Editar

Compartir a través de


Detección y respuesta de puntos de conexión (EDR) en modo de bloque preguntas frecuentes (P+F)

¿Puedo especificar exclusiones para EDR en modo de bloque?

Si obtiene un falso positivo, puede enviar el archivo para su análisis en el sitio de envío de Inteligencia de seguridad de Microsoft.

También puede definir una exclusión para Microsoft Defender Antivirus. Consulte Configure and validate exclusions for Microsoft Defender Antivirus scans (Configurar y validar exclusiones para los exámenes de antivirus de Microsoft Defender).

¿Tengo que activar EDR en modo de bloque si tengo Microsoft Defender Antivirus en ejecución en dispositivos?

Sí, Microsoft recomienda habilitar EDR en modo de bloque, incluso cuando el software antivirus principal del sistema está Microsoft Defender Antivirus. El propósito principal de EDR en modo de bloque es corregir las detecciones posteriores a la infracción que un producto antivirus que no es de Microsoft ha perdido. Sin embargo, hay escenarios en los que EDR en modo de bloque puede ser beneficioso, como si Microsoft Defender Antivirus está mal configurado o si la protección pua no está habilitada. En tales casos, EDR en modo de bloque puede corregir automáticamente detecciones como PUA.

¿Afectará EDR en modo de bloque a la protección antivirus de un usuario?

EDR en modo de bloque no afecta a la protección antivirus que no es de Microsoft que se ejecuta en los dispositivos de los usuarios. EDR en modo de bloque funciona si la solución antivirus principal omite algo o si hay una detección posterior a la vulneración. EDR en modo de bloque funciona igual que Microsoft Defender Antivirus en modo pasivo, excepto que EDR en modo de bloque también bloquea y corrige los artefactos malintencionados o comportamientos que se detectan.

¿Por qué necesito mantener Microsoft Defender Antivirus actualizado?

Dado que Microsoft Defender Antivirus detecta y corrige elementos malintencionados, es importante mantenerlo actualizado. Para que EDR en modo de bloque sea eficaz, usa los modelos de aprendizaje de dispositivos más recientes, las detecciones de comportamiento y la heurística. La pila de funcionalidades de Defender para punto de conexión funciona de forma integrada. Para obtener el mejor valor de protección, debe mantener Microsoft Defender Antivirus actualizado. Consulte Administración de actualizaciones Microsoft Defender Antivirus y aplicación de líneas base.

¿Por qué necesitamos protección en la nube (MAPS) activada?

La protección en la nube es necesaria para activar la característica en el dispositivo. La protección en la nube permite a Defender para punto de conexión ofrecer la protección más reciente y más grande en función de nuestra amplitud y profundidad de inteligencia de seguridad, junto con los modelos de comportamiento y aprendizaje de dispositivos.

¿Cuál es la diferencia entre el modo activo y pasivo?

Para los puntos de conexión que ejecutan Windows 10, Windows 11, Windows Server, versión 1803 o posterior, Windows Server 2019 o Windows Server 2022 cuando Microsoft Defender Antivirus está en modo activo, se usa como antivirus principal en el dispositivo. Cuando se ejecuta en modo pasivo, Microsoft Defender Antivirus no es el producto antivirus principal. En este caso, Microsoft Defender Antivirus no corrige las amenazas en tiempo real.

Nota:

Microsoft Defender Antivirus solo se puede ejecutar en modo pasivo cuando el dispositivo se incorpora a Microsoft Defender para punto de conexión.

Para obtener más información, consulte compatibilidad con Microsoft Defender Antivirus.

Cómo confirmar Microsoft Defender Antivirus está en modo activo o pasivo?

Para confirmar si Microsoft Defender Antivirus se ejecuta en modo activo o pasivo, puede usar el Símbolo del sistema o PowerShell en un dispositivo que ejecute Windows.

Método Procedure
PowerShell 1. Seleccione el menú Inicio, comience a escribir PowerShelly, a continuación, abra Windows PowerShell en los resultados.

2. Escriba Get-MpComputerStatus.

3. En la lista de resultados, en la fila AMRunningMode , busque uno de los siguientes valores:
- Normal
- Passive Mode

Para más información, consulte Get-MpComputerStatus.
Símbolo del sistema
  1. Seleccione el menú Inicio, empiece a escribir Command Prompty, a continuación, abra el símbolo del sistema de Windows en los resultados.
  2. Tipo sc query windefend.
  3. En la lista de resultados, en la fila STATE , confirme que el servicio se está ejecutando.

Cómo confirmar que EDR en modo de bloque está activado con Microsoft Defender Antivirus en modo pasivo?

Puede usar PowerShell para confirmar que EDR en modo de bloque está activado con Microsoft Defender Antivirus en modo pasivo.

  1. Seleccione el menú Inicio, empiece a escribir PowerShelly, a continuación, abra Windows PowerShell en los resultados.

  2. Tipo Get-MPComputerStatus|select AMRunningMode.

  3. Confirme que se muestra el resultado, EDR Block Mode, .

Sugerencia

Si Microsoft Defender Antivirus está en modo activo, verá Normal en lugar de EDR Block Mode. Para más información, consulte Get-MpComputerStatus.

¿Se admite EDR en modo de bloque en Windows Server 2016 y Windows Server 2012 R2?

Si Microsoft Defender Antivirus se ejecuta en modo activo o en modo pasivo, EDR en modo de bloque es compatible con las siguientes versiones de Windows:

  • Windows 11
  • Windows 10 (todas las versiones)
  • Windows Server, versión 1803 o posterior
  • Windows Server 2022
  • Windows Server 2019
  • Windows Server 2016 y Windows Server 2012 R2 (con la nueva solución de cliente unificada)

Con la nueva solución de cliente unificada para Windows Server 2016 y Windows Server 2012 R2, puede ejecutar EDR en modo de bloque en modo pasivo o en modo activo.

Nota:

Windows Server 2016 y Windows Server 2012 R2 deben incorporarse mediante las instrucciones de Incorporación de servidores Windows para que esta característica funcione.

¿Cuánto tiempo tarda EDR en modo de bloque en deshabilitarse?

Si decide deshabilitar EDR en modo de bloque, el sistema puede tardar hasta 30 minutos en deshabilitar esta funcionalidad.

Vea también