Habilitar protección de red

Se aplica a:

• Microsoft Defender para punto de conexión Plan 1
• Microsoft Defender para punto de conexión Plan 2
• Microsoft Defender XDR
• Microsoft Defender para servidores
• Antivirus de Microsoft Defender

Plataformas

• Windows
• Linux (consulte Protección de red para Linux)
• macOS (consulte Protección de red para macOS)

Sugerencia

¿Quiere experimentar Defender para punto de conexión? Regístrese para obtener una prueba gratuita.

La protección de red ayuda a evitar que los empleados usen cualquier aplicación para acceder a dominios peligrosos que puedan hospedar estafas de suplantación de identidad (phishing), vulnerabilidades de seguridad y otro contenido malintencionado en Internet. Puede auditar la protección de red en un entorno de prueba para ver qué aplicaciones se bloquearían antes de habilitar la protección de red.

Obtenga más información sobre las opciones de configuración de filtrado de red.

Habilitación de la protección de red

Para habilitar la protección de red, puede usar cualquiera de los métodos descritos en este artículo.

Administración de la configuración de seguridad de Microsoft Defender para punto de conexión

Creación de una directiva de seguridad de punto de conexión

1. Inicie sesión en el portal de Microsoft Defender con al menos un rol de administrador de seguridad asignado.

2. Vaya a EndpointsConfiguration managementEndpoint security policies (Directivas> de seguridad de punto de conexión de administración > de puntos de conexión) y seleccione Create new policy (Crear nueva directiva).

3. En Seleccionar plataforma, seleccione Windows 10, Windows 11 y Windows Server.

4. En Seleccionar plantilla, seleccione Microsoft Defender Antivirus y, a continuación, seleccione Crear directiva.

5. En la página Datos básicos, escriba un nombre y una descripción para el perfil y, después, elija Siguiente.

6. En la página Configuración , expanda cada grupo de opciones de configuración y configure las opciones que desea administrar con este perfil.

   • Protección de red en clientes Windows:

     Descripción	Configuración
     Habilitación de la protección de red	Opciones: - Se necesita el modo de bloqueo habilitado (modo de bloque) para bloquear los indicadores de dirección IP/DIRECCIÓN URL y el filtrado de contenido web. - Habilitado (modo de auditoría) - Deshabilitado (valor predeterminado) - No configurado

   • Protección de red en Windows Server 2012 R2 y Windows Server 2016, use la directiva adicional que se muestra en la tabla siguiente:

     Descripción	Configuración
     Permitir la protección de red en el nivel inferior	Opciones: - La protección de red se habilitará en el nivel inferior. - Protección de red se deshabilitará en el nivel inferior. (Predeterminado) - No configurado

   • Configuración opcional de Protección de red para Windows y Windows Server:

     Advertencia

     Deshabilite la Allow Datagram Processing On WinServer configuración. Esto es importante para los roles que generan grandes volúmenes de tráfico UDP, como controladores de dominio, servidores DNS de Windows, servidores de archivos de Windows, servidores MICROSOFT SQL, servidores de Microsoft Exchange y otros. La habilitación del procesamiento de datagramas en estos casos puede reducir el rendimiento y la confiabilidad de la red. Deshabilitarla ayuda a mantener la red estable y garantiza un mejor uso de los recursos del sistema en entornos de alta demanda.

     Descripción	Configuración
     Permitir el procesamiento de datagramas en Win Server	- El procesamiento de datagramas en Windows Server está habilitado. - El procesamiento de datagramas en Windows Server está deshabilitado (predeterminado, recomendado). - No configurado
     Deshabilitación del análisis de DNS a través de TCP	- El análisis de DNS a través de TCP está deshabilitado. - El análisis de DNS a través de TCP está habilitado (valor predeterminado). - No configurado
     Deshabilitar el análisis HTTP	- El análisis HTTP está deshabilitado. - El análisis HTTP está habilitado (valor predeterminado). - No configurado
     Deshabilitación del análisis de SSH	- El análisis ssh está deshabilitado. - El análisis ssh está habilitado (valor predeterminado). - No configurado
     Deshabilitación del análisis de TLS	- El análisis de TLS está deshabilitado. - El análisis de TLS está habilitado (valor predeterminado). - No configurado
     [En desuso]Habilitación de DNS Sinkhole	- Dns Sinkhole está deshabilitado. - Dns Sinkhole está habilitado. (Predeterminado) - No configurado

7. Cuando haya finalizado la configuración, seleccione Siguiente.

8. En la página Asignaciones, seleccione los grupos que recibirán este perfil. Después, seleccione Siguiente.

9. En la página Revisar y crear , revise la información y, a continuación, seleccione Guardar.

   El nuevo perfil se muestra en la lista cuando se selecciona el tipo de directiva del perfil creado.

Microsoft Intune

Microsoft Defender para punto de conexión método baseline

1. Inicie sesión en el Centro de administración de Microsoft Intune.

2. Vaya a Líneasbase> de seguridad> de punto de conexión Microsoft Defender para punto de conexión línea base.

3. Seleccione Crear un perfil, proporcione un nombre para el perfil y, a continuación, seleccione Siguiente.

4. En la sección Configuración, vaya a Reglas > de reducción de superficie expuesta a ataquesestablecidas en Bloquear, Habilitar o Auditar para habilitar la protección de red. Seleccione Siguiente.

5. Seleccione las etiquetas y asignaciones de ámbito adecuadas según sea necesario para su organización.

6. Revise toda la información y, a continuación, seleccione Crear.

Método de directiva antivirus

1. Inicie sesión en el Centro de administración de Microsoft Intune.

2. Vaya a Antivirus de seguridad> de puntos de conexión.

3. Seleccione Crear directiva.

4. En el control flotante Crear una directiva, elija Windows 10, Windows 11 y Windows Server en la lista Plataforma.

5. Elija Microsoft Defender Antivirus en la lista Perfil y, a continuación, elija Crear.

6. Proporcione un nombre para el perfil y, a continuación, seleccione Siguiente.

7. En la sección Configuración , seleccione Deshabilitado, Habilitado (modo de bloque) o Habilitado (modo de auditoría) para Habilitar protección de red y, a continuación, seleccione Siguiente.

8. Seleccione las etiquetas Asignaciones y Ámbito adecuadas según sea necesario para su organización.

9. Revise toda la información y, a continuación, seleccione Crear.

Método de perfil de configuración

1. Inicie sesión en el centro de administración de Microsoft Intune (https://intune.microsoft.com).

2. Vaya a Dispositivos>Perfiles de configuración>Crear perfil.

3. En el control flotante Crear un perfil , seleccione Plataforma y elija Tipo de perfil como plantillas.

4. En El nombre de la plantilla, elija Endpoint Protection en la lista de plantillas y, a continuación, seleccione Crear.

5. Vaya aAspectos básicosde Endpoint protection>, proporcione un nombre para el perfil y, a continuación, seleccione Siguiente.

6. En la sección Configuración, vaya a Microsoft Defender protección de red de Protección contra vulnerabilidades> de seguridadHabilitar oAuditar>>. Seleccione Siguiente.

7. Seleccione las etiquetas de ámbito, las asignaciones y las reglas de aplicabilidad adecuadas según sea necesario para su organización. Los administradores pueden establecer más requisitos.

8. Revise toda la información y, a continuación, seleccione Crear.

Administración de dispositivos móviles (MDM)

1. Use el proveedor de servicios de configuración (CSP) EnableNetworkProtection para activar o desactivar la protección de red, o para habilitar el modo de auditoría.

2. Actualice Microsoft Defender plataforma antimalware a la versión más reciente antes de activar o desactivar la protección de red.

Directiva de grupo

Use el procedimiento siguiente para habilitar la protección de red en equipos unidos a un dominio o en un equipo independiente.

1. En un equipo independiente, vaya a Inicio y escriba y seleccione Editar directiva de grupo.

   -O-

   En un equipo de administración de directiva de grupo unido a un dominio, abra la consola de administración de directiva de grupo. Haga clic con el botón derecho en el objeto directiva de grupo que desea configurar y seleccione Editar.

2. En el Editor de administración de directiva de grupo, vaya a Configuración del equipo y seleccione Plantillas administrativas.

3. Expanda el árbol a Componentes>de Windows Microsoft Defender Antivirus>Microsoft Defender Protección de red de Protección contra vulnerabilidades> deseguridad.

   En versiones anteriores de Windows, la ruta de acceso directiva de grupo podría tener windows Antivirus de Defender en lugar de Microsoft Defender Antivirus.

4. Haga doble clic en la configuración Impedir que usuarios y aplicaciones accedan a sitios web peligrosos y establezca la opción en Habilitado. En la sección de opciones, debe especificar una de las siguientes opciones:

   • Bloquear : los usuarios no pueden acceder a direcciones IP y dominios malintencionados.
   • Deshabilitar (valor predeterminado): la característica Protección de red no funcionará. No se impide que los usuarios accedan a dominios malintencionados.
   • Modo de auditoría : si un usuario visita una dirección IP o dominio malintencionados, se registra un evento en el registro de eventos de Windows. Sin embargo, no se impedirá que el usuario visite la dirección.

   Importante

   Para habilitar completamente la protección de red, debe establecer la opción directiva de grupo en Habilitado y también seleccionar Bloquear en el menú desplegable de opciones.

5. (Este paso es opcional). Siga los pasos descritos en Comprobación de si la protección de red está habilitada para comprobar que la configuración de directiva de grupo es correcta.

Microsoft Configuration Manager

1. Abre la consola de Configuration Manager.

2. Vaya a Protección contra vulnerabilidades de seguridad deWindows Defender de Protección contra vulnerabilidades deseguridad> de recursos y cumplimiento>.

3. Seleccione Crear directiva de Protección contra vulnerabilidades en la cinta de opciones para crear una nueva directiva.

   • Para editar una directiva existente, seleccione la directiva y, a continuación, seleccione Propiedades en la cinta de opciones o en el menú contextual. Edite la opción Configurar protección de red en la pestaña Protección de red .

4. En la página General , especifique un nombre para la nueva directiva y compruebe que la opción Protección de red está habilitada.

5. En la página Protección de red, seleccione una de las opciones siguientes para la opción Configurar protección de red :

   • Bloquear
   • Auditoría
   • Disabled

6. Complete el resto de los pasos y guarde la directiva.

7. En la cinta de opciones, seleccione Implementar para implementar la directiva en una colección.

PowerShell

1. En el dispositivo Windows, haga clic en Inicio, escriba powershell, haga clic con el botón derecho en Windows PowerShell y, a continuación, seleccione Ejecutar como administrador.

2. Ejecute el siguiente cmdlet:

   Set-MpPreference -EnableNetworkProtection Enabled
   

3. Para Windows Server, use los comandos adicionales que aparecen en la tabla siguiente:

   Versión de Windows Server	Comandos
   Windows Server 2019 y versiones posteriores	set-mpPreference -AllowNetworkProtectionOnWinServer $true
   Windows Server 2016 Windows Server 2012 R2 con el agente unificado para Microsoft Defender para punto de conexión	set-MpPreference -AllowNetworkProtectionDownLevel $true set-MpPreference -AllowNetworkProtectionOnWinServer $true

Importante

Deshabilite la configuración "AllowDatagramProcessingOnWinServer". Esto es importante para los roles que generan grandes volúmenes de tráfico UDP, como controladores de dominio, servidores DNS de Windows, servidores de archivos de Windows, servidores MICROSOFT SQL, servidores de Microsoft Exchange y otros. La habilitación del procesamiento de datagramas en estos casos puede reducir el rendimiento y la confiabilidad de la red. Deshabilitarla ayuda a mantener la red estable y garantiza un mejor uso de los recursos del sistema en entornos de alta demanda.

1. (Este paso es opcional). Para establecer la protección de red en modo de auditoría, use el siguiente cmdlet:

   Set-MpPreference -EnableNetworkProtection AuditMode
   

   Para desactivar la protección de red, use el Disabled parámetro en lugar de AuditMode o Enabled.

Comprobación de si la protección de red está habilitada

Puede usar registry Editor para comprobar el estado de la protección de red.

1. Seleccione el botón Inicio en la barra de tareas y escriba regedit. En la lista de resultados, seleccione Editor del Registro para abrirlo.

2. Elija HKEY_LOCAL_MACHINE en el menú lateral.

3. Navegue por los menús anidados hastaDirectivas>de SOFTWARE>Administrador de directivas deMicrosoft>Windows Defender>.

   Si falta la clave, vaya a SOFTWARE>Microsoft>Windows DefenderProtección deredde Protección contra vulnerabilidades de> seguridad de Windows Defender>.

4. Seleccione EnableNetworkProtection para ver el estado actual de la protección de red en el dispositivo:

   • 0 o desactivado
   • 1, o activado
   • 2, o modo auditoría

   

Información importante sobre cómo quitar la configuración de Protección contra vulnerabilidades de seguridad de un dispositivo

Al implementar una directiva de Protección contra vulnerabilidades de seguridad mediante Configuration Manager, la configuración permanece en el cliente incluso si más adelante quita la implementación. Si se quita la implementación, los registros Delete de cliente no se admiten en el ExploitGuardHandler.log archivo.

Use el siguiente script de PowerShell en el SYSTEM contexto para quitar la configuración de Protección contra vulnerabilidades de seguridad correctamente:

$defenderObject = Get-WmiObject -Namespace "root/cimv2/mdm/dmmap" -Class "MDM_Policy_Config01_Defender02" -Filter "InstanceID='Defender' and ParentID='./Vendor/MSFT/Policy/Config'"
$defenderObject.AttackSurfaceReductionRules = $null
$defenderObject.AttackSurfaceReductionOnlyExclusions = $null
$defenderObject.EnableControlledFolderAccess = $null
$defenderObject.ControlledFolderAccessAllowedApplications = $null
$defenderObject.ControlledFolderAccessProtectedFolders = $null
$defenderObject.EnableNetworkProtection = $null
$defenderObject.Put()

$exploitGuardObject = Get-WmiObject -Namespace "root/cimv2/mdm/dmmap" -Class "MDM_Policy_Config01_ExploitGuard02" -Filter "InstanceID='ExploitGuard' and ParentID='./Vendor/MSFT/Policy/Config'"
$exploitGuardObject.ExploitProtectionSettings = $null
$exploitGuardObject.Put()

Vea también

• Protección de red

• Protección de red para Linux

• Protección de red para macOS

• Protección de red y protocolo de enlace de tres vías TCP

• Evaluar protección de red

• Solución de problemas de protección de red

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.