Compartir vía

Migración a Microsoft Defender para punto de conexión: fase 2: instalación

  • Artículo

Se aplica a:

Fase 1: Preparación.
Fase 1: Preparación		 Fase 2: Configurar.
Fase 2: Configuración		 Fase 3: Onboard3.
Fase 3: Incorporación
¡Estás aquí!

Bienvenido a la fase de configuración de la migración a Defender para punto de conexión. Esta fase incluye los pasos siguientes:

  1. Vuelva a instalar o habilitar antivirus de Microsoft Defender en los puntos de conexión.
  2. Configuración del plan 1 o del plan 2 de Defender para punto de conexión
  3. Agregue Defender para punto de conexión a la lista de exclusión de la solución existente.
  4. Agregue la solución existente a la lista de exclusión del Antivirus de Microsoft Defender.
  5. Configure los grupos de dispositivos, las recopilaciones de dispositivos y las unidades organizativas.

Importante

Microsoft recomienda usar roles con los permisos más mínimos. Esto ayuda a mejorar la seguridad de su organización. Administrador global es un rol con privilegios elevados que debe limitarse a escenarios de emergencia cuando no se puede usar un rol existente.

Paso 1: Reinstalar o habilitar el Antivirus de Microsoft Defender en los puntos de conexión

En determinadas versiones de Windows, es probable que antivirus de Microsoft Defender se haya desinstalado o deshabilitado cuando se instaló la solución antivirus o antimalware que no es de Microsoft. Cuando los puntos de conexión que ejecutan Windows se incorporan a Defender para punto de conexión, Antivirus de Microsoft Defender se puede ejecutar en modo pasivo junto con una solución antivirus que no sea de Microsoft. Para más información, consulte Protección antivirus con Defender para punto de conexión.

Al realizar el cambio a Defender para punto de conexión, es posible que tenga que realizar ciertos pasos para volver a instalar o habilitar el Antivirus de Microsoft Defender. En la tabla siguiente se describe qué hacer en los clientes y servidores de Windows.

Tipo de punto de conexión Qué hacer
Clientes de Windows (como puntos de conexión que ejecutan Windows 10 y Windows 11) En general, no es necesario realizar ninguna acción para los clientes Windows (a menos que se haya desinstalado el Antivirus de Microsoft Defender). En general, el Antivirus de Microsoft Defender debe seguir instalado, pero lo más probable es que esté deshabilitado en este momento del proceso de migración.

Cuando se instala una solución antivirus o antimalware que no es de Microsoft y los clientes aún no están incorporados a Defender para punto de conexión, antivirus de Microsoft Defender se deshabilita automáticamente. Más adelante, cuando los puntos de conexión de cliente se incorporan a Defender para punto de conexión, si esos puntos de conexión ejecutan una solución antivirus que no es de Microsoft, antivirus de Microsoft Defender pasa al modo pasivo.

Si se desinstala la solución antivirus que no es de Microsoft, Antivirus de Microsoft Defender entra en modo activo automáticamente.
Servidores Windows En Windows Server, debe volver a instalar antivirus de Microsoft Defender y establecerlo en modo pasivo manualmente. En servidores Windows, cuando se instala un antivirus o antimalware que no es de Microsoft, antivirus de Microsoft Defender no se puede ejecutar junto con la solución antivirus que no es de Microsoft. En esos casos, antivirus de Microsoft Defender se deshabilita o desinstala manualmente.

Para volver a instalar o habilitar el Antivirus de Microsoft Defender en Windows Server, realice las siguientes tareas:
- Volver a habilitar el Antivirus de Defender en Windows Server si se deshabilitó
- Volver a habilitar el Antivirus de Defender en Windows Server si se ha desinstalado
- Establecer antivirus de Microsoft Defender en modo pasivo en Windows Server

Si tiene problemas para volver a instalar o volver a habilitar el Antivirus de Microsoft Defender en Windows Server, consulte Solución de problemas: Antivirus de Microsoft Defender se desinstala en Windows Server.

Sugerencia

Para obtener más información sobre los estados del Antivirus de Microsoft Defender con protección antivirus que no es de Microsoft, consulte Compatibilidad con antivirus de Microsoft Defender.

Establecer antivirus de Microsoft Defender en modo pasivo en Windows Server

Sugerencia

Ahora puede ejecutar antivirus de Microsoft Defender en modo pasivo en Windows Server 2012 R2 y 2016. Para obtener más información, consulte Opciones para instalar Microsoft Defender para punto de conexión.

  1. Abra el Editor del Registro y, a continuación, vaya a Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection.

  2. Edite (o cree) una entrada DWORD denominada ForceDefenderPassiveMode y especifique la siguiente configuración:

    • Establezca el valor de DWORD en 1.

    • En Base, seleccione Hexadecimal.

Si las características del Antivirus de Microsoft Defender y los archivos de instalación se quitaron anteriormente de Windows Server 2016, siga las instrucciones de Configuración de un origen de reparación de Windows para restaurar los archivos de instalación de características.

Nota:

Después de la incorporación a Defender para punto de conexión, es posible que tenga que establecer Antivirus de Microsoft Defender en modo pasivo en Windows Server. Para validar que el modo pasivo se estableció según lo esperado, busque Evento 5007 en el registro operativo de Microsoft-Windows-Windows Defender (ubicado en C:\Windows\System32\winevt\Logs) y confirme que las claves del Registro ForceDefenderPassiveMode o PassiveMode se han establecido en 0x1.

¿Usa Windows Server 2012 R2 o Windows Server 2016?

Ahora puede ejecutar antivirus de Microsoft Defender en modo pasivo en Windows Server 2012 R2 y 2016 mediante el método descrito en la sección anterior. Para obtener más información, consulte Opciones para instalar Microsoft Defender para punto de conexión.

Paso 2: Configurar Defender para el plan 1 o el plan 2

Importante

  • En este artículo se describe cómo configurar las funcionalidades de Defender para punto de conexión antes de que se incorporen los dispositivos.
  • Si tiene el plan 1 de Defender para punto de conexión, complete los pasos 1 a 5 en el procedimiento siguiente.
  • Si tiene el plan 2 de Defender para punto de conexión, complete los pasos del 1 al 7 en el procedimiento siguiente.

  1. Asegúrese de que Defender para punto de conexión está aprovisionado. Como administrador global, vaya al portal de Microsoft Defender (https://security.microsoft.com) e inicie sesión. A continuación, en el panel de navegación, seleccione Dispositivos activos>.

    En la tabla siguiente se muestra el aspecto de la pantalla y lo que significa.

    Screen Significado
    Captura de pantalla en la que se muestra el mensaje que indica Defender para punto de conexión aún no ha terminado de aprovisionar. Es posible que tenga que esperar un poco a que finalice el proceso.
    Captura de pantalla que muestra la página de inventario de dispositivos sin ningún dispositivo incorporado todavía. Defender para punto de conexión está aprovisionado. En este caso, continúe con el paso siguiente.

  2. Active la protección contra alteraciones. Se recomienda activar la protección contra alteraciones para toda la organización. Puede realizar esta tarea en el portal de Microsoft Defender (https://security.microsoft.com).

    1. En el portal de Microsoft Defender, elija Puntosde conexiónde configuración>.

    2. Vaya aCaracterísticas avanzadasgenerales> y, a continuación, establezca el botón de alternancia para la protección contra alteraciones en Activado.

    3. Haga clic en Guardar.

    Obtenga más información sobre la protección contra alteraciones.

  3. Si va a usar Microsoft Intune o Microsoft Endpoint Configuration Manager para incorporar dispositivos y configurar directivas de dispositivo, configure la integración con Defender para punto de conexión siguiendo estos pasos:

    1. En el Centro de administración de Microsoft Intune (https://endpoint.microsoft.com), vaya a Seguridad del punto de conexión.

    2. En Configuración, elija Microsoft Defender para punto de conexión.

    3. En Configuración del perfil de seguridad de punto de conexión, establezca el botón de alternancia para Permitir que Microsoft Defender para punto de conexión aplique configuraciones de seguridad de punto de conexión en Activado.

    4. Cerca de la parte superior de la pantalla, seleccione Guardar.

    5. En el portal de Microsoft Defender (https://security.microsoft.com), elija Puntosde conexiónde configuración>.

    6. Desplácese hacia abajo hasta Administración de configuración y seleccione Ámbito de cumplimiento.

    7. Establezca el botón de alternancia para Usar MDE para aplicar la configuración de seguridad de MEM a Activado y, a continuación, seleccione las opciones para los dispositivos cliente de Windows y Windows Server.

    8. Si tiene previsto usar Configuration Manager, establezca el botón de alternancia para Administrar la configuración de seguridad mediante Configuration Manageren Activado. (Si necesita ayuda con este paso, consulte Coexistencia con Microsoft Endpoint Configuration Manager).

    9. Desplácese hacia abajo y seleccione Guardar.

  4. Configure las capacidades iniciales de reducción de la superficie expuesta a ataques. Como mínimo, habilite las reglas de protección estándar que aparecen en la tabla siguiente de inmediato:

    Reglas de protección estándar Métodos de configuración
    Bloquear el robo de credenciales del subsistema de autoridad de seguridad local de Windows (lsass.exe)

    Bloquear el abuso de controladores firmados vulnerables explotados

    Bloquear la persistencia a través de la suscripción de eventos de Instrumental de administración de Windows (WMI)    		 Intune (perfiles de configuración de dispositivos o directivas de seguridad de puntos de conexión)

    Administración de dispositivos móviles (MDM) ( use el proveedor de servicios de configuración ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules (CSP) para habilitar y establecer individualmente el modo para cada regla).

    Directiva de grupo o PowerShell (solo si no usa Intune, Configuration Manager u otra plataforma de administración de nivel empresarial)

    Obtenga más información sobre las funcionalidades de reducción de la superficie expuesta a ataques.

  5. Configure las funcionalidades de protección de última generación.

    Funcionalidad Métodos de configuración
    Intune 1. En el Centro de administración de Intune, seleccionePerfiles de configuración de dispositivos> y, a continuación, seleccione el tipo de perfil que desea configurar. Si aún no ha creado un tipo de perfil Restricciones de dispositivos o si desea crear uno nuevo, consulte Configuración de las opciones de restricción de dispositivos en Microsoft Intune.

    2. Seleccione Propiedades y, a continuación, seleccione Configuración: Editar

    3. Expanda Antivirus de Microsoft Defender.

    4. Habilite la protección entregada en la nube.

    5. En la lista desplegable Preguntar a los usuarios antes del envío de ejemplo , seleccione Enviar todas las muestras automáticamente.

    6. En la lista desplegable Detectar aplicaciones potencialmente no deseadas , seleccione Habilitar o Auditar.

    7. Seleccione Revisar y guardar y, a continuación, elija Guardar.

    SUGERENCIA: Para obtener más información sobre los perfiles de dispositivo de Intune, incluido cómo crear y configurar su configuración, consulte ¿Qué son los perfiles de dispositivo de Microsoft Intune?.
    Configuration Manager Consulte Creación e implementación de directivas antimalware para Endpoint Protection en Configuration Manager.

    Al crear y configurar las directivas antimalware, asegúrese de revisar la configuración de protección en tiempo real y habilitar el bloqueo a primera vista.
    Administración de directivas de grupo avanzadas
    Otra posibilidad:
    Consola de administración de directivas de grupo    		 1. Vaya a Configuración> del equipoPlantillas> administrativasComponentes> de WindowsAntivirus de Microsoft Defender.

    2. Busque una directiva denominada Desactivar antivirus de Microsoft Defender.

    3. Elija Editar configuración de directiva y asegúrese de que la directiva está deshabilitada. Esta acción habilita el Antivirus de Microsoft Defender. (Es posible que vea Antivirus de Windows Defender en lugar de Antivirus de Microsoft Defender en algunas versiones de Windows).
    Panel de control en Windows Siga las instrucciones que se indican aquí: Activar el Antivirus de Microsoft Defender. (Es posible que vea Antivirus de Windows Defender en lugar de Antivirus de Microsoft Defender en algunas versiones de Windows).

    Si tiene el plan 1 de Defender para punto de conexión, la configuración y la configuración iniciales se realizan por ahora. Si tiene el plan 2 de Defender para punto de conexión, continúe con los pasos del 6 al 7.

  6. Configure las directivas de detección y respuesta de puntos de conexión (EDR) en el Centro de administración de Intune (https://endpoint.microsoft.com). Para obtener ayuda con esta tarea, consulte Creación de directivas de EDR.

  7. Configure las funcionalidades automatizadas de investigación y corrección en el portal de Microsoft Defender (https://security.microsoft.com). Para obtener ayuda con esta tarea, consulte Configuración de funcionalidades automatizadas de investigación y corrección en Microsoft Defender para punto de conexión.

    En este momento, se completa la configuración inicial y la configuración del plan 2 de Defender para punto de conexión.

Paso 3: Agregar Microsoft Defender para punto de conexión a la lista de exclusión de la solución existente

Este paso del proceso de instalación implica agregar Defender para punto de conexión a la lista de exclusión de la solución de endpoint protection existente y cualquier otro producto de seguridad que use su organización. Asegúrese de consultar la documentación del proveedor de soluciones para agregar exclusiones.

Las exclusiones específicas que se van a configurar dependen de la versión de Windows en la que se ejecutan los puntos de conexión o dispositivos y se enumeran en la tabla siguiente.

SO Exclusiones
Windows 11

Windows 10, versión 1803 o posterior (consulte la información de la versión de Windows 10)

Windows 10, versión 1703 o 1709 con KB4493441 instalados		 C:\Program Files\Windows Defender Advanced Threat Protection\MsSense.exe

C:\Program Files\Windows Defender Advanced Threat Protection\SenseCncProxy.exe

C:\Program Files\Windows Defender Advanced Threat Protection\SenseSampleUploader.exe

C:\Program Files\Windows Defender Advanced Threat Protection\SenseIR.exe

C:\Program Files\Windows Defender Advanced Threat Protection\SenseCM.exe

C:\Program Files\Windows Defender Advanced Threat Protection\SenseNdr.exe

C:\Program Files\Windows Defender Advanced Threat Protection\SenseSC.exe

C:\Program Files\Windows Defender Advanced Threat Protection\Classification\SenseCE.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\DataCollection

C:\Program Files\Windows Defender Advanced Threat Protection\SenseTVM.exe
Windows Server 2022

Windows Server 2019

Windows Server 2016

Windows Server 2012 R2

Windows Server, versión 1803		 En Windows Server 2012 R2 y Windows Server 2016 que ejecutan la solución moderna y unificada, se requieren las siguientes exclusiones después de actualizar el componente Sense EDR mediante KB5005292:

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\MsSense.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseCnCProxy.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseIR.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseCE.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseSampleUploader.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseCM.exe

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\DataCollection

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Platform\*\SenseTVM.exe
Windows 8.1

Windows 7

Windows Server 2008 R2 SP1		 C:\Program Files\Microsoft Monitoring Agent\Agent\Health Service State\Monitoring Host Temporary Files 6\45\MsSenseS.exe

NOTA: La supervisión de archivos temporales de host 6\45 puede ser subcarpetas numeradas diferentes.

C:\Program Files\Microsoft Monitoring Agent\Agent\AgentControlPanel.exe

C:\Program Files\Microsoft Monitoring Agent\Agent\HealthService.exe

C:\Program Files\Microsoft Monitoring Agent\Agent\HSLockdown.exe

C:\Program Files\Microsoft Monitoring Agent\Agent\MOMPerfSnapshotHelper.exe

C:\Program Files\Microsoft Monitoring Agent\Agent\MonitoringHost.exe

C:\Program Files\Microsoft Monitoring Agent\Agent\TestCloudConnection.exe

Importante

Como procedimiento recomendado, mantenga actualizados los dispositivos y puntos de conexión de la organización. Asegúrese de obtener las actualizaciones más recientes de Microsoft Defender para punto de conexión y Antivirus de Microsoft Defender, y mantenga actualizados los sistemas operativos y las aplicaciones de productividad de su organización.

Paso 4: Agregar la solución existente a la lista de exclusión del Antivirus de Microsoft Defender

Durante este paso del proceso de instalación, agregará la solución existente a la lista de exclusiones del Antivirus de Microsoft Defender. Puede elegir entre varios métodos para agregar sus exclusiones al Antivirus de Microsoft Defender, como se muestra en la tabla siguiente:

Método Qué hacer
Intune 1. Vaya al Centro de administración de Microsoft Intune e inicie sesión.

2. Seleccione Dispositivos Perfiles>de configuración y, a continuación, seleccione el perfil que desea configurar.

3. En Administrar, seleccione Propiedades.

4. Seleccione Configuración: Editar.

5. Expanda Antivirus de Microsoft Defender y, a continuación, expanda Exclusiones del Antivirus de Microsoft Defender.

6. Especifique los archivos y carpetas, las extensiones y los procesos que se van a excluir de los exámenes del Antivirus de Microsoft Defender. Para obtener referencia, consulte Exclusiones del Antivirus de Microsoft Defender.

7. Elija Revisar y guardar y, a continuación, elija Guardar.
Microsoft Endpoint Configuration Manager 1. Con la consola de Configuration Manager, vaya a Activos y directivasantimalware deEndpoint Protection> de cumplimiento > y, a continuación, seleccione la directiva que desea modificar.

2. Especifique la configuración de exclusión de archivos y carpetas, extensiones y procesos que se van a excluir de los exámenes del Antivirus de Microsoft Defender.
Objeto de directiva de grupo 1. En el equipo de administración de directivas de grupo, abra la Consola de administración de directivas de grupo. Haga clic con el botón derecho en el objeto de directiva de grupo que desea configurar y, a continuación, seleccione Editar.

2. En el Editor de administración de directivas de grupo, vaya a Configuración del equipo y seleccione Plantillas administrativas.

3. Expanda el árbol a componentes > de Windows Exclusiones del Antivirus > de Microsoft Defender. (Es posible que vea Antivirus de Windows Defender en lugar de Antivirus de Microsoft Defender en algunas versiones de Windows).

4. Haga doble clic en la configuración Exclusiones de ruta de acceso y agregue las exclusiones.

5. Establezca la opción en Habilitado.

6. En la sección Opciones , seleccione Mostrar....

7. Especifique cada carpeta en su propia línea en la columna Nombre del valor . Si especifica un archivo, asegúrese de escribir una ruta de acceso completa al archivo, incluida la letra de unidad, la ruta de acceso de la carpeta, el nombre de archivo y la extensión. Escriba 0 en la columna Valor .

8. Seleccione Aceptar.

9. Haga doble clic en la configuración Exclusiones de extensión y agregue las exclusiones.

10. Establezca la opción en Habilitado.

11. En la sección Opciones , seleccione Mostrar....

12. Escriba cada extensión de archivo en su propia línea en la columna Nombre de valor . Escriba 0 en la columna Valor .

13. Seleccione Aceptar.
Objeto de directiva de grupo local 1. En el punto de conexión o dispositivo, abra el Editor de directivas de grupo local.

2. Vaya a Configuración> del equipoPlantillas> administrativasComponentes> de WindowsExclusionesdel Antivirus> de Microsoft Defender. (Es posible que vea Antivirus de Windows Defender en lugar de Antivirus de Microsoft Defender en algunas versiones de Windows).

3. Especifique la ruta de acceso y las exclusiones de proceso.
Clave del Registro 1. Exporte la siguiente clave del Registro: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\exclusions.

2. Importe la clave del Registro. A continuación, se indican dos ejemplos:
- Ruta de acceso local: regedit.exe /s c:\temp\MDAV_Exclusion.reg
- Recurso compartido de red: regedit.exe /s \\FileServer\ShareName\MDAV_Exclusion.reg

Obtenga más información sobre las exclusiones de Microsoft Defender para punto de conexión y Antivirus de Microsoft Defender.

Tenga en cuenta los siguientes puntos sobre exclusiones.

Al agregar exclusiones a los exámenes del Antivirus de Microsoft Defender, debe agregar exclusiones de ruta de acceso y proceso.

  • Las exclusiones de ruta de acceso excluyen archivos específicos y el acceso a esos archivos.
  • Las exclusiones de proceso excluyen todo lo que toca un proceso, pero no excluye el propio proceso.
  • Enumere las exclusiones de proceso mediante su ruta de acceso completa y no solo por su nombre. (El método de solo nombre es menos seguro).
  • Si enumera cada ejecutable (.exe) como una exclusión de ruta de acceso y una exclusión de proceso, se excluye el proceso y lo que toque.

Paso 5: Configurar los grupos de dispositivos, las recopilaciones de dispositivos y las unidades organizativas

Los grupos de dispositivos, las recopilaciones de dispositivos y las unidades organizativas permiten al equipo de seguridad administrar y asignar directivas de seguridad de forma eficaz y eficaz. En la tabla siguiente se describe cada uno de estos grupos y cómo configurarlos. Es posible que su organización no use los tres tipos de colección.

Nota:

La creación de grupos de dispositivos se admite en El plan 1 y el plan 2 de Defender para punto de conexión.

Tipo de colección Qué hacer
Los grupos de dispositivos (anteriormente denominados grupos de máquinas) permiten al equipo de operaciones de seguridad configurar funcionalidades de seguridad, como la investigación y la corrección automatizadas.

Los grupos de dispositivos también son útiles para asignar acceso a esos dispositivos para que el equipo de operaciones de seguridad pueda realizar acciones de corrección si es necesario.

Los grupos de dispositivos se crean mientras se detecta y detiene el ataque, y las alertas, como una "alerta de acceso inicial", se desencadenan y aparecen en el portal de Microsoft Defender.		 1. Vaya al portal de Microsoft Defender (https://security.microsoft.com).

2. En el panel de navegación de la izquierda, elija Configuración>Permisos de puntos> de conexiónGrupos>de dispositivos.

3. Elija + Agregar grupo de dispositivos.

4. Especifique un nombre y una descripción para el grupo de dispositivos.

5. En la lista Nivel de automatización , seleccione una opción. (Se recomienda completo: corregir las amenazas automáticamente). Para obtener más información sobre los distintos niveles de automatización, consulte Cómo se corrigen las amenazas.

6. Especifique las condiciones de una regla coincidente para determinar qué dispositivos pertenecen al grupo de dispositivos. Por ejemplo, puede elegir un dominio, versiones del sistema operativo o incluso usar etiquetas de dispositivo.

7. En la pestaña Acceso de usuario , especifique los roles que deben tener acceso a los dispositivos incluidos en el grupo de dispositivos.

8. Elija Listo.
Las recopilaciones de dispositivos permiten al equipo de operaciones de seguridad administrar aplicaciones, implementar la configuración de cumplimiento o instalar actualizaciones de software en los dispositivos de la organización.

Las colecciones de dispositivos se crean mediante Configuration Manager.		 Siga los pasos descritos en Creación de una colección.
Las unidades organizativas permiten agrupar de forma lógica objetos como cuentas de usuario, cuentas de servicio o cuentas de equipo.

Después, puede asignar administradores a unidades organizativas específicas y aplicar la directiva de grupo para aplicar la configuración de destino.

Las unidades organizativas se definen en Microsoft Entra Domain Services.		 Siga los pasos descritos en Creación de una unidad organizativa en un dominio administrado de Microsoft Entra Domain Services.

Paso siguiente

¡Enhorabuena! Ha completado la fase de configuración de la migración a Defender para punto de conexión.

Sugerencia

¿Desea obtener más información? Interactúe con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.