Cuando intentas limitar la administración remota de Windows con Windows Admin Center (WAC) únicamente a su IP, puede que los equipos gestionados dejen de responder. En esta guía verás por qué sucede y cómo aplicar una estrategia segura basada en GPO que mantiene la conectividad y, al mismo tiempo, bloquea el acceso no deseado.

Arquitectura de WinRM y el rol de Windows Admin Center

WAC utiliza el protocolo Windows Remote Management (WinRM) para comunicarse con cada servidor o equipo cliente. De forma predeterminada, WinRM escucha en el puerto 5985/TCP para HTTP y 5986/TCP para HTTPS. El componente más relevante es el listener, una instancia que se crea automáticamente cuando habilitas la característica o cuando lo dicta una directiva de grupo.

La GPO “Allow remote server management via WinRM” (Configuración del equipo → Plantillas administrativas → Componentes de Windows → Windows Remote Management (WinRM) → WinRM Service) permite crear/modificar ese listener de forma centralizada. A primera vista podría parecer el lugar perfecto para “permitir solo la IP del servidor WAC”, pero en realidad el parámetro IPv4 filter no filtra orígenes: define en qué interfaces locales escucha la máquina destino. Ahí radica la confusión y la causa de la pérdida de conectividad.

Por qué el listener deja de responder al especificar la IP del WAC

Supongamos que el servidor WAC tiene la IP 10.20.30.40 y uno de los equipos gestionados posee las interfaces 10.0.0.15/24 (LAN) y 192.168.1.15/24 (iDRAC). Si en la GPO introduces 10.20.30.40 en el campo IPv4 filter, el equipo destino interpreta que solo puede escuchar en una interfaz que también tenga la dirección 10.20.30.40. Al no coincidir con ninguna IP local, el listener se autodeshabilita y cualquier conexión WinRM—incluida la del propio WAC—falla. Cuando cambias el valor a *, WinRM vuelve a escuchar en todas las interfaces y la comunicación se restablece.

Diferenciar entre restringir el listener y restringir quién se conecta

Listener (WinRM Service): controla las interfaces locales. No determina quién accede.
Firewall de Windows Defender: controla qué orígenes remotos pueden establecer una sesión.
WinRM Client → Trusted Hosts: afecta solo al cliente WinRM, en este caso el propio WAC cuando actúa de iniciador.

Tabla rápida de decisiones

Punto clave	Acción recomendada
Comprender el filtro IPv4	Deja * o la subred local; nunca pongas la IP del WAC. El filtro no es un ACL de orígenes.
Restringir orígenes	Aplica una regla de firewall que permita TCP 5985/5986 solo desde la IP del WAC o, mejor, solo sobre HTTPS.
Trusted Hosts	Agrega la IP/FQDN del WAC para evitar advertencias cuando la autenticación no usa Kerberos.
Service status	Asegúrate de que el servicio WS-Management esté automático y en ejecución.
Buenas prácticas	Mantén GPO separadas, documenta cambios y usa certificados para WinRM sobre HTTPS cuando sea posible.

Estrategia recomendada: listener amplio + firewall restrictivo

En entornos con múltiples subredes y servidores es más fiable permitir que WinRM escuche en todas las interfaces locales y delegar la restricción de orígenes al Firewall de Windows. De este modo evitas :

• Falsos positivos causados por adaptadores virtuales o tarjetas dedicadas (iLO/iDRAC).
• Caídas de administración cuando cambia la IP de producción.
• Repetir GPO por cada rango de red.

El cortafuegos es, además, la primera línea de defensa contra escaneos y ataques de fuerza bruta. Configúralo para aceptar solo la IP o el rango de tu servidor WAC. Si tu organización cuenta con certificados de infraestructura, da un paso más y fuerza WinRM sobre HTTPS. Esto cifra las credenciales y permite la autenticación mutua mediante TLS.

Implementación paso a paso de las tres GPO

GPO WinRM Service

1. Abre Group Policy Management y crea una nueva directiva, por ejemplo GPO – WinRM Service.
2. Navega a Configuración del equipo → Plantillas administrativas → Componentes de Windows → Windows Remote Management (WinRM) → WinRM Service.
3. Habilita Allow remote server management via WinRM.
4. En IPv4 filter escribe * o la subred local (ej., 10.0.0.0/24) si deseas mayor precisión pero múltiples rangos. Deja en blanco IPv6 filter si no lo utilizas.
5. En IPv4 local port mantén 5985. Para HTTPS, habilita aparte el listener en PowerShell o GPO y especifica 5986.

GPO Firewall

1. En la misma consola crea GPO – Firewall WinRM.
2. Ruta: Configuración del equipo → Políticas → Configuración de Windows → Configuración de Seguridad → Firewall de Windows Defender con Seguridad Avanzada.
3. Regla nueva → Entrada → Puerto.
4. Selecciona TCP, puertos 5985 y 5986.
5. Acción → Permitir la conexión.
6. Ámbito → Direcciones IP remotas específicas → Introduce 10.20.30.40 (o el rango autorizado).
7. Perfila la regla para Dominio, Privado, Público según tu topología.
8. Asigna un nombre descriptivo (p. ej. WinRM desde WAC).

GPO Trusted Hosts (WinRM Client)

1. Nueva directiva: GPO – WinRM Trusted Hosts.
2. Ruta: Configuración del equipo → Plantillas administrativas → Componentes de Windows → Windows Remote Management (WinRM) → WinRM Client.
3. Habilita Allow Basic authentication solo si tu entorno no usa Kerberos o CredSSP.
4. Habilita Trusted Hosts y agrega 10.20.30.40, wac.contoso.local o ambos separados por comas.

Configurar WinRM sobre HTTPS (opcional pero recomendado)

El tráfico cifrado refuerza la seguridad y evita que contraseñas viajen en texto claro. Para implementarlo:

# En la máquina destino (se automatiza por GPO o script)
$cert = New-SelfSignedCertificate -DnsName hostname.contoso.local -CertStoreLocation Cert:\LocalMachine\My -KeyLength 2048
New-Item -Path WSMan:\localhost\Listener -Transport HTTPS -Address * -CertificateThumbprint $cert.Thumbprint -Port 5986
Set-Item WSMan:\localhost\Service\Auth\Basic $false   # Deshabilita Basic si usas Kerberos

Asegúrate de que el certificado sea confiable para el servidor WAC (coloca la CA en Trusted Root Certification Authorities). Después, modifica la regla de firewall para permitir solo 5986 desde la IP del WAC.

Verificación y resolución de problemas

• Fuerza la actualización de políticas con gpupdate /force.
• Comprueba el listener:
  winrm enumerate winrm/config/listener
• Valida conectividad desde el WAC:
  Test-WSMan -ComputerName SRV-APP-01 -Port 5985 -UseSSL:$false
• Si falla:
    • Revisa que el servicio Windows Remote Management (WS-Management) esté en “En ejecución, Automático”.
    • Usa Get-NetFirewallRule para confirmar que la regla coincida con la dirección IP del WAC.
    • Verifica que no haya software de seguridad bloqueando el puerto.

Preguntas frecuentes

¿Puedo usar nombres FQDN en lugar de direcciones IP?
Sí, en el campo Trusted Hosts admite comodines y nombres DNS. Para el firewall, usa la IP para evitar dependencias de resolución.

¿Se puede asignar la GPO solo a servidores específicos?
Absolutamente. Employa “Filtros de seguridad” o WMI para segmentar.

¿Por qué todavía veo “403 Forbidden” si todo parece correcto?
Puede deberse a SPN duplicados o autenticación bloqueada. Comprueba winrm/config/service y las políticas de NTLM/Kerberos.

¿Conviene eliminar el listener HTTP una vez habilitado HTTPS?
Sí. Quita el listener HTTP para reducir superficie de ataque:
winrm delete winrm/config/Listener?Address=*\Transport=HTTP.

Buenas prácticas y mantenimiento

• Registra todos los cambios en un sistema de control (ticketing o CMDB).
• Copia las GPO antes de modificarlas y etiqueta la versión.
• Implementa la directiva de firewall en modo Audit una semana antes, revisa el log y luego cambia a Block.
• Revalida certificados antes de que expiren; automatiza con AD CS o ACME.
• Utiliza Just Enough Administration (JEA) para minimizar privilegios cuando uses PowerShell Remoting.

Resumen operativo rápido

WinRM Service: habilitado con * como IPv4 filter.
Firewall: regla entrante en 5985/5986 solo para 10.20.30.40.
Trusted Hosts: 10.20.30.40,wac.contoso.local.
Verificación: Test-WSMan y monitorización por Event ID 16398 (WSMan) para errores.

Conclusión

El parámetro IPv4 filter de la GPO de WinRM Service no debe usarse para controlar quién se conecta, sino dónde escucha el servicio. Si intentas restringirlo a la IP del WAC, deshabilitarás involuntariamente el listener. La combinación de un listener escuchando en todas las interfaces locales con una regla de firewall estricta —o, aún mejor, WinRM sobre HTTPS con certificados— ofrece el equilibrio perfecto entre seguridad y funcionalidad. Al separar claramente las tres GPO (listener, firewall y Trusted Hosts) facilitas el mantenimiento, reduces riesgos y aseguras que Windows Admin Center siga siendo la navaja suiza de la administración que tu infraestructura necesita.