Configuración de Microsoft Defender Antivirus en un entorno de infraestructura de escritorio remoto o de escritorio virtual

  • Artículo

Se aplica a:

Plataformas

  • Windows

Sugerencia

Este artículo está diseñado para clientes que usan solo funcionalidades de antivirus de Microsoft Defender. Si tiene Microsoft Defender para punto de conexión (que incluye Microsoft Defender Antivirus junto con funcionalidades adicionales de protección de dispositivos), omita este artículo y vaya a Incorporación de dispositivos de infraestructura de escritorio virtual (VDI) no persistente en Microsoft Defender XDR.

Puede usar Microsoft Defender Antivirus en un entorno de escritorio remoto (RDS) o de infraestructura de escritorio virtual (VDI) no persistente. Siguiendo las instrucciones de este artículo, puede configurar actualizaciones para descargarlas directamente en los entornos RDS o VDI cuando un usuario inicia sesión.

En esta guía se describe cómo configurar Microsoft Defender Antivirus en las máquinas virtuales para una protección y un rendimiento óptimos, incluido cómo:

Importante

Aunque una VDI se puede hospedar en Windows Server 2012 o Windows Server 2016, las máquinas virtuales (VM) deben ejecutarse Windows 10, versión 1607 como mínimo, debido al aumento de las tecnologías y características de protección que no están disponibles en versiones anteriores de Windows.

Configuración de un recurso compartido de archivos VDI dedicado para la inteligencia de seguridad

En Windows 10, versión 1903, Microsoft introdujo la característica de inteligencia de seguridad compartida, que descarga el desempaquetado de las actualizaciones de inteligencia de seguridad descargadas en un equipo host. Este método reduce el uso de recursos de CPU, disco y memoria en máquinas individuales. La inteligencia de seguridad compartida funciona ahora en Windows 10, versión 1703 y posteriores. Puede configurar esta funcionalidad mediante directiva de grupo o PowerShell, como se describe en la tabla siguiente:

Método Procedure
Directiva de grupo 1. En el equipo de administración de directiva de grupo, abra la consola de administración de directiva de grupo, haga clic con el botón derecho en el objeto directiva de grupo que desea configurar y, a continuación, seleccione Editar.

2. En el Editor administración de directiva de grupo, vaya a Configuración del equipo.

Seleccione Plantillas administrativas.

Expanda el árbol a Componentes> de Windows Microsoft Defender Antivirus>Security Intelligence Novedades.

3. Haga doble clic en Definir ubicación de inteligencia de seguridad para clientes VDI y, a continuación, establezca la opción en Habilitado. Aparece automáticamente un campo.

4. Escriba \\<sharedlocation\>\wdav-update (para obtener ayuda con este valor, consulte Descarga y despampaquete).

5. Seleccione Aceptar.

Implemente el GPO en las máquinas virtuales que desea probar.
PowerShell 1. En cada dispositivo RDS o VDI, use el siguiente cmdlet para habilitar la característica: Set-MpPreference -SharedSignaturesPath \\<shared location>\wdav-update.

2. Inserte la actualización, ya que normalmente insertaría directivas de configuración basadas en PowerShell en las máquinas virtuales. (Consulte la sección Descargar y desemmpaquetar la <entrada de ubicación> compartida).

Descarga y despaquetado de las actualizaciones más recientes

Ahora puede empezar a descargar e instalar nuevas actualizaciones. A continuación, hemos creado un script de PowerShell de ejemplo. Este script es la manera más sencilla de descargar nuevas actualizaciones y prepararlas para las máquinas virtuales. A continuación, debe establecer el script para que se ejecute en un momento determinado en la máquina de administración mediante una tarea programada (o bien, si está familiarizado con el uso de scripts de PowerShell en Azure, Intune o SCCM, también podría usar esos scripts).

$vdmpathbase = "$env:systemdrive\wdav-update\{00000000-0000-0000-0000-"
$vdmpathtime = Get-Date -format "yMMddHHmmss"
$vdmpath = $vdmpathbase + $vdmpathtime + '}'
$vdmpackage = $vdmpath + '\mpam-fe.exe'

New-Item -ItemType Directory -Force -Path $vdmpath | Out-Null

Invoke-WebRequest -Uri 'https://go.microsoft.com/fwlink/?LinkID=121721&arch=x64' -OutFile $vdmpackage

Start-Process -FilePath $vdmpackage -WorkingDirectory $vdmpath -ArgumentList "/x"

Puede establecer que una tarea programada se ejecute una vez al día para que cada vez que se descargue y desempaquete el paquete, las máquinas virtuales reciban la nueva actualización. Se recomienda comenzar con una vez al día, pero debe experimentar con aumentar o disminuir la frecuencia para comprender el impacto.

Normalmente, los paquetes de inteligencia de seguridad se publican una vez cada tres o cuatro horas. No es aconsejable establecer una frecuencia inferior a cuatro horas porque aumentará la sobrecarga de red en la máquina de administración sin ninguna ventaja.

También puede configurar el único servidor o equipo para capturar las actualizaciones en nombre de las máquinas virtuales a intervalos y colocarlas en el recurso compartido de archivos para su consumo. Esta configuración es posible cuando los dispositivos tienen el recurso compartido y el acceso de lectura (permisos NTFS) al recurso compartido para que puedan tomar las actualizaciones. Para configurar esta configuración, siga estos pasos:

  1. Create un recurso compartido de archivos SMB/CIFS.

  2. Use el ejemplo siguiente para crear un recurso compartido de archivos con los siguientes permisos de recurso compartido.

    PS c:\> Get-SmbShareAccess -Name mdatp$

Name   ScopeName AccountName AccessControlType AccessRight
----   --------- ----------- ----------------- -----------
mdatp$ *         Everyone    Allow             Read

    Nota:

    Se agrega un permiso NTFS para usuarios autenticados:Read:.

    En este ejemplo, el recurso compartido de archivos es:

    \\fileserver.fqdn\mdatp$\wdav-update

Establecer una tarea programada para ejecutar el script de PowerShell

  1. En la máquina de administración, abra el menú Inicio y escriba Programador de tareas. Ábralo y seleccione Create tarea... en el panel lateral.

  2. Escriba el nombre como Desempaquete de inteligencia de seguridad. Vaya a la pestaña Desencadenador . Seleccione Nuevo...>Todos los días y seleccione Aceptar.

  3. Vaya a la pestaña Acciones . Seleccione Nuevo... Escriba PowerShell en el campo Programa o script . Escriba -ExecutionPolicy Bypass c:\wdav-update\vdmdlunpack.ps1 en el campo Agregar argumentos . Seleccione Aceptar.

  4. Configure cualquier otra configuración según corresponda.

  5. Seleccione Aceptar para guardar la tarea programada.

Para iniciar la actualización manualmente, haga clic con el botón derecho en la tarea y seleccione Ejecutar.

Descargar y desempaquetar manualmente

Si prefiere hacer todo manualmente, esto es lo que debe hacer para replicar el comportamiento del script:

  1. Create una nueva carpeta en la raíz del sistema llamada wdav_update para almacenar las actualizaciones de inteligencia, por ejemplo, cree la carpeta c:\wdav_update.

  2. Create una subcarpeta en wdav_update con un nombre GUID, como{00000000-0000-0000-0000-000000000000}

    Este es un ejemplo: c:\wdav_update\{00000000-0000-0000-0000-000000000000}

    Nota:

    En el script lo establecemos para que los últimos 12 dígitos del GUID sean el año, el mes, el día y la hora en que se descargó el archivo para que se cree una nueva carpeta cada vez. Puede cambiar esto para que el archivo se descargue en la misma carpeta cada vez.

  3. Descargue un paquete de inteligencia de seguridad desde https://www.microsoft.com/wdsi/definitions en la carpeta GUID. El archivo debe llamarse mpam-fe.exe.

  4. Abra una ventana de símbolo del sistema de cmd y vaya a la carpeta GUID que ha creado. Use el comando de extracción /X para extraer los archivos, por ejemplo mpam-fe.exe /X.

    Nota:

    Las máquinas virtuales recogerán el paquete actualizado cada vez que se cree una nueva carpeta GUID con un paquete de actualización extraído o siempre que se actualice una carpeta existente con un nuevo paquete extraído.

Aleatorizar exámenes programados

Los exámenes programados se ejecutan además de la protección y el examen en tiempo real.

La hora de inicio del examen en sí sigue basándose en la directiva de examen programada (ScheduleDay, ScheduleTime y ScheduleQuickScanTime). La aleatoriedad hará que Microsoft Defender Antivirus inicie un examen en cada equipo dentro de un período de cuatro horas a partir del tiempo establecido para el examen programado.

Consulte Programación de exámenes para ver otras opciones de configuración disponibles para los exámenes programados.

Uso de exámenes rápidos

Puede especificar el tipo de examen que se debe realizar durante un examen programado. Los exámenes rápidos son el enfoque preferido, ya que están diseñados para buscar en todos los lugares donde el malware necesita residir para estar activo. En el procedimiento siguiente se describe cómo configurar exámenes rápidos mediante directiva de grupo.

  1. En la directiva de grupo Editor, vaya a Plantillas> administrativasComponentes> de Windows Microsoft Defender Examen antivirus>.

  2. Seleccione Especificar el tipo de examen que se va a usar para un examen programado y, a continuación, edite la configuración de directiva.

  3. Establezca la directiva en Habilitado y, a continuación, en Opciones, seleccione Examen rápido.

  4. Seleccione Aceptar.

  5. Implemente el objeto de directiva de grupo como lo haría normalmente.

Impedir notificaciones

A veces, Microsoft Defender notificaciones antivirus se envían a varias sesiones o se conservan en ellas. Para ayudar a evitar la confusión del usuario, puede bloquear la interfaz de usuario Microsoft Defender Antivirus. En el procedimiento siguiente se describe cómo suprimir las notificaciones mediante directiva de grupo.

  1. En la directiva de grupo Editor, vaya a Componentes> de Windows Microsoft DefenderInterfaz de clienteantivirus>.

  2. Seleccione Suprimir todas las notificaciones y, a continuación, edite la configuración de la directiva.

  3. Establezca la directiva en Habilitado y, a continuación, seleccione Aceptar.

  4. Implemente el objeto de directiva de grupo como lo haría normalmente.

La supresión de notificaciones impide que las notificaciones de Microsoft Defender Antivirus aparezcan cuando se realizan exámenes o se realizan acciones de corrección. Sin embargo, el equipo de operaciones de seguridad verá los resultados de un examen si se detecta y detiene un ataque. Las alertas, como una alerta de acceso inicial, se generan y aparecerán en el portal de Microsoft Defender.

Deshabilitar exámenes después de una actualización

Deshabilitar un examen después de una actualización impedirá que se produzca un examen después de recibir una actualización. Puede aplicar esta configuración al crear la imagen base si también ha ejecutado un examen rápido. De este modo, puede evitar que la máquina virtual recién actualizada vuelva a realizar un examen (como ya lo ha examinado al crear la imagen base).

Importante

La ejecución de exámenes después de una actualización ayudará a garantizar que las máquinas virtuales estén protegidas con las últimas actualizaciones de inteligencia de seguridad. Deshabilitar esta opción reducirá el nivel de protección de las máquinas virtuales y solo se debe usar al crear o implementar la imagen base por primera vez.

  1. En la directiva de grupo Editor, vaya a Componentes> de Windows Microsoft Defender Antivirus>Security Intelligence Novedades.

  2. Seleccione Activar examen después de la actualización de inteligencia de seguridad y, a continuación, edite la configuración de directiva.

  3. Establezca la directiva en Deshabilitada.

  4. Seleccione Aceptar.

  5. Implemente el objeto de directiva de grupo como lo haría normalmente.

Esta directiva impide que un examen se ejecute inmediatamente después de una actualización.

Deshabilitar la ScanOnlyIfIdle opción

Use el siguiente cmdlet para detener un examen rápido o programado cada vez que el dispositivo esté inactivo si está en modo pasivo.

Set-MpPreference -ScanOnlyIfIdleEnabled $false

También puede deshabilitar la ScanOnlyIfIdle opción en Microsoft Defender Antivirus mediante la configuración a través de la directiva de grupo local o de dominio. Esta configuración evita una contención significativa de LA CPU en entornos de alta densidad.

Para obtener más información, vea Iniciar el examen programado solo cuando el equipo está encendido, pero no en uso.

Examen de máquinas virtuales sin conexión

  1. En la directiva de grupo Editor, vaya a Componentes> de Windows Microsoft Defender Examen antivirus>.

  2. Seleccione Activar examen rápido de puesta al día y, a continuación, edite la configuración de directiva.

  3. Establezca la directiva en Habilitado.

  4. Seleccione Aceptar.

  5. Implemente el objeto directiva de grupo como suele hacer.

Esta directiva fuerza un examen si la máquina virtual ha perdido dos o más exámenes programados consecutivos.

Habilitación del modo de interfaz de usuario sin cabeza

  1. En la directiva de grupo Editor, vaya a Componentes> de Windows Microsoft DefenderInterfaz de clienteantivirus>.

  2. Seleccione Habilitar modo de interfaz de usuario sin cabeza y edite la directiva.

  3. Establezca la directiva en Habilitado.

  4. Seleccione Aceptar.

  5. Implemente el objeto directiva de grupo como suele hacer.

Esta directiva oculta toda la interfaz de usuario Microsoft Defender Antivirus a los usuarios finales de la organización.

Exclusiones

Si cree que necesita agregar exclusiones, consulte Administrar exclusiones para Microsoft Defender para punto de conexión y Microsoft Defender Antivirus.

Consulte también

Si busca información sobre Defender para punto de conexión en plataformas que no son de Windows, consulte los siguientes recursos:

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.