Compartir a través de


Evaluación de Microsoft Defender Antivirus mediante PowerShell

Se aplica a:

En Windows 10 (o más reciente) y Windows Server 2016 (o más reciente), puede usar las características de protección de última generación que ofrece Microsoft Defender Antivirus con protección contra vulnerabilidades de seguridad.

En este artículo se explica cómo habilitar y probar las características de protección clave de Microsoft Defender Antivirus con protección contra vulnerabilidades de seguridad y se proporcionan instrucciones y vínculos a más información.

Se recomienda usar nuestro script de PowerShell de evaluación para configurar estas características, pero puede habilitar individualmente cada característica con los cmdlets descritos en el resto de este documento.

Para obtener más información sobre nuestros productos y servicios de Endpoint Protection, consulte los siguientes recursos:

En este artículo se describen las opciones de configuración en Windows 10 o versiones posteriores y Windows Server 2016 o posterior. Si tiene alguna pregunta sobre una detección que Microsoft Defender Antivirus realiza, o detecta una detección perdida, puede enviarnos un archivo en nuestro sitio de ayuda de envío de ejemplo.

Uso de PowerShell para habilitar las características

En esta guía se proporcionan los cmdlets Microsoft Defender Antivirus que configuran las características que debe usar para evaluar nuestra protección.

Para usar estos cmdlets, abra PowerShell como administrador, ejecute un comando y presione Entrar.

Puede comprobar el estado de todas las configuraciones antes de comenzar, o durante la evaluación, mediante el cmdlet Get-MpPreference de PowerShell o instalando el módulo DefenderEval desde el Galería de PowerShell y, a continuación, mediante el Get-DefenderEvaluationReport comando .

Microsoft Defender Antivirus indica una detección mediante notificaciones estándar de Windows. También puede revisar las detecciones en la aplicación antivirus de Microsoft Defender.

El registro de eventos de Windows también registra los eventos de detección y motor. Consulte el artículo eventos Microsoft Defender Antivirus para obtener una lista de los identificadores de evento y sus acciones correspondientes.

Características de protección en la nube

Standard actualizaciones de definiciones pueden tardar horas en prepararse y entregarse; nuestro servicio de protección entregado en la nube puede ofrecer esta protección en segundos.

Para obtener más información, consulte Protección en la nube y antivirus de Microsoft Defender.

Descripción Comando de PowerShell
Habilitación de Microsoft Defender Cloud para una protección casi instantánea y una mayor protección Set-MpPreference -MAPSReporting Advanced
Envío automático de ejemplos para aumentar la protección de grupos Set-MpPreference -SubmitSamplesConsent Always
Usar siempre la nube para bloquear el nuevo malware en cuestión de segundos Set-MpPreference -DisableBlockAtFirstSeen 0
Examinar todos los archivos y datos adjuntos descargados Set-MpPreference -DisableIOAVProtection 0
Establecer el nivel de bloque en la nube en Alto Set-MpPreference -CloudBlockLevel High
Tiempo de espera de bloqueo de nube de alta configuración en 1 minuto Set-MpPreference -CloudExtendedTimeout 50

Protección always-on (examen en tiempo real)

Microsoft Defender Antivirus examina los archivos en cuanto Windows los ve, supervisa los procesos en ejecución para detectar comportamientos malintencionados conocidos o sospechosos. Si el motor antivirus detecta una modificación malintencionada, bloquea inmediatamente la ejecución del proceso o archivo.

Para obtener más información sobre estas opciones, consulte Configuración del comportamiento, la heurística y la protección en tiempo real.

Descripción Comando de PowerShell
Supervisión constante de archivos y procesos para las modificaciones de malware conocidas Set-MpPreference -DisableRealtimeMonitoring 0
Supervise constantemente los comportamientos de malware conocidos, incluso en los archivos que no se consideran una amenaza y en ejecución de programas. Set-MpPreference -DisableBehaviorMonitoring 0
Examinar los scripts tan pronto como se vean o ejecuten Set-MpPreference -DisableScriptScanning 0
Examinar las unidades extraíbles en cuanto se insertan o montan Set-MpPreference -DisableRemovableDriveScanning 0

Protección de aplicaciones potencialmente no deseadas

Las aplicaciones potencialmente no deseadas son archivos y aplicaciones que tradicionalmente no se clasifican como malintencionadas. Estas aplicaciones incluyen instaladores que no son de Microsoft para software común, inserción de anuncios y ciertos tipos de barras de herramientas en el explorador.

Descripción Comando de PowerShell
Impedir que grayware, adware y otras aplicaciones potencialmente no deseadas instalen Set-MpPreference -PUAProtection Enabled

examen de Email y archivo

Puede establecer Microsoft Defender Antivirus para examinar automáticamente determinados tipos de archivos de correo electrónico y archivos de archivo (como .zip archivos) cuando Windows los vea. Para obtener más información, consulte Exámenes de correo electrónico administrados en Microsoft Defender.

Descripción Comando de PowerShell
Examen de archivos y archivos de correo electrónico Set-MpPreference -DisableArchiveScanning 0
Set-MpPreference -DisableEmailScanning 0

Administración de actualizaciones de productos y protección

Normalmente, recibe actualizaciones Microsoft Defender Antivirus de Windows Update una vez al día. Sin embargo, puede aumentar la frecuencia de esas actualizaciones estableciendo las siguientes opciones y asegurándose de que las actualizaciones se administran en System Center Configuration Manager, con directiva de grupo o en Intune.

Descripción Comando de PowerShell
Actualización de firmas todos los días Set-MpPreference -SignatureUpdateInterval
Comprobación de la actualización de firmas antes de ejecutar un examen programado Set-MpPreference -CheckForSignaturesBeforeRunningScan 1

Mitigación avanzada de amenazas y vulnerabilidades de seguridad y prevención Acceso controlado a carpetas

Protección contra vulnerabilidades de seguridad proporciona características que ayudan a proteger los dispositivos frente a comportamientos malintencionados conocidos y ataques a tecnologías vulnerables.

Descripción Comando de PowerShell
Impedir que aplicaciones malintencionadas y sospechosas (como ransomware) realicen cambios en carpetas protegidas con acceso controlado a carpetas Set-MpPreference -EnableControlledFolderAccess Enabled
Bloquear conexiones a direcciones IP incorrectas conocidas y otras conexiones de red con protección de red Set-MpPreference -EnableNetworkProtection Enabled
Aplicación de un conjunto estándar de mitigaciones con protección contra vulnerabilidades de seguridad Invoke-WebRequest

https://demo.wd.microsoft.com/Content/ProcessMitigation.xml -OutFile ProcessMitigation.xml

Set-ProcessMitigation -PolicyFilePath ProcessMitigation.xml
Bloquear vectores de ataque malintencionados conocidos con reducción de superficie expuesta a ataques Add-MpPreference -AttackSurfaceReductionRules\_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules\_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules\_Ids 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c -AttackSurfaceReductionRules\_Actions Enabled

Add-MpPreference -AttackSurfaceReductionRules\_Ids D4F940AB-401B-4EfC-AADCAD5F3C50688A -AttackSurfaceReductionRules\_Actions Enabled

Add-MpPreference -AttackSurfaceReductionRules\_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules\_Actions Enabled

Add-MpPreference -AttackSurfaceReductionRules\_Ids BE9BA2D9-53EA-4CDC-84E5- 9B1EEEE46550 -AttackSurfaceReductionRules\_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules\_Ids 01443614-CD74-433A-B99E2ECDC07BFC25 -AttackSurfaceReductionRules\_Actions Enabled

Add-MpPreference -AttackSurfaceReductionRules\_Ids 5BEB7EFE-FD9A-4556801D275E5FFC04CC -AttackSurfaceReductionRules\_Actions Enabled

Add-MpPreference -AttackSurfaceReductionRules\_Ids D3E037E1-3EB8-44C8-A917- 57927947596D -AttackSurfaceReductionRules\_Actions Enabled

Add-MpPreference -AttackSurfaceReductionRules\_Ids 3B576869-A4EC-4529-8536- B80A7769E899 -AttackSurfaceReductionRules\_Actions Enabled

Add-MpPreference -AttackSurfaceReductionRules\_Ids 75668C1F-73B5-4CF0-BB93- 3ECF5CB7CC84 -AttackSurfaceReductionRules\_Actions Enabled

Add-MpPreference -AttackSurfaceReductionRules\_Ids 26190899-1602-49e8-8b27-eb1d0a1ce869 -AttackSurfaceReductionRules\_Actions Enabled

Add-MpPreference -AttackSurfaceReductionRules\_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules\_Actions Enabled

Add-MpPreference -AttackSurfaceReductionRules\_Ids D1E49AAC-8F56-4280-B9BA993A6D77406C -AttackSurfaceReductionRules\_Actions Enabled

Add-MpPreference -AttackSurfaceReductionRules\_Ids 33ddedf1-c6e0-47cb-833e-de6133960387 -AttackSurfaceReductionRules\_Actions Enabled

Add-MpPreference -AttackSurfaceReductionRules\_Ids B2B3F03D-6A65-4F7B-A9C7- 1C7EF74A9BA4 -AttackSurfaceReductionRules\_Actions Enabled

Add-MpPreference -AttackSurfaceReductionRules\_Ids c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb -AttackSurfaceReductionRules\_Actions Enabled

Add-MpPreference -AttackSurfaceReductionRules\_Ids a8f5898e-1dc8-49a9-9878-85004b8a61e6 -AttackSurfaceReductionRules\_Actions Enabled

Add-MpPreference -AttackSurfaceReductionRules\_Ids 92E97FA1-2EDF-4476-BDD6- 9DD0B4DDDC7B -AttackSurfaceReductionRules\_Actions Enabled

Add-MpPreference -AttackSurfaceReductionRules\_Ids C1DB55AB-C21A-4637-BB3FA12568109D35 -AttackSurfaceReductionRules\_Actions Enabled

Algunas reglas pueden bloquear el comportamiento que considere aceptable en su organización. En estos casos, cambie la regla de Enabled a Audit para evitar bloques no deseados.

Habilitación de la protección contra alteraciones

En el portal de Microsoft Defender, vaya a Configuración>Puntos de conexiónCaracterísticas >avanzadas Protección >contra alteraciones> activada.

Para obtener más información, consulte Cómo configurar o administrar la protección contra alteraciones.

Comprobación de la conectividad de red de Cloud Protection

Es importante comprobar que la conectividad de red de Cloud Protection funciona durante las pruebas de lápiz. Con el símbolo del sistema como administrador, ejecute el siguiente comando:

cd "C:\Program Files\Windows Defender"
MpCmdRun.exe -ValidateMapsConnection

Para obtener más información, consulte Uso de la herramienta cmdline para validar la protección entregada en la nube.

Selección única Microsoft Defender examen sin conexión

Microsoft Defender Examen sin conexión es una herramienta especializada que viene con Windows 10 o una versión más reciente, y le permite arrancar una máquina en un entorno dedicado fuera del sistema operativo normal. Es especialmente útil para malware potente, como rootkits.

Para obtener más información, vea Microsoft Defender sin conexión.

Descripción Comando de PowerShell
Asegúrese de que las notificaciones le permiten arrancar el dispositivo en un entorno de eliminación de malware especializado. Set-MpPreference -UILockdown 0

Vea también