La seguridad es uno de los temas más importantes y que mayor atención merece en cuanto a equipos informáticos se refiere. En este aspecto Microsoft ha trabajado por mejorar en los últimos tiempos. Uno de los ejemplos más recientes los tenemos con Windows 10 Fall Creators, la última actualización del sistema operativo de la compañía. Una de las características de seguridad que incorpora es la de Windows Defender Network Protection. En este artículo vamos a explicar cómo podemos configurar esta protección.
Configurar Windows Defender Network
Esta herramienta forma parte de Windows Defender Exploit Guard, y requiere que Windows Defender esté encendido y que la característica de protección en tiempo real del programa de seguridad también esté habilitada. Respecto a Windows Defender Exploit hablamos recientemente en un artículo donde explicábamos, más a fondo, en qué consiste y cómo funciona.
Los administradores y usuarios del sistema pueden configurar la característica de protección de Windows Defender Network mediante las políticas de grupo de la herramienta, PowerShell o MDM CSP.
Podemos utilizar la política de grupo para habilitar la protección de red en Windows 10 Fall Creators. Para ello hay que hacer lo siguiente:
Pulsar la tecla Windows y escribir gpedit.msc y presionar la tecla intro para cargar el editor de política de grupo.
Ir a Configuración del equipo> Plantillas administrativas> Componentes de Windows> Windows Defender Antivirus> Windows Defender Exploit Guard> Protección de red.
Cargar “Impedir que usuarios y aplicaciones accedan a sitios web peligrosos” con un doble clic.
Poner la política de grupo en modo habilitado y asignar una de las siguientes opciones:
Bloque: las direcciones IP y dominios maliciosos están bloqueados.
Desactivado (predeterminado): la función no está activa.
Modo de auditoría: registra los eventos bloqueados pero no bloquea los eventos.
Usando PowerShell
Podemos usar PowerShell en su lugar para administrar la función de protección de red. Para ello hay que utilizar los siguientes comandos:
Set-MpPreference -EnableNetworkProtection Enabled
Set-MpPreference -EnableNetworkProtection AuditMode
Set-MpPreference -EnableNetworkProtection desactivado
Debemos abrir un indicador de PowerShell con permisos elevados para ejecutar estos comandos:
Tocar la tecla de Windows, escribir PowerShell, mantener presionada la tecla Mayúscula y la tecla Ctrl y seleccionar PowerShell en los resultados para abrir una interfaz de PowerShell con privilegios administrativos.
Eventos de protección de red
Los eventos se graban cuando la característica está habilitada. Microsoft publicó un paquete de recursos que incluye vistas personalizadas para Event Viewer para facilitar las cosas a los administradores.
Descargar el paquete de evaluación Exploit Guard de Microsoft.
Extraer el paquete al sistema local.
Contiene vistas XML personalizadas para todos los eventos de Exploit Guard. Necesitamos el archivo np-events.xml para la vista de evento de protección de red personalizada.
Tocar la tecla de Windows, escribir Event Viewer y seleccionar la entrada que devuelve la búsqueda.
Seleccionar Acción> Importar vista personalizada.
Cargar np-events.xml y seleccionar Aceptar para agregar la vista al Visor de eventos.
Los siguientes eventos se escriben en el registro cuando la característica de seguridad está habilitada en equipos con Windows 10:
Evento 1125 – Eventos de modo de auditoría.
Evento 1126 – Eventos en modo bloque.
Evento 5007 – Eventos de modificación de configuraciones
Fuente: redeszone