En Seguros con Forefront no es la primera vez que hablamos sobre este servicio de Microsoft del que ya se hacía referencia en la serie de entradas Windows Intune Malware Protection: Windows Intune y Forefront Endpoint Protection. Una herramienta que ayuda a gestionar la seguridad de los equipos haciendo uso desde la nube. Es por eso que no queríamos perder la oportunidad de comentaros las nuevas características que incluye la versión 2.0 que ya está en fase beta y disponible para descarga.



Como ya vimos en las entradas referenciada anteriormente, Windows Intune es uno de los servicios que Microsoft ofrece basado en la nube, destacando del mismo como característica principal la posibilidad de gestionar la seguridad de los equipos desde una consola web centralizada, facilitándo así la administración y securización de nuestros equipos. Esta versión beta de Windows Intune 2.0 incluye nuevas características importantes como son:

• Simplificación de las tareas de distribución de software y actualizaciones: En conjunto con las actualizaciones de Microsoft, Windows Intune permite desplegar también aplicaciones y actualizaciones de terceros a nuestros pc´s administrados.

• Administración de todas las licencias de software: Mejora en el modo de gestionar todas sus licencias de software y llevar un seguimiento de todas ellas, como Microsoft Retail, OEM y licencias de terceras partes así como los licenciamientos por Volumen.

• Obtención de mejor reporte de hardware: Mayor facilidad para ver y crear reportes de hardware de todos sus equipos incluyendo datos como: fabricante, memoria instalada, velocidad de CPU o espacio de disco disponible en la máquina.

Para incluir en esta versión 2.0 de Windows Intune las características mencionadas anteriormente, Microsoft ha recogido información aportada por administradores de puestos de trabajos, y diversos directivos de áreas técnicas. De este modo, teniendo en consideración sus indicaciones, se ha dado forma a esta segunda versión.

Windows Intune ha quedado preparada para poder unirse a la plataforma en la nube de Office 365 en un futuro próximo, aunque por parte de Microsoft no hay fecha prevista para ello. El coste de Windows Intune es de 11$ por equipo y mes, costo que probamente quede absorbido por el esquema de precios de Office 365 en el momento de la incorporación de Windows Intune. Esta versión de Windows Intune beta solo permite la administración de 10 equipos durante un periodo de 30 días.
 

============================================================================
- Windows Intune Malware Protection: Windows Intune y Forefront Endpoint Protection (1 de 7)
- Windows Intune Malware Protection: Windows Intune y Forefront Endpoint Protection (2 de 7)
- Windows Intune Malware Protection: Windows Intune y Forefront Endpoint Protection (3 de 7)
- Windows Intune Malware Protection: Windows Intune y Forefront Endpoint Protection (4 de 7)
- Windows Intune Malware Protection: Windows Intune y Forefront Endpoint Protection (5 de 7)
- Windows Intune Malware Protection: Windows Intune y Forefront Endpoint Protection (6 de 7)
- Windows Intune Malware Protection: Windows Intune y Forefront Endpoint Protection (7 de 7)
============================================================================

Funcionamiento de Windows Intune Endpoint Protection (continuación)

Revisando ese menú tras la alerta, dependiendo de en cuál de los enlaces se proceda a hacer clic, se tendrá la posibilidad de que se revele diferente información y se podrá hasta seguir la incidencia paso a paso, tal y como se puede observar en la siguiente imagen:


Imagen 14: Resumen de las aletras de seguridad

Si se pulsa sobre Estado del Equipo, la información indicará en cual o cuales de los equipos que se gestionan desde este servicio han sufrido esa alerta de infección.


Imagen 15: Seguimiento del malware en el equipo

Por el contrario, al pulsar sobre Estado de malware, se mostrará qué software malintencionado ha sido el que se ha procedido a resolver, pudiendo incluso pedir que se muestre información avanzada respecto a ese virus que ha generado la alerta, siendo redirigidos al Portal de Seguridad de Microsoft.


Imagen 16: Información del malware en el portal de Mirosoft

De este modo es posible tener controladas y gestionadas todas las alertas desde una misma consola sin necesidad de instalar servicios adicionales en nuestra infraestructura.

============================================================================
- Windows Intune Malware Protection: Windows Intune y Forefront Endpoint Protection (1 de 7)
- Windows Intune Malware Protection: Windows Intune y Forefront Endpoint Protection (2 de 7)
- Windows Intune Malware Protection: Windows Intune y Forefront Endpoint Protection (3 de 7)
- Windows Intune Malware Protection: Windows Intune y Forefront Endpoint Protection (4 de 7)
- Windows Intune Malware Protection: Windows Intune y Forefront Endpoint Protection (5 de 7)
- Windows Intune Malware Protection: Windows Intune y Forefront Endpoint Protection (6 de 7)
- Windows Intune Malware Protection: Windows Intune y Forefront Endpoint Protection (7 de 7)
============================================================================

============================================================================
- Windows Intune Malware Protection: Windows Intune y Forefront Endpoint Protection (1 de 7)
- Windows Intune Malware Protection: Windows Intune y Forefront Endpoint Protection (2 de 7)
- Windows Intune Malware Protection: Windows Intune y Forefront Endpoint Protection (3 de 7)
- Windows Intune Malware Protection: Windows Intune y Forefront Endpoint Protection (4 de 7)
- Windows Intune Malware Protection: Windows Intune y Forefront Endpoint Protection (5 de 7)
- Windows Intune Malware Protection: Windows Intune y Forefront Endpoint Protection (6 de 7)
- Windows Intune Malware Protection: Windows Intune y Forefront Endpoint Protection (7 de 7)
============================================================================

Funcionamiento de Windows Intune Endpoint Protection

Tras la instalación del cliente de software de Windows Intune y haber reiniciado el equipo, ya se encontrará disponible la solución antimalware de la que se hablará en este artículo, y cuya apariencia es muy parecida a la de las últimas aplicaciones antivirus de Microsoft, como por ejemplo, Microsoft Security Essentials.


Imagen 11: Windows Intune Endpoint Protection

A partir de este momento, cualquier tipo de evento relacionado con malware que se genere en el equipo, aparecerá en la consola centralizada de Windows Intune. Al acceder a la información general en esta consola, ésta mostrará un resumen del estado de los equipos, tanto a nivel de actualizaciones como a nivel de alertas.

En el caso de necesitar información más concreta, es posible acceder al menú de Endpoint Protection, en el cual se mostrará la información concerniente al estado de los equipos de forma general, o en el cual se revisaran las alertas de malware que han sufrido los equipos gestionados por Windows Intune.


Imagen 12: Estado de los equipos

Al producirse un intento de infección en algunos de los equipo de la infraestructura, este sería detectado por parte de la solución antimalware de Windows Intune, y en los equipos aparecería la ventana indicándonos del peligro ante la ejecución de ese software perjudicial.


Imagen 13: Advertencia de malware

============================================================================
- Windows Intune Malware Protection: Windows Intune y Forefront Endpoint Protection (1 de 7)
- Windows Intune Malware Protection: Windows Intune y Forefront Endpoint Protection (2 de 7)
- Windows Intune Malware Protection: Windows Intune y Forefront Endpoint Protection (3 de 7)
- Windows Intune Malware Protection: Windows Intune y Forefront Endpoint Protection (4 de 7)
- Windows Intune Malware Protection: Windows Intune y Forefront Endpoint Protection (5 de 7)
- Windows Intune Malware Protection: Windows Intune y Forefront Endpoint Protection (6 de 7)
- Windows Intune Malware Protection: Windows Intune y Forefront Endpoint Protection (7 de 7)
============================================================================

============================================================================
- Windows Intune Malware Protection: Windows Intune y Forefront Endpoint Protection (1 de 7)
- Windows Intune Malware Protection: Windows Intune y Forefront Endpoint Protection (2 de 7)
- Windows Intune Malware Protection: Windows Intune y Forefront Endpoint Protection (3 de 7)
- Windows Intune Malware Protection: Windows Intune y Forefront Endpoint Protection (4 de 7)
- Windows Intune Malware Protection: Windows Intune y Forefront Endpoint Protection (5 de 7)
- Windows Intune Malware Protection: Windows Intune y Forefront Endpoint Protection (6 de 7)
- Windows Intune Malware Protection: Windows Intune y Forefront Endpoint Protection (7 de 7)
============================================================================

Configuración del agente de Endpoint Protection (continuación)

Una vez seleccionados los equipos, la directiva recién creada se mostrará en su correspondiente menú, desde el que podrá ser editada cliqueando sobre su nombre.


Imagen 9: Ventana de implementación de directiva


En el caso de que el proceso se posponga para más adelante, en el momento que se quiera proceder a ello solo es necesario al menú en el que se encuentran todas las directivas creadas, seleccionar la deseada y hacer clic en Administrar la Implementación, tras lo cual aparecerá la ventana donde es posible seleccionar aquellos equipos a los que se les quiera aplicar esa politica.


Imagen 10: Grupos donde se va a implementar la directiva

Es importante tener en cuenta que es posible generar diferentes directivas para diferentes equipos, basándose, por ejemplo, en las capacidades de hardware, entre otros valores, y que esas políticas siempre pueden ser modificadas, tanto en su configuración como a que equipos se va a aplicar.

============================================================================
- Windows Intune Malware Protection: Windows Intune y Forefront Endpoint Protection (1 de 7)
- Windows Intune Malware Protection: Windows Intune y Forefront Endpoint Protection (2 de 7)
- Windows Intune Malware Protection: Windows Intune y Forefront Endpoint Protection (3 de 7)
- Windows Intune Malware Protection: Windows Intune y Forefront Endpoint Protection (4 de 7)
- Windows Intune Malware Protection: Windows Intune y Forefront Endpoint Protection (5 de 7)
- Windows Intune Malware Protection: Windows Intune y Forefront Endpoint Protection (6 de 7)
- Windows Intune Malware Protection: Windows Intune y Forefront Endpoint Protection (7 de 7)
============================================================================

============================================================================
- Windows Intune Malware Protection: Windows Intune y Forefront Endpoint Protection (1 de 7)
- Windows Intune Malware Protection: Windows Intune y Forefront Endpoint Protection (2 de 7)
- Windows Intune Malware Protection: Windows Intune y Forefront Endpoint Protection (3 de 7)
- Windows Intune Malware Protection: Windows Intune y Forefront Endpoint Protection (4 de 7)
- Windows Intune Malware Protection: Windows Intune y Forefront Endpoint Protection (5 de 7)
- Windows Intune Malware Protection: Windows Intune y Forefront Endpoint Protection (6 de 7)
- Windows Intune Malware Protection: Windows Intune y Forefront Endpoint Protection (7 de 7)
============================================================================

Configuración del agente de Endpoint Protection

Al realizar la instalación inicial, por defecto, los agentes de Endpoint Protection tienen un comportamiento que puede ser modificado accediendo a la consola central de Windows Intune.

Para ello, una vez iniciada sesión en dicho centro de administración, se procederá a hacer clic sobe el menú Directiva, para acceder a la creación de una nueva directiva, pulsando sobre la opción de Crear Nueva Directiva. Tras esto, se abrirá una ventana en la cual será necesario seleccionar, en Nombre de plantilla, la directiva de nombre Configuración de agente de Windows Intune y, a continuación, hacer clic en Crear directiva.

Tras darle nombre a esa directiva, el cual se aconseja sea un nombre descriptivo, se iniciará la configuración de aquellos valores que se consideren necesarios. Estos valores de configuración están divididos en varios grupos que se va a proceder a revisar más adelante. Estos son:

• Servicio Endpoint Protection
• Protección en tiempo real
• Programación y opción de análisis
• Acciones predeterminadas
• Archivos, tipos de archivos, carpetas y procesos excluidos

En la primera de las opciones, en la configuración de la directiva de Servicio Endpoint Protection, se trata de los valores relacionados con la ejecución del programa y el comportamiento ante la detección de malware.

Dentro de Protección en tiempo real se procede a revisar y configurar las acciones que se quiere que supervise el agente, desde Scripts, descargas de archivos hasta comportamientos o inspección de red. Los siguientes valores a configurar se refieren a la programación de análisis y que partes del equipo se va a proceder a analizar, y los pasos previos ante un análisis, como por ejemplo, la búsqueda de nuevas definiciones. Los dos últimos grupos se refieren a, que acciones va a hacer el agente de forma predeterminada ante la detección de un posible malware, y a que partes de los equipos se decide que queden excluidas de los análisis.


Imagen 8: Aplicación de una nueva directiva en Windows Intune

Tras finalizar la configuración, se procede a Guardar la directiva, tras lo cual debe de aparecer una ventana indicando si se va a implementar la directiva recién creada en este momento. En el caso de hacer clic en SI, saldrá otra ventana en la cual se deberá seleccionar para qué grupos de equipos se aplicará esa directiva, de modo que es necesaria una buena organización de los equipos para poder llegar a implementar las directivas de un modo más granular.

============================================================================
- Windows Intune Malware Protection: Windows Intune y Forefront Endpoint Protection (1 de 7)
- Windows Intune Malware Protection: Windows Intune y Forefront Endpoint Protection (2 de 7)
- Windows Intune Malware Protection: Windows Intune y Forefront Endpoint Protection (3 de 7)
- Windows Intune Malware Protection: Windows Intune y Forefront Endpoint Protection (4 de 7)
- Windows Intune Malware Protection: Windows Intune y Forefront Endpoint Protection (5 de 7)
- Windows Intune Malware Protection: Windows Intune y Forefront Endpoint Protection (6 de 7)
- Windows Intune Malware Protection: Windows Intune y Forefront Endpoint Protection (7 de 7)
============================================================================