Configuración y validación de exclusiones para exámenes de antivirus de Microsoft Defender

Se aplica a:

Plataformas

  • Windows

Puede excluir determinados archivos, carpetas, procesos y archivos abiertos por procesos de los exámenes Microsoft Defender Antivirus. Estas exclusiones se aplican a los exámenes programados, a los exámenes a petición y a la protección y supervisión siempre en tiempo real. Las exclusiones de los archivos abiertos por procesos solo se aplican a la protección en tiempo real.

Sugerencia

Para obtener información general detallada sobre las supresiones, envíos y exclusiones en Microsoft Defender Antivirus y Defender para punto de conexión, consulte Exclusiones para Microsoft Defender para punto de conexión y Microsoft Defender Antivirus.

Configurar y validar exclusiones

Para configurar y validar exclusiones, consulte lo siguiente:

Recomendaciones para definir exclusiones

Importante

Microsoft Defender Antivirus incluye muchas exclusiones automáticas basadas en comportamientos conocidos del sistema operativo y archivos de administración típicos, como los que se usan en la administración empresarial, la administración de bases de datos y otros escenarios y situaciones empresariales. Para obtener más información, consulte la lista de exclusiones automáticas.

La definición de exclusiones reduce la protección que ofrece Microsoft Defender Antivirus. Siempre debe evaluar los riesgos asociados a la implementación de exclusiones y solo debe excluir los archivos que esté seguro de que no son malintencionados.

Tenga en cuenta los siguientes puntos al definir exclusiones:

  • Las exclusiones son técnicamente una brecha de protección. Tenga en cuenta todas las opciones al definir exclusiones. Otras opciones pueden ser tan sencillas como asegurarse de que la ubicación excluida tenga las listas de control de acceso (ACL) adecuadas o establecer directivas en el modo de auditoría al principio.

  • Revise las exclusiones periódicamente. Vuelva a comprobar y volver a aplicar las mitigaciones como parte del proceso de revisión.

  • Idealmente, evite definir exclusiones en un esfuerzo por ser proactivo. Por ejemplo, no excluya algo solo porque cree que podría ser un problema en el futuro. Use exclusiones solo para problemas específicos, como los relacionados con el rendimiento o la compatibilidad de aplicaciones que las exclusiones podrían mitigar.

  • Revise y audite los cambios en la lista de exclusiones. El equipo de seguridad debe conservar el contexto de por qué se agregó una exclusión determinada para evitar confusiones más adelante. El equipo de seguridad debe poder proporcionar respuestas específicas a preguntas sobre por qué existen exclusiones.

Auditar exclusiones de antivirus

Exchange ha admitido la integración con la interfaz de examen antimalware (AMSI) desde la Novedades trimestral de junio de 2021 para Exchange. Se recomienda encarecidamente asegurarse de que estas actualizaciones están instaladas y AMSI funciona con las instrucciones proporcionadas por el equipo de Exchange, ya que esta integración permitirá la mejor capacidad para que Antivirus de Defender detecte y bloquee la explotación de Exchange.

Muchas organizaciones excluyen los directorios de Exchange de los exámenes antivirus por motivos de rendimiento. Microsoft recomienda auditar las exclusiones de AV en los sistemas Exchange y evaluar si se pueden quitar sin afectar al rendimiento en el entorno para garantizar el nivel más alto de protección. Las exclusiones se pueden administrar mediante directiva de grupo, PowerShell o herramientas de administración de sistemas como Microsoft Endpoint Configuration Manager.

Para auditar las exclusiones de AV en un Exchange Server que ejecuta Antivirus de Defender, ejecute el comando Get-MpPreference desde un símbolo del sistema de PowerShell con privilegios elevados.

Si no se pueden quitar exclusiones para los procesos y carpetas de Exchange, la ejecución de un examen rápido en antivirus de Defender examinará los directorios y archivos de Exchange, independientemente de las exclusiones.

Vea también