominio» y «vincularla aquí». Asígnale un nombre como Block VPN Access. Parece obvio, pero así lo aclaras más adelante. En algunas configuraciones, esto podría fallar la primera vez; simplemente reinicia GPMC o cierra sesión y vuelve a iniciarla.
Paso 3: edite el GPO para agregar restricciones de VPN
Haga clic derecho en su nueva GPO y seleccione Editar. Se abrirá el Editor de administración de directivas de grupo. Ahora, siga esta ruta en el panel izquierdo:
Configuración de usuario → Políticas → Plantillas administrativas → Red → Conexiones de red
Porque, claro, Windows tiene que complicar un poco el bloqueo de las VPN. Algunas políticas relacionadas podrían estar en diferentes nodos según la versión o las actualizaciones, así que estate atento.
Paso 4: Habilitar políticas para detener el uso de VPN
Aquí es donde ocurre la magia. Habilita estas políticas:
-
Haga doble clic en «Prohibir configuración avanzada de TCP/IP». Establézcalo en » Habilitado». Esto impide que los usuarios editen configuraciones de red que podrían incluir la configuración de VPN en algunas configuraciones.
-
Haz doble clic en «Prohibir el acceso al asistente de nueva conexión». Activa esta opción también. Puede que no bloquee todas las VPN, pero impide que se inicien nuevas conexiones mediante el asistente.
-
Haga doble clic en «Prohibir el acceso a las preferencias de acceso remoto» en el menú avanzado. Habilítelo.
-
Finalmente, activa la opción Prohibir el acceso a las propiedades de las conexiones LAN.
Por qué es útil: Estas políticas dificultan que los usuarios vean las opciones de VPN o modifiquen su configuración de red. Ese es el objetivo.¿Cuándo puede ser útil? Básicamente, cuando los usuarios intentan configurar sus propias VPN en contra de la política de la empresa o cuando se intenta reforzar la seguridad.
¿Qué esperar? Menos ventanas emergentes de VPN, menos posibilidades de que los usuarios se conecten accidental o intencionadamente a VPN externas. Y, de nuevo, un reinicio o un gpupdate /forcecomando en los equipos cliente puede acelerar el proceso.
Paso 5: Implementar los cambios
Una vez guardadas, estas políticas se aplicarán después de un tiempo o al reiniciar. Si desea acelerar el proceso en los equipos cliente, abra el Símbolo del sistema o PowerShell y ejecute:
gpupdate /force
Esto obliga a que las políticas se actualicen inmediatamente. Tenga en cuenta que, en algunas máquinas, podría ser necesario cerrar sesión y volver a iniciarla o reiniciar para aplicar las restricciones por completo.
Consejos adicionales y problemas comunes
Algunos consejos para que esto sea más sencillo:
- Pruebe primero en un conjunto pequeño de usuarios o computadoras: no hay nada más frustrante que romper cosas en producción.
- Busque otros GPO que puedan estar en conflicto o permitir VPN a través de políticas locales o configuraciones de seguridad.
- Mantenga a los usuarios informados: las restricciones repentinas sin previo aviso pueden causar confusión.
Conclusión
No sé por qué funciona, pero esta configuración bloquea la mayoría de las configuraciones de VPN sencillas, lo que hace que el acceso a la red sea un poco más seguro. No es perfecto, pero es un buen comienzo. Recuerda que la tecnología siempre va un paso por delante: nuevas aplicaciones o trucos de VPN podrían colarse, así que estate atento.
Preguntas frecuentes
¿Qué es exactamente un GPO?
Es simplemente una colección de reglas que puedes enviar a cuentas de usuarios o computadoras en Active Directory, algo así como un control remoto para las configuraciones.
¿Puede esto limitarse a ciertos usuarios?
Por supuesto. Simplemente vincula la GPO a una unidad organizativa con solo los usuarios o equipos que quieras restringir.¡Fácil!
Ya tengo instalado un VPN.¿Esto los detendrá?
Probablemente no eliminará el software, pero debería impedir que los usuarios lo conecten o configuren; al menos esa es la teoría.