Configuración de la directiva de reducción de superficie expuesta a ataques para la seguridad de los puntos de conexión en Intune

  • Artículo

Vea la configuración que puede configurar en perfiles para la directiva de reducción de superficie expuesta a ataques en el nodo de seguridad de punto de conexión de Intune como parte de una directiva de seguridad de punto de conexión.

Se aplica a:

  • Windows 11
  • Windows 10

Plataformas y perfiles admitidos:

  • Windows 10 y versiones posteriores: use esta plataforma para la directiva que implemente en dispositivos administrados con Intune.

    • Perfil: aislamiento de aplicaciones y exploradores
    • Perfil: control de aplicación
    • Perfil: reglas de reducción de superficie expuesta a ataques
    • Perfil: control de dispositivo
    • Perfil: Protección contra vulnerabilidades de seguridad
    • Perfil: protección web (Microsoft Edge (versión anterior))

  • Windows 10 y versiones posteriores (ConfigMgr): use esta plataforma para la directiva que implemente en dispositivos administrados por Configuration Manager.

    • Perfil: Protección contra vulnerabilidades de seguridad (ConfigMgr)(versión preliminar)
    • Perfil: Protección web (ConfigMgr)(versión preliminar)

  • Windows 10, Windows 11 y Windows Server: use esta plataforma para la directiva que implemente en dispositivos administrados a través de Administración de seguridad para Microsoft Defender para punto de conexión.

    • Perfil: Reglas de reducción de superficie expuesta a ataques

Reducción de la superficie expuesta a ataques (MDM)

Perfil de aislamiento de aplicaciones y exploradores

Nota:

En esta sección se detalla la configuración de los perfiles de aislamiento de aplicaciones y exploradores creados antes del 18 de abril de 2023. Los perfiles creados después de esa fecha usan un nuevo formato de configuración tal como se encuentra en el Catálogo de configuración. Con este cambio ya no se pueden crear nuevas versiones del perfil anterior y ya no se están desarrollando. Aunque ya no puede crear nuevas instancias del perfil anterior, puede seguir editando y usando instancias del mismo que creó anteriormente.

Para los perfiles que usan el nuevo formato de configuración, Intune ya no mantiene una lista de cada configuración por nombre. En su lugar, el nombre de cada configuración, sus opciones de configuración y su texto explicativo que se ve en el centro de administración de Microsoft Intune se toman directamente del contenido autoritativo de la configuración. Ese contenido puede proporcionar más información sobre el uso de la configuración en su contexto adecuado. Al ver un texto de información de configuración, puede usar su vínculo Más información para abrir ese contenido.

Aislamiento de aplicaciones y exploradores

  • Activar Protección de aplicaciones
    CSP: AllowWindowsDefenderApplicationGuard

    • No configurado (valor predeterminado): Protección de aplicaciones de Microsoft Defender no está configurado para entornos de Microsoft Edge o Windows aislados.
    • Habilitado para Edge: Protección de aplicaciones abre sitios no aprobados en un contenedor de exploración virtualizada de Hyper-V.
    • Habilitado para entornos aislados de Windows: Protección de aplicaciones está activado para las aplicaciones habilitadas para App Guard en Windows.
    • Habilitado para entornos de Windows aislados y perimetrales: Protección de aplicaciones está configurado para ambos escenarios.

    Nota:

    Si va a implementar Protección de aplicaciones para Microsoft Edge a través de Intune, la directiva de aislamiento de red de Windows debe configurarse como requisito previo. El aislamiento de red se puede configurar a través de varios perfiles, incluido el aislamiento de aplicaciones y broswer en la configuración de aislamiento de red de Windows .

    Cuando se establece en Habilitado para Edge o Habilitado para entornos de Windows aislados y perimetrales, están disponibles las siguientes opciones de configuración, que se aplican a Edge:

    • Comportamiento del Portapapeles
      CSP: ClipboardSettings

      Elija qué acciones de copiar y pegar se permiten desde el equipo local y un explorador virtual Protección de aplicaciones.

      • No configurado (valor predeterminado)
      • Bloquear copiar y pegar entre pc y explorador
      • Permitir copiar y pegar solo desde el explorador al equipo
      • Permitir copiar y pegar solo desde pc a explorador
      • Permitir copiar y pegar entre pc y explorador

    • Bloquear contenido externo de sitios no aprobados por empresas
      CSP: BlockNonEnterpriseContent

      • No configurado (valor predeterminado)
      • : impedir que se cargue contenido de sitios web no aprobados.

    • Recopilación de registros de eventos que se producen dentro de una sesión de exploración de Protección de aplicaciones
      CSP: AuditApplicationGuard

      • No configurado (valor predeterminado)
      • : recopile registros de eventos que se producen dentro de una sesión de exploración virtual de Protección de aplicaciones.

    • Permitir que se guarden los datos del explorador generados por el usuario
      CSP: AllowPersistence

      • No configurado (valor predeterminado)
      • : permite guardar los datos de usuario creados durante una sesión de exploración virtual Protección de aplicaciones. Algunos ejemplos de datos de usuario son contraseñas, favoritos y cookies.

    • Habilitación de la aceleración de gráficos de hardware
      CSP: AllowVirtualGPU

      • No configurado (valor predeterminado)
      • : en la Protección de aplicaciones sesión de exploración virtual, use una unidad de procesamiento de gráficos virtuales para cargar sitios web de uso intensivo de gráficos con mayor rapidez.

    • Permitir a los usuarios descargar archivos en el host
      CSP: SaveFilesToHost

      • No configurado (valor predeterminado)
      • : permite a los usuarios descargar archivos desde el explorador virtualizado en el sistema operativo host.

    • Protección de aplicaciones permitir el acceso a la cámara y al micrófono
      CSP: AllowCameraMicrophoneRedirection

      • No configurado (valor predeterminado): las aplicaciones dentro de Protección de aplicaciones de Microsoft Defender no pueden acceder a la cámara y al micrófono del dispositivo del usuario.
      • : las aplicaciones dentro de Protección de aplicaciones de Microsoft Defender pueden acceder a la cámara y al micrófono en el dispositivo del usuario.
      • No: las aplicaciones dentro de Protección de aplicaciones de Microsoft Defender no pueden acceder a la cámara y al micrófono del dispositivo del usuario. Este es el mismo comportamiento que No configurado.

  • Protección de aplicaciones permite imprimir en impresoras locales

    • No configurado (valor predeterminado)
    • : permite la impresión en impresoras locales.

  • Protección de aplicaciones permite imprimir en impresoras de red

    • No configurado (valor predeterminado)
    • : permite imprimir en impresoras de red.

  • Protección de aplicaciones para permitir la impresión en PDF

    • No configurado (valor predeterminado)
    • : permitir la impresión en PDF.

  • Protección de aplicaciones para permitir la impresión en XPS

    • No configurado (valor predeterminado)
    • - - Permitir impresión en XPS.

  • Protección de aplicaciones permitir el uso de entidades de certificación raíz desde el dispositivo del usuario
    CSP: CertificateThumbprints

    Configure las huellas digitales del certificado para transferir automáticamente el certificado raíz coincidente al contenedor de Protección de aplicaciones de Microsoft Defender.

    Para agregar huellas digitales de uno en uno, seleccione Agregar. Puede usar Importar para especificar un archivo .CSV que contenga varias entradas de huella digital que se agregan al perfil al mismo tiempo. Cuando se usa un archivo .CSV, cada huella digital debe estar separada por una coma. Por ejemplo: b4e72779a8a362c860c36a6461f31e3aa7e58c14,1b1d49f06d2a697a544a1059bd59a7b058cda924

    Todas las entradas que aparecen en el perfil están activas. No es necesario seleccionar una casilla para una entrada de huella digital para activarla. En su lugar, use las casillas para ayudarle a administrar las entradas que se han agregado al perfil. Por ejemplo, puede activar la casilla de una o varias entradas de huella digital de certificado y, a continuación, eliminar esas entradas del perfil con una sola acción.

  • Directiva de aislamiento de red de Windows

    • No configurado (valor predeterminado)
    • : configurar la directiva de aislamiento de red de Windows.

    Cuando se establece en , puede configurar los siguientes valores:

    • Intervalos IP
      Expanda la lista desplegable, seleccione Agregar y, a continuación, especifique una dirección inferior y, a continuación, una dirección superior.

    • Recursos en la nube
      Expanda la lista desplegable, seleccione Agregar y especifique una dirección IP o FQDN y un proxy.

    • Dominios de red
      Expanda la lista desplegable, seleccione Agregar y, a continuación, especifique Dominios de red.

    • Servidores proxy
      Expanda la lista desplegable, seleccione Agregar y, a continuación, especifique Servidores proxy.

    • Servidores proxy internos
      Expanda la lista desplegable, seleccione Agregar y, a continuación, especifique Servidores proxy internos.

    • Recursos neutros
      Expanda la lista desplegable, seleccione Agregar y, a continuación, especifique Recursos neutros.

    • Deshabilitación de la detección automática de otros servidores proxy empresariales

      • No configurado (valor predeterminado)
      • : deshabilite la detección automática de otros servidores proxy de empresa.

    • Deshabilitación de la detección automática de otros intervalos IP empresariales

      • No configurado (valor predeterminado)
      • : deshabilite la detección automática de otros intervalos IP empresariales.

    Nota:

    Una vez creado el perfil, los dispositivos a los que se debe aplicar la directiva tendrán Protección de aplicaciones de Microsoft Defender habilitados. Es posible que los usuarios tengan que reiniciar sus dispositivos para que la protección esté en su lugar.

Perfil de control de aplicación

control de aplicación Microsoft Defender

  • Control de aplicación de casillero de aplicaciones
    CSP: AppLocker

    • No configurado (valor predeterminado)
    • Aplicación de componentes y aplicaciones de la Tienda
    • Auditar componentes y aplicaciones de la Tienda
    • Exigir componentes, aplicaciones de la Tienda y Smartlocker
    • Auditar componentes, aplicaciones de la Tienda y Smartlocker

  • Impedir que los usuarios ignoren las advertencias de SmartScreen
    CSP: SmartScreen/PreventOverrideForFilesInShell

    • No configurado (valor predeterminado): los usuarios pueden omitir las advertencias de SmartScreen para archivos y aplicaciones malintencionadas.
    • : SmartScreen está habilitado y los usuarios no pueden omitir las advertencias de archivos o aplicaciones malintencionadas.

  • Activar Windows SmartScreen
    CSP: SmartScreen/EnableSmartScreenInShell

    • No configurado (valor predeterminado): devuelve la configuración al valor predeterminado de Windows, que es habilitar SmartScreen, pero los usuarios pueden cambiar esta configuración. Para deshabilitar SmartScreen, use un URI personalizado.
    • : aplique el uso de SmartScreen para todos los usuarios.

Perfil de las reglas de reducción de la superficie expuesta a ataques

Reglas de reducción de superficie expuesta a ataques

Para más información sobre las reglas de reducción de superficie expuesta a ataques, consulte Referencia de reglas de reducción de superficie expuesta a ataques en la documentación de Microsoft 365.

Nota:

En esta sección se detalla la configuración de los perfiles de reglas de reducción de superficie expuesta a ataques creados antes del 5 de abril de 2022. Los perfiles creados después de esa fecha usan un nuevo formato de configuración tal como se encuentra en el Catálogo de configuración. Con este cambio ya no se pueden crear nuevas versiones del perfil anterior y ya no se están desarrollando. Aunque ya no puede crear nuevas instancias del perfil anterior, puede seguir editando y usando instancias del mismo que creó anteriormente.

Para los perfiles que usan el nuevo formato de configuración, Intune ya no mantiene una lista de cada configuración por nombre. En su lugar, el nombre de cada configuración, sus opciones de configuración y su texto explicativo que se ve en el centro de administración de Microsoft Intune se toman directamente del contenido autoritativo de la configuración. Ese contenido puede proporcionar más información sobre el uso de la configuración en su contexto adecuado. Al ver un texto de información de configuración, puede usar su vínculo Más información para abrir ese contenido.

  • Bloquear la persistencia a través de la suscripción de eventos WMI
    Reducción de superficies expuestas a ataques con reglas de reducción de superficie expuesta a ataques

    Esta regla de reducción de superficie expuesta a ataques (ASR) se controla mediante el siguiente GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b

    Esta regla impide que el malware abuse de WMI para lograr persistencia en un dispositivo. Las amenazas sin archivo emplean varias tácticas para permanecer ocultas, evitar ser detectadas en el sistema de archivos y obtener el control de la ejecución periódica. Algunas amenazas pueden abusar del repositorio WMI y el modelo de eventos para permanecer ocultas.

    • No configurado (valor predeterminado): la configuración vuelve al valor predeterminado de Windows, que está desactivado y la persistencia no está bloqueada.
    • Bloquear: se bloquea la persistencia a través de WMI.
    • Auditoría: evalúa cómo afecta esta regla a su organización si está habilitada (establecida en Bloquear).
    • Deshabilitar: desactiva esta regla. La persistencia no está bloqueada.

    Para obtener más información sobre esta configuración, consulte Bloquear la persistencia a través de la suscripción de eventos WMI.

  • Bloquear el robo de credenciales del subsistema de autoridad de seguridad local de Windows (lsass.exe)
    Proteger los dispositivos contra vulnerabilidades de seguridad

    Esta regla de reducción de superficie expuesta a ataques (ASR) se controla mediante el siguiente GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2

    • No configurado (valor predeterminado): la configuración vuelve al valor predeterminado de Windows, que está desactivado.
    • Definido por el usuario
    • Habilitar : se bloquean los intentos de robar credenciales a través de lsass.exe.
    • Modo de auditoría : los usuarios no se bloquean de dominios peligrosos y se generan eventos de Windows en su lugar.
    • Advertir: para Windows 10 versión 1809 o posterior y Windows 11, el usuario del dispositivo recibe un mensaje que indica que puede omitir el bloque de la configuración. En los dispositivos que ejecutan versiones anteriores de Windows 10, la regla aplica el comportamiento Habilitar.

  • Impedir que Adobe Reader cree procesos secundarios
    Reducción de superficies expuestas a ataques con reglas de reducción de superficie expuesta a ataques

    Esta regla de ASR se controla mediante el siguiente GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c

    • No configurado (valor predeterminado): el valor predeterminado de Windows se restaura, es para no bloquear la creación de procesos secundarios.
    • Definido por el usuario
    • Habilitar : Adobe Reader no puede crear procesos secundarios.
    • Modo de auditoría : los eventos de Windows se generan en lugar de bloquear los procesos secundarios.
    • Advertir: para Windows 10 versión 1809 o posterior y Windows 11, el usuario del dispositivo recibe un mensaje que indica que puede omitir el bloque de la configuración. En los dispositivos que ejecutan versiones anteriores de Windows 10, la regla aplica el comportamiento Habilitar.

  • Impedir que las aplicaciones de Office inserten código en otros procesos
    Proteger los dispositivos contra vulnerabilidades de seguridad

    Esta regla de ASR se controla mediante el siguiente GUID: 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84

    • No configurado (valor predeterminado): la configuración vuelve al valor predeterminado de Windows, que está desactivado.
    • Bloquear : las aplicaciones de Office no pueden insertar código en otros procesos.
    • Modo de auditoría : los eventos de Windows se generan en lugar de bloquearse.
    • Advertir: para Windows 10 versión 1809 o posterior y Windows 11, el usuario del dispositivo recibe un mensaje que indica que puede omitir el bloque de la configuración. En los dispositivos que ejecutan versiones anteriores de Windows 10, la regla aplica el comportamiento Habilitar.
    • Deshabilitar : esta configuración está desactivada.

  • Impedir que las aplicaciones de Office creen contenido ejecutable
    Proteger los dispositivos contra vulnerabilidades de seguridad

    Esta regla ASR se controla mediante el siguiente GUID: 3B576869-A4EC-4529-8536-B80A7769E899

    • No configurado (valor predeterminado): la configuración vuelve al valor predeterminado de Windows, que está desactivado.
    • Bloquear : las aplicaciones de Office no pueden crear contenido ejecutable.
    • Modo de auditoría : los eventos de Windows se generan en lugar de bloquearse.
    • Advertir: para Windows 10 versión 1809 o posterior y Windows 11, el usuario del dispositivo recibe un mensaje que indica que puede omitir el bloque de la configuración. En los dispositivos que ejecutan versiones anteriores de Windows 10, la regla aplica el comportamiento Habilitar.
    • Deshabilitar : esta configuración está desactivada.

  • Impedir que todas las aplicaciones de Office creen procesos secundarios
    Proteger los dispositivos contra vulnerabilidades de seguridad

    Esta regla de ASR se controla mediante el siguiente GUID: D4F940AB-401B-4EFC-AADC-AD5F3C50688A

    • No configurado (valor predeterminado): la configuración vuelve al valor predeterminado de Windows, que está desactivado.
    • Bloquear : las aplicaciones de Office no pueden crear procesos secundarios.
    • Modo de auditoría : los eventos de Windows se generan en lugar de bloquearse.
    • Advertir: para Windows 10 versión 1809 o posterior y Windows 11, el usuario del dispositivo recibe un mensaje que indica que puede omitir el bloque de la configuración. En los dispositivos que ejecutan versiones anteriores de Windows 10, la regla aplica el comportamiento Habilitar.
    • Deshabilitar : esta configuración está desactivada.

  • Bloquear llamadas API win32 desde una macro de Office
    Proteger los dispositivos contra vulnerabilidades de seguridad

    Esta regla ASR se controla mediante el siguiente GUID: 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B

    • No configurado (valor predeterminado): la configuración vuelve al valor predeterminado de Windows, que está desactivado.
    • Bloquear : las macros de Office no pueden usar llamadas API win32.
    • Modo de auditoría : los eventos de Windows se generan en lugar de bloquearse.
    • Advertir: para Windows 10 versión 1809 o posterior y Windows 11, el usuario del dispositivo recibe un mensaje que indica que puede omitir el bloque de la configuración. En los dispositivos que ejecutan versiones anteriores de Windows 10, la regla aplica el comportamiento Habilitar.
    • Deshabilitar : esta configuración está desactivada.

  • Impedir que las aplicaciones de comunicación de Office creen procesos secundarios
    Proteger los dispositivos contra vulnerabilidades de seguridad

    Esta regla ASR se controla mediante el siguiente GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869.

    • No configurado (valor predeterminado): se restaura el valor predeterminado de Windows, que es no bloquear la creación de procesos secundarios.
    • Definido por el usuario
    • Habilitar : las aplicaciones de comunicación de Office no pueden crear procesos secundarios.
    • Modo de auditoría : los eventos de Windows se generan en lugar de bloquear los procesos secundarios.
    • Advertir: para Windows 10 versión 1809 o posterior y Windows 11, el usuario del dispositivo recibe un mensaje que indica que puede omitir el bloque de la configuración. En los dispositivos que ejecutan versiones anteriores de Windows 10, la regla aplica el comportamiento Habilitar.

  • Bloquear la ejecución de scripts potencialmente ofuscados (js/vbs/ps)
    Proteger los dispositivos contra vulnerabilidades de seguridad

    Esta regla ASR se controla mediante el siguiente GUID: 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC

    • No configurado (valor predeterminado): la configuración vuelve al valor predeterminado de Windows, que está desactivado.
    • Bloquear : Defender bloquea la ejecución de scripts ofuscados.
    • Modo de auditoría : los eventos de Windows se generan en lugar de bloquearse.
    • Advertir: para Windows 10 versión 1809 o posterior y Windows 11, el usuario del dispositivo recibe un mensaje que indica que puede omitir el bloque de la configuración. En los dispositivos que ejecutan versiones anteriores de Windows 10, la regla aplica el comportamiento Habilitar.
    • Deshabilitar : esta configuración está desactivada.

  • Impedir que JavaScript o VBScript inicien contenido ejecutable descargado
    Proteger los dispositivos contra vulnerabilidades de seguridad

    Esta regla de ASR se controla mediante el siguiente GUID: D3E037E1-3EB8-44C8-A917-57927947596D

    • No configurado (valor predeterminado): la configuración vuelve al valor predeterminado de Windows, que está desactivado.
    • Bloquear : Defender bloquea la ejecución de los archivos JavaScript o VBScript que se han descargado de Internet.
    • Modo de auditoría : los eventos de Windows se generan en lugar de bloquearse.
    • Deshabilitar : esta configuración está desactivada.

  • Bloquear las creaciones de procesos que se originen a partir de comandos PSExec y WMI
    Proteger los dispositivos contra vulnerabilidades de seguridad

    Esta regla de ASR se controla mediante el siguiente GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c

    • No configurado (valor predeterminado): la configuración vuelve al valor predeterminado de Windows, que está desactivado.
    • Bloquear : se bloquea la creación de procesos por comandos PSExec o WMI.
    • Modo de auditoría : los eventos de Windows se generan en lugar de bloquearse.
    • Advertir: para Windows 10 versión 1809 o posterior y Windows 11, el usuario del dispositivo recibe un mensaje que indica que puede omitir el bloque de la configuración. En los dispositivos que ejecutan versiones anteriores de Windows 10, la regla aplica el comportamiento Habilitar.
    • Deshabilitar : esta configuración está desactivada.

  • Bloquear procesos que no son de confianza y no firmados que se ejecutan desde USB
    Proteger los dispositivos contra vulnerabilidades de seguridad

    Esta regla de ASR se controla mediante el siguiente GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4

    • No configurado (valor predeterminado): la configuración vuelve al valor predeterminado de Windows, que está desactivado.
    • Bloquear : se bloquean los procesos que no son de confianza y no firmados que se ejecutan desde una unidad USB.
    • Modo de auditoría : los eventos de Windows se generan en lugar de bloquearse.
    • Advertir: para Windows 10 versión 1809 o posterior y Windows 11, el usuario del dispositivo recibe un mensaje que indica que puede omitir el bloque de la configuración. En los dispositivos que ejecutan versiones anteriores de Windows 10, la regla aplica el comportamiento Habilitar.
    • Deshabilitar : esta configuración está desactivada.

  • Impedir que los archivos ejecutables se ejecuten a menos que cumplan un criterio de prevalencia, edad o lista de confianza
    Proteger los dispositivos contra vulnerabilidades de seguridad

    Esta regla de ASR se controla mediante el siguiente GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25e

    • No configurado (valor predeterminado): la configuración vuelve al valor predeterminado de Windows, que está desactivado.
    • Bloquear
    • Modo de auditoría : los eventos de Windows se generan en lugar de bloquearse.
    • Advertir: para Windows 10 versión 1809 o posterior y Windows 11, el usuario del dispositivo recibe un mensaje que indica que puede omitir el bloque de la configuración. En los dispositivos que ejecutan versiones anteriores de Windows 10, la regla aplica el comportamiento Habilitar.
    • Deshabilitar : esta configuración está desactivada.

  • Bloquear la descarga de contenido ejecutable desde clientes de correo electrónico y correo web
    Proteger los dispositivos contra vulnerabilidades de seguridad

    • No configurado (valor predeterminado): la configuración vuelve al valor predeterminado de Windows, que está desactivado.
    • Bloquear : el contenido ejecutable descargado de los clientes de correo electrónico y de correo web está bloqueado.
    • Modo de auditoría : los eventos de Windows se generan en lugar de bloquearse.
    • Advertir: para Windows 10 versión 1809 o posterior y Windows 11, el usuario del dispositivo recibe un mensaje que indica que puede omitir el bloque de la configuración. En los dispositivos que ejecutan versiones anteriores de Windows 10, la regla aplica el comportamiento Habilitar.
    • Deshabilitar : esta configuración está desactivada.

  • Uso de protección avanzada contra ransomware
    Proteger los dispositivos contra vulnerabilidades de seguridad

    Esta regla ASR se controla mediante el siguiente GUID: c1db55ab-c21a-4637-bb3f-a12568109d35

    • No configurado (valor predeterminado): la configuración vuelve al valor predeterminado de Windows, que está desactivado.
    • Definido por el usuario
    • Enable
    • Modo de auditoría : los eventos de Windows se generan en lugar de bloquearse.

  • Habilitación de la protección de carpetas
    CSP: EnableControlledFolderAccess

    • No configurado (valor predeterminado): esta configuración vuelve a su valor predeterminado, que no es de lectura ni escrituras bloqueadas.
    • Habilitar : en el caso de las aplicaciones que no son de confianza, Defender bloquea los intentos de modificar o eliminar archivos en carpetas protegidas o de escribir en sectores de disco. Defender determina automáticamente qué aplicaciones pueden ser de confianza. Como alternativa, puede definir su propia lista de aplicaciones de confianza.
    • Modo de auditoría : los eventos de Windows se generan cuando las aplicaciones que no son de confianza acceden a carpetas controladas, pero no se aplican bloques.
    • Bloquear la modificación del disco : solo se bloquean los intentos de escritura en los sectores de disco.
    • Modificación del disco de auditoría : los eventos de Windows se generan en lugar de bloquear los intentos de escritura en sectores de disco.

  • Lista de carpetas adicionales que deben protegerse
    CSP: ControlledFolderAccessProtectedFolders

    Defina una lista de ubicaciones de disco que se protegerán frente a aplicaciones que no son de confianza.

  • Lista de aplicaciones que tienen acceso a carpetas protegidas
    CSP: ControlledFolderAccessAllowedApplications

    Defina una lista de aplicaciones que tengan acceso a lectura y escritura en ubicaciones controladas.

  • Excluir archivos y rutas de acceso de las reglas de reducción de superficie expuesta a ataques
    CSP: AttackSurfaceReductionOnlyExclusions

    Expanda la lista desplegable y, a continuación, seleccione Agregar para definir una ruta de acceso a un archivo o carpeta para excluir de las reglas de reducción de la superficie expuesta a ataques.

Perfil de control de dispositivo

Control de dispositivo

Nota:

En esta sección se detalla la configuración que se encuentra en Perfiles de control de dispositivos creados antes del 23 de mayo de 2022. Los perfiles creados después de esa fecha usan un nuevo formato de configuración tal como se encuentra en el Catálogo de configuración. Aunque ya no puede crear nuevas instancias del perfil original, puede seguir editando y usando los perfiles existentes.

Para los perfiles que usan el nuevo formato de configuración, Intune ya no mantiene una lista de cada configuración por nombre. En su lugar, el nombre de cada configuración, sus opciones de configuración y su texto explicativo que se ve en el centro de administración de Microsoft Intune se toman directamente del contenido autoritativo de la configuración. Ese contenido puede proporcionar más información sobre el uso de la configuración en su contexto adecuado. Al ver un texto de información de configuración, puede usar su vínculo Más información para abrir ese contenido.

  • Permitir la instalación de dispositivos de hardware por identificadores de dispositivo

    • No configurado(valor predeterminado)
    • : Windows puede instalar o actualizar cualquier dispositivo cuyo identificador de hardware o identificador compatible Plug and Play aparezca en la lista que cree a menos que otra configuración de directiva impida específicamente esa instalación. Si habilita esta configuración de directiva en un servidor de escritorio remoto, la configuración de directiva afecta al redireccionamiento de los dispositivos especificados desde un cliente de escritorio remoto al servidor de escritorio remoto.
    • No

    Cuando se establece en , puede configurar las siguientes opciones:

    • Lista de permitidos : use Agregar, importar y exportar para administrar una lista de identificadores de dispositivo.

  • Bloquear la instalación de dispositivos de hardware por identificadores de dispositivo
    CSP: AllowInstallationOfMatchingDeviceIDs

    • No configurado(valor predeterminado)
    • : especifique una lista de Plug and Play identificadores de hardware e identificadores compatibles para los dispositivos que Windows no pueda instalar. Esta directiva tiene prioridad sobre cualquier otra configuración de directiva que permita a Windows instalar un dispositivo. Si habilita esta configuración de directiva en un servidor de escritorio remoto, la configuración de directiva afecta al redireccionamiento de los dispositivos especificados desde un cliente de escritorio remoto al servidor de escritorio remoto.
    • No

    Cuando se establece en , puede configurar las siguientes opciones:

    • Eliminación de dispositivos de hardware coincidentes

      • No configurado(valor predeterminado)

    • Lista de bloques : use Agregar, Importar y Exportar para administrar una lista de identificadores de dispositivo.

  • Permitir la instalación del dispositivo de hardware por clase de instalación

    • No configurado(valor predeterminado)
    • : Windows puede instalar o actualizar controladores de dispositivo cuyos GUID de clase de configuración de dispositivo aparecen en la lista que cree a menos que otra configuración de directiva impida específicamente esa instalación. Si habilita esta configuración de directiva en un servidor de escritorio remoto, la configuración de directiva afecta al redireccionamiento de los dispositivos especificados desde un cliente de escritorio remoto al servidor de escritorio remoto.
    • No

    Cuando se establece en , puede configurar las siguientes opciones:

    • Lista de permitidos : use Agregar, importar y exportar para administrar una lista de identificadores de dispositivo.

  • Bloquear la instalación de dispositivos de hardware por clases de instalación
    CSP: AllowInstallationOfMatchingDeviceSetupClasses

    • No configurado(valor predeterminado)
    • : especifique una lista de identificadores únicos globales (GUID) de clase de configuración de dispositivo para los controladores de dispositivo que Windows no pueda instalar. Esta configuración de directiva tiene prioridad sobre cualquier otra configuración de directiva que permita a Windows instalar un dispositivo. Si habilita esta configuración de directiva en un servidor de escritorio remoto, la configuración de directiva afecta al redireccionamiento de los dispositivos especificados desde un cliente de escritorio remoto al servidor de escritorio remoto.
    • No

    Cuando se establece en , puede configurar las siguientes opciones:

    • Eliminación de dispositivos de hardware coincidentes

      • No configurado(valor predeterminado)

    • Lista de bloques : use Agregar, Importar y Exportar para administrar una lista de identificadores de dispositivo.

  • Permitir la instalación de dispositivos de hardware por identificadores de instancia de dispositivo

    • No configurado(valor predeterminado)
    • : Windows puede instalar o actualizar cualquier dispositivo cuyo identificador de instancia de dispositivo Plug and Play aparezca en la lista que cree a menos que otra configuración de directiva impida específicamente esa instalación. Si habilita esta configuración de directiva en un servidor de escritorio remoto, la configuración de directiva afecta al redireccionamiento de los dispositivos especificados desde un cliente de escritorio remoto al servidor de escritorio remoto.
    • No

    Cuando se establece en , puede configurar las siguientes opciones:

    • Lista de permitidos : use Agregar, importar y exportar para administrar una lista de identificadores de dispositivo.

  • Bloquear la instalación de dispositivos de hardware por identificadores de instancia de dispositivo
    Si habilita esta configuración de directiva en un servidor de escritorio remoto, la configuración de directiva afecta al redireccionamiento de los dispositivos especificados desde un cliente de escritorio remoto al servidor de escritorio remoto.

    • No configurado(valor predeterminado)
    • : especifique una lista de Plug and Play identificadores de hardware e identificadores compatibles para los dispositivos que Windows no pueda instalar. Esta directiva tiene prioridad sobre cualquier otra configuración de directiva que permita a Windows instalar un dispositivo. Si habilita esta configuración de directiva en un servidor de escritorio remoto, la configuración de directiva afecta al redireccionamiento de los dispositivos especificados desde un cliente de escritorio remoto al servidor de escritorio remoto.
    • No

    Cuando se establece en , puede configurar las siguientes opciones:

    • Eliminación de dispositivos de hardware coincidentes

      • No configurado(valor predeterminado)

    • Lista de bloques : use Agregar, Importar y Exportar para administrar una lista de identificadores de dispositivo.

  • Bloquear el acceso de escritura al almacenamiento extraíble
    CSP: RemovableDiskDenyWriteAccess

    • No configurado(valor predeterminado)
    • : se deniega el acceso de escritura al almacenamiento extraíble.
    • No : se permite el acceso de escritura.

  • Examen de unidades extraíbles durante el examen completo
    CSP: Defender/AllowFullScanRemovableDriveScanning

    • No configurado (valor predeterminado): la configuración vuelve al valor predeterminado del cliente, que examina las unidades extraíbles, pero el usuario puede deshabilitar este examen.
    • : durante un examen completo, se examinan las unidades extraíbles (como las unidades flash USB).

  • Bloquear el acceso directo a la memoria
    CSP: DataProtection/AllowDirectMemoryAccess

    Esta configuración de directiva solo se aplica cuando BitLocker o el cifrado de dispositivo están habilitados.

    • No configurado (valor predeterminado)
    • : bloquee el acceso directo a la memoria (DMA) para todos los puertos de bajada PCI conectables en caliente hasta que un usuario inicie sesión en Windows. Después de que un usuario inicie sesión, Windows enumera los dispositivos PCI conectados a los puertos PCI del conector de host. Cada vez que el usuario bloquea la máquina, DMA se bloquea en los puertos PCI de conexión activa sin dispositivos secundarios hasta que el usuario vuelve a iniciar sesión. Los dispositivos que ya se enumeraron cuando se desbloqueó la máquina seguirán funcionando hasta que se desconecten.

  • Enumeración de dispositivos externos incompatibles con Kernel DMA Protection
    CSP: DmaGuard/DeviceEnumerationPolicy

    Esta directiva puede proporcionar seguridad adicional en dispositivos externos compatibles con DMA. Permite un mayor control sobre la enumeración de dispositivos externos compatibles con DMA incompatibles con el aislamiento y el espacio aislado de memoria de DMA Remapping/device.

    Esta directiva solo surte efecto cuando el firmware del sistema admite y habilita kernel DMA Protection. Kernel DMA Protection es una característica de plataforma que debe ser compatible con el sistema en el momento de la fabricación. Para comprobar si el sistema admite Kernel DMA Protection, compruebe el campo Protección de DMA del kernel en la página Resumen de MSINFO32.exe.

    • No configurado : (valor predeterminado)
    • Bloquear todo
    • Permitir todo

  • Bloquear conexiones bluetooth
    CSP: Bluetooth/AllowDiscoverableMode

    • No configurado (valor predeterminado)
    • : bloquee las conexiones bluetooth hacia y desde el dispositivo.

  • Bloquear la detectabilidad de bluetooth
    CSP: Bluetooth/AllowDiscoverableMode

    • No configurado (valor predeterminado)
    • : impide que otros dispositivos habilitados para Bluetooth puedan detectar el dispositivo.

  • Bloquear el emparejamiento previo de Bluetooth
    CSP: Bluetooth/AllowPrepairing

    • No configurado (valor predeterminado)
    • : impide que los dispositivos Bluetooth específicos se emparejen automáticamente con el dispositivo host.

  • Bloquear publicidad bluetooth
    CSP: Bluetooth/AllowAdvertising

    • No configurado (valor predeterminado)
    • : impide que el dispositivo envíe anuncios de Bluetooth.

  • Bloquear conexiones próximas bluetooth
    CSP: Bluetooth/AllowPromptedProximalConnections Impide que los usuarios usen Swift Pair y otros escenarios basados en proximidad

    • No configurado (valor predeterminado)
    • : impide que un usuario del dispositivo use Swift Pair y otros escenarios basados en proximidad.

    Bluetooth/AllowPromptedProximalConnections CSP

  • Servicios permitidos por Bluetooth
    CSP: Bluetooth/ServicesAllowedList.
    Para obtener más información sobre la lista de servicios, vea ServicesAllowedList usage guide

    • Agregar : especifique los servicios y perfiles de Bluetooth permitidos como cadenas hexadecimales, como {782AFCFC-7CAA-436C-8BF0-78CD0FFBD4AF}.
    • Importar : importe un archivo de .csv que contenga una lista de servicios y perfiles bluetooth, como cadenas hexadecimales, como {782AFCFC-7CAA-436C-8BF0-78CD0FFBD4AF}

  • Medios de almacenamiento extraíbles
    CSP: Storage/RemovableDiskDenyWriteAccess

    • Bloquear (valor predeterminado): impedir que los usuarios usen dispositivos de almacenamiento externos, como tarjetas SD con el dispositivo.
    • Sin configurar

  • Conexiones USB (solo HoloLens)
    CSP: Conectividad/AllowUSBConnection

    • Bloquear : impedir el uso de una conexión USB entre el dispositivo y un equipo para sincronizar archivos o usar herramientas de desarrollo para implementar o depurar aplicaciones. La carga USB no se ve afectada.
    • No configurado (valor predeterminado)

Perfil de protección contra vulnerabilidades

Protección contra vulnerabilidades de seguridad

Nota:

En esta sección se detalla la configuración que puede encontrar en Perfiles de protección contra vulnerabilidades creados antes del 5 de abril de 2022. Los perfiles creados después de esa fecha usan un nuevo formato de configuración tal como se encuentra en el Catálogo de configuración. Con este cambio ya no se pueden crear nuevas versiones del perfil anterior y ya no se están desarrollando. Aunque ya no puede crear nuevas instancias del perfil anterior, puede seguir editando y usando instancias del mismo que creó anteriormente.

Para los perfiles que usan el nuevo formato de configuración, Intune ya no mantiene una lista de cada configuración por nombre. En su lugar, el nombre de cada configuración, sus opciones de configuración y su texto explicativo que se ve en el centro de administración de Microsoft Intune se toman directamente del contenido autoritativo de la configuración. Ese contenido puede proporcionar más información sobre el uso de la configuración en su contexto adecuado. Al ver un texto de información de configuración, puede usar su vínculo Más información para abrir ese contenido.

  • Carga de XML
    CSP: ExploitProtectionSettings

    Permite al administrador de TI insertar una configuración que represente las opciones de mitigación del sistema y la aplicación deseadas en todos los dispositivos de la organización. La configuración se representa mediante un archivo XML. La protección contra vulnerabilidades de seguridad puede ayudar a proteger los dispositivos frente a malware que usan vulnerabilidades de seguridad para propagar e infectar. Use la aplicación Seguridad de Windows o PowerShell para crear un conjunto de mitigaciones (lo que se conoce como configuración). Después, puede exportar esta configuración como un archivo XML y compartirlo con varias máquinas de la red para que todos tengan el mismo conjunto de opciones de mitigación. También puede convertir e importar un archivo XML de configuración de EMET existente en un XML de configuración de protección contra vulnerabilidades de seguridad.

    Elija Seleccionar archivo XML, especifique la carga del archivo XML y, a continuación, haga clic en Seleccionar.

    • No configurado (valor predeterminado)

  • Impedir que los usuarios editen la interfaz de protección contra vulnerabilidades de seguridad
    CSP: DisallowExploitProtectionOverride

    • No configurado (valor predeterminado): los usuarios locales pueden realizar cambios en el área de configuración de protección contra vulnerabilidades de seguridad.
    • : impedir que los usuarios realicen cambios en el área de configuración de protección contra vulnerabilidades de seguridad en el Centro de seguridad de Microsoft Defender.

Perfil de protección web (Microsoft Edge (versión anterior))

Protección web (Microsoft Edge (versión anterior))

  • Habilitación de la protección de red
    CSP: EnableNetworkProtection

    • No configurado (valor predeterminado): la configuración vuelve al valor predeterminado de Windows, que está deshabilitado.
    • Definido por el usuario
    • Habilitar : la protección de red está habilitada para todos los usuarios del sistema.
    • Modo de auditoría : los usuarios no se bloquean de dominios peligrosos y se generan eventos de Windows en su lugar.

  • Requerir SmartScreen para Microsoft Edge
    CSP: Browser/AllowSmartScreen

    • : use SmartScreen para proteger a los usuarios de posibles estafas de suplantación de identidad (phishing) y software malintencionado.
    • No configurado (valor predeterminado)

  • Bloquear el acceso a sitios malintencionados
    CSP: Browser/PreventSmartScreenPromptOverride

    • : impedir que los usuarios ignoren las advertencias de filtro smartscreen Microsoft Defender y impedir que vayan al sitio.
    • No configurado (valor predeterminado)

  • Bloquear la descarga de archivos no comprobados
    CSP: Browser/PreventSmartScreenPromptOverrideForFiles

    • : impedir que los usuarios ignoren las advertencias de filtro smartscreen Microsoft Defender y impedir que descarguen archivos no comprobados.
    • No configurado (valor predeterminado)

Reducción de la superficie expuesta a ataques (ConfigMgr)

Perfil de Protección contra vulnerabilidades de seguridad (ConfigMgr)(versión preliminar)

Protección contra vulnerabilidades

  • Carga de XML
    CSP: ExploitProtectionSettings

    Permite al administrador de TI insertar una configuración que represente las opciones de mitigación del sistema y la aplicación deseadas en todos los dispositivos de la organización. La configuración se representa mediante un archivo XML. La protección contra vulnerabilidades de seguridad puede ayudar a proteger los dispositivos frente a malware que usan vulnerabilidades de seguridad para propagar e infectar. Use la aplicación Seguridad de Windows o PowerShell para crear un conjunto de mitigaciones (lo que se conoce como configuración). Después, puede exportar esta configuración como un archivo XML y compartirlo con varias máquinas de la red para que todos tengan el mismo conjunto de opciones de mitigación. También puede convertir e importar un archivo XML de configuración de EMET existente en un XML de configuración de protección contra vulnerabilidades de seguridad.

    Elija Seleccionar archivo XML, especifique la carga del archivo XML y, a continuación, haga clic en Seleccionar.

  • No permitir invalidación de protección contra vulnerabilidades de seguridad
    CSP: DisallowExploitProtectionOverride

    • No configurado (valor predeterminado)
    • (Deshabilitar) Los usuarios locales pueden realizar cambios en el área de configuración de protección contra vulnerabilidades de seguridad.
    • (Habilitar) Los usuarios locales no pueden realizar cambios en el área de configuración de protección contra vulnerabilidades de seguridad

Perfil de Protección web (ConfigMgr)(versión preliminar)

Protección web

  • Habilitar protección de red (dispositivo)
    CSP: EnableNetworkProtection

    • No configurado (valor predeterminado)
    • Disabled
    • Habilitado (modo de bloque)
    • Habilitado (modo auditoría)

  • Permitir pantalla inteligente (dispositivo)
    CSP: Browser/AllowSmartScreen

    • No configurado (valor predeterminado)
    • Bloquear
    • Permitir

  • Impedir la invalidación del símbolo del sistema de pantalla inteligente para archivos (dispositivo)
    CSP: Browser/PreventSmartScreenPromptOverride

    • No configurado (valor predeterminado)
    • Disabled
    • Enabled

  • Impedir la invalidación del símbolo del sistema de pantalla inteligente (dispositivo)
    CSP: Browser/PreventSmartScreenPromptOverrideForFiles

    • No configurado (valor predeterminado)
    • Disabled
    • Enabled

Pasos siguientes

Directiva de seguridad de punto de conexión para ASR