Uso de la protección de red para evitar conexiones a sitios malintencionados o sospechosos
Se aplica a:
- Microsoft Defender para punto de conexión Plan 1
- Microsoft Defender para punto de conexión Plan 2
- Microsoft Defender XDR
- Antivirus de Microsoft Defender
Plataformas
- Windows
- macOS
- Linux
¿Quiere experimentar Microsoft Defender para punto de conexión? Regístrese para obtener una evaluación gratuita.
Introducción a la protección de red
La protección de red ayuda a proteger los dispositivos de determinados eventos basados en Internet mediante la prevención de conexiones a sitios malintencionados o sospechosos. La protección de red es una funcionalidad de reducción de la superficie expuesta a ataques que ayuda a evitar que las personas de su organización accedan a dominios que se consideran peligrosos a través de las aplicaciones. Algunos ejemplos de dominios peligrosos son los dominios que hospedan estafas de phishing, vulnerabilidades de seguridad y otro contenido malintencionado en Internet. La protección de red expande el ámbito de Microsoft Defender SmartScreen para bloquear todo el tráfico HTTP(S) saliente que intenta conectarse a orígenes de baja reputación (en función del dominio o el nombre de host).
La protección de red amplía la protección de la protección web al nivel del sistema operativo y es un componente principal para el filtrado de contenido web (WCF). Proporciona la funcionalidad de protección web que se encuentra en Microsoft Edge a otros exploradores compatibles y aplicaciones que no se pueden conectar. La protección de red también proporciona visibilidad y bloqueo de indicadores de riesgo (IOC) cuando se usan con la detección y respuesta de puntos de conexión. Por ejemplo, la protección de red funciona con los indicadores personalizados que puede usar para bloquear dominios o nombres de host específicos.
Cobertura de protección de red
En la tabla siguiente se resumen las áreas de cobertura de protección de red.
| Característica | Microsoft Edge | Exploradores de terceros | Procesos no del navegador (por ejemplo, PowerShell) |
|---|---|---|---|
| Protección contra amenazas web | SmartScreen debe estar habilitado | La protección de red debe estar en modo de bloque | La protección de red debe estar en modo de bloque |
| Indicadores personalizados | SmartScreen debe estar habilitado | La protección de red debe estar en modo de bloque | La protección de red debe estar en modo de bloque |
| Filtrado de contenido web | SmartScreen debe estar habilitado | La protección de red debe estar en modo de bloque | No se admite |
Nota:
En Mac y Linux, debe tener protección de red en modo de bloque para obtener compatibilidad con estas características en Edge. En Windows, la protección de red no supervisa Microsoft Edge. En el caso de los procesos distintos de Microsoft Edge e Internet Explorer, los escenarios de protección web aprovechan la protección de red para la inspección y el cumplimiento.
- Ip es compatible con los tres protocolos (TCP, HTTP y HTTPS (TLS)).
- Solo se admiten direcciones IP únicas (sin bloques CIDR ni intervalos IP) en indicadores personalizados.
- Las direcciones URL cifradas (ruta de acceso completa) solo se pueden bloquear en exploradores de primera entidad (Internet Explorer, Edge).
- Las direcciones URL cifradas (solo FQDN) se pueden bloquear en exploradores de terceros (es decir, distintas de Internet Explorer, Edge).
- Los bloques de ruta de acceso de dirección URL completa se pueden aplicar a direcciones URL sin cifrar.
Puede haber hasta 2 horas de latencia (normalmente menos) entre el momento en que se realiza la acción y la dirección URL y la dirección IP bloqueadas.
Vea este vídeo para obtener información sobre cómo la protección de red ayuda a reducir la superficie expuesta a ataques de los dispositivos frente a estafas de suplantación de identidad (phishing), vulnerabilidades de seguridad y otro contenido malintencionado.
Requisitos para la protección de red
La protección de red requiere dispositivos que ejecutan uno de los siguientes sistemas operativos:
- Windows 10 o 11 (Pro o Enterprise) (consulte Versiones compatibles con Windows)
- Windows Server, versión 1803 o posterior (consulte Versiones admitidas de Windows)
- macOS versión 12 (Monterey) o posterior (consulte Microsoft Defender para punto de conexión en Mac)
- Una versión de Linux compatible (consulte Microsoft Defender para punto de conexión en Linux)
La protección de red también requiere Microsoft Defender Antivirus con la protección en tiempo real habilitada.
| Versión de Windows | Antivirus de Microsoft Defender |
|---|---|
| Windows 10 versión 1709 o posterior, Windows 11, Windows Server 1803 o posterior | Asegúrese de que Microsoft Defender protección en tiempo real del antivirus, la supervisión del comportamiento y la protección entregada en la nube estén habilitadas (activas) |
| Windows Server 2012 R2 y Windows Server 2016 con el agente unificado | Platform Update versión 4.18.2001.x.x o posterior |
Por qué es importante la protección de red
La protección de red forma parte del grupo de soluciones de reducción de superficie expuesta a ataques en Microsoft Defender para punto de conexión. La protección de red permite que la capa de red bloquee las direcciones URL y las direcciones IP. La protección de red puede impedir que se acceda a las direcciones URL mediante determinados exploradores y conexiones de red estándar. De forma predeterminada, la protección de red protege los equipos de direcciones URL malintencionadas conocidas mediante la fuente SmartScreen, que bloquea las direcciones URL malintencionadas de forma similar a SmartScreen en el explorador Microsoft Edge. La funcionalidad de protección de red se puede ampliar a:
- Bloquear direcciones IP/URL de su propia inteligencia sobre amenazas (indicadores)
- Bloquear los servicios no autorizadas de Microsoft Defender for Cloud Apps
- Bloquear el acceso del explorador a sitios web en función de la categoría (filtrado de contenido web)
La protección de red es una parte fundamental de la pila de protección y respuesta de Microsoft.
Sugerencia
Para obtener más información sobre la protección de red para Windows Server, Linux, MacOS y Mobile Threat Defense (MTD), consulte Búsqueda proactiva de amenazas con búsqueda avanzada.
Bloquear ataques de comando y control
Los equipos de servidor de comandos y control (C2) los usan usuarios malintencionados para enviar comandos a sistemas previamente comprometidos por malware. Los ataques C2 normalmente se ocultan en servicios basados en la nube, como el uso compartido de archivos y los servicios de correo web, lo que permite que los servidores C2 eviten la detección combinando con el tráfico típico.
Los servidores C2 se pueden usar para iniciar comandos que pueden:
- Robar datos
- Control de equipos en peligro en una botnet
- Interrupción de aplicaciones legítimas
- Propagar malware, como ransomware
El componente de protección de red de Defender para punto de conexión identifica y bloquea las conexiones a infraestructuras C2 usadas en ataques de ransomware operados por personas, mediante técnicas como el aprendizaje automático y la identificación inteligente del indicador de riesgo (IoC).
Protección de red: detección y corrección de C2
En su forma inicial, ransomware es una amenaza de mercancía que está preprogramada y centrada en resultados limitados y específicos (como el cifrado de un equipo). Sin embargo, el ransomware ha evolucionado hasta convertirse en una amenaza sofisticada controlada por el ser humano, adaptable y centrada en resultados a mayor escala y más extendidos, como mantener los recursos o datos de toda una organización para el rescate.
La compatibilidad con servidores de comandos y control (C2) es una parte importante de esta evolución de ransomware, y es lo que permite que estos ataques se adapten al entorno al que se dirigen. La interrupción del vínculo a la infraestructura de comando y control detiene la progresión de un ataque a su siguiente fase. Para obtener más información sobre la detección y corrección de C2, consulte Detección y corrección de ataques de comandos y control en la capa de red.
Protección de red: nuevas notificaciones del sistema
| Nueva asignación | Categoría de respuesta | Fuentes |
|---|---|---|
| suplantación de identidad (phishing) | Suplantación de identidad (phishing) | SmartScreen |
| malicioso | Malintencionado | SmartScreen |
| comando y control | C2 | SmartScreen |
| comando y control | COCO | SmartScreen |
| malicioso | Untrusted | SmartScreen |
| por el administrador de TI | CustomBlockList | |
| por el administrador de TI | CustomPolicy |
Nota:
customAllowList no genera notificaciones en los puntos de conexión.
Nuevas notificaciones para la determinación de la protección de red
Una nueva funcionalidad disponible públicamente en la protección de red usa funciones en SmartScreen para bloquear las actividades de suplantación de identidad (phishing) de sitios de control y comandos malintencionados. Cuando un usuario final intenta visitar un sitio web en un entorno en el que está habilitada la protección de red, son posibles tres escenarios:
- La dirección URL tiene una buena reputación conocida : en este caso, el usuario tiene acceso permitido sin obstrucción y no se presenta ninguna notificación del sistema en el punto de conexión. De hecho, el dominio o la dirección URL se establecen en Permitido.
- La dirección URL tiene una reputación desconocida o incierta : el acceso del usuario está bloqueado, pero con la capacidad de eludir (desbloquear) el bloque. De hecho, el dominio o la dirección URL se establece en Auditar.
- La dirección URL tiene una reputación mal conocida (malintencionada): se impide el acceso al usuario. De hecho, el dominio o la dirección URL se establece en Bloquear.
Experiencia de advertencia
Un usuario visita un sitio web:
Si la dirección URL tiene una reputación desconocida o incierta, una notificación del sistema presenta al usuario las siguientes opciones:
Aceptar : la notificación del sistema se publica (se quita) y el intento de acceder al sitio ha finalizado.
Desbloquear : el usuario tiene acceso al sitio durante 24 horas; momento en el que se vuelve a habilitar el bloque. El usuario puede seguir usando Desbloquear para acceder al sitio hasta el momento en que el administrador prohíba (bloquea) el sitio, lo que elimina la opción de Desbloquear.
Comentarios : la notificación del sistema presenta al usuario un vínculo para enviar una incidencia, que el usuario puede usar para enviar comentarios al administrador en un intento de justificar el acceso al sitio.
Nota:
Las imágenes que se muestran en este artículo para la experiencia y
blocklawarnexperiencia usan "url bloqueada" como texto de marcador de posición de ejemplo. En un entorno que funciona, se muestra la dirección URL o el dominio reales.
Experiencia en bloques
Un usuario visita un sitio web:
- Si la dirección URL tiene mala reputación, una notificación del sistema presenta al usuario las siguientes opciones:
De acuerdo La notificación del sistema se publica (quita) y finaliza el intento de acceder al sitio.
Retroalimentación La notificación del sistema presenta al usuario un vínculo para enviar una incidencia, que el usuario puede usar para enviar comentarios al administrador en un intento de justificar el acceso al sitio.
Desbloqueo de SmartScreen
Con los indicadores de Defender para punto de conexión, los administradores pueden permitir que los usuarios finales omitan las advertencias que se generan para algunas direcciones URL e direcciones IP. En función de por qué se bloquea la dirección URL, cuando se encuentra un bloque SmartScreen, podría ofrecer al usuario la capacidad de desbloquear el sitio durante un máximo de 24 horas. En tales casos, aparece una notificación del sistema Seguridad de Windows, lo que permite al usuario seleccionar Desbloquear. En tales casos, la dirección URL o la dirección IP se desbloquean durante el período de tiempo especificado.
Microsoft Defender para punto de conexión administradores pueden configurar la funcionalidad Desbloquee SmartScreen en el portal de Microsoft Defender mediante un indicador de permiso para direcciones IP, direcciones URL y dominios.
Consulte Creación de indicadores para direcciones IP y direcciones URL/dominios.
Uso de la protección de red
La protección de red está habilitada por dispositivo, que normalmente se realiza mediante la infraestructura de administración. Para ver los métodos admitidos, consulte Activar la protección de red.
Nota:
Microsoft Defender Antivirus debe estar en modo activo para habilitar la protección de red.
Puede habilitar la protección de red en audit modo o block modo. Si desea evaluar el impacto de habilitar la protección de red antes de bloquear realmente direcciones IP o direcciones URL, puede habilitar la protección de red en modo de auditoría y recopilar datos sobre lo que se bloquearía. Registros de modo de auditoría cada vez que los usuarios finales se conectan a una dirección o sitio que, de lo contrario, estarían bloqueados por la protección de red. Para que los indicadores de peligro (IoC) o filtrado de contenido web (WCF) funcionen, la protección de red debe estar en block modo.
Para obtener información sobre la protección de red para Linux y macOS, consulte los artículos siguientes:
Búsqueda avanzada de amenazas
Si usa la búsqueda avanzada para identificar eventos de auditoría, tiene un historial de hasta 30 días disponible en la consola. Consulte Búsqueda avanzada.
Puede encontrar los eventos de auditoría en Búsqueda avanzada en el portal de Defender para punto de conexión (https://security.microsoft.com).
Los eventos de auditoría se encuentran en DeviceEvents con un ActionType de ExploitGuardNetworkProtectionAudited. Los bloques se muestran con un objeto ActionType de ExploitGuardNetworkProtectionBlocked.
Esta es una consulta de ejemplo para ver eventos de Protección de red para exploradores que no son de Microsoft:
DeviceEvents
|where ActionType in ('ExploitGuardNetworkProtectionAudited','ExploitGuardNetworkProtectionBlocked')
Sugerencia
Estas entradas tienen datos en la columna AdditionalFields , lo que proporciona una gran información sobre la acción; si expande AdditionalFields , también puede obtener los campos IsAudit, ResponseCategory y DisplayName.
Este es otro ejemplo:
DeviceEvents
|where ActionType contains "ExploitGuardNetworkProtection"
|extend ParsedFields=parse_json(AdditionalFields)
|project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName, IsAudit=tostring(ParsedFields.IsAudit), ResponseCategory=tostring(ParsedFields.ResponseCategory), DisplayName=tostring(ParsedFields.DisplayName)
|sort by Timestamp desc
La categoría Respuesta indica qué causó el evento, como en este ejemplo:
| ResponseCategory | Característica responsable del evento |
|---|---|
| CustomPolicy | WCF |
| CustomBlockList | Indicadores personalizados |
| CasbPolicy | Defender for Cloud Apps |
| Malintencionado | Amenazas web |
| Suplantación de identidad (phishing) | Amenazas web |
Para obtener más información, consulte Solución de problemas de bloques de puntos de conexión.
Si usa el explorador Microsoft Edge, use esta consulta para Microsoft Defender eventos de SmartScreen:
DeviceEvents
| where ActionType == "SmartScreenUrlWarning"
| extend ParsedFields=parse_json(AdditionalFields)
| project DeviceName, ActionType, Timestamp, RemoteUrl, InitiatingProcessFileName
Puede usar la lista resultante de direcciones URL e direcciones IP para determinar qué se bloquearía si la protección de red está establecida en modo de bloqueo en el dispositivo. También puede ver qué características bloquearían las direcciones URL y las direcciones IP. Revise la lista para identificar las direcciones URL o direcciones IP necesarias para su entorno. A continuación, puede crear un indicador de permiso para esas direcciones URL o direcciones IP. Los indicadores allow tienen prioridad sobre cualquier bloque.
Una vez que haya creado un indicador, puede ver cómo resolver el problema subyacente de la siguiente manera:
- SmartScreen: revisión de solicitudes
- Indicador: modificación del indicador existente
- MCA: revisión de una aplicación no autorizada
- WCF: recategorización de solicitudes
Con estos datos, puede tomar una decisión informada sobre la habilitación de la protección de red en modo de bloque. Consulte Orden de precedencia de los bloques de protección de red.
Nota:
Como se trata de una configuración por dispositivo, si hay dispositivos que no pueden pasar al modo de bloqueo, simplemente puede dejarlos en auditoría hasta que pueda rectificar el desafío y seguirá recibiendo los eventos de auditoría.
Para obtener información sobre cómo notificar falsos positivos, vea Notificar falsos positivos.
Para obtener más información sobre cómo crear sus propios informes de Power BI, consulte Creación de informes personalizados mediante Power BI.
Configuración de la protección de red
Para obtener más información sobre cómo habilitar la protección de red, consulte Habilitación de la protección de red. Use los CSP de directiva de grupo, PowerShell o MDM para habilitar y administrar la protección de red en la red.
Después de habilitar la protección de red, es posible que tenga que configurar la red o el firewall para permitir las conexiones entre los dispositivos de punto de conexión y los servicios web:
.smartscreen.microsoft.com.smartscreen-prod.microsoft.com
Visualización de eventos de protección de red
La protección de red funciona mejor con Microsoft Defender para punto de conexión, lo que proporciona informes detallados sobre eventos y bloques de protección contra vulnerabilidades como parte de escenarios de investigación de alertas.
Cuando la protección de red bloquea una conexión, se muestra una notificación desde el Centro de acciones. El equipo de operaciones de seguridad puede personalizar la notificación con los detalles de la organización y la información de contacto. Además, las reglas de reducción de superficie expuesta a ataques individuales se pueden habilitar y personalizar para adaptarse a ciertas técnicas de supervisión.
También puede usar el modo de auditoría para evaluar cómo afectaría la protección de red a su organización si estuviera habilitada.
Revisión de eventos de protección de red en el portal de Microsoft Defender
Defender para punto de conexión proporciona informes detallados sobre eventos y bloques como parte de sus escenarios de investigación de alertas. Puede ver estos detalles en el portal de Microsoft Defender (https://security.microsoft.com) de la cola de alertas o mediante la búsqueda avanzada. Si usa el modo de auditoría, puede usar la búsqueda avanzada para ver cómo afectaría la configuración de protección de red a su entorno si estuvieran habilitadas.
Revise los eventos de protección de red en Windows Visor de eventos
Puede revisar el registro de eventos de Windows para ver los eventos que se crean cuando la protección de red bloquea (o audita) el acceso a una dirección IP o dominio malintencionados:
Seleccione Aceptar.
Este procedimiento crea una vista personalizada que filtra para mostrar solo los siguientes eventos relacionados con la protección de red:
| Id. de evento | Descripción |
|---|---|
| 5007 | Evento cuando se cambia la configuración |
| 1125 | Evento cuando se activa la protección de red en modo de auditoría |
| 1126 | Evento cuando se activa la protección de red en modo de bloque |
Protección de red y protocolo de enlace de tres vías TCP
Con la protección de red, la determinación de si se va a permitir o bloquear el acceso a un sitio se realiza después de la finalización del protocolo de enlace triple a través de TCP/IP. Por lo tanto, cuando la protección de red bloquea un sitio, es posible que vea un tipo de acción de ConnectionSuccess en DeviceNetworkEvents en el portal de Microsoft Defender, aunque el sitio esté bloqueado.
DeviceNetworkEvents se notifican desde la capa TCP y no desde la protección de red. Una vez completado el protocolo de enlace triple, la protección de red permite o bloquea el acceso al sitio.
Este es un ejemplo de cómo funciona:
Supongamos que un usuario intenta acceder a un sitio web en su dispositivo. El sitio se hospeda en un dominio peligroso y debe estar bloqueado por la protección de red.
Comienza el protocolo de enlace triple a través de TCP/IP. Antes de que se complete, se registra una
DeviceNetworkEventsacción y suActionTypeaparece comoConnectionSuccess. Sin embargo, en cuanto se completa el proceso de protocolo de enlace triple, la protección de red bloquea el acceso al sitio. Todo esto sucede rápidamente. Se produce un proceso similar con Microsoft Defender SmartScreen; es cuando se completa el protocolo de enlace de tres vías que se realiza una determinación y se bloquea o se permite el acceso a un sitio.En el portal de Microsoft Defender, se muestra una alerta en la cola de alertas. Los detalles de esa alerta incluyen tanto
DeviceNetworkEventscomoAlertEvidence. Puede ver que el sitio se bloqueó, aunque también tenga unDeviceNetworkEventselemento con actiontype deConnectionSuccess.
Consideraciones para el escritorio virtual Windows que ejecuta Windows 10 Enterprise multisesión
Debido a la naturaleza multiusuario de Windows 10 Enterprise, tenga en cuenta los siguientes puntos:
La protección de red es una característica de todo el dispositivo y no se puede dirigir a sesiones de usuario específicas.
Las directivas de filtrado de contenido web también son para todo el dispositivo.
Si necesita diferenciar entre grupos de usuarios, considere la posibilidad de crear asignaciones y grupos de hosts de Windows Virtual Desktop independientes.
Pruebe la protección de red en modo de auditoría para evaluar su comportamiento antes de su implementación.
Considere la posibilidad de cambiar el tamaño de la implementación si tiene un gran número de usuarios o un gran número de sesiones de varios usuarios.
Opción alternativa para la protección de red
Para Windows Server 2012 R2 y Windows Server 2016 con la solución unificada moderna, Windows Server versión 1803 o posterior y Windows 10 Enterprise Multi-Session 1909 y versiones posteriores, que se usan en Windows Virtual Desktop en Azure, la protección de red para Microsoft Edge se puede habilitar mediante el método siguiente:
Use Activar la protección de red y siga las instrucciones para aplicar la directiva.
Ejecute los siguientes comandos de PowerShell:
Set-MpPreference -EnableNetworkProtection EnabledSet-MpPreference -AllowNetworkProtectionOnWinServer 1Set-MpPreference -AllowNetworkProtectionDownLevel 1Set-MpPreference -AllowDatagramProcessingOnWinServer 1Nota:
En algunos casos, dependiendo de la infraestructura, el volumen de tráfico y otras condiciones,
Set-MpPreference -AllowDatagramProcessingOnWinServer 1pueden tener un efecto en el rendimiento de la red.
Protección de red para servidores Windows Server
A continuación se muestra información específica de Servidores Windows.
Comprobación de que la protección de red está habilitada
Compruebe si la protección de red está habilitada en un dispositivo local mediante Editor del Registro.
Seleccione el botón Iniciar en la barra de tareas y escriba regedit para abrir la Editor del Registro.
Seleccione HKEY_LOCAL_MACHINE en el menú lateral.
Navegue por los menús anidados hastaDirectivas>de SOFTWARE> Protección dered deProtección contra vulnerabilidades> de seguridad de Windows Defender deMicrosoft>Windows Defender>.
(Si la clave no está presente, vaya a SOFTWARE.>Microsoft>Windows Defender>Protección contra vulnerabilidades de seguridad> de Windows DefenderProtección de red)
Seleccione EnableNetworkProtection para ver el estado actual de la protección de red en el dispositivo:
-
0= Desactivado -
1= Activado (habilitado) -
2= Modo auditoría
-
Para obtener más información, consulte Activar la protección de red.
Claves del Registro sugeridas de protección de red
Para Windows Server 2012 R2 y Windows Server 2016 con la solución unificada moderna, Windows Server versión 1803 o posterior y Windows 10 Enterprise Multi-Session 1909 y versiones posteriores (que se usan en Windows Virtual Desktop en Azure), habilite otras claves del Registro, como se indica a continuación:
Vaya a HKEY_LOCAL_MACHINE>SOFTWARE> Protección deredde Protección contra vulnerabilidades> de seguridad de Windows Defender deMicrosoft>Windows Defender>.
Configure las claves siguientes:
-
AllowNetworkProtectionOnWinServer(DWORD) establecido en1(hexadecimal) -
EnableNetworkProtection(DWORD) establecido en1(hexadecimal) - (Solo en Windows Server 2012 R2 y Windows Server 2016)
AllowNetworkProtectionDownLevel(DWORD) establecido en1(hexadecimal)
-
Nota:
En función de la infraestructura, el volumen de tráfico y otras condiciones, HKEY_LOCAL_MACHINE>directivas>de SOFTWARE>de Microsoft>Windows Defender>NIS>Consumers>IPS - AllowDatagramProcessingOnWinServer (dword) 1 (hexadecimal) puede tener un efecto en el rendimiento de la red.
Para obtener más información, consulte: Activar la protección de red.
La configuración de servidores Windows y windows multisesión requiere PowerShell
Para servidores Windows y sesiones múltiples de Windows, hay otros elementos que debe habilitar mediante cmdlets de PowerShell. Para Windows Server 2012 R2 y Windows Server 2016 con la solución unificada moderna, Windows Server versión 1803 o posterior y Windows 10 Enterprise Multi-Session 1909 y versiones posteriores, que se usan en Windows Virtual Desktop en Azure, ejecute los siguientes comandos de PowerShell:
Set-MpPreference -EnableNetworkProtection Enabled
Set-MpPreference -AllowNetworkProtectionOnWinServer 1
Set-MpPreference -AllowNetworkProtectionDownLevel 1
Set-MpPreference -AllowDatagramProcessingOnWinServer 1
Nota:
En algunos casos, dependiendo de la infraestructura, el volumen de tráfico y otras condiciones, Set-MpPreference -AllowDatagramProcessingOnWinServer 1 pueden afectar al rendimiento de la red.
Solución de problemas de protección de red
Debido al entorno donde se ejecuta la protección de red, es posible que la característica no pueda detectar la configuración del proxy del sistema operativo. En algunos casos, los clientes de protección de red no pueden acceder al servicio en la nube. Para resolver el problema de conectividad, configure un proxy estático para Microsoft Defender Antivirus.
Nota:
Antes de iniciar la solución de problemas, asegúrese de establecer el protocolo disabled QUIC en en los exploradores que se usan. El protocolo QUIC no se admite con la funcionalidad de protección de red.
Dado que el acceso seguro global no admite actualmente el tráfico UDP, no se puede tunelizar el tráfico UDP al puerto 443 . Puede deshabilitar el protocolo QUIC para que los clientes de acceso seguro global vuelvan a usar HTTPS (tráfico TCP en el puerto 443). Debe realizar este cambio si los servidores a los que intenta acceder admiten QUIC (por ejemplo, a través de Microsoft Exchange Online). Para deshabilitar QUIC, puede realizar una de las siguientes acciones:
Deshabilitación de QUIC en Firewall de Windows
El método más genérico para deshabilitar QUIC es deshabilitar esa característica en Firewall de Windows. Este método afecta a todas las aplicaciones, incluidos los exploradores y las aplicaciones cliente (como Microsoft Office). En PowerShell, ejecute el New-NetFirewallRule cmdlet para agregar una nueva regla de firewall que deshabilite QUIC para todo el tráfico saliente desde el dispositivo:
Copy
$ruleParams = @{
DisplayName = "Block QUIC"
Direction = "Outbound"
Action = "Block"
RemoteAddress = "0.0.0.0/0"
Protocol = "UDP"
RemotePort = 443
}
New-NetFirewallRule @ruleParams
Deshabilitación de QUIC en un explorador web
Puede deshabilitar QUIC en el nivel de explorador web. Sin embargo, este método de deshabilitación de QUIC significa que QUIC sigue funcionando en aplicaciones que no se pueden conectar. Para deshabilitar QUIC en Microsoft Edge o Google Chrome, abra el explorador, busque la configuración del protocolo QUIC experimental (#enable-quic marca) y, a continuación, cambie la configuración a Disabled. En la tabla siguiente se muestra qué URI escribir en la barra de direcciones del explorador para que pueda acceder a esa configuración.
| Explorador | URI |
|---|---|
| Microsoft Edge | edge://flags/#enable-quic |
| Google Chrome | chrome://flags/#enable-quic |
Optimización del rendimiento de la protección de red
La protección de red incluye optimización del rendimiento que permite block al modo inspeccionar de forma asincrónica las conexiones de larga duración, lo que podría proporcionar una mejora del rendimiento. Esta optimización también puede ayudar con los problemas de compatibilidad de aplicaciones. Esta funcionalidad está activada de forma predeterminada. Puede desactivar esta funcionalidad mediante el siguiente cmdlet de PowerShell:
Set-MpPreference -AllowSwitchToAsyncInspection $false
Vea también
- Evaluación de la protección de red | Realice un escenario rápido que muestre cómo funciona la característica y qué eventos se crearían normalmente.
- Habilitación de la protección de red | Use los CSP de directiva de grupo, PowerShell o MDM para habilitar y administrar la protección de red en la red.
- Configuración de funcionalidades de reducción de superficie expuesta a ataques en Microsoft Intune
- Protección de red para Linux | Para obtener información sobre el uso de la protección de Microsoft Network para dispositivos Linux.
- Protección de red para macOS | Para obtener más información sobre la protección de red de Microsoft para macOS
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.