Este explorador ya no se admite.
Actualice a Microsoft Edge para aprovechar las características y actualizaciones de seguridad más recientes, y disponer de soporte técnico.
Se aplica a:
Plataformas
Use la administración de la configuración de seguridad de Microsoft Defender para punto de conexión para administrar las directivas de seguridad Microsoft Defender Antivirus en los dispositivos.
Revise los requisitos previos aquí.
Nota
La página Directivas de seguridad de punto de conexión del portal de Microsoft Defender solo está disponible para los usuarios con el rol Administrador de seguridad asignado. Cualquier otro rol de usuario, como Lector de seguridad, no puede acceder al portal. Cuando un usuario tiene los permisos necesarios para ver las directivas en el portal de Microsoft Defender, los datos se presentan en función de los permisos de Intune. Si el usuario está en el ámbito de Intune control de acceso basado en rol, se aplica a la lista de directivas presentada en el portal de Microsoft Defender. Se recomienda conceder a los administradores de seguridad el rol integrado Intune "Endpoint Security Manager" para alinear eficazmente el nivel de permisos entre Intune y el portal de Microsoft Defender.
Como administrador de seguridad, puede configurar diferentes opciones de directiva de seguridad Microsoft Defender Antivirus en el portal de Microsoft Defender.
Importante
Microsoft recomienda utilizar roles con la menor cantidad de permisos. Esto ayuda a mejorar la seguridad de la organización. Administrador global es un rol con muchos privilegios que debe limitarse a escenarios de emergencia cuando no se puede usar un rol existente.
Encontrará directivas de seguridad de punto de conexión en Directivas> deseguridad de punto de conexión deadministración de> puntos de conexión.
En la lista siguiente se proporciona una breve descripción de cada tipo de directiva de seguridad de punto de conexión:
Antivirus : las directivas antivirus ayudan a los administradores de seguridad a centrarse en la administración del grupo discreto de configuraciones antivirus para dispositivos administrados.
Cifrado de disco : los perfiles de cifrado de disco de seguridad de punto de conexión se centran solo en la configuración pertinente para un método de cifrado integrado de dispositivos, como FileVault o BitLocker. Este enfoque facilita a los administradores de seguridad administrar la configuración de cifrado de disco sin tener que navegar por un host de configuraciones no relacionadas.
Firewall: use la directiva firewall de seguridad de punto de conexión en Intune para configurar un firewall integrado de dispositivos para dispositivos que ejecutan macOS y Windows 10/11.
Detección y respuesta de puntos de conexión: al integrar Microsoft Defender para punto de conexión con Intune, use las directivas de seguridad de punto de conexión para la detección y respuesta de puntos de conexión (EDR) para administrar la configuración de EDR e incorporar dispositivos a Microsoft Defender para punto de conexión.
Reducción de la superficie expuesta a ataques: cuando Microsoft Defender Antivirus esté en uso en los dispositivos Windows 10/11, use Intune directivas de seguridad de punto de conexión para la reducción de la superficie expuesta a ataques a fin de administrar esa configuración para los dispositivos.
Inicie sesión en el portal de Microsoft Defender con al menos un rol administrador de seguridad.
Seleccione EndpointsConfiguration managementEndpoint security policies (Directivas> de seguridad de punto de conexión de administración > de puntos de conexión) y, a continuación, seleccione Create new Policy (Crear nueva directiva).
Seleccione una plataforma en la lista desplegable.
Seleccione una plantilla y, a continuación, seleccione Crear directiva.
En la página Datos básicos, escriba un nombre y una descripción para el perfil y, después, elija Siguiente.
En la página Configuración , expanda cada grupo de opciones de configuración y configure las opciones que desea administrar con este perfil.
Cuando haya finalizado la configuración, seleccione Siguiente.
En la página Asignaciones , seleccione los grupos que reciben este perfil.
Seleccione Siguiente.
En la página Revisar y crear , cuando haya terminado, seleccione Guardar. El nuevo perfil se muestra en la lista cuando se selecciona el tipo de directiva del perfil creado.
Nota
Para editar las etiquetas de ámbito, deberá ir al centro de administración de Microsoft Intune.
Seleccione la nueva directiva y, a continuación, seleccione Editar.
Seleccione Configuración para expandir una lista de las opciones de configuración de la directiva. No puede modificar la configuración de esta vista, pero puede revisar cómo se configuran.
Para modificar la directiva, seleccione Editar en cada una de las categorías en las que quiera realizar cambios:
Una vez realizados los cambios, seleccione Guardar para guardar las modificaciones. Las modificaciones en una categoría deben guardarse para poder introducir modificaciones en más categorías.
Para comprobar que ha creado correctamente una directiva, seleccione un nombre de directiva en la lista de directivas de seguridad de punto de conexión.
Nota
Una directiva puede tardar hasta 90 minutos en llegar a un dispositivo. Para acelerar el proceso, para los dispositivos administrados por Defender para punto de conexión, puede seleccionar Sincronización de directivas en el menú acciones para que se aplique en aproximadamente 10 minutos.
La página de directiva muestra detalles que resumen el estado de la directiva. Puede ver el estado de una directiva, los dispositivos a los que se aplica y los grupos asignados.
Durante una investigación, también puede ver la pestaña Directivas de seguridad en la página del dispositivo para ver la lista de directivas que se aplican a un dispositivo determinado. Para obtener más información, consulte Investigación de dispositivos.
Protección en tiempo real (protección always-on, examen en tiempo real):
| Descripción | Configuraciones |
|---|---|
| Permitir la supervisión en tiempo real | Permitido |
| Dirección del examen en tiempo real | Supervisión de todos los archivos (bidireccional) |
| Permitir supervisión del comportamiento | Permitido |
| Permitir la protección de acceso | Permitido |
| Protección de PUA | Protección de PUA activada |
Para más información, vea:
| Descripción | Configuración |
|---|---|
| Permitir protección en la nube | Permitido |
| Nivel de bloque de nube | Alto |
| Tiempo de espera extendido en la nube | Configurado, 50 |
| Enviar consentimiento de ejemplos | Enviar todos los ejemplos automáticamente |
Standard actualizaciones de inteligencia de seguridad pueden tardar horas en prepararse y entregarse; nuestro servicio de protección entregado en la nube ofrece esta protección en segundos. Para obtener más información, consulte Uso de tecnologías de última generación en Microsoft Defender Antivirus a través de la protección proporcionada en la nube.
Exámenes:
| Descripción | Configuración |
|---|---|
| Permitir el examen de Email | Permitido |
| Permitir el examen de todos los archivos y datos adjuntos descargados | Permitido |
| Permitir el examen de scripts | Permitido |
| Permitir el examen de Archivo | Permitido |
| Permitir el examen de archivos de red | Permitido |
| Permitir examen completo de la unidad extraíble | Permitido |
| Permitir examen completo en unidades de red asignadas | No permitido |
| Archivo profundidad máxima | No configurado |
| tamaño máximo de Archivo | No configurado |
Para obtener más información, consulte Configurar Microsoft Defender opciones de examen del antivirus.
Actualizaciones de Inteligencia de seguridad:
| Descripción | Configuración |
|---|---|
| Intervalo de actualización de firma | Configurado, 4 |
| Pedido de reserva de actualización de firma | InternalDefinitionUpdateServer |
| MicrosoftUpdateServer | MMPC |
| Orígenes de recursos compartidos de archivos de actualización de firma | No configurado |
| Conexión de uso medido Novedades | No permitido (valor predeterminado) |
| Security Intelligence Novedades Channel | No configurado |
Nota
Donde: "InternalDefinitionUpdateServer" es WSUS con Microsoft Defender actualizaciones del Antivirus permitidas. "MicrosoftUpdateServer" es Microsoft Update (anteriormente Windows Update). 'MMPC' es Microsoft Defender centro de inteligencia de seguridad (WDSI anteriormente Centro de protección contra malware de Microsoft). https://www.microsoft.com/en-us/wdsi/definitions
Para más información, vea:
Actualizaciones del motor:
| Descripción | Configuración |
|---|---|
| Canal de Novedades del motor | No configurado |
Para obtener más información, vea Administrar el proceso de implementación gradual para Microsoft Defender actualizaciones.
Actualizaciones de plataforma:
| Descripción | Configuración |
|---|---|
| Canal de Novedades de plataforma | No configurado |
Para obtener más información, vea Administrar el proceso de implementación gradual para Microsoft Defender actualizaciones.
Examen programado y examen a petición:
Configuración general para el examen programado y el examen a petición
| Descripción | Configuración |
|---|---|
| Comprobación de firmas antes de ejecutar el examen | Deshabilitado (valor predeterminado) |
| Aleatorizar los tiempos de las tareas de programación | No configurado |
| Tiempo de aleatoriedad del programador | Las tareas programadas no se aleatoriamente |
| Factor de carga de CPU promedio | No configurado (valor predeterminado, 50) |
| Habilitar prioridad baja de CPU | Deshabilitado (valor predeterminado) |
| Deshabilitación del examen completo de Catchup | Habilitado (valor predeterminado) |
| Deshabilitación del examen rápido de catchup | Habilitado (valor predeterminado) |
Examen rápido diario
| Descripción | Configuración |
|---|---|
| Programar tiempo de examen rápido | 720 |
Nota
En este ejemplo, un examen rápido se ejecuta diariamente en los clientes de Windows a las 12:00 p.m. (720). En este ejemplo, usamos la hora del almuerzo, ya que muchos dispositivos hoy en día se apagan después del horario laboral (por ejemplo, los portátiles).
Examen rápido semanal o examen completo
| Descripción | Configuración |
|---|---|
| Parámetro scan | Examen rápido (valor predeterminado) |
| Programar día de examen | Clientes de Windows: miércoles Servidores Windows: sábado |
| Programar tiempo de examen | Clientes de Windows: 1020 Servidores Windows: 60 |
Nota
En este ejemplo, se ejecuta un examen rápido para los clientes de Windows el miércoles a las 17:00. (1020). Y para servidores Windows, el sábado a la 1:00 AM. (60)
Para más información, vea:
Acción predeterminada de gravedad de amenaza:
| Descripción | Configuración |
|---|---|
| Acción de corrección para amenazas de gravedad alta | Cuarentena |
| Acción de corrección para amenazas graves | Cuarentena |
| Acción de corrección para amenazas de gravedad baja | Cuarentena |
| Acción de corrección para amenazas de gravedad moderada | Cuarentena |
| Descripción | Configuración |
|---|---|
| Días para conservar el malware limpio | Configurado, 60 |
| Permitir el acceso a la interfaz de usuario de usuario | Permitido. Permitir que los usuarios accedan a la interfaz de usuario. |
Para obtener más información, vea Configurar la corrección para las detecciones de antivirus de Microsoft Defender.
Exclusiones de antivirus:
Comportamiento de combinación de administrador local:
Deshabilite la configuración del antivirus del administrador local, como las exclusiones, y establezca las directivas de Microsoft Defender para punto de conexión Security Settings Management como se describe en la tabla siguiente:
| Descripción | Configuración |
|---|---|
| Deshabilitar combinación de Administración local | Deshabilitar combinación de Administración local |
| Descripción | Configuración |
|---|---|
| Extensiones excluidas | Agregar según sea necesario para solucionar falsos positivos (AP) o solucionar problemas de usos elevados de cpu en MsMpEng.exe |
| Rutas de acceso excluidas | Agregar según sea necesario para solucionar falsos positivos (AP) o solucionar problemas de usos elevados de cpu en MsMpEng.exe |
| Procesos excluidos | Agregar según sea necesario para solucionar falsos positivos (AP) o solucionar problemas de usos elevados de cpu en MsMpEng.exe |
Para más información, vea:
servicio Microsoft Defender Core:
| Descripción | Configuración |
|---|---|
| Deshabilitación de la integración de CORE SERVICE ECS | El servicio principal de Defender usa el Servicio de experimentación y configuración (ECS) para ofrecer rápidamente correcciones críticas específicas de la organización. |
| Deshabilitación de la telemetría del servicio principal | El servicio principal de Defender usa el marco OneDsCollector para recopilar telemetría rápidamente. |
Para obtener más información, consulte introducción al servicio Microsoft Defender Core.
Protección de red:
| Descripción | Configuración |
|---|---|
| Habilitación de la protección de red | Habilitado (modo de bloque) |
| Permitir la protección de red en el nivel inferior | La protección de red está habilitada en el nivel inferior. |
| Permitir el procesamiento de datagramas en Win Server | El procesamiento de datagramas en Windows Server está habilitado. |
| Deshabilitación del análisis de DNS a través de TCP | El análisis de DNS a través de TCP está habilitado. |
| Deshabilitar el análisis HTTP | El análisis HTTP está habilitado. |
| Deshabilitación del análisis de SSH | El análisis ssh está habilitado. |
| Deshabilitación del análisis de TLS | El análisis de TLS está habilitado. |
| Habilitación de DNS Sinkhole | Dns Sinkhole está habilitado. |
Para obtener más información, consulte Uso de la protección de red para ayudar a evitar las conexiones a sitios malintencionados o sospechosos.
Para habilitar las reglas de reducción de superficie expuesta a ataques (ASR) mediante las directivas de seguridad del punto de conexión, realice los pasos siguientes:
Inicie sesión en Microsoft Defender XDR.
Vaya a Directivas de seguridad de punto de conexión > de administración > de puntos de conexión Directivas > de > Windows Crear nueva directiva.
Seleccione Windows 10, Windows 11 y Windows Server en la lista desplegable Seleccionar plataforma.
Seleccione Reglas de reducción de superficie expuesta a ataques en la lista desplegable Seleccionar plantilla .
Seleccione Crear directiva.
En la página Aspectos básicos , escriba un nombre y una descripción para el perfil; a continuación, elija Siguiente.
En la página Configuración , expanda los grupos de valores y configure los valores que desea administrar con este perfil.
Establezca las directivas en función de la siguiente configuración recomendada:
| Descripción | Configuración |
|---|---|
| Bloquear el contenido ejecutable del cliente de correo electrónico y el correo web | Bloquear |
| Impedir que Adobe Reader cree procesos secundarios | Bloquear |
| Bloquear la ejecución de scripts potencialmente ofuscados | Bloquear |
| Bloquear el abuso de controladores firmados vulnerables explotados (dispositivo) | Bloquear |
| Bloquear llamadas API de Win32 desde macros de Office | Bloquear |
| Impedir que los archivos ejecutables se ejecuten a menos que cumplan un criterio de prevalencia, edad o lista de confianza | Bloquear |
| Impedir que la aplicación de comunicación de Office cree procesos secundarios | Bloquear |
| Impedir que todas las aplicaciones de Office creen procesos secundarios | Bloquear |
| [VISTA PREVIA] Bloquear el uso de herramientas del sistema copiadas o suplantadas | Bloquear |
| Impedir que JavaScript o VBScript inicien contenido ejecutable descargado | Bloquear |
| Bloquear el robo de credenciales del subsistema de autoridad de seguridad local de Windows | Bloquear |
| Bloquear la creación de shell web para servidores | Bloquear |
| Impedir que las aplicaciones de Office creen contenido ejecutable | Bloquear |
| Bloquear procesos que no son de confianza y no firmados que se ejecutan desde USB | Bloquear |
| Impedir que las aplicaciones de Office inserten código en otros procesos | Bloquear |
| Bloquear la persistencia a través de la suscripción de eventos WMI | Bloquear |
| Uso de protección avanzada contra ransomware | Bloquear |
| Bloquear las creaciones de procesos que se originen a partir de comandos PSExec y WMI | Bloquear (si tiene Configuration Manager (anteriormente SCCM) u otras herramientas de administración que usan WMI, es posible que tenga que establecerlo en Auditar en lugar de Bloquear). |
| [VISTA PREVIA] Bloquear el reinicio de la máquina en modo seguro | Bloquear |
| Habilitación del acceso controlado a carpetas | Habilitado |
Sugerencia
Cualquiera de las reglas podría bloquear el comportamiento que considere aceptable en su organización. En estos casos, agregue las exclusiones por regla denominadas "Exclusiones de solo reducción de superficie expuesta a ataques". Además, cambie la regla de Habilitado a Auditoría para evitar bloques no deseados.
Para obtener más información, consulte Introducción a la implementación de reglas de reducción de superficie expuesta a ataques.
Inicie sesión en Microsoft Defender XDR.
Vaya a Directivas de seguridad de punto de conexión > de administración > de puntos de conexión Directivas > de > Windows Crear nueva directiva.
Seleccione Windows 10, Windows 11 y Windows Server en la lista desplegable Seleccionar plataforma.
Seleccione Experiencia de seguridad en la lista desplegable Seleccionar plantilla .
Seleccione Crear directiva. Aparece la página Crear una nueva directiva .
En la página Aspectos básicos , escriba un nombre y una descripción para el perfil en los campos Nombre y Descripción , respectivamente.
Seleccione Siguiente.
En la página Configuración , expanda los grupos de valores.
En estos grupos, seleccione la configuración que desea administrar con este perfil.
Establezca las directivas de los grupos de configuración elegidos configurándolas como se describe en la tabla siguiente:
| Descripción | Configuración |
|---|---|
| TamperProtection (dispositivo) | Activado |
Para obtener más información, consulte Protección de la configuración de seguridad con protección contra alteraciones.
Es importante comprobar que la conectividad de red de Cloud Protection funciona durante las pruebas de penetración.
CMD (ejecutar como administrador)
cd "C:\Program Files\Windows Defender"
MpCmdRun.exe -ValidateMapsConnection
Para obtener más información, consulte Uso de la herramienta cmdline para validar la protección entregada en la nube.
La versión más reciente de "Actualización de plataforma" Canal de producción (GA) está disponible en el catálogo de Microsoft Update.
Para comprobar qué versión de "Actualización de plataforma" ha instalado, ejecute el siguiente comando en PowerShell con los privilegios de un administrador:
Get-MPComputerStatus | Format-Table AMProductVersion
La última versión de "Actualización de inteligencia de seguridad" está disponible en Las últimas actualizaciones de inteligencia de seguridad para Microsoft Defender Antivirus y otros antimalware de Microsoft: Inteligencia de seguridad de Microsoft.
Para comprobar qué versión de "Security Intelligence Update" ha instalado, ejecute el siguiente comando en PowerShell con los privilegios de un administrador:
Get-MPComputerStatus | Format-Table AntivirusSignatureVersion
La versión más reciente de la "actualización del motor" del examen está disponible en Las últimas actualizaciones de inteligencia de seguridad para Microsoft Defender Antivirus y otros antimalware de Microsoft Inteligencia de seguridad de Microsoft.
Para comprobar qué versión de "Actualización del motor" ha instalado, ejecute el siguiente comando en PowerShell con los privilegios de un administrador:
Get-MPComputerStatus | Format-Table AMEngineVersion
Si ve que la configuración no surte efecto, es posible que tenga un conflicto. Para obtener información sobre cómo resolver conflictos, consulte Solución de problemas Microsoft Defender configuración del Antivirus.
Para obtener información sobre cómo realizar envíos de falsos negativos (FN), consulte:
Solución de problemas de Microsoft Defender configuración del Antivirus
Solución de problemas de Novedades de Inteligencia de seguridad desde el origen de Microsoft Update
Solución de problemas de reglas de reducción de superficie expuesta a ataques
Solucionar problemas de rendimiento relacionados con la protección en tiempo real
Cursos
Módulo
Manage Microsoft Defender in Windows client - Training
This module explains the built-in security features of Windows clients and how to implement them using policies.
Certificación
Microsoft Certified: Security Operations Analyst Associate - Certifications
Investigue, busque y mitigue amenazas mediante Microsoft Sentinel, Microsoft Defender for Cloud y Microsoft 365 Defender.