Corregir la detección de correcciones para el Antivirus de Windows Defender

Artículo
27/04/2024

Se aplica a:

Microsoft Defender para punto de conexión Plan 1
Microsoft Defender para punto de conexión Plan 2
Antivirus de Microsoft Defender

Plataformas

Windows

Cuando Microsoft Defender Antivirus ejecuta un examen, intenta corregir o quitar las amenazas detectadas. Las acciones de corrección pueden incluir quitar un archivo, enviarlo a cuarentena o permitir que permanezca. En este artículo se incluye información y vínculos a recursos sobre cómo especificar qué acciones se deben realizar cuando se detectan amenazas en los dispositivos. Puede elegir entre varios métodos, como:

Microsoft Intune
Microsoft Configuration Manager
Directiva de grupo
Instrumental de administración de PowerShell o Windows (WMI)

Importante

Microsoft Defender Antivirus detecta y corrige los archivos en función de muchos factores. A veces, completar una corrección requiere un reinicio. Incluso si más adelante se determina que la detección es un falso positivo, el reinicio debe completarse para asegurarse de que se han completado todos los pasos de corrección adicionales.

Si está seguro Microsoft Defender Antivirus pone en cuarentena un archivo en función de un falso positivo, puede restaurar el archivo de la cuarentena después de reiniciar el dispositivo. Consulte Restauración de archivos en cuarentena en Microsoft Defender Antivirus. Para evitar este problema en el futuro, puede excluir archivos de los exámenes. Consulte Configure and validate exclusions for Microsoft Defender Antivirus scans (Configurar y validar exclusiones para los exámenes de antivirus de Microsoft Defender).

Consulte también Programación de exámenes rápidos y completos normales con Microsoft Defender Antivirus para obtener más configuraciones relacionadas con la corrección.

Configuración de opciones de corrección mediante Intune

Como administrador global o de seguridad, vaya al centro de administración de Intune e inicie sesión.
En Administrar, elija Antivirus.
Cree una nueva directiva o edite una existente con la siguiente configuración:
- Plataforma: Windows 10, Windows 11 y Windows Server
- Perfil: antivirus de Microsoft Defender
Para las opciones de configuración, expanda Defender y desplácese hacia abajo hasta Permitir protección de acceso. y establézcalo en Permitido.
En Permitir protección de acceso, seleccione una acción de corrección para cada nivel:
- Amenazas de gravedad alta
- Amenazas graves
- Amenazas de gravedad moderada
- Amenazas de gravedad baja
Especifique los grupos de dispositivos que deben recibir esta directiva (como Todos los dispositivos).
Revise la configuración y, a continuación, elija Guardar.

Para obtener más información sobre las directivas antivirus en Intune, consulte Directiva de antivirus para la seguridad de los puntos de conexión en Intune.

Configuración de opciones de corrección mediante Configuration Manager

Si usa Configuration Manager, consulte los artículos siguientes:

Configuración de opciones de corrección mediante directiva de grupo

En el equipo de administración de directiva de grupo, abra la consola de administración de directiva de grupo y edite el objeto directiva de grupo que desea configurar.
En el Editor administración de directiva de grupo, vaya a Configuración del equipo y, a continuación, seleccione Plantillas administrativas.
Expanda el árbol a componentes>de Windows Microsoft Defender Antivirus.

Con la tabla siguiente, edite la directiva según sea necesario.

Configuración	Descripción	Configuración predeterminada (si no está configurada)
Examinar Create un punto de restauración del sistema.	Cada día se crea un punto de restauración del sistema antes de que se intente limpiar o escanear.	Deshabilitada
Examinar Active la eliminación de elementos de la carpeta del historial de exámenes.	Especifique cuántos días deben conservarse los elementos en el historial de exámenes.	30 días
Raíz Desactive la corrección rutinaria.	Especifique si Microsoft Defender Antivirus corrige automáticamente las amenazas o si debe preguntar al usuario.	Deshabilitado. Las amenazas se corrigen automáticamente.
Cuarentena Configure la eliminación de elementos de la carpeta Cuarentena.	Especifique cuántos días deben mantenerse los elementos en cuarentena antes de quitarlos.	90 días
Amenazas Especifique los niveles de alerta de amenaza en los que no se debe realizar una acción predeterminada cuando se detecte.	A cada amenaza detectada por Microsoft Defender Antivirus se le asigna un nivel de amenaza (bajo, medio, alto o grave). Puede usar esta configuración para definir cómo se deben corregir todas las amenazas de cada uno de los niveles de amenazas (ponerlas en cuarentena, quitarlas o omitirlas).	No aplicable
Amenazas Especifique las amenazas sobre las que no se debe realizar una acción predeterminada cuando se detecte.	Especifique cómo deben corregirse amenazas específicas (con su identificador de amenaza). Puede especificar si la amenaza específica se debe poner en cuarentena, quitar o omitir.	No aplicable

Seleccione Aceptar.

Configuración de opciones de corrección mediante PowerShell o WMI

También puede usar el cmdlet de PowerShell o laSet-MpPreference clase WMI para configurar estas opciones.MSFT_MpPreference

Consulte también

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.

Recursos adicionales

Cursos

Módulo

Remediate risks with Microsoft Defender for Office 365 - Training

Learn about the Microsoft Defender for Office 365 component of Microsoft Defender XDR.

Certificación

Microsoft Certified: Security Operations Analyst Associate - Certifications

Investigue, busque y mitigue amenazas mediante Microsoft Sentinel, Microsoft Defender for Cloud y Microsoft 365 Defender.

Documentación

Evaluación de Microsoft Defender Antivirus mediante Microsoft Defender Endpoint Security Settings Management (Directivas de seguridad de puntos de conexión) - Microsoft Defender for Endpoint

Obtenga información sobre cómo evaluar Microsoft Defender Antivirus mediante Microsoft Defender Endpoint Security Settings Management (Directivas de seguridad de puntos de conexión).
Revisar las acciones de corrección después de las investigaciones automatizadas - Microsoft Defender for Endpoint

Revise y apruebe (o rechace) las acciones de corrección después de una investigación automatizada.
Configuración de características avanzadas en Microsoft Defender para punto de conexión - Microsoft Defender for Endpoint

Active características avanzadas, como el archivo de bloque en Microsoft Defender para punto de conexión.
Revisión de los resultados de los exámenes de Microsoft Defender Antivirus - Microsoft Defender for Endpoint

Revise los resultados de los exámenes mediante Configuration Manager de punto de conexión de Microsoft, Microsoft Intune o la aplicación Seguridad de Windows
Configuración de invalidaciones locales para la configuración del Antivirus de Microsoft Defender - Microsoft Defender for Endpoint

Habilite o deshabilite a los usuarios para que cambien localmente la configuración en el Antivirus de Microsoft Defender.
Abordar falsos positivos/negativos en Microsoft Defender para punto de conexión - Microsoft Defender for Endpoint

Obtenga información sobre cómo controlar falsos positivos o falsos negativos en Microsoft Defender para punto de conexión.
API de archivo de detención y cuarentena - Microsoft Defender for Endpoint

Obtenga información sobre cómo detener la ejecución de un archivo en un dispositivo y eliminar el archivo en Microsoft Defender para punto de conexión. Consulte un ejemplo.
Investigación de archivos Microsoft Defender para punto de conexión - Microsoft Defender for Endpoint

Use las opciones de investigación para obtener detalles sobre los archivos asociados a alertas, comportamientos o eventos.

Compartir a través de