Microsoft recomienda utilizar roles con la menor cantidad de permisos. Esto ayuda a mejorar la seguridad de la organización. Administrador global es un rol con muchos privilegios que debe limitarse a escenarios de emergencia cuando no se puede usar un rol existente.
Paso 1: Reinstalar o habilitar Microsoft Defender Antivirus en los puntos de conexión
En determinadas versiones de Windows, es probable que Microsoft Defender Antivirus se haya desinstalado o deshabilitado cuando se instaló la solución antivirus o antimalware que no es de Microsoft. Cuando los puntos de conexión que ejecutan Windows se incorporan a Defender para punto de conexión, Microsoft Defender Antivirus puede ejecutarse en modo pasivo junto con una solución antivirus que no sea de Microsoft. Para más información, consulte Protección antivirus con Defender para punto de conexión.
Al realizar el cambio a Defender para punto de conexión, es posible que tenga que realizar ciertos pasos para volver a instalar o habilitar Microsoft Defender Antivirus. En la tabla siguiente se describe qué hacer en los clientes y servidores de Windows.
Tipo de punto de conexión
Qué hacer
Clientes de Windows (como puntos de conexión que ejecutan Windows 10 y Windows 11)
En general, no es necesario realizar ninguna acción para los clientes De Windows (a menos que Microsoft Defender Antivirus se haya desinstalado). En general, Microsoft Defender Antivirus debe instalarse, pero lo más probable es que esté deshabilitado en este momento del proceso de migración.
Cuando se instala una solución antivirus o antimalware que no es de Microsoft y los clientes aún no están incorporados a Defender para punto de conexión, Microsoft Defender Antivirus se deshabilita automáticamente. Más adelante, cuando los puntos de conexión de cliente se incorporan a Defender para punto de conexión, si esos puntos de conexión ejecutan una solución antivirus que no es de Microsoft, Microsoft Defender Antivirus entra en modo pasivo.
Si se desinstala la solución antivirus que no es de Microsoft, Microsoft Defender Antivirus entra en modo activo automáticamente.
Servidores Windows
En Windows Server, debe volver a instalar Microsoft Defender Antivirus y establecerlo en modo pasivo manualmente. En los servidores Windows, cuando se instala un antivirus o antimalware que no es de Microsoft, Microsoft Defender Antivirus no se puede ejecutar junto con la solución antivirus que no es de Microsoft. En esos casos, Microsoft Defender Antivirus se deshabilita o desinstala manualmente.
Abra Editor del Registro y, a continuación, vaya a Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection.
Edite (o cree) una entrada DWORD denominada ForceDefenderPassiveMode y especifique la siguiente configuración:
Establezca el valor de DWORD en 1.
En Base, seleccione Hexadecimal.
Si Microsoft Defender las características del Antivirus y los archivos de instalación se quitaron anteriormente de Windows Server 2016, siga las instrucciones de Configuración de un origen de reparación de Windows para restaurar los archivos de instalación de características.
Nota
Después de la incorporación a Defender para punto de conexión, es posible que tenga que establecer Microsoft Defender Antivirus en modo pasivo en Windows Server. Para validar que el modo pasivo se estableció según lo esperado, busque Evento 5007 en el registro operativo de Microsoft-Windows-Windows Defender (ubicado en C:\Windows\System32\winevt\Logs) y confirme que las claves del Registro ForceDefenderPassiveMode o PassiveMode se han establecido en 0x1.
¿Usa Windows Server 2012 R2 o Windows Server 2016?
Paso 2: Configurar Defender para el plan 1 o el plan 2
En este artículo se describe cómo configurar las funcionalidades de Defender para punto de conexión antes de que se incorporen los dispositivos.
Si tiene el plan 1 de Defender para punto de conexión, complete los pasos 1 a 5 en el procedimiento siguiente.
Si tiene el plan 2 de Defender para punto de conexión, complete los pasos del 1 al 7 en el procedimiento siguiente.
Asegúrese de que Defender para punto de conexión está aprovisionado. Como administrador de seguridad, vaya al portal de Microsoft Defender (https://security.microsoft.com) e inicie sesión. A continuación, en el panel de navegación, seleccione Dispositivos activos>.
En la tabla siguiente se muestra el aspecto de la pantalla y lo que significa.
Screen
Significado
Defender para punto de conexión aún no ha terminado de aprovisionar. Es posible que tenga que esperar un poco a que finalice el proceso.
Defender para punto de conexión está aprovisionado. En este caso, continúe con el paso siguiente.
En el centro de administración de Microsoft Intune (https://intune.microsoft.com), vaya a Seguridad del punto de conexión.
En Configuración, elija Microsoft Defender para punto de conexión.
En Configuración del perfil de seguridad de punto de conexión, establezca el botón de alternancia para Permitir Microsoft Defender para punto de conexión aplicar configuraciones de seguridad de punto de conexión en Activado.
Cerca de la parte superior de la pantalla, seleccione Guardar.
Desplácese hacia abajo hasta Administración de configuración y seleccione Ámbito de cumplimiento.
Establezca el botón de alternancia para Usar MDE para aplicar los valores de configuración de seguridad de MEM a Activado y, a continuación, seleccione las opciones para el cliente de Windows y los dispositivos Windows Server.
Si tiene previsto usar Configuration Manager, establezca el botón de alternancia para Administrar la configuración de seguridad mediante Configuration Manager en Activado. (Si necesita ayuda con este paso, consulte Coexistencia con el punto de conexión de Microsoft Configuration Manager).
1. Vaya a Configuración> del equipoPlantillas administrativas>Componentes>de Windows Microsoft Defender Antivirus.
2. Busque una directiva denominada Desactivar Microsoft Defender Antivirus.
3. Elija Editar configuración de directiva y asegúrese de que la directiva está deshabilitada. Esta acción habilita Microsoft Defender Antivirus. (Es posible que vea Windows Antivirus de Defender en lugar de Microsoft Defender Antivirus en algunas versiones de Windows).
Panel de control en Windows
Siga las instrucciones aquí: Active Microsoft Defender Antivirus. (Es posible que vea Windows Antivirus de Defender en lugar de Microsoft Defender Antivirus en algunas versiones de Windows).
Si tiene el plan 1 de Defender para punto de conexión, la configuración inicial y la configuración se completan. Si tiene el plan 2 de Defender para punto de conexión, continúe con los pasos 6-7.
En este momento, se completa la configuración inicial y la configuración del plan 2 de Defender para punto de conexión.
Paso 3: Agregar Microsoft Defender para punto de conexión a la lista de exclusión de la solución existente
Este paso del proceso de instalación implica agregar Defender para punto de conexión a la lista de exclusión de la solución de endpoint protection existente y cualquier otro producto de seguridad que use su organización. Asegúrese de consultar la documentación del proveedor de soluciones para agregar exclusiones.
Las exclusiones específicas que se van a configurar dependen de la versión de Windows en la que se ejecutan los puntos de conexión o dispositivos y se enumeran en la tabla siguiente.
En Windows Server 2012 R2 y Windows Server 2016 ejecutar la solución moderna y unificada, se requieren las siguientes exclusiones después de actualizar el componente Sense EDR mediante KB5005292:
Paso 4: Agregar la solución existente a la lista de exclusión de Microsoft Defender Antivirus
Durante este paso del proceso de instalación, agregará la solución existente a la lista de exclusiones de Microsoft Defender Antivirus. Puede elegir entre varios métodos para agregar las exclusiones a Microsoft Defender Antivirus, como se muestra en la tabla siguiente:
2. Seleccione Dispositivos Perfiles>de configuración y, a continuación, seleccione el perfil que desea configurar.
3. En Administrar, seleccione Propiedades.
4. Seleccione Configuración: Editar.
5. Expanda Microsoft Defender Antivirus y, a continuación, expanda Microsoft Defender Exclusiones antivirus.
6. Especifique los archivos y carpetas, las extensiones y los procesos que se van a excluir de Microsoft Defender exámenes antivirus. Para obtener referencia, consulte Microsoft Defender Exclusiones de Antivirus.
7. Elija Revisar y guardar y, a continuación, elija Guardar.
1. Con la consola de Configuration Manager, vaya a Activos y directivasantimalware deEndpoint Protection> de cumplimiento > y, a continuación, seleccione la directiva que desea modificar.
2. Especifique la configuración de exclusión de archivos y carpetas, extensiones y procesos que se van a excluir de Microsoft Defender exámenes antivirus.
1. En el equipo de administración de directiva de grupo, abra la consola de administración de directiva de grupo. Haga clic con el botón derecho en el objeto directiva de grupo que desea configurar y, a continuación, seleccione Editar.
2. En el Editor administración de directiva de grupo, vaya a Configuración del equipo y seleccione Plantillas administrativas.
3. Expanda el árbol a componentes > de Windows Microsoft Defender Exclusiones antivirus>. (Es posible que vea Windows Antivirus de Defender en lugar de Microsoft Defender Antivirus en algunas versiones de Windows).
4. Haga doble clic en la configuración Exclusiones de ruta de acceso y agregue las exclusiones.
5. Establezca la opción en Habilitado.
6. En la sección Opciones , seleccione Mostrar....
7. Especifique cada carpeta en su propia línea en la columna Nombre del valor . Si especifica un archivo, asegúrese de escribir una ruta de acceso completa al archivo, incluida la letra de unidad, la ruta de acceso de la carpeta, el nombre de archivo y la extensión. Escriba 0 en la columna Valor .
8. Seleccione Aceptar.
9. Haga doble clic en la configuración Exclusiones de extensión y agregue las exclusiones.
10. Establezca la opción en Habilitado.
11. En la sección Opciones , seleccione Mostrar....
12. Escriba cada extensión de archivo en su propia línea en la columna Nombre de valor . Escriba 0 en la columna Valor .
13. Seleccione Aceptar.
Objeto de directiva de grupo local
1. En el punto de conexión o dispositivo, abra el directiva de grupo Editor Local.
2. Vaya a Configuración> del equipoPlantillas> administrativasComponentes> de Windows Microsoft DefenderExclusionesantivirus>. (Es posible que vea Windows Antivirus de Defender en lugar de Microsoft Defender Antivirus en algunas versiones de Windows).
3. Especifique la ruta de acceso y las exclusiones de proceso.
Clave del Registro
1. Exporte la siguiente clave del Registro: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\exclusions.
2. Importe la clave del Registro. A continuación, se indican dos ejemplos: - Ruta de acceso local: regedit.exe /s c:\temp\MDAV_Exclusion.reg - Recurso compartido de red: regedit.exe /s \\FileServer\ShareName\MDAV_Exclusion.reg
Las exclusiones de ruta de acceso excluyen archivos específicos y el acceso a esos archivos.
Las exclusiones de proceso excluyen todo lo que toca un proceso, pero no excluye el propio proceso.
Enumere las exclusiones de proceso mediante su ruta de acceso completa y no solo por su nombre. (El método de solo nombre es menos seguro).
Si enumera cada ejecutable (.exe) como una exclusión de ruta de acceso y una exclusión de proceso, se excluye el proceso y lo que toque.
Paso 5: Configurar los grupos de dispositivos, las recopilaciones de dispositivos y las unidades organizativas
Los grupos de dispositivos, las recopilaciones de dispositivos y las unidades organizativas permiten al equipo de seguridad administrar y asignar directivas de seguridad de forma eficaz y eficaz. En la tabla siguiente se describe cada uno de estos grupos y cómo configurarlos. Es posible que su organización no use los tres tipos de colección.
Nota
La creación de grupos de dispositivos se admite en El plan 1 y el plan 2 de Defender para punto de conexión.
Tipo de colección
Qué hacer
Los grupos de dispositivos (anteriormente denominados grupos de máquinas) permiten al equipo de operaciones de seguridad configurar funcionalidades de seguridad, como la investigación y la corrección automatizadas.
Los grupos de dispositivos también son útiles para asignar acceso a esos dispositivos para que el equipo de operaciones de seguridad pueda realizar acciones de corrección si es necesario.
Los grupos de dispositivos se crean mientras se detecta y detiene el ataque, y las alertas, como una "alerta de acceso inicial", se desencadenan y aparecen en el portal de Microsoft Defender.
2. En el panel de navegación de la izquierda, elija Configuración>Permisos de puntos> de conexiónGrupos>de dispositivos.
3. Elija + Agregar grupo de dispositivos.
4. Especifique un nombre y una descripción para el grupo de dispositivos.
5. En la lista Nivel de automatización , seleccione una opción. (Se recomienda completo: corregir las amenazas automáticamente). Para obtener más información sobre los distintos niveles de automatización, consulte Cómo se corrigen las amenazas.
6. Especifique las condiciones de una regla coincidente para determinar qué dispositivos pertenecen al grupo de dispositivos. Por ejemplo, puede elegir un dominio, versiones del sistema operativo o incluso usar etiquetas de dispositivo.
7. En la pestaña Acceso de usuario , especifique los roles que deben tener acceso a los dispositivos incluidos en el grupo de dispositivos.
8. Elija Listo.
Las recopilaciones de dispositivos permiten al equipo de operaciones de seguridad administrar aplicaciones, implementar la configuración de cumplimiento o instalar actualizaciones de software en los dispositivos de la organización.
Planee y ejecute una estrategia de implementación de puntos de conexión mediante elementos esenciales de la administración moderna, los enfoques de administración conjunta y la integración de Microsoft Intune.