Quieres evitar que los portátiles del dominio se enganchen a cualquier Wi‑Fi público o del vecino y asegurar que solo utilicen tu punto de acceso corporativo. Con Windows Server 2019 y las Directivas de Grupo es posible aplicar esta restricción sin instalar software adicional y manteniendo la gobernanza de IT.
Por qué limitar las conexiones Wi‑Fi
Permitir que un equipo corporativo se conecte a redes desconocidas expone credenciales, tráfico y datos a ataques de hombre‑en‑medio, suplantaciones de SSID o portales cautivos maliciosos. Al obligar a los equipos del dominio a usar únicamente la WLAN oficial:
- Reduces la superficie de ataque y el riesgo de fuga de información.
- Mantienes la trazabilidad del tráfico dentro de tu infraestructura de seguridad.
- Garantizas políticas de cumplimiento (ISO 27001, NIST, GDPR) sobre segmentación y cifrado.
Requisitos previos del entorno
- Controlador de Dominio con Windows Server 2019 (o posterior) y RSAT instaladas.
- Estaciones Windows 10/11 unidas al dominio, con la directiva Computer Configuration habilitada.
- SSID corporativo funcionando con WPA2‑PSK, WPA2/WPA3‑Enterprise o una combinación.
- Permisos para crear/vincular GPOs en la OU que contiene los equipos gestionados.
Creación y vinculación de la Directiva de Grupo
Abre Group Policy Management, haz clic derecho sobre la OU que agrupa tus estaciones y selecciona Create a GPO in this domain and Link it here. Un nombre descriptivo facilita la administración futura; por ejemplo WiFiCorporativoSolo. Si cuentas con varios sites o filiales separa las políticas por ubicación para evitar conflictos de SSID duplicados.
Buenas prácticas al nombrar y ubicar el GPO
| Elemento | Recomendación |
|---|---|
| Naming convention | Incluir servicio, ámbito y entorno: WLANOnlyCorpPROD |
| Scope | Vincular solo a la OU de equipos, nunca a usuarios, para evitar bypass de perfiles móviles. |
| GPO Status | Desactivar la mitad de User Configuration para agilizar el procesamiento (GPO Status: User Configuration disabled). |
Configuración detallada de la Directiva de red inalámbrica (IEEE 802.11)
Dentro del nuevo GPO navega a Computer Configuration ► Policies ► Windows Settings ► Security Settings ► Wireless Network (IEEE 802.11) Policies y elige Create a new wireless network policy for Windows Vista and later releases. Aparecerá un asistente dividido en pestañas.
Adición de la red corporativa como preferida
- En General define un nombre visible (p.e. CorpWiFi‑Only), selecciona Infrastructure y marca Connect automatically when this network is in range.
- Cambia a Security, selecciona el tipo de autenticación (WPA2‑Enterprise, WPA3‑Enterprise o WPA2‑Personal) y el cifrado (AES).
- Introduce el SSID idéntico al configurado en tus APs; los caracteres deben coincidir en mayúsculas/minúsculas.
Bloqueo de redes no autorizadas y excepciones controladas
En la misma política abre la pestaña Network Permissions y marca Only allow connection to networks listed in the ordered list of preferred networks. Con esta casilla, Windows rechazará cualquier SSID que no esté dentro de la lista.
Si algunos portátiles necesitan tethering controlado en viajes, crea una segunda política con prioridad inferior que permita SSIDs “iPhone”, “AndroidAP” o similares bajo usuarios específicos y habilita Connect only if the network is broadcasting para evitar conexiones fantasma.
Opciones de seguridad avanzada
Despliegue de 802.1X con NPS
Para sustituir la contraseña pre‑compartida (PSK) y escalar la seguridad:
- Instala el rol Network Policy Server en tu DC o en un miembro protegido.
- Configura RADIUS clients equivalentes a tus controladoras o APs.
- Genera certificados de equipo mediante AD CS o utiliza una AC pública.
- En la pestaña Security de la política Wi‑Fi cambia a Microsoft: Protected EAP (PEAP) y selecciona tu certificado de servidor.
Con 802.1X cada estación se autentica con su identidad de dominio; si un portátil es robado y dado de baja en AD, perderá el acceso inmediatamente.
Protección de credenciales mediante certificados
Combina 802.1X con certificados de equipo en un perfil de Autoenrollment para que la renovación se haga sin intervención del usuario. De este modo, contraseñas Wi‑Fi nunca se almacenan en texto claro, mitigando ataques de extracción de claves en el registro.
Gestión de portátiles que abandonan la oficina
Algunos departamentos (ventas, consultoría) requieren conectividad en hoteles o aeropuertos. Puedes:
- Crear un WLAN policy adicional con SSID GuestCorporate que permita únicamente Internet y publique proxies obligatorios.
- Usar WMI filters basados en la pertenencia al grupo de seguridad
Laptops_Travelpara aplicar esta política solo a equipos móviles. - Implementar Applocker o Microsoft Defender Application Control para bloquear herramientas de compartición indeseadas (Hotspot, VirtualBox, etc.).
Supervisión y auditoría de intentos de conexión
Habilita el registro de eventos:
Computer Configuration ► Policies ► Windows Settings ► Security Settings ► Advanced Audit Policy Configuration ► Logon/Logoff ► Audit Other Logon/Logoff EventsActiva Success y Failure. Los eventos WLAN‑AutoConfig (Operational) se almacenan en Microsoft‑Windows‑WLAN‑AutoConfig/Operational. Con una suscripción de recolección de eventos (Event Forwarding) podrás centralizar intentos fallidos y crear alertas en SIEM.
Automatización con PowerShell
Para validar que el GPO llegó correctamente:
Get‑NetIPInterface ‑InterfaceAlias "Wi‑Fi" |
Get‑NetConnectionProfile |
Select‑Object Name, NetworkCategory, IsConnectedY para auditar SSIDs instalados localmente:
netsh wlan show profilesSi deseas aplicar la restricción sin esperar al ciclo estándar:
Invoke‑Command ‑ComputerName (Get‑ADComputer ‑Filter * | Select‑Object ‑Expand Name) ‑ScriptBlock {
gpupdate /target:computer /force
}Uso de Microsoft Intune o MDM como alternativa
En entornos híbridos Azure AD o dispositivos Windows 11 administrados exclusivamente en la nube:
- Crea un perfil de configuración tipo Wi‑Fi especificando SSID, EAP (PEAP) y certificado.
- Activa una política de Conformidad que marque Not configured for allowed Wi‑Fi SSIDs como no conforme.
- Usa Conditional Access para bloquear acceso a Exchange Online o SharePoint si el dispositivo no está en la red corporativa.
Así mantienes la misma postura de seguridad sin VPN constante.
Resolución de problemas habituales
| Síntoma | Causa probable | Solución |
|---|---|---|
| El GPO no se aplica | Equipo fuera de la OU objetivo o sin permiso de lectura/aplicación. | Verifica la delegación Authenticated Users – Read, Apply group policy. |
| Conexión en bucle “Conectando…” | Mismatch de cifrado (CCMP vs GCMP) o SSID mal escrito. | Comprueba logs de WLAN‑AutoConfig y rectifica. |
| Portátil no puede usar Wi‑Fi público en viaje | Política demasiado restrictiva sin excepciones. | Agrega política secundaria con SSIDs autorizados y WMI filter. |
| Usuarios crean hotspots móviles | No está deshabilitada la característica Mobile Hotspot. | GPO: Computer Configuration ► Administrative Templates ► Network ► WLAN Service ► Allow Windows to create a mobile hotspot (Disable). |
Preguntas frecuentes
¿Puedo aplicar la misma GPO a equipos Windows 7?
Solo la plantilla “Windows XP and earlier” sigue apareciendo, pero carece de las opciones modernas de bloqueo. Windows 7 es EOL, actualiza o usa MDM.
¿Necesito comprar licencias CAL extra para NPS?
No; el rol NPS está cubierto por la licencia de Windows Server. El límite viene dado por el hardware del servidor y las políticas RADIUS concurrentes.
¿Qué ocurre si cambio el SSID corporativo?
Duplica la política con el nuevo nombre, colócala por encima en la lista y, tras la propagación, elimina la antigua para evitar pérdida de conectividad.
¿La opción “Block all other networks” afecta al Ethernet?
No, la restricción solo se aplica a interfaces 802.11. El puerto RJ‑45 sigue activo salvo que se limite por otra GPO.
Conclusiones y próximas acciones
Restringir las tarjetas Wi‑Fi de los equipos del dominio a tu SSID corporativo es un paso crítico para blindar la movilidad de la empresa. Con un único GPO bien configurado y, opcionalmente, 802.1X + NPS, lograrás:
- Eliminar conexiones a redes inseguras sin depender de la concienciación del usuario.
- Centralizar claves y certificados en Active Directory.
- Mejorar la trazabilidad y auditoría para normativas de seguridad.
Implementa la política en un grupo piloto, valida los eventos, automatiza con PowerShell y amplía a toda la organización. La seguridad empieza en la capa de acceso; al controlar dónde se conecta cada equipo, controlas la superficie de ataque.