Lista de la configuración de la línea de base de seguridad de Microsoft Defender para punto de conexión en Intune
Este artículo es una referencia para la configuración que está disponible en las distintas versiones de la línea de base de seguridad de Microsoft Defender para punto de conexión que puede implementar con Microsoft Intune. Use las pestañas para seleccionar y ver la configuración de la versión de línea base más reciente y algunas versiones anteriores que podrían estar en uso.
Para cada configuración, esta referencia identifica la configuración predeterminada de las líneas base, que también es la configuración recomendada para esa configuración proporcionada por el equipo de seguridad pertinente. Dado que los productos y el panorama de seguridad evolucionan, es posible que los valores predeterminados recomendados en una versión de línea base no coincidan con los valores predeterminados que se encuentran en versiones posteriores de la misma línea base. Los distintos tipos de línea de base, como la seguridad de MDM y las líneas base de Defender para punto de conexión , también pueden establecer valores predeterminados diferentes.
Cuando la interfaz de usuario de Intune incluye un vínculo Más información para una configuración, también lo encontrará aquí. Use ese vínculo para ver el proveedor de servicios de configuración de directivas de configuración (CSP) o el contenido pertinente que explica la operación de configuración.
Cuando una nueva versión de una línea base está disponible, reemplaza a la versión anterior. Perfiles de instancias que se crean antes de la disponibilidad de una nueva versión:
- Convertirse en de solo lectura. Puede seguir usando esos perfiles, pero no puede editarlos para cambiar su configuración.
- Se puede actualizar a la versión más reciente. Después de actualizar un perfil a la versión de línea base actual, puede editar el perfil para modificar la configuración.
Para obtener más información sobre el uso de líneas base de seguridad, consulte Uso de líneas de base de seguridad. En ese artículo también encontrará información sobre cómo:
- Cambie la versión de línea base de un perfil para actualizar un perfil con el fin de usar la versión más reciente de esa línea base.
Microsoft Defender para punto de conexión versión de línea base 24H1
Línea de base de Microsoft Defender for Endpoint para diciembre de 2020, versión 6
Microsoft Defender para punto de conexión línea base para septiembre de 2020: versión 5
Línea de base de Microsoft Defender for Endpoint para abril de 2020, versión 4
Línea de base de Microsoft Defender for Endpoint para marzo de 2020, versión 3
La línea base de Microsoft Defender para punto de conexión está disponible cuando el entorno cumple los requisitos previos para usar Microsoft Defender para punto de conexión.
Esta línea base está optimizada para dispositivos físicos y no se recomienda para su uso en máquinas virtuales (VM) o puntos de conexión VDI. Ciertas opciones de línea base pueden afectar a las sesiones interactivas remotas en entornos virtualizados. Para más información, consulte el artículo sobre el aumento del cumplimiento de la línea de base de seguridad de Microsoft Defender for Endpoint en la documentación de Windows.
Plantillas administrativas
Restricciones de instalación del dispositivo de instalación > del dispositivo del sistema >
Impedir la instalación de dispositivos mediante controladores que coincidan con estas clases de configuración de dispositivos
Valor predeterminado de línea base: habilitado
Más informaciónClases prevenidas
Valor predeterminado de línea base: d48179be-ec20-11d1-b6b8-00c04fa372a7También se aplica a los dispositivos coincidentes que ya están instalados.
Valor predeterminado de línea base: False
Cifrado de unidad bitlocker de componentes > de Windows
Elija el método de cifrado de unidad y la intensidad del cifrado (Windows 10 [versión 1511] y posteriores)
Valor predeterminado de línea base: habilitado
Más informaciónSeleccione el método de cifrado para las unidades de datos extraíbles:
Valor predeterminado de línea base: AES-CBC de 128 bits (valor predeterminado)Seleccione el método de cifrado para las unidades del sistema operativo:
Valor predeterminado de línea base: XTS-AES de 128 bits (valor predeterminado)Seleccione el método de cifrado para las unidades de datos fijas:
Valor predeterminado de línea base: XTS-AES de 128 bits (valor predeterminado)
Unidades de datos fijas de cifrado > de unidad BitLocker de componentes > de Windows
Elección de cómo se pueden recuperar las unidades fijas protegidas por BitLocker
Valor predeterminado de línea base: habilitado
Más informaciónNo habilite BitLocker hasta que la información de recuperación se almacene en AD DS para unidades de datos fijas.
Valor predeterminado de línea base: TruePermitir agente de recuperación de datos
Valor predeterminado de línea base: TrueConfiguración del almacenamiento de información de recuperación de BitLocker en AD DS:
Valor predeterminado de línea base: contraseñas de recuperación de copia de seguridad y paquetes de clavesValor: permitir la clave de recuperación de 256 bits
Guardar información de recuperación de BitLocker en AD DS para unidades de datos fijas
Valor predeterminado de línea base: TrueOmita las opciones de recuperación del Asistente para la instalación de BitLocker.
Valor predeterminado de línea base: TrueConfiguración del almacenamiento de usuario de la información de recuperación de BitLocker:
Valor predeterminado de línea base: permitir la contraseña de recuperación de 48 dígitos
Denegar el acceso de escritura a unidades fijas no protegidas por BitLocker
Valor predeterminado de línea base: habilitado
Más informaciónExigir el tipo de cifrado de unidad en unidades de datos fijas
Valor predeterminado de línea base: habilitado
Más información-
Seleccione el tipo de cifrado: (Dispositivo)
Valor predeterminado de línea base: cifrado de solo espacio usado
-
Seleccione el tipo de cifrado: (Dispositivo)
Unidades del sistema operativo de cifrado > de unidad BitLocker de componentes > de Windows
Permitir que los dispositivos compatibles con InstantGo o HSTI no puedan optar por no usar el PIN previo al arranque.
Valor predeterminado de línea base: deshabilitado
Más informaciónPermitir PIN mejorados para el inicio
Valor predeterminado de línea base: deshabilitado
Más informaciónElección de cómo se pueden recuperar las unidades del sistema operativo protegidas por BitLocker
Valor predeterminado de línea base: habilitado
Más informaciónOmita las opciones de recuperación del Asistente para la instalación de BitLocker.
Valor predeterminado de línea base: TruePermitir agente de recuperación de datos
Valor predeterminado de línea base: TrueValor: permitir la clave de recuperación de 256 bits
Configuración del almacenamiento de información de recuperación de BitLocker en AD DS:
Valor predeterminado de línea base: Almacenar contraseñas de recuperación y paquetes de clavesNo habilite BitLocker hasta que la información de recuperación se almacene en AD DS para las unidades del sistema operativo.
Valor predeterminado de línea base: TrueGuardar información de recuperación de BitLocker en AD DS para unidades de sistema operativo
Valor predeterminado de línea base: TrueConfiguración del almacenamiento de usuario de la información de recuperación de BitLocker:
Valor predeterminado de línea base: permitir la contraseña de recuperación de 48 dígitos
Habilitar el uso de la autenticación de BitLocker que requiere entrada de teclado de inicio previo en pizarras
Valor predeterminado de línea base: habilitado
Más informaciónAplicación del tipo de cifrado de unidad en la unidad del sistema operativo
Valor predeterminado de línea base: habilitado
Más información-
Seleccione el tipo de cifrado: (Dispositivo)
Valor predeterminado de línea base: cifrado de solo espacio usado
-
Seleccione el tipo de cifrado: (Dispositivo)
Requerir autenticación adicional en el inicio
Valor predeterminado de línea base: habilitado
Más informaciónConfiguración de la clave de inicio y el PIN de TPM:
Valor predeterminado de línea base: no permitir la clave de inicio y el PIN con TPMConfiguración del inicio de TPM:
Valor predeterminado de línea base: Permitir TPMPermitir BitLocker sin un TPM compatible (requiere una contraseña o una clave de inicio en una unidad flash USB)
Valor predeterminado de línea base: FalseConfiguración del PIN de inicio de TPM:
Valor predeterminado de línea base: permitir el PIN de inicio con TPMConfiguración de la clave de inicio de TPM:
Valor predeterminado de línea base: no permitir la clave de inicio con TPM
Unidades de datos extraíbles de cifrado > de unidad BitLocker de componentes > de Windows
Controlar el uso de BitLocker en unidades extraíbles
Valor predeterminado de línea base: habilitado
Más informaciónPermitir a los usuarios aplicar la protección de BitLocker en unidades de datos extraíbles (dispositivo)
Valor predeterminado de línea base: TrueExigir el tipo de cifrado en unidades de datos extraíbles
Valor predeterminado de línea base: habilitado
Más información-
Seleccione el tipo de cifrado: (Dispositivo)
Valor predeterminado de línea base: cifrado de solo espacio usado
-
Seleccione el tipo de cifrado: (Dispositivo)
Permitir a los usuarios suspender y descifrar la protección de BitLocker en unidades de datos extraíbles (dispositivo)
Valor predeterminado de línea base: False
Denegar el acceso de escritura a unidades extraíbles no protegidas por BitLocker
Valor predeterminado de línea base: habilitado
Más información-
No permitir el acceso de escritura a los dispositivos configurados en otra organización
Valor predeterminado de línea base: False
-
No permitir el acceso de escritura a los dispositivos configurados en otra organización
Componentes de > Windows Explorador de archivos
Configurar Windows Defender SmartScreen
Valor predeterminado de línea base: habilitado
Más información-
Elija una de las opciones siguientes: (Dispositivo)
Valor predeterminado de línea base: advertir y evitar la omisión
-
Elija una de las opciones siguientes: (Dispositivo)
Componentes de > Windows Internet Explorer
Evitar omitir las advertencias de filtro SmartScreen sobre los archivos que no se descargan habitualmente de Internet
Valor predeterminado de línea base: habilitado
Más informaciónEvitar omitir las advertencias de filtro SmartScreen sobre los archivos que no se descargan habitualmente de Internet (usuario)
Valor predeterminado de línea base: habilitado
Más informaciónImpedir la administración del filtro SmartScreen
Valor predeterminado de línea base: habilitado
Más información-
Seleccionar modo de filtro smartscreen
Valor predeterminado de línea base: Activado
-
Seleccionar modo de filtro smartscreen
BitLocker
Permitir advertencia para otro cifrado de disco
Valor predeterminado de línea base: habilitado
Más informaciónConfiguración de la rotación de contraseñas de recuperación
Valor predeterminado de línea base: actualización activada para dispositivos unidos a Azure AD e híbridos
Más informaciónRequerir cifrado de dispositivos
Valor predeterminado de línea base: habilitado
Más información
Defender
Permitir el examen de archivos
Valor predeterminado de línea base: permitido. Examina los archivos de archivo.
Más informaciónPermitir supervisión del comportamiento
Valor predeterminado de línea base: permitido. Activa la supervisión del comportamiento en tiempo real.
Más informaciónPermitir protección en la nube
Valor predeterminado de línea base: permitido. Activa Cloud Protection.
Más informaciónPermitir el examen de Email
Valor predeterminado de línea base: permitido. Activa el examen de correo electrónico.
Más informaciónPermitir examen completo de la unidad extraíble
Valor predeterminado de línea base: permitido. Examina las unidades extraíbles.
Más informaciónPermitir la protección de acceso
Valor predeterminado de línea base: permitido.
Más informaciónPermitir supervisión en tiempo real
Valor predeterminado de línea base: permitido. Activa y ejecuta el servicio de supervisión en tiempo real.
Más informaciónPermitir el examen de archivos de red
Valor predeterminado de línea base: permitido. Examina los archivos de red.
Más informaciónPermitir el examen de todos los archivos y datos adjuntos descargados
Valor predeterminado de línea base: permitido.
Más informaciónPermitir el examen de scripts
Valor predeterminado de línea base: permitido.
Más informaciónPermitir el acceso a la interfaz de usuario de usuario
Valor predeterminado de línea base: permitido. Permite a los usuarios acceder a la interfaz de usuario.
Más informaciónBloquear la ejecución de scripts potencialmente ofuscados
Valor predeterminado de línea base: Bloquear
Más informaciónBloquear llamadas API de Win32 desde macros de Office
Valor predeterminado de línea base: Bloquear
Más informaciónImpedir que los archivos ejecutables se ejecuten a menos que cumplan un criterio de prevalencia, edad o lista de confianza
Valor predeterminado de línea base: Bloquear
Más informaciónImpedir que la aplicación de comunicación de Office cree procesos secundarios
Valor predeterminado de línea base: Bloquear
Más informaciónImpedir que todas las aplicaciones de Office creen procesos secundarios
Valor predeterminado de línea base: Bloquear
Más informaciónImpedir que Adobe Reader cree procesos secundarios
Valor predeterminado de línea base: Bloquear
Más informaciónBloquear el robo de credenciales del subsistema de autoridad de seguridad local de Windows
Valor predeterminado de línea base: Bloquear
Más informaciónImpedir que JavaScript o VBScript inicien contenido ejecutable descargado
Valor predeterminado de línea base: Bloquear
Más informaciónBloquear la creación de WebShell para servidores
Valor predeterminado de línea base: Bloquear
Más informaciónBloquear procesos que no son de confianza y no firmados que se ejecutan desde USB
Valor predeterminado de línea base: Bloquear
Más informaciónBloquear la persistencia a través de la suscripción de eventos WMI
Valor predeterminado de línea base: Auditoría
Más información[VISTA PREVIA] Bloquear el uso de herramientas del sistema copiadas o suplantadas
Valor predeterminado de línea base: Bloquear
Más informaciónBloquear el abuso de controladores firmados vulnerables explotados (dispositivo)
Valor predeterminado de línea base: Bloquear
Más informaciónBloquear las creaciones de procesos que se originen a partir de comandos PSExec y WMI
Valor predeterminado de línea base: Auditoría
Más informaciónImpedir que las aplicaciones de Office creen contenido ejecutable
Valor predeterminado de línea base: Bloquear
Más informaciónImpedir que las aplicaciones de Office inserten código en otros procesos
Valor predeterminado de línea base: Bloquear
Más información[VISTA PREVIA] Bloquear el reinicio de la máquina en modo seguro
Valor predeterminado de línea base: Bloquear
Más informaciónUso de protección avanzada contra ransomware
Valor predeterminado de línea base: Bloquear
Más informaciónBloquear el contenido ejecutable del cliente de correo electrónico y el correo web
Valor predeterminado de línea base: Bloquear
Más información
Comprobación de firmas antes de ejecutar el examen
Valor predeterminado de línea base: habilitado
Más informaciónNivel de bloque de nube
Valor predeterminado de línea base: Alto
Más informaciónTiempo de espera extendido en la nube
Valor predeterminado de línea base: configurado
Valor: 50
Más informaciónDeshabilitar combinación de Administración local
Valor predeterminado de línea base: Habilitar combinación de Administración local
Más informaciónHabilitación de la protección de red
Valor predeterminado de línea base: habilitado (modo de bloque)
Más informaciónOcultar exclusiones de administradores locales
Valor predeterminado de línea base: si habilita esta configuración, los administradores locales ya no podrán ver la lista de exclusión en Seguridad de Windows Aplicación o a través de PowerShell.
Más informaciónOcultar exclusiones de usuarios locales
Valor predeterminado de línea base: si habilita esta configuración, los usuarios locales ya no podrán ver la lista de exclusión en Seguridad de Windows Aplicación ni a través de PowerShell.
Más informaciónOobe Enable Rtp And Sig Update
Valor predeterminado de línea base: si habilita esta configuración, la protección en tiempo real y la inteligencia de seguridad Novedades se habilitan durante OOBE.
Más informaciónProtección de PUA
Valor predeterminado de línea base: protección pua activada. Los elementos detectados están bloqueados. Se mostrarán en la historia junto con otras amenazas.
Más informaciónDirección del examen en tiempo real
Valor predeterminado de línea base: supervise todos los archivos (bidireccionales).
Más informaciónParámetro scan
Valor predeterminado de línea base: examen rápido
Más informaciónProgramar tiempo de examen rápido
Valor predeterminado de línea base: configurado
Valor: 120
Más informaciónProgramar día de examen
Valor predeterminado de línea base: todos los días
Más informaciónProgramar tiempo de examen
Valor predeterminado de línea base: configurado
Valor: 120
Más informaciónIntervalo de actualización de firma
Valor predeterminado de línea base: configurado
Valor: 4
Más informaciónEnviar consentimiento de ejemplos
Valor predeterminado de línea base: envíe todas las muestras automáticamente.
Más información
Device Guard
-
Credential Guard
Valor predeterminado de línea base: (Habilitado con bloqueo UEFI) Activa Credential Guard con bloqueo UEFI.
Más información
Dma Guard
-
Directiva de enumeración de dispositivos
Valor predeterminado de línea base: Bloquear todo (más restrictivo)
Más información
Firewall
Comprobación de la lista de revocación de certificados
Valor predeterminado de línea base: Ninguno
Más informaciónDeshabilitar ftp con estado
Valor predeterminado de línea base: True
Más informaciónHabilitación del firewall de red de dominio
Valor predeterminado de línea base: True
Más informaciónPermitir combinación de directivas de IPsec local
Valor predeterminado de línea base: True
Más informaciónDeshabilitar modo sigiloso
Valor predeterminado de línea base: False
Más informaciónDeshabilitar notificaciones entrantes
Valor predeterminado de línea base: True
Más informaciónDeshabilitar respuestas de unidifusión a difusión de multidifusión
Valor predeterminado de línea base: False
Más informaciónLos puertos globales permiten la combinación pref del usuario
Valor predeterminado de línea base: True
Más informaciónDeshabilitación de la exención de paquetes protegidos por IPsec en modo sigiloso
Valor predeterminado de línea base: True
Más informaciónPermitir combinación de directivas locales
Valor predeterminado de línea base: True
Más información
Habilitación de la cola de paquetes
Valor predeterminado de línea base: configurado
Valor: Deshabilitado
Más informaciónHabilitación del firewall de red privada
Valor predeterminado de línea base: True
Más informaciónAcción de entrada predeterminada para perfil privado
Valor predeterminado de línea base: Bloquear
Más informaciónDeshabilitar respuestas de unidifusión a difusión de multidifusión
Valor predeterminado de línea base: False
Más informaciónDeshabilitar modo sigiloso
Valor predeterminado de línea base: False
Más informaciónLos puertos globales permiten la combinación pref del usuario
Valor predeterminado de línea base: True
Más informaciónPermitir combinación de directivas de IPsec local
Valor predeterminado de línea base: True
Más informaciónDeshabilitación de la exención de paquetes protegidos por IPsec en modo sigiloso
Valor predeterminado de línea base: True
Más informaciónDeshabilitar notificaciones entrantes
Valor predeterminado de línea base: True
Más informaciónPermitir combinación de directivas locales
Valor predeterminado de línea base: True
Más informaciónAcción de salida predeterminada
Valor predeterminado de línea base: Permitir
Más informaciónAuth Apps Allow User Pref Merge
Valor predeterminado de línea base: True
Más información
Habilitación del firewall de red pública
Valor predeterminado de línea base: True
Más informaciónDeshabilitar modo sigiloso
Valor predeterminado de línea base: False
Más informaciónAcción de salida predeterminada
Valor predeterminado de línea base: Permitir
Más informaciónDeshabilitar notificaciones entrantes
Valor predeterminado de línea base: True
Más informaciónDeshabilitación de la exención de paquetes protegidos por IPsec en modo sigiloso
Valor predeterminado de línea base: True
Más informaciónPermitir combinación de directivas locales
Valor predeterminado de línea base: True
Más informaciónAuth Apps Allow User Pref Merge
Valor predeterminado de línea base: True
Más informaciónAcción de entrada predeterminada para el perfil público
Valor predeterminado de línea base: Bloquear
Más informaciónDeshabilitar respuestas de unidifusión a difusión de multidifusión
Valor predeterminado de línea base: False
Más informaciónLos puertos globales permiten la combinación pref del usuario
Valor predeterminado de línea base: True
Más informaciónPermitir combinación de directivas de IPsec local
Valor predeterminado de línea base: True
Más información
Codificación de clave previamente compartida
Valor predeterminado de línea base: UTF8
Más informaciónTiempo de inactividad de la asociación de seguridad
Valor predeterminado de línea base: configurado
Valor: 300
Más información
Microsoft Edge
Configuración de Microsoft Defender SmartScreen
Valor predeterminado de línea base: habilitadoConfiguración de Microsoft Defender SmartScreen para bloquear aplicaciones potencialmente no deseadas
Valor predeterminado de línea base: habilitadoHabilitar Microsoft Defender solicitudes DNS de SmartScreen
Valor predeterminado de línea base: habilitadoHabilitación de la nueva biblioteca smartscreen
Valor predeterminado de línea base: habilitadoForzar Microsoft Defender comprobaciones de SmartScreen en descargas de orígenes de confianza
Valor predeterminado de línea base: habilitadoImpedir la omisión de Microsoft Defender solicitudes de SmartScreen para sitios
Valor predeterminado de línea base: habilitadoEvitar la omisión de Microsoft Defender advertencias de SmartScreen sobre descargas
Valor predeterminado de línea base: habilitado
Reglas de la reducción de la superficie expuesta a ataques
Las reglas de reducción de superficie expuesta a ataques admiten una fusión de la configuración de diferentes directivas para crear un superconjunto de directivas para cada dispositivo. Solo se combinan las opciones de configuración que no están en conflicto. La configuración que está en conflicto no se agrega al superconjunto de reglas. Anteriormente, si dos directivas incluían conflictos para una sola configuración, ambas directivas se marcaban como en conflicto y no se implementaría ninguna configuración de ninguno de los perfiles.
El comportamiento de combinación de reglas de reducción de superficie expuesta a ataques es el siguiente:
- Las reglas de reducción de superficie expuesta a ataques de los perfiles siguientes se evalúan para cada dispositivo al que se aplican las reglas:
- Directiva de configuración > de dispositivos > Perfil > de Endpoint Protection Microsoft Defender Reducción de superficie expuesta a ataques de Protección contra vulnerabilidades >
- Directiva de reducción de superficie expuesta a ataques de seguridad > de puntos de conexión Reglas de reducción> de superficie expuesta a ataques
- Líneas base de seguridad > de punto de conexión Microsoft Defender para punto de conexión reglas de reducción de superficie expuesta a ataques> de línea base>.
- La configuración que no tiene conflictos se agrega a un superconjunto de directivas para el dispositivo.
- Cuando dos o más directivas tienen una configuración en conflicto, la configuración en conflicto no se agrega a la directiva combinada, mientras que la configuración que no entra en conflicto se agrega a la directiva de superconjunto que se aplica a un dispositivo.
- Solo se retienen las configuraciones de configuración en conflicto.
Para obtener más información, consulte Reglas de reducción de superficie expuesta a ataques en la documentación de Microsoft Defender para punto de conexión.
Impedir que las aplicaciones de comunicación de Office creen procesos secundarios
Valor predeterminado de línea base: Habilitar
Más informaciónImpedir que Adobe Reader cree procesos secundarios
Valor predeterminado de línea base: Habilitar
Más informaciónImpedir que las aplicaciones de Office inserten código en otros procesos
Valor predeterminado de línea base: Bloquear
Más informaciónImpedir que las aplicaciones de Office creen contenido ejecutable
Valor predeterminado de línea base: Bloquear
Más informaciónImpedir que JavaScript o VBScript inicien contenido ejecutable descargado
Valor predeterminado de línea base: Bloquear
Más informaciónHabilitación de la protección de red
Valor predeterminado de línea base: Habilitar
Más informaciónBloquear procesos que no son de confianza y no firmados que se ejecutan desde USB
Valor predeterminado de línea base: Bloquear
Más informaciónBloquear el robo de credenciales del subsistema de autoridad de seguridad local de Windows (lsass.exe)
Valor predeterminado de línea base: Habilitar
Más informaciónBloquear la descarga de contenido ejecutable desde clientes de correo electrónico y correo web
Valor predeterminado de línea base: Bloquear
Más informaciónImpedir que todas las aplicaciones de Office creen procesos secundarios
Valor predeterminado de línea base: Bloquear
Más informaciónBloquear la ejecución de scripts potencialmente ofuscados (js/vbs/ps)
Valor predeterminado de línea base: Bloquear
Más informaciónBloquear llamadas API win32 desde una macro de Office
Valor predeterminado de línea base: Bloquear
Más información
Protección de aplicaciones
Para obtener más información, consulte WINDOWSDefenderApplicationGuard CSP en la documentación de Windows.
Cuando se usa Microsoft Edge, Protección de aplicaciones de Microsoft Defender protege su entorno frente a sitios de confianza para su organización. Cuando los usuarios visitan sitios que no aparecen en el límite de red aislado, los sitios se abren en una sesión de exploración virtual de Hyper-V. Los sitios de confianza se definen mediante un límite de red.
Activar Protección de aplicaciones para Edge (opciones)
Valor predeterminado de línea base: habilitado para Edge
Más informaciónBloquear contenido externo de sitios no aprobados por empresas
Valor predeterminado de línea base: Sí
Más informaciónComportamiento del Portapapeles
Valor predeterminado de línea base: bloquear la copia y pegado entre pc y explorador
Más información
Directiva de aislamiento de red de Windows
Valor predeterminado de línea base: Configurar
Más información-
Dominios de red
Valor predeterminado de línea base: securitycenter.windows.com
-
Dominios de red
BitLocker
Requerir que las tarjetas de almacenamiento se cifren (solo móvil)
Valor predeterminado de línea base: Sí
Más informaciónNota:
La compatibilidad con Windows 10 Mobile y Windows Phone 8.1 finalizó en agosto de 2020.
Habilitación del cifrado de disco completo para el sistema operativo y las unidades de datos fijas
Valor predeterminado de línea base: Sí
Más informaciónDirectiva de unidades de disco de sistema de BitLocker
Valor predeterminado de línea base: Configurar
Más información-
Configuración del método de cifrado para unidades de sistema operativo
Valor predeterminado de línea base: no configurado
Más información
-
Configuración del método de cifrado para unidades de sistema operativo
Directiva de unidades de disco fijas de BitLocker
Valor predeterminado de línea base: Configurar
Más informaciónBloquear el acceso de escritura a unidades de datos fijas no protegidas por BitLocker
Valor predeterminado de línea base: Sí
Más información
Esta configuración está disponible cuando la directiva de unidad fija de BitLocker está establecida en Configurar.Configuración del método de cifrado para unidades de datos fijas
Valor predeterminado de línea base: AES XTS de 128 bits
Más información
Directiva de unidad extraíble de BitLocker
Valor predeterminado de línea base: Configurar
Más informaciónConfiguración del método de cifrado para unidades de datos extraíbles
Valor predeterminado de línea base: AES CBC de 128 bits
Más informaciónBloquear el acceso de escritura a unidades de datos extraíbles no protegidas por BitLocker
Valor predeterminado de línea base: no configurado
Más información
Estados de espera al dormir mientras está en batería Valor predeterminado de línea base: deshabilitado
Más informaciónEstados de espera al dormir mientras está conectado
Valor predeterminado de línea base: deshabilitado
Más informaciónHabilitación del cifrado de disco completo para el sistema operativo y las unidades de datos fijas
Valor predeterminado de línea base: Sí
Más informaciónDirectiva de unidades de disco de sistema de BitLocker
Valor predeterminado de línea base: Configurar
Más informaciónAutenticación de inicio necesaria
Valor predeterminado de línea base: Sí
Más informaciónPIN de inicio de TPM compatible
Valor predeterminado de línea base: permitido
Más informaciónClave de inicio de TPM compatible
Valor predeterminado de línea base: obligatorio
Más informaciónDeshabilitación de BitLocker en dispositivos en los que TPM no es compatible
Valor predeterminado de línea base: Sí
Más informaciónConfiguración del método de cifrado para unidades de sistema operativo
Valor predeterminado de línea base: no configurado
Más información
Directiva de unidades de disco fijas de BitLocker
Valor predeterminado de línea base: Configurar
Más informaciónBloquear el acceso de escritura a unidades de datos fijas no protegidas por BitLocker
Valor predeterminado de línea base: Sí
Más información
Esta configuración está disponible cuando la directiva de unidad fija de BitLocker está establecida en Configurar.Configuración del método de cifrado para unidades de datos fijas
Valor predeterminado de línea base: AES XTS de 128 bits
Más información
Directiva de unidad extraíble de BitLocker
Valor predeterminado de línea base: Configurar
Más informaciónConfiguración del método de cifrado para unidades de datos extraíbles
Valor predeterminado de línea base: AES CBC de 128 bits
Más informaciónBloquear el acceso de escritura a unidades de datos extraíbles no protegidas por BitLocker
Valor predeterminado de línea base: no configurado
Más información
Directiva de unidades de disco de sistema de BitLocker
Valor predeterminado de línea base: Configurar
Más informaciónAutenticación de inicio necesaria
Valor predeterminado de línea base: Sí
Más informaciónPIN de inicio de TPM compatible
Valor predeterminado de línea base: permitido
Más informaciónClave de inicio de TPM compatible
Valor predeterminado de línea base: obligatorio
Más informaciónDeshabilitación de BitLocker en dispositivos en los que TPM no es compatible
Valor predeterminado de línea base: Sí
Más informaciónConfiguración del método de cifrado para unidades de sistema operativo
Valor predeterminado de línea base: no configurado
Más información
Estados de espera al dormir mientras está en batería Valor predeterminado de línea base: deshabilitado
Más informaciónEstados de espera al dormir mientras está conectado
Valor predeterminado de línea base: deshabilitado
Más informaciónHabilitación del cifrado de disco completo para el sistema operativo y las unidades de datos fijas
Valor predeterminado de línea base: Sí
Más informaciónDirectiva de unidades de disco fijas de BitLocker
Valor predeterminado de línea base: Configurar
Más informaciónBloquear el acceso de escritura a unidades de datos fijas no protegidas por BitLocker
Valor predeterminado de línea base: Sí
Más información
Esta configuración está disponible cuando la directiva de unidad fija de BitLocker está establecida en Configurar.Configuración del método de cifrado para unidades de datos fijas
Valor predeterminado de línea base: AES XTS de 128 bits
Más información
Directiva de unidad extraíble de BitLocker
Valor predeterminado de línea base: Configurar
Más informaciónConfiguración del método de cifrado para unidades de datos extraíbles
Valor predeterminado de línea base: AES CBC de 128 bits
Más informaciónBloquear el acceso de escritura a unidades de datos extraíbles no protegidas por BitLocker
Valor predeterminado de línea base: no configurado
Más información
Explorador
Requerir SmartScreen para Microsoft Edge
Valor predeterminado de línea base: Sí
Más informaciónBloquear el acceso a sitios malintencionados
Valor predeterminado de línea base: Sí
Más informaciónBloquear la descarga de archivos no comprobados
Valor predeterminado de línea base: Sí
Más información
Protección de datos
-
Bloquear el acceso directo a la memoria
Valor predeterminado de línea base: Sí
Más información
Device Guard
-
Activar la protección de credenciales
Valor predeterminado de línea base: habilitar con bloqueo UEFI
Más información
Instalación de dispositivo
Instalación de dispositivos de hardware por identificadores de dispositivo
Valor predeterminado de línea base: Bloquear la instalación del dispositivo de hardware
Más informaciónEliminación de dispositivos de hardware coincidentes Valor predeterminado de línea base: Sí
Identificadores de dispositivo de hardware bloqueados
Valor predeterminado de línea base: no configurado de forma predeterminada. Agregue manualmente uno o varios identificadores de dispositivo.
Instalación de dispositivos de hardware por clases de configuración
Valor predeterminado de línea base: Bloquear la instalación del dispositivo de hardware
Más informaciónEliminación de dispositivos de hardware coincidentes Valor predeterminado de línea base: no configurado
Identificadores de dispositivo de hardware bloqueados Valor predeterminado de línea base: no configurado de forma predeterminada. Agregue manualmente uno o varios identificadores de dispositivo.
Bloquee la instalación del dispositivo de hardware mediante las clases de instalación:
Valor predeterminado de línea base: Sí
Más informaciónQuitar dispositivos de hardware coincidentes:
Valor predeterminado de línea base: SíLista de bloques
Valor predeterminado de línea base: no configurado de forma predeterminada. Agregue manualmente uno o varios identificadores únicos globales de la clase de configuración.
DMA Guard
-
Enumeración de dispositivos externos incompatibles con Kernel DMA Protection
Valor predeterminado de línea base: Bloquear todo
Más información
-
Enumeración de dispositivos externos incompatibles con Kernel DMA Protection
Valor predeterminado de línea base: no configurado
Más información
Detección y respuesta de puntos de conexión
Uso compartido de ejemplo para todos los archivos
Valor predeterminado de línea base: Sí
Más informaciónAceleración de la frecuencia de informes de telemetría
Valor predeterminado de línea base: Sí
Más información
Firewall
Protocolo de transferencia de archivos con estado (FTP)
Valor predeterminado de línea base: deshabilitado
Más informaciónNúmero de segundos que una asociación de seguridad puede estar inactiva antes de eliminarla
Valor predeterminado de línea base: 300
Más informaciónCodificación de clave previamente compartida
Valor predeterminado de línea base: UTF8
Más informaciónComprobación de la lista de revocación de certificados (CRL)
Valor predeterminado de línea base: no configurado
Más informaciónCola de paquetes
Valor predeterminado de línea base: no configurado
Más informaciónPerfil de firewall privado
Valor predeterminado de línea base: Configurar
Más informaciónConexiones entrantes bloqueadas
Valor predeterminado de línea base: Sí
Más informaciónRespuestas de unidifusión a las difusiones de multidifusión necesarias
Valor predeterminado de línea base: Sí
Más informaciónConexiones salientes necesarias
Valor predeterminado de línea base: Sí
Más informaciónNotificaciones entrantes bloqueadas
Valor predeterminado de línea base: Sí
Más informaciónReglas de puerto globales de la directiva de grupo combinada
Valor predeterminado de línea base: Sí
Más informaciónFirewall habilitado
Valor predeterminado de línea base: permitido
Más informaciónReglas de aplicación autorizadas de la directiva de grupo no combinadas
Valor predeterminado de línea base: Sí
Más informaciónReglas de seguridad de conexión de la directiva de grupo no combinadas
Valor predeterminado de línea base: Sí
Más informaciónTráfico entrante necesario
Valor predeterminado de línea base: Sí
Más informaciónReglas de directiva de la directiva de grupo no combinadas
Valor predeterminado de línea base: Sí
Más información
-
Modo sigiloso bloqueado
Valor predeterminado de línea base: Sí
Más información
Perfil de firewall público
Valor predeterminado de línea base: Configurar
Más informaciónConexiones entrantes bloqueadas
Valor predeterminado de línea base: Sí
Más informaciónRespuestas de unidifusión a las difusiones de multidifusión necesarias
Valor predeterminado de línea base: Sí
Más informaciónConexiones salientes necesarias
Valor predeterminado de línea base: Sí
Más informaciónReglas de aplicación autorizadas de la directiva de grupo no combinadas
Valor predeterminado de línea base: Sí**
Más informaciónNotificaciones entrantes bloqueadas
Valor predeterminado de línea base: Sí
Más informaciónReglas de puerto globales de la directiva de grupo combinada
Valor predeterminado de línea base: Sí
Más informaciónFirewall habilitado
Valor predeterminado de línea base: permitido
Más informaciónReglas de seguridad de conexión de la directiva de grupo no combinadas
Valor predeterminado de línea base: Sí
Más informaciónTráfico entrante necesario
Valor predeterminado de línea base: Sí
Más informaciónReglas de directiva de la directiva de grupo no combinadas
Valor predeterminado de línea base: Sí
Más información
-
Modo sigiloso bloqueado
Valor predeterminado de línea base: Sí
Más información
Dominio de perfil de firewall
Valor predeterminado de línea base: Configurar
Más informaciónRespuestas de unidifusión a las difusiones de multidifusión necesarias
Valor predeterminado de línea base: Sí
Más informaciónReglas de aplicación autorizadas de la directiva de grupo no combinadas
Valor predeterminado de línea base: Sí
Más informaciónNotificaciones entrantes bloqueadas
Valor predeterminado de línea base: Sí
Más informaciónReglas de puerto globales de la directiva de grupo combinada
Valor predeterminado de línea base: Sí
Más informaciónFirewall habilitado
Valor predeterminado de línea base: permitido
Más informaciónReglas de seguridad de conexión de la directiva de grupo no combinadas
Valor predeterminado de línea base: Sí
Más informaciónReglas de directiva de la directiva de grupo no combinadas
Valor predeterminado de línea base: Sí
Más información
-
Modo sigiloso bloqueado
Valor predeterminado de línea base: Sí
Más información
Microsoft Defender
Activar la protección en tiempo real
Valor predeterminado de línea base: Sí
Más informaciónCantidad adicional de tiempo (0-50 segundos) para ampliar el tiempo de espera de protección en la nube
Valor predeterminado de línea base: 50
Más informaciónExaminar todos los archivos y datos adjuntos descargados
Valor predeterminado de línea base: Sí
Más informaciónTipo de examen
Valor predeterminado de línea base: examen rápido
Más informaciónDía de examen de programación de Defender:
Valor predeterminado de línea base: todos los díasHora de inicio del examen de Defender:
Valor predeterminado de línea base: no configuradoConsentimiento de envío de ejemplo de Defender
Valor predeterminado de línea base: enviar muestras seguras automáticamente
Más informaciónNivel de protección entregado en la nube
Valor predeterminado de línea base: Alto
Más informaciónExamen de unidades extraíbles durante el examen completo
Valor predeterminado de línea base: Sí
Más informaciónAcción de aplicación potencialmente no deseada de Defender
Valor predeterminado de línea base: Bloquear
Más informaciónActivar la protección proporcionada en la nube
Valor predeterminado de línea base: Sí
Más información
Activar la protección en tiempo real
Valor predeterminado de línea base: Sí
Más informaciónCantidad adicional de tiempo (0-50 segundos) para ampliar el tiempo de espera de protección en la nube
Valor predeterminado de línea base: 50
Más informaciónExaminar todos los archivos y datos adjuntos descargados
Valor predeterminado de línea base: Sí
Más informaciónTipo de examen
Valor predeterminado de línea base: examen rápido
Más informaciónConsentimiento de envío de ejemplo de Defender
Valor predeterminado de línea base: enviar muestras seguras automáticamente
Más informaciónNivel de protección entregado en la nube
Valor predeterminado de línea base: Alto
Más informaciónExamen de unidades extraíbles durante el examen completo
Valor predeterminado de línea base: Sí
Más informaciónAcción de aplicación potencialmente no deseada de Defender
Valor predeterminado de línea base: Bloquear
Más informaciónActivar la protección proporcionada en la nube
Valor predeterminado de línea base: Sí
Más información
Ejecución de un examen rápido diario en
Valor predeterminado de línea base: 2 a. m.
Más informaciónHora de inicio del examen programado
Valor predeterminado de línea base: 2 a. m.Configuración de prioridad de CPU baja para exámenes programados
Valor predeterminado de línea base: Sí
Más informaciónImpedir que las aplicaciones de comunicación de Office creen procesos secundarios
Valor predeterminado de línea base: Habilitar
Más informaciónImpedir que Adobe Reader cree procesos secundarios
Valor predeterminado de línea base: Habilitar
Más informaciónExamen de mensajes de correo electrónico entrantes
Valor predeterminado de línea base: Sí
Más informaciónActivar la protección en tiempo real
Valor predeterminado de línea base: Sí
Más informaciónNúmero de días (0-90) para mantener el malware en cuarentena
Valor predeterminado de línea base: 0
Más informaciónProgramación de examen del sistema de Defender
Valor predeterminado de línea base: definido por el usuario
Más informaciónCantidad adicional de tiempo (0-50 segundos) para ampliar el tiempo de espera de protección en la nube
Valor predeterminado de línea base: 50
Más informaciónExamen de las unidades de red asignadas durante un examen completo
Valor predeterminado de línea base: Sí
Más informaciónHabilitar protección de red
Valor predeterminado de línea base: Sí
Más informaciónExaminar todos los archivos y datos adjuntos descargados
Valor predeterminado de línea base: Sí
Más informaciónBloquear la protección de acceso
Valor predeterminado de línea base: no configurado
Más informaciónExamen de scripts del explorador
Valor predeterminado de línea base: Sí
Más informaciónBloquear el acceso del usuario a Microsoft Defender aplicación
Valor predeterminado de línea base: Sí
Más informaciónUso máximo de CPU permitido (0-100 por ciento) por examen
Valor predeterminado de línea base: 50
Más informaciónTipo de examen
Valor predeterminado de línea base: examen rápido
Más informaciónEscriba la frecuencia (0-24 horas) para comprobar si hay actualizaciones de inteligencia de seguridad.
Valor predeterminado de línea base: 8
Más informaciónConsentimiento de envío de ejemplo de Defender
Valor predeterminado de línea base: enviar muestras seguras automáticamente
Más informaciónNivel de protección entregado en la nube
Valor predeterminado de línea base: *No configurado
Más informaciónExamen de archivos de archivo
Valor predeterminado de línea base: Sí
Más informaciónActivar la supervisión del comportamiento
Valor predeterminado de línea base: Sí
Más informaciónExamen de unidades extraíbles durante el examen completo
Valor predeterminado de línea base: Sí
Más informaciónExamen de archivos de red
Valor predeterminado de línea base: Sí
Más informaciónAcción de aplicación potencialmente no deseada de Defender
Valor predeterminado de línea base: Bloquear
Más informaciónActivar la protección proporcionada en la nube
Valor predeterminado de línea base: Sí
Más informaciónImpedir que las aplicaciones de Office inserten código en otros procesos
Valor predeterminado de línea base: Bloquear
Más informaciónImpedir que las aplicaciones de Office creen contenido ejecutable
Valor predeterminado de línea base: Bloquear
Más informaciónImpedir que JavaScript o VBScript inicien contenido ejecutable descargado
Valor predeterminado de línea base: Bloquear
Más informaciónHabilitación de la protección de red
Valor predeterminado de línea base: modo auditoría
Más informaciónBloquear procesos que no son de confianza y no firmados que se ejecutan desde USB
Valor predeterminado de línea base: Bloquear
Más informaciónBloquear el robo de credenciales del subsistema de autoridad de seguridad local de Windows (lsass.exe)
Valor predeterminado de línea base: Habilitar
Más informaciónBloquear la descarga de contenido ejecutable desde clientes de correo electrónico y correo web
Valor predeterminado de línea base: Bloquear
Más informaciónImpedir que todas las aplicaciones de Office creen procesos secundarios
Valor predeterminado de línea base: Bloquear
Más informaciónBloquear la ejecución de scripts potencialmente ofuscados (js/vbs/ps)
Valor predeterminado de línea base: Bloquear
Más informaciónBloquear llamadas API win32 desde una macro de Office
Valor predeterminado de línea base: Bloquear
Más información
Ejecución de un examen rápido diario en
Valor predeterminado de línea base: 2 a. m.
Más informaciónHora de inicio del examen programado
Valor predeterminado de línea base: 2 a. m.Configuración de prioridad de CPU baja para exámenes programados
Valor predeterminado de línea base: Sí
Más informaciónImpedir que las aplicaciones de comunicación de Office creen procesos secundarios
Valor predeterminado de línea base: Habilitar
Más informaciónImpedir que Adobe Reader cree procesos secundarios
Valor predeterminado de línea base: Habilitar
Más informaciónExamen de mensajes de correo electrónico entrantes
Valor predeterminado de línea base: Sí
Más informaciónActivar la protección en tiempo real
Valor predeterminado de línea base: Sí
Más informaciónNúmero de días (0-90) para mantener el malware en cuarentena
Valor predeterminado de línea base: 0
Más informaciónProgramación de examen del sistema de Defender
Valor predeterminado de línea base: definido por el usuario
Más informaciónCantidad adicional de tiempo (0-50 segundos) para ampliar el tiempo de espera de protección en la nube
Valor predeterminado de línea base: 50
Más informaciónExamen de las unidades de red asignadas durante un examen completo
Valor predeterminado de línea base: Sí
Más informaciónHabilitar protección de red
Valor predeterminado de línea base: Sí
Más informaciónExaminar todos los archivos y datos adjuntos descargados
Valor predeterminado de línea base: Sí
Más informaciónBloquear la protección de acceso
Valor predeterminado de línea base: no configurado
Más informaciónExamen de scripts del explorador
Valor predeterminado de línea base: Sí
Más informaciónBloquear el acceso del usuario a Microsoft Defender aplicación
Valor predeterminado de línea base: Sí
Más informaciónUso máximo de CPU permitido (0-100 por ciento) por examen
Valor predeterminado de línea base: 50
Más informaciónTipo de examen
Valor predeterminado de línea base: examen rápido
Más informaciónEscriba la frecuencia (0-24 horas) para comprobar si hay actualizaciones de inteligencia de seguridad.
Valor predeterminado de línea base: 8
Más informaciónConsentimiento de envío de ejemplo de Defender
Valor predeterminado de línea base: enviar muestras seguras automáticamente
Más informaciónNivel de protección entregado en la nube
Valor predeterminado de línea base: *No configurado
Más informaciónExamen de archivos de archivo
Valor predeterminado de línea base: Sí
Más informaciónActivar la supervisión del comportamiento
Valor predeterminado de línea base: Sí
Más informaciónExamen de unidades extraíbles durante el examen completo
Valor predeterminado de línea base: Sí
Más informaciónExamen de archivos de red
Valor predeterminado de línea base: Sí
Más informaciónAcción de aplicación potencialmente no deseada de Defender
Valor predeterminado de línea base: Bloquear
Más informaciónActivar la protección proporcionada en la nube
Valor predeterminado de línea base: Sí
Más informaciónImpedir que las aplicaciones de Office inserten código en otros procesos
Valor predeterminado de línea base: Bloquear
Más informaciónImpedir que las aplicaciones de Office creen contenido ejecutable
Valor predeterminado de línea base: Bloquear
Más informaciónImpedir que JavaScript o VBScript inicien contenido ejecutable descargado
Valor predeterminado de línea base: Bloquear
Más informaciónHabilitación de la protección de red
Valor predeterminado de línea base: modo auditoría
Más informaciónBloquear procesos que no son de confianza y no firmados que se ejecutan desde USB
Valor predeterminado de línea base: Bloquear
Más informaciónBloquear el robo de credenciales del subsistema de autoridad de seguridad local de Windows (lsass.exe)
Valor predeterminado de línea base: Habilitar
Más informaciónBloquear la descarga de contenido ejecutable desde clientes de correo electrónico y correo web
Valor predeterminado de línea base: Bloquear
Más informaciónImpedir que todas las aplicaciones de Office creen procesos secundarios
Valor predeterminado de línea base: Bloquear
Más informaciónBloquear la ejecución de scripts potencialmente ofuscados (js/vbs/ps)
Valor predeterminado de línea base: Bloquear
Más informaciónBloquear llamadas API win32 desde una macro de Office
Valor predeterminado de línea base: Bloquear
Más información
Centro de seguridad de Microsoft Defender
-
Impedir que los usuarios editen la interfaz de protección contra vulnerabilidades de seguridad
Valor predeterminado de línea base: Sí
Más información
Pantalla inteligente
Impedir que los usuarios ignoren las advertencias de SmartScreen
Valor predeterminado de línea base: Sí
Más informaciónActivar Windows SmartScreen
Valor predeterminado de línea base: Sí
Más informaciónRequerir SmartScreen para Microsoft Edge
Valor predeterminado de línea base: Sí
Más informaciónBloquear el acceso a sitios malintencionados
Valor predeterminado de línea base: Sí
Más informaciónBloquear la descarga de archivos no comprobados
Valor predeterminado de línea base: Sí
Más informaciónConfiguración de Microsoft Defender SmartScreen
Valor predeterminado de línea base: habilitadoImpedir la omisión de Microsoft Defender solicitudes de SmartScreen para sitios
Valor predeterminado de línea base: habilitadoEvitar la omisión de Microsoft Defender advertencias de SmartScreen sobre descargas
Valor predeterminado de línea base: habilitadoConfiguración de Microsoft Defender SmartScreen para bloquear aplicaciones potencialmente no deseadas
Valor predeterminado de línea base: habilitado
Requerir solo aplicaciones de la tienda
Valor predeterminado de línea base: SíActivar Windows SmartScreen
Valor predeterminado de línea base: Sí
Más información
Windows Hello para empresas
Para obtener más información, vea PassportForWork CSP en la documentación de Windows.
Bloquear Windows Hello para empresas
Valor predeterminado de línea base: deshabilitadoLetras minúsculas en EL PIN Valor predeterminado de línea base: permitido
Caracteres especiales en el PIN Valor predeterminado de línea base: permitido
Letras mayúsculas en EL PIN Valor predeterminado de línea base: permitido