Comparteix a través de


Configuración de Windows que puede administrar a través de un perfil de Intune Endpoint Protection

Nota:

Intune puede admitir más opciones de configuración que las que se enumeran en este artículo. No todas las configuraciones están documentadas y no se documentarán. Para ver la configuración que puede configurar, cree una directiva de configuración de dispositivo y seleccione Catálogo de configuración. Para más información, vaya al Catálogo de configuraciones.

Microsoft Intune incluye muchas opciones de configuración para ayudar a proteger los dispositivos. En este artículo se describen los valores de la plantilla endpoint protection de configuración de dispositivo. Para administrar la seguridad del dispositivo, también puede usar directivas de seguridad de punto de conexión, que se centran directamente en subconjuntos de seguridad de dispositivos. Para configurar el Antivirus de Microsoft Defender, consulte Restricciones de dispositivos Windows o usar la directiva antivirus de seguridad de punto de conexión.

Antes de empezar

Cree un perfil de configuración de dispositivo de Endpoint Protection.

Para obtener más información sobre los proveedores de servicios de configuración (CSP), consulte Referencia del proveedor de servicios de configuración.

Protección de aplicaciones de Microsoft Defender

Para Microsoft Edge, Protección de aplicaciones de Microsoft Defender protege su entorno frente a sitios de confianza para su organización. Con Application Guard, los sitios que no están en el límite de red aislado se abren en una sesión de exploración virtual de Hyper-V. Los sitios de confianza se definen mediante un límite de red, que se configuran en Configuración del dispositivo. Para obtener más información, consulte Creación de un límite de red en dispositivos Windows.

Application Guard solo está disponible para dispositivos Windows de 64 bits. Con este perfil se instala un componente win32 para activar Application Guard.

  • Protección de aplicaciones
    Valor predeterminado: no configurado
    CSP de Application Guard: Configuración/AllowWindowsDefenderApplicationGuard

    • Habilitado para Edge : activa esta característica, que abre sitios que no son de confianza en un contenedor de exploración virtualizada de Hyper-V.
    • No configurado : cualquier sitio (de confianza y que no sea de confianza) puede abrirse en el dispositivo.
  • Comportamiento del Portapapeles
    Valor predeterminado: no configurado
    CSP de Application Guard: Configuración/PortapapelesSettings

    Elija qué acciones de copiar y pegar se permiten entre el equipo local y el explorador virtual de Application Guard.

    • Sin configurar
    • Permitir copiar y pegar solo desde pc a explorador
    • Permitir copiar y pegar solo desde el explorador al equipo
    • Permitir copiar y pegar entre pc y explorador
    • Bloquear copiar y pegar entre pc y explorador
  • Contenido del Portapapeles
    Esta configuración solo está disponible cuando el comportamiento del Portapapeles se establece en una de las opciones de permitir .
    Valor predeterminado: no configurado
    CSP de Application Guard: Configuración/ClipboardFileType

    Seleccione el contenido del Portapapeles permitido.

    • Sin configurar
    • Text
    • Images
    • Texto e imágenes
  • Contenido externo en sitios empresariales
    Valor predeterminado: no configurado
    CSP de Application Guard: Configuración/BlockNonEnterpriseContent

    • Bloquear : impedir que se cargue contenido de sitios web no aprobados.
    • No configurado : los sitios no empresariales se pueden abrir en el dispositivo.
  • Imprimir desde el explorador virtual
    Valor predeterminado: no configurado
    CSP de Application Guard: Configuración/PrintingSettings

    • Permitir : permite la impresión del contenido seleccionado desde el explorador virtual.
    • No configurado Deshabilite todas las características de impresión.

    Al permitir la impresión, puede configurar el siguiente valor:

    • Tipos de impresión Seleccione una o varias de las siguientes opciones:
      • PDF
      • XPS
      • Impresoras locales
      • Impresoras de red
  • Recopilación de registros
    Valor predeterminado: no configurado
    CSP de Application Guard: Audit/AuditApplicationGuard

    • Permitir : recopile registros de eventos que se producen dentro de una sesión de exploración de Application Guard.
    • No configurado : no recopile ningún registro dentro de la sesión de exploración.
  • Conservar los datos del explorador generados por el usuario
    Valor predeterminado: no configurado
    CSP de Application Guard: Configuración/AllowPersistence

    • Conceder Guarde los datos de usuario (como contraseñas, favoritos y cookies) que se crean durante una sesión de exploración virtual de Application Guard.
    • No configurado Descarte los archivos y datos descargados por el usuario cuando se reinicie el dispositivo o cuando un usuario cierre la sesión.
  • Aceleración de gráficos
    Valor predeterminado: no configurado
    CSP de Application Guard: Configuración/AllowVirtualGPU

    • Habilitar : cargue sitios web y vídeos de uso intensivo de gráficos más rápido al obtener acceso a una unidad de procesamiento de gráficos virtual.
    • No configurado Use la CPU del dispositivo para gráficos; No use la unidad de procesamiento de gráficos virtuales.
  • Descarga de archivos en el sistema de archivos host
    Valor predeterminado: no configurado
    CSP de Application Guard: Configuración/SaveFilesToHost

    • Habilitar : los usuarios pueden descargar archivos del explorador virtualizado en el sistema operativo host.
    • No configurado : mantiene los archivos locales en el dispositivo y no descarga archivos en el sistema de archivos host.

Firewall de Windows

Configuración global

Esta configuración se aplica a todos los tipos de red.

  • Protocolo de transferencia de archivos
    Valor predeterminado: no configurado
    CSP de firewall: MdmStore/Global/DisableStatefulFtp

    • Bloquear : deshabilite FTP con estado.
    • No configurado : el firewall realiza el filtrado FTP con estado para permitir conexiones secundarias.
  • Tiempo de inactividad de la asociación de seguridad antes de la eliminación
    Valor predeterminado: no configurado
    CSP de firewall: MdmStore/Global/SaIdleTime

    Especifique un tiempo de inactividad en segundos, después del cual se eliminan las asociaciones de seguridad.

  • Codificación de clave previamente compartida
    Valor predeterminado: no configurado
    CSP de firewall: MdmStore/Global/PresharedKeyEncoding

    • Habilitar : codificación de claves escuchadas previamente mediante UTF-8.
    • No configurado : codifique las claves escuchadas previamente mediante el valor de almacén local.
  • Exenciones de IPsec
    Valor predeterminado: 0 seleccionado
    CSP de firewall: MdmStore/Global/IPsecExempt

    Seleccione uno o varios de los siguientes tipos de tráfico para que estén exentos de IPsec:

    • Los vecinos detectan códigos de tipo ICMP de IPv6
    • ICMP
    • El enrutador detecta códigos de tipo ICMP IPv6
    • Tráfico de red DHCP de IPv4 e IPv6
  • Comprobación de la lista de revocación de certificados
    Valor predeterminado: no configurado
    CSP de firewall: MdmStore/Global/CRLcheck

    Elija cómo comprueba el dispositivo la lista de revocación de certificados. Entre las opciones se incluyen:

    • Deshabilitación de la comprobación de CRL
    • Error en la comprobación de CRL solo en el certificado revocado
    • Error de comprobación de CRL en cualquier error encontrado.
  • Coincidencia oportunista del conjunto de autenticación por módulo de claves
    Valor predeterminado: no configurado
    CSP de firewall: MdmStore/Global/OpportunisticallyMatchAuthSetPerKM

    • Habilitar Los módulos de claves solo deben omitir los conjuntos de autenticación que no admiten.
    • Sin configurar, los módulos de keying deben omitir todo el conjunto de autenticación si no admiten todos los conjuntos de autenticación especificados en el conjunto.
  • Cola de paquetes
    Valor predeterminado: no configurado
    CSP de firewall: MdmStore/Global/EnablePacketQueue

    Especifique cómo se habilita el escalado de software en el lado de recepción para la recepción cifrada y el reenvío de texto no cifrado para el escenario de puerta de enlace de túnel IPsec. Esta configuración confirma que se conserva el orden del paquete. Entre las opciones se incluyen:

    • Sin configurar
    • Deshabilitación de todas las colas de paquetes
    • Cola solo de paquetes cifrados entrantes
    • Paquetes de cola después de realizar el descifrado solo para el reenvío
    • Configuración de paquetes entrantes y salientes

Configuración de red

Las siguientes opciones de configuración se enumeran en este artículo una sola vez, pero todas se aplican a los tres tipos de red específicos:

  • Red de dominio (área de trabajo)
  • Red privada (reconocible)
  • Red pública (no detectable)

General

  • Firewall de Windows
    Valor predeterminado: no configurado
    CSP de firewall: EnableFirewall

    • Habilitar : active el firewall y la seguridad avanzada.
    • No configurado Permite todo el tráfico de red, independientemente de cualquier otra configuración de directiva.
  • Modo sigiloso
    Valor predeterminado: no configurado
    CSP de firewall: DisableStealthMode

    • Sin configurar
    • Bloquear : el firewall no funciona en modo sigiloso. Bloquear el modo sigiloso permite también bloquear la exención de paquetes protegidos por IPsec.
    • Permitir : el firewall funciona en modo sigiloso, lo que ayuda a evitar respuestas a las solicitudes de sondeo.
  • Exención de paquetes protegidos por IPsec con modo sigiloso
    Valor predeterminado: no configurado
    CSP de firewall: DisableStealthModeIpsecSecuredPacketExemption

    Esta opción se omite si el modo sigiloso está establecido en Bloquear.

    • Sin configurar
    • Bloquear : los paquetes protegidos con IPSec no reciben exenciones.
    • Permitir : habilitar exenciones. El modo sigiloso del firewall NO DEBE impedir que el equipo host responda al tráfico de red no solicitado protegido por IPsec.
  • Apantallado
    Valor predeterminado: no configurado
    CSP de firewall: blindada

    • Sin configurar
    • Bloquear : cuando firewall de Windows está activado y esta configuración está establecida en Bloquear, todo el tráfico entrante se bloquea, independientemente de la configuración de otra directiva.
    • Permitir : cuando se establece en Permitir, esta configuración está desactivada y se permite el tráfico entrante en función de otras opciones de configuración de directiva.
  • Respuestas de unidifusión a difusiones de multidifusión
    Valor predeterminado: no configurado
    CSP de firewall: DisableUnicastResponsesToMulticastBroadcast

    Normalmente, no desea recibir respuestas de unidifusión a mensajes de multidifusión o difusión. Estas respuestas pueden indicar un ataque de denegación de servicio (DOS) o un atacante que intenta sondear un equipo en directo conocido.

    • Sin configurar
    • Bloquear : deshabilite las respuestas de unidifusión a las difusiones de multidifusión.
    • Permitir : permitir respuestas de unidifusión a difusiones de multidifusión.
  • Notificaciones entrantes
    Valor predeterminado: no configurado
    CSP de firewall: DisableInboundNotifications

    • Sin configurar
    • Bloquear : oculta las notificaciones que se usan cuando se bloquea la escucha de una aplicación en un puerto.
    • Permitir : habilita esta configuración y puede mostrar una notificación a los usuarios cuando se impide que una aplicación escuche en un puerto.
  • Acción predeterminada para las conexiones salientes
    Valor predeterminado: no configurado
    CSP de firewall: DefaultOutboundAction

    Configure el firewall de acciones predeterminado que realiza en las conexiones salientes. Esta configuración se aplicará a la versión 1809 de Windows y versiones posteriores.

    • Sin configurar
    • Bloquear : la acción de firewall predeterminada no se ejecuta en el tráfico saliente a menos que se especifique explícitamente que no se bloquee.
    • Permitir : las acciones de firewall predeterminadas se ejecutan en las conexiones salientes.
  • Acción predeterminada para las conexiones entrantes
    Valor predeterminado: no configurado
    CSP de firewall: DefaultInboundAction

    • Sin configurar
    • Bloquear : la acción de firewall predeterminada no se ejecuta en las conexiones entrantes.
    • Permitir : las acciones de firewall predeterminadas se ejecutan en las conexiones entrantes.

Combinación de reglas

  • Reglas de Firewall de Windows de la aplicación autorizada desde el almacén local
    Valor predeterminado: no configurado
    CSP de firewall: AuthAppsAllowUserPrefMerge

    • Sin configurar
    • Bloquear : las reglas de firewall de aplicaciones autorizadas en el almacén local se omiten y no se aplican.
    • Permitir : la opción Habilitar aplica reglas de firewall en el almacén local para que se reconozcan y se apliquen.
  • Reglas de Firewall de Windows de puerto global desde el almacén local
    Valor predeterminado: no configurado
    CSP de firewall: GlobalPortsAllowUserPrefMerge

    • Sin configurar
    • Bloquear : las reglas globales de firewall de puertos del almacén local se omiten y no se aplican.
    • Permitir : aplique reglas de firewall de puerto global en el almacén local para que se reconozcan y se apliquen.
  • Reglas de Firewall de Windows desde el almacén local
    Valor predeterminado: no configurado
    CSP de firewall: AllowLocalPolicyMerge

    • Sin configurar
    • Bloquear : las reglas de firewall del almacén local se omiten y no se aplican.
    • Permitir : aplique reglas de firewall en el almacén local para que se reconozcan y se apliquen.
  • Reglas de IPsec desde el almacén local
    Valor predeterminado: no configurado
    CSP de firewall: AllowLocalIpsecPolicyMerge

    • Sin configurar
    • Bloquear : las reglas de seguridad de conexión del almacén local se omiten y no se aplican, independientemente de la versión del esquema y la versión de la regla de seguridad de conexión.
    • Permitir : aplique reglas de seguridad de conexión desde el almacén local, independientemente de las versiones de reglas de seguridad de conexión o esquema.

Reglas de firewall

Puede agregar una o varias reglas de firewall personalizadas. Para obtener más información, vea Agregar reglas de firewall personalizadas para dispositivos Windows.

Las reglas de firewall personalizadas admiten las siguientes opciones:

Configuración general

  • Nombre
    Valor predeterminado: sin nombre

    Especifique un nombre descriptivo para la regla. Este nombre aparecerá en la lista de reglas para ayudarle a identificarlo.

  • Descripción
    Valor predeterminado: sin descripción

    Proporcione una descripción de la regla.

  • Dirección
    Valor predeterminado: no configurado
    CSP de firewall: FirewallRules/FirewallRuleName/Direction

    Especifique si esta regla se aplica al tráfico entrante o saliente . Cuando se establece como No configurado, la regla se aplica automáticamente al tráfico saliente.

  • Action
    Valor predeterminado: no configurado
    CSP de firewall: FirewallRules/FirewallRuleName/Action y FirewallRules/FirewallRuleName/Action/Type

    Seleccione en Permitir o Bloquear. Cuando se establece como No configurado, la regla permite el tráfico de forma predeterminada.

  • Tipo de red
    Valor predeterminado: 0 seleccionado
    CSP de firewall: FirewallRules/FirewallRuleName/Profiles

    Seleccione hasta tres tipos de tipos de red a los que pertenece esta regla. Las opciones incluyen Dominio, Privado y Público. Si no se selecciona ningún tipo de red, la regla se aplica a los tres tipos de red.

Configuración de aplicaciones

  • Aplicaciones
    Valor predeterminado: Todo

    Controlar las conexiones de una aplicación o programa. Las aplicaciones y programas se pueden especificar por ruta de acceso de archivo, nombre de familia de paquete o nombre de servicio:

    • Nombre de familia del paquete: especifique un nombre de familia de paquete. Para buscar el nombre de la familia del paquete, use el comando de PowerShell Get-AppxPackage.
      CSP de firewall: FirewallRules/FirewallRuleName/App/PackageFamilyName

    • Ruta de acceso de archivo: debe especificar una ruta de acceso de archivo a una aplicación en el dispositivo cliente, que puede ser una ruta de acceso absoluta o una ruta de acceso relativa. Por ejemplo: C:\Windows\System\Notepad.exe o %WINDIR%\Notepad.exe.
      CSP de firewall: FirewallRules/FirewallRuleName/App/FilePath

    • Servicio de Windows : especifique el nombre corto del servicio de Windows si es un servicio y no una aplicación que envía o recibe tráfico. Para buscar el nombre corto del servicio, use el comando Get-Service de PowerShell.
      CSP de firewall: FirewallRules/FirewallRuleName/App/ServiceName

    • Todo: no se requiere ninguna configuración

Configuración de direcciones IP

Especifique las direcciones locales y remotas a las que se aplica esta regla.

  • Direcciones locales
    Valor predeterminado: cualquier dirección
    CSP de firewall: FirewallRules/FirewallRuleName/LocalPortRanges

    Seleccione Cualquier dirección o Dirección especificada.

    Cuando se usa la dirección especificada, se agregan una o varias direcciones como una lista separada por comas de direcciones locales que están cubiertas por la regla. Los tokens válidos incluyen:

    • Use un asterisco * para cualquier dirección local. Si usa un asterisco, debe ser el único token que use.
    • Especifique una subred mediante la notación de prefijo de red o la máscara de subred. Si no se especifica una máscara de subred o un prefijo de red, el valor predeterminado de la máscara de subred es 255.255.255.255.
    • Una dirección IPv6 válida.
    • Intervalo de direcciones IPv4 con el formato de "dirección de inicio - dirección final" sin espacios incluidos.
    • Intervalo de direcciones IPv6 con el formato "dirección de inicio - dirección final" sin espacios incluidos.
  • Direcciones remotas
    Valor predeterminado: cualquier dirección
    CSP de firewall: FirewallRules/FirewallRuleName/RemoteAddressRanges

    Seleccione Cualquier dirección o Dirección especificada.

    Cuando se usa la dirección especificada, se agregan una o varias direcciones como una lista separada por comas de direcciones remotas que están cubiertas por la regla. Los tokens no distinguen mayúsculas de minúsculas. Los tokens válidos incluyen:

    • Use un asterisco "*" para cualquier dirección remota. Si usa un asterisco, debe ser el único token que use.
    • Defaultgateway
    • DHCP
    • DNS
    • WINS
    • Intranet (compatible con las versiones 1809 y posteriores de Windows)
    • RmtIntranet (compatible con las versiones 1809 y posteriores de Windows)
    • Internet (compatible con las versiones 1809 y posteriores de Windows)
    • Ply2Renders (compatible con las versiones 1809 y posteriores de Windows)
    • LocalSubnet indica cualquier dirección local en la subred local.
    • Especifique una subred mediante la notación de prefijo de red o la máscara de subred. Si no se especifica una máscara de subred o un prefijo de red, el valor predeterminado de la máscara de subred es 255.255.255.255.
    • Una dirección IPv6 válida.
    • Intervalo de direcciones IPv4 con el formato de "dirección de inicio - dirección final" sin espacios incluidos.
    • Intervalo de direcciones IPv6 con el formato "dirección de inicio - dirección final" sin espacios incluidos.

Configuración de puertos y protocolos

Especifique los puertos locales y remotos a los que se aplica esta regla.

Configuración avanzada

  • Tipos de interfaz
    Valor predeterminado: 0 seleccionado
    CSP de firewall: FirewallRules/FirewallRuleName/InterfaceTypes

    Seleccione entre las opciones siguientes:

    • Acceso remoto
    • Inalámbrico
    • Red de área local
  • Permitir solo conexiones de estos usuarios
    Valor predeterminado: todos los usuarios (el valor predeterminado es todos los usos cuando no se especifica ninguna lista)
    CSP de firewall: FirewallRules/FirewallRuleName/LocalUserAuthorizationList

    Especifique una lista de usuarios locales autorizados para esta regla. No se puede especificar una lista de usuarios autorizados si esta regla se aplica a un servicio de Windows.

Configuración de SmartScreen de Microsoft Defender

Microsoft Edge debe estar instalado en el dispositivo.

  • SmartScreen para aplicaciones y archivos
    Valor predeterminado: no configurado
    CSP de SmartScreen: SmartScreen/EnableSmartScreenInShell

    • No configurado : deshabilita el uso de SmartScreen.
    • Habilitar : habilite Windows SmartScreen para la ejecución de archivos y la ejecución de aplicaciones. SmartScreen es un componente anti-phishing y antimalware basado en la nube.
  • Ejecución de archivos no comprobados
    Valor predeterminado: no configurado
    CSP de SmartScreen: SmartScreen/PreventOverrideForFilesInShell

    • No configurado : deshabilita esta característica y permite a los usuarios finales ejecutar archivos que no se han comprobado.
    • Bloquear : impedir que los usuarios finales ejecuten archivos que no hayan sido comprobados por Windows SmartScreen.

Cifrado de Windows

Configuración de Windows

  • Cifrar dispositivos
    Valor predeterminado: no configurado
    CSP de BitLocker: RequireDeviceEncryption

    • Requerir: pida a los usuarios que habiliten el cifrado de dispositivos. En función de la edición de Windows y la configuración del sistema, es posible que se pregunte a los usuarios:
      • Para confirmar que el cifrado de otro proveedor no está habilitado.
      • Debe desactivar el cifrado de unidad de BitLocker y, a continuación, volver a activar BitLocker.
    • Sin configurar

    Si el cifrado de Windows está activado mientras otro método de cifrado está activo, el dispositivo podría volverse inestable.

Configuración base de BitLocker

La configuración base es la configuración universal de BitLocker para todos los tipos de unidades de datos. Estas opciones administran las tareas de cifrado de unidad o las opciones de configuración que el usuario final puede modificar en todos los tipos de unidades de datos.

  • Advertencia para otro cifrado de disco
    Valor predeterminado: no configurado
    CSP de BitLocker: AllowWarningForOtherDiskEncryption

    • Bloquear : deshabilite el aviso de advertencia si hay otro servicio de cifrado de disco en el dispositivo.
    • No configurado : permita que se muestre la advertencia para que se muestre otro cifrado de disco.

    Sugerencia

    Para instalar BitLocker de forma automática y silenciosa en un dispositivo unido a Microsoft Entra y que ejecuta Windows 1809 o posterior, esta configuración debe establecerse en Bloquear. Para obtener más información, consulte Habilitación silenciosa de BitLocker en dispositivos.

    Cuando se establece en Bloquear, puede configurar el siguiente valor:

    • Permitir que los usuarios estándar habiliten el cifrado durante la unión a Microsoft Entra
      Esta configuración solo se aplica a dispositivos unidos a Microsoft Entra (Azure ADJ) y depende de la configuración anterior, Warning for other disk encryption.
      Valor predeterminado: no configurado
      CSP de BitLocker: AllowStandardUserEncryption

      • Permitir : los usuarios estándar (que no son administradores) pueden habilitar el cifrado de BitLocker al iniciar sesión.
      • No configurado solo los administradores pueden habilitar el cifrado de BitLocker en el dispositivo.

    Sugerencia

    Para instalar BitLocker de forma automática y silenciosa en un dispositivo unido a Microsoft Entra y que ejecuta Windows 1809 o posterior, esta configuración debe establecerse en Permitir. Para obtener más información, consulte Habilitación silenciosa de BitLocker en dispositivos.

  • Configuración de métodos de cifrado
    Valor predeterminado: no configurado
    CSP de BitLocker: EncryptionMethodByDriveType

    • Habilitar : configure algoritmos de cifrado para el sistema operativo, los datos y las unidades extraíbles.
    • No configurado : BitLocker usa XTS-AES de 128 bits como método de cifrado predeterminado o usa el método de cifrado especificado por cualquier script de instalación.

    Cuando se establece en Habilitar, puede configurar los siguientes valores:

    • Cifrado para unidades de sistema operativo
      Valor predeterminado: XTS-AES de 128 bits

      Elija el método de cifrado para las unidades del sistema operativo. Se recomienda usar el algoritmo XTS-AES.

      • AES-CBC de 128 bits
      • AES-CBC de 256 bits
      • XTS-AES de 128 bits
      • XTS-AES de 256 bits
    • Cifrado de unidades de datos fijas
      Valor predeterminado: AES-CBC de 128 bits

      Elija el método de cifrado para las unidades de datos fijas (integradas). Se recomienda usar el algoritmo XTS-AES.

      • AES-CBC de 128 bits
      • AES-CBC de 256 bits
      • XTS-AES de 128 bits
      • XTS-AES de 256 bits
    • Cifrado para unidades de datos extraíbles
      Valor predeterminado: AES-CBC de 128 bits

      Elija el método de cifrado para las unidades de datos extraíbles. Si la unidad extraíble se usa con dispositivos que no ejecutan Windows 10/11, se recomienda usar el algoritmo AES-CBC.

      • AES-CBC de 128 bits
      • AES-CBC de 256 bits
      • XTS-AES de 128 bits
      • XTS-AES de 256 bits

Configuración de la unidad del sistema operativo BitLocker

Esta configuración se aplica específicamente a las unidades de datos del sistema operativo.

  • Autenticación adicional al inicio
    Valor predeterminado: no configurado
    CSP de BitLocker: SystemDrivesRequireStartupAuthentication

    • Requerir : configure los requisitos de autenticación para el inicio del equipo, incluido el uso del módulo de plataforma segura (TPM).
    • No configurado : configure solo las opciones básicas en dispositivos con un TPM.

    Cuando se establece en Requerir, puede configurar los siguientes valores:

    • BitLocker con chip TPM no compatible
      Valor predeterminado: no configurado

      • Bloquear : deshabilita el uso de BitLocker cuando un dispositivo no tiene un chip TPM compatible.
      • No configurado : los usuarios pueden usar BitLocker sin un chip TPM compatible. BitLocker puede requerir una contraseña o una clave de inicio.
    • Inicio de TPM compatible
      Valor predeterminado: Permitir TPM

      Configure si se permite tpm, se requiere o no se permite.

      • Permitir TPM
      • No permitir TPM
      • Requerir TPM
    • PIN de inicio de TPM compatible
      Valor predeterminado: permitir el PIN de inicio con TPM

      Elija permitir, no permitir o requerir el uso de un PIN de inicio con el chip TPM. La habilitación de un PIN de inicio requiere la interacción del usuario final.

      • Permitir el PIN de inicio con TPM
      • No permitir el PIN de inicio con TPM
      • Requerir PIN de inicio con TPM

      Sugerencia

      Para instalar BitLocker de forma automática y silenciosa en un dispositivo unido a Microsoft Entra y que ejecuta Windows 1809 o posterior, esta configuración no debe establecerse en Requerir PIN de inicio con TPM. Para obtener más información, consulte Habilitación silenciosa de BitLocker en dispositivos.

    • Clave de inicio de TPM compatible
      Valor predeterminado: permitir la clave de inicio con TPM

      Elija permitir, no permitir o requerir el uso de una clave de inicio con el chip TPM. La habilitación de una clave de inicio requiere la interacción del usuario final.

      • Permitir clave de inicio con TPM
      • No permitir la clave de inicio con TPM
      • Requerir clave de inicio con TPM

      Sugerencia

      Para instalar BitLocker de forma automática y silenciosa en un dispositivo unido a Microsoft Entra y que ejecuta Windows 1809 o posterior, esta configuración no debe establecerse en Requerir clave de inicio con TPM. Para obtener más información, consulte Habilitación silenciosa de BitLocker en dispositivos.

    • Clave de inicio y PIN de TPM compatibles
      Valor predeterminado: permitir la clave de inicio y el PIN con TPM

      Elija permitir, no permitir o requerir el uso de una clave de inicio y un PIN con el chip TPM. La habilitación de la clave de inicio y el PIN requiere la interacción del usuario final.

      • Permitir clave de inicio y PIN con TPM
      • No permitir la clave de inicio y el PIN con TPM
      • Requerir clave de inicio y PIN con TPM

      Sugerencia

      Para instalar BitLocker de forma automática y silenciosa en un dispositivo unido a Microsoft Entra y que ejecuta Windows 1809 o posterior, esta configuración no debe establecerse en Requerir clave de inicio y PIN con TPM. Para obtener más información, consulte Habilitación silenciosa de BitLocker en dispositivos.

  • Longitud mínima del PIN
    Valor predeterminado: no configurado
    CSP de BitLocker: SystemDrivesMinimumPINLength

    • Habilitar Configure una longitud mínima para el PIN de inicio de TPM.
    • No configurado : los usuarios pueden configurar un PIN de inicio de cualquier longitud entre 6 y 20 dígitos.

    Cuando se establece en Habilitar, puede configurar la siguiente configuración:

    • Caracteres mínimos
      Valor predeterminado: CSP de BitLocker no configurado : SystemDrivesMinimumPINLength

      Escriba el número de caracteres necesarios para el PIN de inicio de 4-a 20.

  • Recuperación de unidad del sistema operativo
    Valor predeterminado: no configurado
    CSP de BitLocker: SystemDrivesRecoveryOptions

    • Habilitar : controlar cómo se recuperan las unidades del sistema operativo protegidas por BitLocker cuando la información de inicio necesaria no está disponible.
    • No configurado : se admiten las opciones de recuperación predeterminadas, incluido DRA. El usuario final puede especificar opciones de recuperación. No se hace una copia de seguridad de la información de recuperación en AD DS.

    Cuando se establece en Habilitar, puede configurar los siguientes valores:

    • Agente de recuperación de datos basado en certificados
      Valor predeterminado: no configurado

      • Bloquear : impedir el uso del agente de recuperación de datos con unidades de sistema operativo protegidas por BitLocker.
      • No configurado : permite que los agentes de recuperación de datos se usen con unidades de sistema operativo protegidas por BitLocker.
    • Creación por parte del usuario de la contraseña de recuperación
      Valor predeterminado: permitir la contraseña de recuperación de 48 dígitos

      Elija si se permite, requiere o no a los usuarios generar una contraseña de recuperación de 48 dígitos.

      • Permitir contraseña de recuperación de 48 dígitos
      • No permitir la contraseña de recuperación de 48 dígitos
      • Requerir contraseña de recuperación de 48 dígitos
    • Creación de la clave de recuperación por parte del usuario
      Valor predeterminado: permitir la clave de recuperación de 256 bits

      Elija si se permite, requiere o no a los usuarios generar una clave de recuperación de 256 bits.

      • Permitir clave de recuperación de 256 bits
      • No permitir la clave de recuperación de 256 bits
      • Requerir clave de recuperación de 256 bits
    • Opciones de recuperación en el Asistente para la instalación de BitLocker
      Valor predeterminado: no configurado

      • Bloquear : los usuarios no pueden ver ni cambiar las opciones de recuperación. Cuando se establece en
      • No configurado : los usuarios pueden ver y cambiar las opciones de recuperación cuando activen BitLocker.
    • Guardar información de recuperación de BitLocker en el identificador de Microsoft Entra
      Valor predeterminado: no configurado

      • Habilitar : almacene la información de recuperación de BitLocker en Microsoft Entra ID.
      • No configurado : la información de recuperación de BitLocker no se almacena en el identificador de Microsoft Entra.
    • Información de recuperación de BitLocker almacenada en el identificador de Microsoft Entra
      Valor predeterminado: contraseñas de recuperación de copia de seguridad y paquetes de claves

      Configure qué partes de la información de recuperación de BitLocker se almacenan en Microsoft Entra ID. Elija entre:

      • Contraseñas de recuperación de copia de seguridad y paquetes de claves
      • Solo contraseñas de recuperación de copia de seguridad
    • Rotación de contraseñas de recuperación controlada por el cliente
      Valor predeterminado: no configurado
      CSP de BitLocker: ConfigureRecoveryPasswordRotation

      Esta configuración inicia una rotación de contraseñas de recuperación controlada por el cliente después de una recuperación de unidad del sistema operativo (ya sea mediante bootmgr o WinRE).

      • No configurado
      • Rotación de claves deshabilitada
      • Rotación de claves habilitada para deices unidas a Microsoft Entra
      • Rotación de claves habilitada para el identificador de Microsoft Entra y los dispositivos unidos a híbridos
    • Almacenar información de recuperación en el identificador de Microsoft Entra antes de habilitar BitLocker
      Valor predeterminado: no configurado

      Impedir que los usuarios habiliten BitLocker a menos que el equipo realice correctamente una copia de seguridad de la información de recuperación de BitLocker en Microsoft Entra ID.

      • Requerir: impedir que los usuarios activen BitLocker a menos que la información de recuperación de BitLocker se almacene correctamente en microsoft entra id.
      • No configurado : los usuarios pueden activar BitLocker, incluso si la información de recuperación no se almacena correctamente en Microsoft Entra ID.
  • Mensaje y dirección URL de la recuperación previa al arranque
    Valor predeterminado: no configurado
    CSP de BitLocker: SystemDrivesRecoveryMessage

    • Habilitar : configure el mensaje y la dirección URL que se muestran en la pantalla de recuperación de claves previa al arranque.
    • No configurado : deshabilite esta característica.

    Cuando se establece en Habilitar, puede configurar la siguiente configuración:

    • Mensaje de recuperación previa al arranque
      Valor predeterminado: use el mensaje de recuperación y la dirección URL predeterminados

      Configure cómo se muestra el mensaje de recuperación antes del arranque a los usuarios. Elija entre:

      • Usar la dirección URL y el mensaje de recuperación predeterminados
      • Uso de un mensaje de recuperación vacío y una dirección URL
      • Uso de un mensaje de recuperación personalizado
      • Uso de la dirección URL de recuperación personalizada

Configuración fija de la unidad de datos de BitLocker

Esta configuración se aplica específicamente a las unidades de datos fijas.

  • Acceso de escritura a una unidad de datos fija no protegida por BitLocker
    Valor predeterminado: no configurado
    CSP de BitLocker: FixedDrivesRequireEncryption

    • Bloquear : proporcione acceso de solo lectura a las unidades de datos que no estén protegidas por BitLocker.
    • No configurado : de forma predeterminada, el acceso de lectura y escritura a las unidades de datos que no están cifradas.
  • Recuperación de unidad fija
    Valor predeterminado: no configurado
    CSP de BitLocker: FixedDrivesRecoveryOptions

    • Habilitar : controlar cómo se recuperan las unidades fijas protegidas por BitLocker cuando la información de inicio necesaria no está disponible.
    • No configurado : deshabilite esta característica.

    Cuando se establece en Habilitar, puede configurar los siguientes valores:

    • Agente de recuperación de datos
      Valor predeterminado: no configurado

      • Bloquear : impedir el uso del agente de recuperación de datos con el Editor de directivas de unidades fijas protegidas por BitLocker.
      • No configurado : permite el uso de agentes de recuperación de datos con unidades fijas protegidas por BitLocker.
    • Creación por parte del usuario de la contraseña de recuperación
      Valor predeterminado: permitir la contraseña de recuperación de 48 dígitos

      Elija si se permite, requiere o no a los usuarios generar una contraseña de recuperación de 48 dígitos.

      • Permitir contraseña de recuperación de 48 dígitos
      • No permitir la contraseña de recuperación de 48 dígitos
      • Requerir contraseña de recuperación de 48 dígitos
    • Creación de la clave de recuperación por parte del usuario
      Valor predeterminado: permitir la clave de recuperación de 256 bits

      Elija si se permite, requiere o no a los usuarios generar una clave de recuperación de 256 bits.

      • Permitir clave de recuperación de 256 bits
      • No permitir la clave de recuperación de 256 bits
      • Requerir clave de recuperación de 256 bits
    • Opciones de recuperación en el Asistente para la instalación de BitLocker
      Valor predeterminado: no configurado

      • Bloquear : los usuarios no pueden ver ni cambiar las opciones de recuperación. Cuando se establece en
      • No configurado : los usuarios pueden ver y cambiar las opciones de recuperación cuando activen BitLocker.
    • Guardar información de recuperación de BitLocker en el identificador de Microsoft Entra
      Valor predeterminado: no configurado

      • Habilitar : almacene la información de recuperación de BitLocker en Microsoft Entra ID.
      • No configurado : la información de recuperación de BitLocker no se almacena en el identificador de Microsoft Entra.
    • Información de recuperación de BitLocker almacenada en el identificador de Microsoft Entra
      Valor predeterminado: contraseñas de recuperación de copia de seguridad y paquetes de claves

      Configure qué partes de la información de recuperación de BitLocker se almacenan en Microsoft Entra ID. Elija entre:

      • Contraseñas de recuperación de copia de seguridad y paquetes de claves
      • Solo contraseñas de recuperación de copia de seguridad
    • Almacenar información de recuperación en el identificador de Microsoft Entra antes de habilitar BitLocker
      Valor predeterminado: no configurado

      Impedir que los usuarios habiliten BitLocker a menos que el equipo realice correctamente una copia de seguridad de la información de recuperación de BitLocker en Microsoft Entra ID.

      • Requerir: impedir que los usuarios activen BitLocker a menos que la información de recuperación de BitLocker se almacene correctamente en microsoft entra id.
      • No configurado : los usuarios pueden activar BitLocker, incluso si la información de recuperación no se almacena correctamente en Microsoft Entra ID.

Configuración de unidad de datos extraíble de BitLocker

Esta configuración se aplica específicamente a las unidades de datos extraíbles.

  • Acceso de escritura a una unidad de datos extraíble no protegida por BitLocker
    Valor predeterminado: no configurado
    CSP de BitLocker: RemovableDrivesRequireEncryption

    • Bloquear : proporcione acceso de solo lectura a las unidades de datos que no estén protegidas por BitLocker.
    • No configurado : de forma predeterminada, el acceso de lectura y escritura a las unidades de datos que no están cifradas.

    Cuando se establece en Habilitar, puede configurar la siguiente configuración:

    • Acceso de escritura a dispositivos configurados en otra organización
      Valor predeterminado: no configurado

      • Bloquear : bloquee el acceso de escritura a los dispositivos configurados en otra organización.
      • No configurado : denegar el acceso de escritura.

Protección contra vulnerabilidades de seguridad de Microsoft Defender

Use la protección contra vulnerabilidades de seguridad para administrar y reducir la superficie expuesta a ataques de las aplicaciones usadas por los empleados.

Reducción de la superficie expuesta a ataques

Las reglas de reducción de superficie expuesta a ataques ayudan a evitar comportamientos que el malware suele usar para infectar equipos con código malintencionado.

Reglas de reducción de superficie expuesta a ataques

Para más información, consulte Reglas de reducción de la superficie expuesta a ataques en la documentación de Microsoft Defender para punto de conexión.

Comportamiento de combinación para las reglas de reducción de superficie expuesta a ataques en Intune:

Las reglas de reducción de superficie expuesta a ataques admiten una fusión de la configuración de diferentes directivas para crear un superconjunto de directivas para cada dispositivo. Solo se combinan los valores que no están en conflicto, mientras que los valores que están en conflicto no se agregan al superconjunto de reglas. Anteriormente, si dos directivas incluían conflictos para una sola configuración, ambas directivas se marcaban como en conflicto y no se implementaría ninguna configuración de ninguno de los perfiles.

El comportamiento de combinación de reglas de reducción de superficie expuesta a ataques es el siguiente:

  • Las reglas de reducción de superficie expuesta a ataques de los perfiles siguientes se evalúan para cada dispositivo al que se aplican las reglas:
    • Directiva de configuración > de dispositivos > Perfil > de Endpoint Protection Reducción de superficie expuesta a ataques de Protección contra vulnerabilidades de > seguridad de Microsoft Defender
    • Directiva de reducción de superficie expuesta a ataques de seguridad > de puntos de conexión Reglas de reducción> de superficie expuesta a ataques
    • Líneas base de seguridad > de punto de conexión: Reglas de reducción de superficie expuesta a ataques> de Línea base > de Microsoft Defender para punto de conexión.
  • La configuración que no tiene conflictos se agrega a un superconjunto de directivas para el dispositivo.
  • Cuando dos o más directivas tienen configuraciones en conflicto, la configuración en conflicto no se agrega a la directiva combinada. La configuración que no entra en conflicto se agrega a la directiva de superconjunto que se aplica a un dispositivo.
  • Solo se retienen las configuraciones de configuración en conflicto.

Configuración de este perfil:

  • Marca de robo de credenciales del subsistema de autoridad de seguridad local de Windows
    Valor predeterminado: no configurado
    Regla: Bloquear el robo de credenciales del subsistema de autoridad de seguridad local de Windows (lsass.exe)

    Ayuda a evitar acciones y aplicaciones que suelen usar el malware que busca vulnerabilidades de seguridad para infectar máquinas.

    • Sin configurar
    • Habilitar : marca el robo de credenciales del subsistema de autoridad de seguridad local de Windows (lsass.exe).
    • Solo auditoría
  • Creación de procesos desde Adobe Reader (beta)
    Valor predeterminado: no configurado
    Regla: Impedir que Adobe Reader cree procesos secundarios

    • Sin configurar
    • Habilitar : bloquee los procesos secundarios creados a partir de Adobe Reader.
    • Solo auditoría

Reglas para evitar amenazas de macro de Office

Impedir que las aplicaciones de Office realicen las siguientes acciones:

Reglas para evitar amenazas de script

Bloquee lo siguiente para evitar amenazas de script:

Reglas para evitar amenazas de correo electrónico

Bloquee lo siguiente para evitar amenazas por correo electrónico:

  • Ejecución de contenido ejecutable (exe, dll, ps, js, vbs, etcetera).) eliminado del correo electrónico (cliente de correo web/correo) (sin excepciones)
    Valor predeterminado: no configurado
    Regla: Bloquear el contenido ejecutable del cliente de correo electrónico y el correo web

    • Sin configurar
    • Bloquear : bloquear la ejecución de contenido ejecutable (exe, dll, ps, js, vbs, etcetera).) eliminado del correo electrónico (webmail/mail-client).
    • Solo auditoría

Reglas para protegerse contra ransomware

Excepciones de reducción de superficie expuesta a ataques

  • Archivos y carpetas que se van a excluir de las reglas de reducción de superficie expuesta a ataques
    CSP de Defender: AttackSurfaceReductionOnlyExclusions

    • Importe un archivo .csv que contenga archivos y carpetas para excluir de las reglas de reducción de la superficie expuesta a ataques.
    • Agregue archivos o carpetas locales manualmente.

Importante

Para permitir la instalación y ejecución correctas de aplicaciones lob Win32, la configuración de antimalware debe excluir los siguientes directorios para que no se analicen:
En máquinas cliente X64:
C:\Archivos de programa (x86)\Microsoft Intune Management Extension\Content
C:\windows\IMECache

En máquinas cliente X86:
C:\Archivos de programa\Extensión de administración de Microsoft Intune\Contenido
C:\windows\IMECache

Para obtener más información, consulte Recomendaciones de detección de virus para equipos enterprise que ejecutan versiones compatibles actualmente de Windows.

Acceso controlado a carpetas

Ayuda a proteger datos valiosos de aplicaciones y amenazas malintencionadas, como ransomware.

  • Protección de carpetas
    Valor predeterminado: no configurado
    CSP de Defender: EnableControlledFolderAccess

    Proteja archivos y carpetas de cambios no autorizados mediante aplicaciones poco amigables.

    • Sin configurar
    • Enable
    • Solo auditoría
    • Bloquear modificación de disco
    • Auditar la modificación del disco

    Al seleccionar una configuración distinta de No configurada, puede configurar:

    • Lista de aplicaciones que tienen acceso a carpetas protegidas
      CSP de Defender: ControlledFolderAccessAllowedApplications

      • Importe un archivo .csv que contenga una lista de aplicaciones.
      • Agregue aplicaciones a esta lista manualmente.
    • Lista de carpetas adicionales que deben protegerse
      CSP de Defender: ControlledFolderAccessProtectedFolders

      • Importe un archivo .csv que contenga una lista de carpetas.
      • Agregue carpetas a esta lista manualmente.

Filtrado de red

Bloquee las conexiones salientes desde cualquier aplicación a direcciones IP o dominios con baja reputación. El filtrado de red se admite en los modos Audit y Block.

  • Protección de red
    Valor predeterminado: no configurado
    CSP de Defender: EnableNetworkProtection

    La intención de esta configuración es proteger a los usuarios finales de aplicaciones con acceso a estafas de phishing, sitios de hospedaje de vulnerabilidades de seguridad y contenido malintencionado en Internet. También impide que los exploradores de terceros se conecten a sitios peligrosos.

    • No configurado : deshabilite esta característica. No se impide que los usuarios y las aplicaciones se conecten a dominios peligrosos. Los administradores no pueden ver esta actividad en el Centro de seguridad de Microsoft Defender.
    • Habilitar : active la protección de red y bloquee la conexión de usuarios y aplicaciones a dominios peligrosos. Los administradores pueden ver esta actividad en el Centro de seguridad de Microsoft Defender.
    • Solo auditoría: los usuarios y las aplicaciones no están bloqueados para conectarse a dominios peligrosos. Los administradores pueden ver esta actividad en el Centro de seguridad de Microsoft Defender.

Protección contra vulnerabilidades de seguridad

  • Carga de XML
    Valor predeterminado: no configurado

    Para usar protección contra vulnerabilidades de seguridad para proteger los dispositivos frente a vulnerabilidades de seguridad, cree un archivo XML que incluya la configuración de mitigación del sistema y la aplicación que desee. Hay dos métodos para crear el archivo XML:

    • PowerShell : use uno o varios cmdlets de PowerShell Get-ProcessMitigation, Set-ProcessMitigation y ConvertTo-ProcessMitigationPolicy . Los cmdlets configuran las opciones de mitigación y exportan una representación XML de ellas.

    • Interfaz de usuario de Microsoft Defender Security Center : en el Centro de seguridad de Microsoft Defender, seleccione Aplicación & control del explorador y, a continuación, desplácese hasta la parte inferior de la pantalla resultante para buscar Protección contra vulnerabilidades. En primer lugar, use las pestañas Configuración del sistema y Configuración del programa para configurar las opciones de mitigación. A continuación, busque el vínculo Exportar configuración en la parte inferior de la pantalla para exportar una representación XML de ellos.

  • Edición del usuario de la interfaz de protección contra vulnerabilidades de seguridad
    Valor predeterminado: no configurado
    CSP de ExploitGuard: ExploitProtectionSettings

    • Bloquear : cargue un archivo XML que le permita configurar restricciones de directivas, flujo de control y memoria. La configuración del archivo XML se puede usar para bloquear las vulnerabilidades de seguridad de una aplicación.
    • No configurado : no se usa ninguna configuración personalizada.

Control de aplicaciones de Microsoft Defender

Elija las aplicaciones que se van a auditar o que son de confianza para que las ejecute el Control de aplicaciones de Microsoft Defender. Los componentes de Windows y todas las aplicaciones de la Tienda Windows son de confianza para ejecutarse automáticamente.

  • Directivas de integridad de código de control de aplicaciones
    Valor predeterminado: no configurado
    CSP: CSP de AppLocker

    • Aplicar : elija las directivas de integridad de código de control de aplicaciones para los dispositivos de los usuarios.

      Después de habilitarse en un dispositivo, el control de aplicaciones solo se puede deshabilitar cambiando el modo de Aplicarsolo a Auditoría. Al cambiar el modo de Aplicar a No configurado , el control de aplicaciones se sigue aplicando en los dispositivos asignados.

    • No configurado : el control de aplicaciones no se agrega a los dispositivos. Sin embargo, la configuración que se agregó anteriormente se sigue aplicando en los dispositivos asignados.

    • Solo auditoría : las aplicaciones no están bloqueadas. Todos los eventos se registran en los registros del cliente local.

      Nota:

      Si usa esta configuración, el comportamiento de CSP de AppLocker pide actualmente al usuario final que reinicie su equipo cuando se implemente una directiva.

Microsoft Defender Credential Guard

Credential Guard de Microsoft Defender protege contra ataques de robo de credenciales. Aísla los secretos para que solo el software del sistema con privilegios pueda acceder a ellos.

  • Credential Guard
    Valor predeterminado: Deshabilitar
    DeviceGuard CSP

    • Deshabilitar : desactive Credential Guard de forma remota, si se ha activado anteriormente con la opción Habilitado sin bloqueo UEFI .

    • Habilitar con bloqueo UEFI : Credential Guard no se puede deshabilitar de forma remota mediante una clave del Registro o una directiva de grupo.

      Nota:

      Si usa esta configuración y, después, quiere deshabilitar Credential Guard, debe establecer la directiva de grupo en Deshabilitada. Además, borre físicamente la información de configuración de UEFI de cada equipo. Siempre que la configuración de UEFI persista, Credential Guard está habilitado.

    • Habilitar sin bloqueo UEFI : permite que Credential Guard se deshabilite de forma remota mediante la directiva de grupo. Los dispositivos que usan esta configuración deben ejecutar Windows 10, versión 1511 y versiones posteriores, o Windows 11.

    Al habilitar Credential Guard, también se habilitan las siguientes características necesarias:

    • Seguridad basada en virtualización (VBS)
      Se activa durante el siguiente reinicio. La seguridad basada en virtualización usa el hipervisor de Windows para proporcionar compatibilidad con los servicios de seguridad.
    • Arranque seguro con acceso a memoria de directorio
      Activa VBS con protección de arranque seguro y acceso directo a memoria (DMA). Las protecciones DMA requieren compatibilidad con hardware y solo están habilitadas en dispositivos configurados correctamente.

Centro de seguridad de Microsoft Defender

El Centro de seguridad de Microsoft Defender funciona como una aplicación o proceso independiente de cada una de las características individuales. Muestra notificaciones a través del Centro de acciones. Actúa como recopilador o lugar único para ver el estado y ejecutar alguna configuración para cada una de las características. Obtenga más información en la documentación de Microsoft Defender .

Aplicaciones y notificaciones del Centro de seguridad de Microsoft Defender

Bloquear el acceso del usuario final a las distintas áreas de la aplicación Centro de seguridad de Microsoft Defender. Ocultar una sección también bloquea las notificaciones relacionadas.

  • Protección contra virus y amenazas
    Valor predeterminado: no configurado
    CSP de WindowsDefenderSecurityCenter: DisableVirusUI

    Configure si los usuarios finales pueden ver el área Detección de virus y amenazas en el Centro de seguridad de Microsoft Defender. Ocultar esta sección también bloqueará todas las notificaciones relacionadas con virus y protección contra amenazas.

    • Sin configurar
    • Hide
  • Protección contra ransomware
    Valor predeterminado: no configurado
    CSP de WindowsDefenderSecurityCenter: HideRansomwareDataRecovery

    Configure si los usuarios finales pueden ver el área de protección contra ransomware en el Centro de seguridad de Microsoft Defender. Ocultar esta sección también bloqueará todas las notificaciones relacionadas con la protección contra ransomware.

    • Sin configurar
    • Hide
  • Protección de cuentas
    Valor predeterminado: no configurado
    CSP de WindowsDefenderSecurityCenter: DisableAccountProtectionUI

    Configure si los usuarios finales pueden ver el área Protección de cuentas en el Centro de seguridad de Microsoft Defender. Ocultar esta sección también bloqueará todas las notificaciones relacionadas con la protección de la cuenta.

    • Sin configurar
    • Hide
  • Firewall y protección de red
    Valor predeterminado: no configurado
    CSP de WindowsDefenderSecurityCenter: DisableNetworkUI

    Configure si los usuarios finales pueden ver el firewall y el área de protección de red en el Centro de seguridad de Microsoft Defender. Ocultar esta sección también bloqueará todas las notificaciones relacionadas con el firewall y la protección de red.

    • Sin configurar
    • Hide
  • Control de aplicación y explorador
    Valor predeterminado: no configurado
    CSP de WindowsDefenderSecurityCenter: DisableAppBrowserUI

    Configure si los usuarios finales pueden ver el área de control aplicación y explorador en el Centro de seguridad de Microsoft Defender. Ocultar esta sección también bloqueará todas las notificaciones relacionadas con la aplicación y el control del explorador.

    • Sin configurar
    • Hide
  • Protección de hardware
    Valor predeterminado: no configurado
    CSP de WindowsDefenderSecurityCenter: DisableDeviceSecurityUI

    Configure si los usuarios finales pueden ver el área Protección de hardware en el Centro de seguridad de Microsoft Defender. Ocultar esta sección también bloqueará todas las notificaciones relacionadas con la protección de hardware.

    • Sin configurar
    • Hide
  • Rendimiento y estado del dispositivo
    Valor predeterminado: no configurado
    CSP de WindowsDefenderSecurityCenter: DisableHealthUI

    Configure si los usuarios finales pueden ver el área Rendimiento y estado del dispositivo en el Centro de seguridad de Microsoft Defender. Ocultar esta sección también bloqueará todas las notificaciones relacionadas con el rendimiento y el estado del dispositivo.

    • Sin configurar
    • Hide
  • Opciones de familia
    Valor predeterminado: no configurado
    CSP de WindowsDefenderSecurityCenter: DisableFamilyUI

    Configure si los usuarios finales pueden ver el área Opciones de familia en el Centro de seguridad de Microsoft Defender. Si oculta esta sección, también se bloquearán todas las opciones relacionadas con las notificaciones relacionadas con la familia.

    • Sin configurar
    • Hide
  • Notificaciones de las áreas mostradas de la aplicación
    Valor predeterminado: no configurado
    CSP de WindowsDefenderSecurityCenter: DisableNotifications

    Elija qué notificaciones se mostrarán a los usuarios finales. Las notificaciones no críticas incluyen resúmenes de la actividad del Antivirus de Microsoft Defender, incluidas las notificaciones cuando se han completado los exámenes. Todas las demás notificaciones se consideran críticas.

    • Sin configurar
    • Bloquear notificaciones no críticas
    • Bloquear todas las notificaciones
  • Icono de Windows Security Center en la bandeja del sistema
    Valor predeterminado: CSP de WindowsDefenderSecurityCenter no configurado: HideWindowsSecurityNotificationAreaControl

    Configure la visualización del control de área de notificación. El usuario debe cerrar sesión e iniciar sesión o reiniciar el equipo para que esta configuración surta efecto.

    • Sin configurar
    • Hide
  • Botón Borrar TPM
    Valor predeterminado: CSP de WindowsDefenderSecurityCenter no configurado: DisableClearTpmButton

    Configure la visualización del botón Borrar TPM.

    • Sin configurar
    • Disable
  • Advertencia de actualización de firmware de TPM
    Valor predeterminado: CSP de WindowsDefenderSecurityCenter no configurado: DisableTpmFirmwareUpdateWarning

    Configure la visualización del firmware de TPM de actualización cuando se detecte un firmware vulnerable.

    • Sin configurar
    • Hide
  • Protección contra alteraciones
    Valor predeterminado: no configurado

    Active o desactive la protección contra alteraciones en los dispositivos. Para usar Tamper Protection, debe integrar Microsoft Defender para punto de conexión con Intune y tener licencias de Enterprise Mobility + Security E5.

    • No configurado : no se realiza ningún cambio en la configuración del dispositivo.
    • Habilitado : la protección contra alteraciones está activada y se aplican restricciones en los dispositivos.
    • Deshabilitado : la protección contra alteraciones está desactivada y no se aplican restricciones.

Información de contacto de TI

Proporcione información de contacto de TI para que aparezca en la aplicación Centro de seguridad de Microsoft Defender y en las notificaciones de la aplicación.

Puede elegir Mostrar en la aplicación y en las notificaciones, Mostrar solo en la aplicación, Mostrar solo en notificaciones o No mostrar. Escriba el nombre de la organización de TI y al menos una de las siguientes opciones de contacto:

  • Información de contacto de TI
    Valor predeterminado: No mostrar
    CSP de WindowsDefenderSecurityCenter: EnableCustomizedToasts

    Configure dónde mostrar información de contacto de TI a los usuarios finales.

    • Mostrar en la aplicación y en las notificaciones
    • Mostrar solo en la aplicación
    • Mostrar solo en notificaciones
    • No mostrar

    Cuando esté configurado para mostrarse, puede configurar los siguientes valores:

    • Nombre de la organización de TI
      Valor predeterminado: no configurado
      CSP de WindowsDefenderSecurityCenter: CompanyName

    • Número de teléfono del departamento de TI o identificador de Skype
      Valor predeterminado: no configurado
      CSP de WindowsDefenderSecurityCenter: Teléfono

    • Dirección de correo electrónico del departamento de TI
      Valor predeterminado: no configurado
      CSP de WindowsDefenderSecurityCenter: correo electrónico

    • DIRECCIÓN URL del sitio web de soporte técnico de TI
      Valor predeterminado: no configurado
      CSP de WindowsDefenderSecurityCenter: DIRECCIÓN URL

Opciones de seguridad de dispositivos locales

Use estas opciones para configurar las opciones de seguridad locales en dispositivos Windows 10/11.

Cuentas

  • Agregar nuevas cuentas de Microsoft
    Valor predeterminado: no configurado
    CSP LocalPoliciesSecurityOptions: Accounts_BlockMicrosoftAccounts

    • Bloquear Impedir que los usuarios agreguen nuevas cuentas de Microsoft al dispositivo.
    • No configurado : los usuarios pueden usar cuentas de Microsoft en el dispositivo.
  • Inicio de sesión remoto sin contraseña
    Valor predeterminado: no configurado
    CSP LocalPoliciesSecurityOptions: Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly

    • Bloquear : permite que solo las cuentas locales con contraseñas en blanco inicien sesión con el teclado del dispositivo.
    • No configurado : permite que las cuentas locales con contraseñas en blanco inicien sesión desde ubicaciones distintas del dispositivo físico.

Admin

  • Cuenta de administrador local
    Valor predeterminado: no configurado
    CSP LocalPoliciesSecurityOptions: Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly

    • Bloquear Impedir el uso de una cuenta de administrador local.
    • Sin configurar
  • Cambiar el nombre de la cuenta de administrador
    Valor predeterminado: no configurado
    CSP LocalPoliciesSecurityOptions: Accounts_RenameAdministratorAccount

    Defina un nombre de cuenta diferente que se asociará con el identificador de seguridad (SID) de la cuenta "Administrador".

Guest

  • Cuenta de invitado
    Valor predeterminado: no configurado
    CSP LocalPoliciesSecurityOptions: LocalPoliciesSecurityOptions

    • Bloquear : impedir el uso de una cuenta de invitado.
    • Sin configurar
  • Cambiar el nombre de la cuenta de invitado
    Valor predeterminado: no configurado
    CSP LocalPoliciesSecurityOptions: Accounts_RenameGuestAccount

    Defina un nombre de cuenta diferente que se asociará con el identificador de seguridad (SID) de la cuenta "Invitado".

Dispositivos

  • Desacoplar el dispositivo sin inicio de sesión
    Valor predeterminado: no configurado
    CSP LocalPoliciesSecurityOptions: Devices_AllowUndockWithoutHavingToLogon

    • Bloquear : un usuario debe iniciar sesión en el dispositivo y recibir permiso para desacoplar el dispositivo.
    • No configurado : los usuarios pueden presionar el botón de expulsión física de un dispositivo portátil acoplado para desacoplar el dispositivo de forma segura.
  • Instalación de controladores de impresora para impresoras compartidas
    Valor predeterminado: no configurado
    CSP LocalPoliciesSecurityOptions: Devices_PreventUsersFromInstallingPrinterDriversWhenConnectingToSharedPrinters

    • Habilitado : cualquier usuario puede instalar un controlador de impresora como parte de la conexión a una impresora compartida.
    • No configurado : solo los administradores pueden instalar un controlador de impresora como parte de la conexión a una impresora compartida.
  • Restricción del acceso de CD-ROM al usuario activo local
    Valor predeterminado: no configurado
    CSP: Devices_RestrictCDROMAccessToLocallyLoggedOnUserOnly

    • Habilitado : solo el usuario que ha iniciado sesión interactivamente puede usar los medios de CD-ROM. Si esta directiva está habilitada y no se ha iniciado sesión de forma interactiva, se accede al CD-ROM a través de la red.
    • No configurado : cualquiera tiene acceso al CD-ROM.
  • Formato y expulsión de medios extraíbles
    Valor predeterminado: Administradores
    CSP: Devices_AllowedToFormatAndEjectRemovableMedia

    Defina quién tiene permiso para dar formato y expulsar medios NTFS extraíbles:

    • Sin configurar
    • Administradores
    • Administradores y usuarios avanzados
    • Administradores y usuarios interactivos

Inicio de sesión interactivo

  • Minutos de inactividad de la pantalla de bloqueo hasta que se activa el protector de pantalla
    Valor predeterminado: no configurado
    CSP LocalPoliciesSecurityOptions: InteractiveLogon_MachineInactivityLimit

    Escriba los minutos máximos de inactividad hasta que se active el protector de pantalla. (0 - 99999)

  • Requerir CTRL+ALT+SUPR para iniciar sesión
    Valor predeterminado: no configurado
    CSP LocalPoliciesSecurityOptions: InteractiveLogon_DoNotRequireCTRLALTDEL

    • Habilitar : requerir a los usuarios que presionen CTRL+ALT+SUPR antes de iniciar sesión en Windows.
    • No configurado : no es necesario presionar CTRL+ALT+SUPR para que los usuarios inicien sesión.
  • Comportamiento de eliminación de tarjeta inteligente
    Valor predeterminado: No hay ninguna acción LocalPoliciesSecurityOptions CSP: InteractiveLogon_SmartCardRemovalBehavior

    Determina lo que ocurre cuando la tarjeta inteligente de un usuario que ha iniciado sesión se quita del lector de tarjetas inteligentes. Las opciones son:

    • Estación de trabajo de bloqueo : la estación de trabajo está bloqueada cuando se quita la tarjeta inteligente. Esta opción permite a los usuarios salir del área, tomar su tarjeta inteligente con ellos y mantener una sesión protegida.
    • Ninguna acción
    • Forzar cierre de sesión : el usuario se cierra automáticamente cuando se quita la tarjeta inteligente.
    • Desconectar si una sesión de Servicios de Escritorio remoto : la eliminación de la tarjeta inteligente desconecta la sesión sin cerrar la sesión del usuario. Esta opción permite al usuario insertar la tarjeta inteligente y reanudar la sesión más adelante, o en otro equipo equipado con lector de tarjetas inteligentes, sin tener que volver a iniciar sesión. Si la sesión es local, esta directiva funciona de forma idéntica a Bloquear estación de trabajo.

Visualización

  • Información del usuario en la pantalla de bloqueo
    Valor predeterminado: no configurado
    CSP LocalPoliciesSecurityOptions: InteractiveLogon_DisplayUserInformationWhenTheSessionIsLocked

    Configure la información de usuario que se muestra cuando la sesión está bloqueada. Si no está configurado, se muestran el nombre para mostrar del usuario, el dominio y el nombre de usuario.

    • Sin configurar
    • Nombre para mostrar, dominio y nombre de usuario de usuario
    • Solo nombre para mostrar de usuario
    • No mostrar información del usuario
  • Ocultar el último usuario que inició sesión
    Valor predeterminado: no configurado
    CSP LocalPoliciesSecurityOptions: InteractiveLogon_DoNotDisplayLastSignedIn

    • Habilitar : oculte el nombre de usuario.
    • No configurado : muestra el último nombre de usuario.
  • Ocultar el nombre de usuario en el inicio de sesiónpredeterminado: no configurado
    CSP LocalPoliciesSecurityOptions: InteractiveLogon_DoNotDisplayUsernameAtSignIn

    • Habilitar : oculte el nombre de usuario.
    • No configurado : muestra el último nombre de usuario.
  • Título del mensaje de inicio de sesión
    Valor predeterminado: no configurado
    CSP LocalPoliciesSecurityOptions: InteractiveLogon_MessageTitleForUsersAttemptingToLogOn

    Establezca el título del mensaje para los usuarios que inician sesión.

  • Texto del mensaje de inicio de sesión
    Valor predeterminado: no configurado
    CSP LocalPoliciesSecurityOptions: InteractiveLogon_MessageTextForUsersAttemptingToLogOn

    Establezca el texto del mensaje para los usuarios que inician sesión.

Acceso a la red y seguridad

  • Acceso anónimo a canalizaciones y recursos compartidos con nombre
    Valor predeterminado: no configurado
    CSP LocalPoliciesSecurityOptions: NetworkAccess_RestrictAnonymousAccessToNamedPipesAndShares

    • No configurado : restrinja el acceso anónimo a la configuración de canalización con nombre y recurso compartido. Se aplica a la configuración a la que se puede acceder de forma anónima.
    • Bloquear : deshabilite esta directiva y haga que el acceso anónimo esté disponible.
  • Enumeración anónima de cuentas SAM
    Valor predeterminado: no configurado
    CSP LocalPoliciesSecurityOptions: NetworkAccess_DoNotAllowAnonymousEnumerationOfSAMAccounts

    • No configurado : los usuarios anónimos pueden enumerar cuentas SAM.
    • Bloquear : impedir la enumeración anónima de cuentas SAM.
  • Enumeración anónima de cuentas y recursos compartidos sam
    Valor predeterminado: no configurado
    CSP LocalPoliciesSecurityOptions: NetworkAccess_DoNotAllowAnonymousEnumerationOfSamAccountsAndShares

    • No configurado : los usuarios anónimos pueden enumerar los nombres de las cuentas de dominio y los recursos compartidos de red.
    • Bloquear : impedir la enumeración anónima de cuentas SAM y recursos compartidos.
  • Valor hash del administrador de LAN almacenado en el cambio de contraseña
    Valor predeterminado: no configurado
    CSP LocalPoliciesSecurityOptions: NetworkSecurity_DoNotStoreLANManagerHashValueOnNextPasswordChange

    Determine si el valor hash de las contraseñas se almacena la próxima vez que se cambia la contraseña.

    • No configurado : el valor hash no se almacena
    • Bloquear : el Administrador de LAN (LM) almacena el valor hash de la nueva contraseña.
  • Solicitudes de autenticación PKU2U
    Valor predeterminado: no configurado
    CSP LocalPoliciesSecurityOptions: NetworkSecurity_AllowPKU2UAuthenticationRequests

    • No configurado: permitir solicitudes PU2U.
    • Bloquear : bloquee las solicitudes de autenticación PKU2U en el dispositivo.
  • Restricción de conexiones RPC remotas a SAM
    Valor predeterminado: no configurado
    CSP LocalPoliciesSecurityOptions: NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM

    • No configurado : use el descriptor de seguridad predeterminado, que puede permitir a los usuarios y grupos realizar llamadas RPC remotas al SAM.

    • Permitir : impedir que los usuarios y grupos realicen llamadas RPC remotas al Administrador de cuentas de seguridad (SAM), que almacena las cuentas de usuario y las contraseñas. Permitir también permite cambiar la cadena predeterminada del lenguaje de definición de descriptor de seguridad (SDDL) para permitir o denegar explícitamente a los usuarios y grupos realizar estas llamadas remotas.

      • Descriptor de seguridad
        Valor predeterminado: no configurado
  • Seguridad mínima de sesión para clientes basados en SSP NTLM
    Valor predeterminado: Ninguno
    CSP LocalPoliciesSecurityOptions: NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedClients

    Esta configuración de seguridad permite que un servidor requiera la negociación del cifrado de 128 bits o la seguridad de la sesión NTLMv2.

    • Ninguna
    • Requerir seguridad de sesión NTLMv2
    • Requerir cifrado de 128 bits
    • NTLMv2 y cifrado de 128 bits
  • Seguridad mínima de la sesión para el servidor basado en NTLM SSP
    Valor predeterminado: Ninguno
    CSP LocalPoliciesSecurityOptions: NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedServers

    Esta configuración de seguridad determina qué protocolo de autenticación de desafío/respuesta se usa para los inicios de sesión de red.

    • Ninguna
    • Requerir seguridad de sesión NTLMv2
    • Requerir cifrado de 128 bits
    • NTLMv2 y cifrado de 128 bits
  • Nivel de autenticación de LAN Manager
    Valor predeterminado: LM y NTLM
    CSP LocalPoliciesSecurityOptions: NetworkSecurity_LANManagerAuthenticationLevel

    • LM y NTLM
    • LM, NTLM y NTLMv2
    • NTLM
    • NTLMv2
    • NTLMv2 y no LM
    • NTLMv2 y no LM o NTLM
  • Inicios de sesión de invitado no seguros
    Valor predeterminado: no configurado
    CSP de LanmanWorkstation: LanmanWorkstation

    Si habilita esta configuración, el cliente SMB rechazará los inicios de sesión de invitado no seguros.

    • Sin configurar
    • Bloquear : el cliente SMB rechaza los inicios de sesión de invitado no seguros.

Consola de recuperación y apagado

  • Borrar el archivo de página de memoria virtual al apagarse
    Valor predeterminado: no configurado
    CSP LocalPoliciesSecurityOptions: Shutdown_ClearVirtualMemoryPageFile

    • Habilitar : borre el archivo de página de memoria virtual cuando el dispositivo esté apagado.
    • No configurado : no borra la memoria virtual.
  • Apagar sin iniciar sesión
    Valor predeterminado: no configurado
    CSP LocalPoliciesSecurityOptions: Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn

    • Bloquear : oculta la opción de apagado en la pantalla de inicio de sesión de Windows. Los usuarios deben iniciar sesión en el dispositivo y, a continuación, apagarse.
    • No configurado : permite a los usuarios apagar el dispositivo desde la pantalla de inicio de sesión de Windows.

Control de cuentas de usuario

  • Integridad de UIA sin ubicación segura
    Valor predeterminado: no configurado
    CSP LocalPoliciesSecurityOptions: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations

    • Bloquear : las aplicaciones que se encuentran en una ubicación segura en el sistema de archivos solo se ejecutarán con la integridad de UIAccess.
    • No configurado : permite que las aplicaciones se ejecuten con integridad de UIAccess, incluso si las aplicaciones no están en una ubicación segura en el sistema de archivos.
  • Virtualización de errores de escritura de archivos y registros en ubicaciones por usuario
    Valor predeterminado: no configurado
    CSP LocalPoliciesSecurityOptions: UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations

    • Habilitado : se produce un error en las aplicaciones que escriben datos en ubicaciones protegidas.
    • No configurado : los errores de escritura de la aplicación se redirigen en tiempo de ejecución a ubicaciones de usuario definidas para el sistema de archivos y el registro.
  • Elevar solo los archivos ejecutables firmados y validados
    Valor predeterminado: no configurado
    CSP LocalPoliciesSecurityOptions: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations

    • Habilitado : aplique la validación de la ruta de certificación PKI para un archivo ejecutable antes de que pueda ejecutarse.
    • No configurado : no aplique la validación de la ruta de certificación PKI antes de que se pueda ejecutar un archivo ejecutable.

Comportamiento del símbolo del sistema de elevación de UIA

  • Petición de elevación para administradores
    Valor predeterminado: solicitar consentimiento para archivos binarios que no son de Windows
    CSP LocalPoliciesSecurityOptions: UserAccountControl_BehaviorOfTheElevationPromptForAdministrators

    Defina el comportamiento del símbolo del sistema de elevación para los administradores en modo de aprobación de administrador.

    • Sin configurar
    • Elevar sin preguntar
    • Solicitud de credenciales en el escritorio seguro
    • Solicitud de credenciales
    • Solicitud de consentimiento
    • Solicitud de consentimiento para archivos binarios que no son de Windows
  • Petición de elevación para usuarios estándar
    Valor predeterminado: solicitud de credenciales
    CSP LocalPoliciesSecurityOptions: UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers

    Defina el comportamiento de la solicitud de elevación para los usuarios estándar.

    • Sin configurar
    • Denegar automáticamente solicitudes de elevación
    • Solicitud de credenciales en el escritorio seguro
    • Solicitud de credenciales
  • Enrutamiento de solicitudes de elevación al escritorio interactivo del usuario
    Valor predeterminado: no configurado
    CSP LocalPoliciesSecurityOptions: UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation

    • Habilitado : todas las solicitudes de elevación van al escritorio del usuario interactivo en lugar del escritorio seguro. Se usa cualquier configuración de directiva de comportamiento de aviso para administradores y usuarios estándar.
    • No configurado : forzar que todas las solicitudes de elevación vayan al escritorio seguro, independientemente de la configuración de la directiva de comportamiento de mensajes para los administradores y los usuarios estándar.
  • Solicitud con privilegios elevados para instalaciones de aplicaciones
    Valor predeterminado: no configurado
    CSP LocalPoliciesSecurityOptions: UserAccountControl_DetectApplicationInstallationsAndPromptForElevation

    • Habilitado : los paquetes de instalación de la aplicación no se detectan ni se solicitan elevación.
    • No configurado : se solicita a los usuarios un nombre de usuario administrativo y una contraseña cuando un paquete de instalación de la aplicación requiere privilegios elevados.
  • Solicitud de elevación de UIA sin escritorio seguro
    Valor predeterminado: no configurado
    CSP LocalPoliciesSecurityOptions: UserAccountControl_AllowUIAccessApplicationsToPromptForElevation

  • Habilitar : permite que las aplicaciones de UIAccess soliciten elevación, sin usar el escritorio seguro.

  • No configurado : las solicitudes de elevación usan un escritorio seguro.

Modo de aprobación de administrador

  • Modo de aprobación de administrador para administrador integrado
    Valor predeterminado: no configurado
    CSP LocalPoliciesSecurityOptions: UserAccountControl_UseAdminApprovalMode

    • Habilitado : permite que la cuenta de administrador integrada use el modo de aprobación de administrador. Cualquier operación que requiera la elevación de privilegios solicita al usuario que apruebe la operación.
    • Sin configurar : ejecuta todas las aplicaciones con privilegios de administrador completos.
  • Ejecución de todos los administradores en modo de aprobación de administrador
    Valor predeterminado: no configurado
    CSP LocalPoliciesSecurityOptions: UserAccountControl_RunAllAdministratorsInAdminApprovalMode

    • Habilitado: habilite el modo de aprobación de administrador.
    • No configurado : deshabilite el modo de aprobación del administrador y toda la configuración de directiva de UAC relacionada.

Cliente de red de Microsoft

  • Firmar digitalmente las comunicaciones (si el servidor está de acuerdo)
    Valor predeterminado: no configurado
    CSP LocalPoliciesSecurityOptions: MicrosoftNetworkClient_DigitallySignCommunicationsIfServerAgrees

    Determina si el cliente SMB negocia la firma de paquetes SMB.

    • Bloquear : el cliente SMB nunca negocia la firma de paquetes SMB.
    • No configurado : el cliente de red de Microsoft pide al servidor que ejecute la firma de paquetes SMB al configurar la sesión. Si la firma de paquetes está habilitada en el servidor, se negocia la firma de paquetes.
  • Envío de una contraseña sin cifrar a servidores SMB de terceros
    Valor predeterminado: no configurado
    CSP LocalPoliciesSecurityOptions: MicrosoftNetworkClient_SendUnencryptedPasswordToThirdPartySMBServers

    • Bloquear : el redireccionamiento del bloque de mensajes del servidor (SMB) puede enviar contraseñas de texto no cifrado a servidores SMB que no sean de Microsoft que no admiten el cifrado de contraseñas durante la autenticación.
    • No configurado : bloquee el envío de contraseñas de texto no cifrado. Las contraseñas se cifran.
  • Firmar digitalmente las comunicaciones (siempre)
    Valor predeterminado: no configurado
    CSP LocalPoliciesSecurityOptions: MicrosoftNetworkClient_DigitallySignCommunicationsAlways

    • Habilitar : el cliente de red de Microsoft no se comunica con un servidor de red de Microsoft a menos que ese servidor acepte la firma de paquetes SMB.
    • No configurado : la firma de paquetes SMB se negocia entre el cliente y el servidor.

Microsoft Network Server

  • Firmar digitalmente las comunicaciones (si el cliente está de acuerdo)
    Valor predeterminado: no configurado
    CSP: MicrosoftNetworkServer_DigitallySignCommunicationsIfClientAgrees

    • Habilitar : el servidor de red de Microsoft negocia la firma de paquetes SMB según lo solicitado por el cliente. Es decir, si la firma de paquetes está habilitada en el cliente, se negocia la firma de paquetes.
    • No configurado : el cliente SMB nunca negocia la firma de paquetes SMB.
  • Firmar digitalmente las comunicaciones (siempre)
    Valor predeterminado: no configurado
    CSP: MicrosoftNetworkServer_DigitallySignCommunicationsAlways

    • Habilitar : el servidor de red de Microsoft no se comunica con un cliente de red de Microsoft a menos que ese cliente acepte la firma de paquetes SMB.
    • No configurado : la firma de paquetes SMB se negocia entre el cliente y el servidor.

Servicios de Xbox

Siguientes pasos

Se crea el perfil, pero aún no hace nada. A continuación, asigne el perfil y supervise su estado.

Configuración de las protecciones de puntos de conexión en dispositivos macOS .