Share via


Configuración de seguridad de la protección con protección contra alteraciones

Se aplica a:

Plataformas

¿Qué es la protección contra alteraciones?

La protección contra alteraciones es una funcionalidad de Microsoft Defender para punto de conexión que ayuda a proteger ciertas configuraciones de seguridad, como la protección contra virus y amenazas, de que se deshabiliten o cambien. Durante algunos tipos de ciberataques, los actores malintencionados intentan deshabilitar las características de seguridad en los dispositivos. Deshabilitar las características de seguridad proporciona a los actores incorrectos un acceso más fácil a los datos, la capacidad de instalar malware y la capacidad de aprovechar los datos, la identidad y los dispositivos. La protección contra alteraciones ayuda a protegerse frente a este tipo de actividades.

La protección contra alteraciones forma parte de las funcionalidades contra alteraciones que incluyen reglas estándar de reducción de la superficie expuesta a ataques de protección. La protección contra alteraciones es una parte importante de la protección integrada.

¿Qué ocurre cuando se activa la protección contra alteraciones?

Cuando se activa la protección contra alteraciones, esta configuración protegida contra alteraciones no se puede cambiar:

  • La protección contra virus y amenazas permanece habilitada.
  • La protección en tiempo real permanece activada.
  • La supervisión del comportamiento permanece activada.
  • La protección antivirus, incluido IOfficeAntivirus (IOAV) permanece habilitada.
  • La protección en la nube permanece habilitada.
  • Se producen actualizaciones de inteligencia de seguridad.
  • Las acciones automáticas se realizan en las amenazas detectadas.
  • Las notificaciones son visibles en la aplicación Seguridad de Windows en dispositivos Windows.
  • Los archivos archivados se examinan.
  • No se pueden modificar ni agregar exclusiones

A partir de la versión 1.383.1159.0de firma , debido a la confusión en torno al valor predeterminado de "Permitir el examen de archivos de red", la protección contra alteraciones ya no bloquea esta configuración en su valor predeterminado. En entornos administrados, el valor predeterminado es enabled.

Importante

Cuando se activa la protección contra alteraciones, no se puede cambiar la configuración protegida contra alteraciones. Para evitar la interrupción de las experiencias de administración, incluidos Intune y Configuration Manager, tenga en cuenta que los cambios realizados en la configuración protegida contra alteraciones pueden parecer correctos, pero en realidad están bloqueados por la protección contra alteraciones. En función de su escenario concreto, tiene varias opciones disponibles:

  • Si debe realizar cambios en un dispositivo y esos cambios están bloqueados por la protección contra alteraciones, puede usar el modo de solución de problemas para deshabilitar temporalmente la protección contra alteraciones en el dispositivo.
  • Puede usar Intune o Configuration Manager para excluir dispositivos de la protección contra alteraciones.

La protección contra alteraciones no impide que vea la configuración de seguridad. Además, la protección contra alteraciones no afecta al modo en que las aplicaciones antivirus que no son de Microsoft se registran con la aplicación Seguridad de Windows. Si su organización usa Defender para punto de conexión, los usuarios individuales no pueden cambiar la configuración de protección contra alteraciones; en esos casos, el equipo de seguridad administra la protección contra alteraciones. Para obtener más información, consulte Cómo configurar o administrar la protección contra alteraciones?

¿En qué dispositivos se puede habilitar la protección contra alteraciones?

La protección contra alteraciones está disponible para los dispositivos que ejecutan una de las siguientes versiones de Windows:

  • Windows 10 y 11 (incluida la sesión múltiple enterprise)
  • Windows Server 2022, Windows Server 2019 y Windows Server, versión 1803 o posterior
  • Windows Server 2016 y Windows Server 2012 R2 (mediante la solución moderna y unificada)

La protección contra alteraciones también está disponible para Mac, aunque funciona de forma un poco diferente que en Windows. Para obtener más información, consulte Protección de la configuración de seguridad de macOS con protección contra alteraciones.

Sugerencia

La protección integrada incluye activar la protección contra alteraciones de forma predeterminada. Para obtener más información, consulte:

Protección contra alteraciones en Windows Server 2012 R2, 2016 o Windows versión 1709, 1803 o 1809

Si usa Windows Server 2012 R2 mediante la solución unificada moderna, Windows Server 2016, Windows 10 versión 1709, 1803 o 1809, no verá Tamper Protection en la aplicación Seguridad de Windows. En su lugar, puede usar PowerShell para determinar si está habilitada la protección contra alteraciones.

Importante

En Windows Server 2016, la aplicación Configuración no refleja con precisión el estado de la protección en tiempo real cuando está habilitada la protección contra alteraciones.

Uso de PowerShell para determinar si la protección contra alteraciones y la protección en tiempo real están activadas

  1. Abra la aplicación Windows PowerShell.

  2. Use el cmdlet De PowerShell Get-MpComputerStatus .

  3. En la lista de resultados, busque IsTamperProtected o RealTimeProtectionEnabled. (Un valor de true significa que la protección contra alteraciones está habilitada).

Cómo configurar o administrar la protección contra alteraciones?

Puede usar Microsoft Intune y otros métodos para configurar o administrar la protección contra alteraciones, como se muestra en la tabla siguiente:

Método Qué puede hacer
Use el portal de Microsoft Defender. Active (o desactive) la protección contra alteraciones en todo el inquilino. Consulte Administración de la protección contra alteraciones para su organización mediante Microsoft Defender XDR.

Este método no invalida la configuración administrada en Microsoft Intune o Configuration Manager.
Use el centro de administración de Microsoft Intune o Configuration Manager. Active (o desactive) la protección contra alteraciones, en todo el inquilino o aplique protección contra alteraciones a algunos usuarios o dispositivos. Puede excluir determinados dispositivos de la protección contra alteraciones. Consulte Administración de la protección contra alteraciones de su organización mediante Intune.

Proteja las exclusiones Microsoft Defender Antivirus de la manipulación si usa solo Intune o solo Configuration Manager. Consulte Protección contra alteraciones para exclusiones de antivirus.
Use Configuration Manager con asociación de inquilinos. Active (o desactive) la protección contra alteraciones, en todo el inquilino o aplique protección contra alteraciones a algunos usuarios o dispositivos. Puede excluir determinados dispositivos de la protección contra alteraciones. Consulte Administración de la protección contra alteraciones de su organización mediante la asociación de inquilinos con Configuration Manager, versión 2006.
Use la aplicación Seguridad de Windows. Active (o desactive) la protección contra alteraciones en un dispositivo individual que no esté administrado por un equipo de seguridad (por ejemplo, dispositivos para uso doméstico). Consulte Administración de la protección contra alteraciones en un dispositivo individual.

Este método no invalida la configuración de protección contra alteraciones que se establece en el portal de Microsoft Defender, Intune o Configuration Manager, y no está pensada para que la usen las organizaciones.

Sugerencia

Si usa directiva de grupo para administrar Microsoft Defender configuración del Antivirus, tenga en cuenta que se omiten los cambios realizados en la configuración protegida por manipulación. Si debe realizar cambios en un dispositivo y esos cambios están bloqueados por la protección contra alteraciones, use el modo de solución de problemas para deshabilitar temporalmente la protección contra alteraciones en el dispositivo. Una vez finalizado el modo de solución de problemas, los cambios realizados en la configuración protegida contra alteraciones se revierten a su estado configurado.

Protección de exclusiones de antivirus de Microsoft Defender

En determinadas condiciones, la protección contra alteraciones puede proteger las exclusiones definidas para Microsoft Defender Antivirus. Para obtener más información, consulte Protección contra alteraciones para exclusiones.

Visualización de información sobre intentos de manipulación

Los intentos de manipulación suelen indicar que se ha producido un ciberataque mayor. Los actores incorrectos intentan cambiar la configuración de seguridad como una manera de conservar y mantenerse sin ser detectados. Si forma parte del equipo de seguridad de su organización, puede ver información sobre estos intentos y, a continuación, realizar las acciones adecuadas para mitigar las amenazas.

Cada vez que se detecta un intento de manipulación, se genera una alerta en el portal de Microsoft Defender (https://security.microsoft.com).

Con la detección y respuesta de puntos de conexión y las funcionalidades avanzadas de búsqueda en Microsoft Defender para punto de conexión, el equipo de operaciones de seguridad puede investigar y abordar estos intentos.

Revisión de las recomendaciones de seguridad

La protección contra alteraciones se integra con las funcionalidades de Administración de vulnerabilidades de Microsoft Defender. Las recomendaciones de seguridad incluyen asegurarse de que la protección contra alteraciones está activada. Por ejemplo, en el panel de Administración de vulnerabilidades, puede buscar en la manipulación. En los resultados, puede seleccionar Activar protección contra alteraciones para obtener más información y activarla.

Para más información sobre Administración de vulnerabilidades de Microsoft Defender, consulte Información del panel: Administración de vulnerabilidades de Defender.

Consulte también

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.