Preguntas más frecuentes sobre la protección contra alteraciones

Los dispositivos deben cumplir todos los requisitos siguientes:

• Los dispositivos deben ejecutar determinadas versiones de Windows o macOS. (Consulte ¿En qué dispositivos se puede habilitar la protección contra alteraciones?)
• Los dispositivos deben incorporarse a Microsoft Defender para punto de conexión.
• Los dispositivos deben usar la versión 4.18.2010.7 de la plataforma antimalware (o posterior) y la versión 1.1.17600.5 del motor antimalware (o posterior). (Administrar Microsoft Defender actualizaciones del Antivirus y aplicar líneas base).
• La protección entregada en la nube debe estar activada.

Para administrar la protección contra alteraciones en el portal de Microsoft Defender (https://security.microsoft.com), debe tener los permisos adecuados asignados a través de roles, como administrador global o administrador de seguridad. (Consulte Microsoft Defender XDR control de acceso basado en rol (RBAC).)

• Windows 11
• Sesión múltiple de Windows 11 Enterprise
• Windows 10 sistema operativo 1709, 1803, 1809 o posterior junto con Microsoft Defender para punto de conexión.
• Sesión múltiple de Windows 10 Enterprise

Si usa Configuration Manager, versión 2006, con asociación de inquilinos, la protección contra alteraciones se puede ampliar a Windows Server 2012 R2, Windows Server 2016, Windows Server 2019 y Windows Server 2022. Consulte Asociación de inquilinos: Creación e implementación de la directiva antivirus de seguridad de puntos de conexión desde el Centro de administración (versión preliminar).

No. Las ofertas de Antivirus que no son de Microsoft siguen registrándose con la aplicación Seguridad de Windows.

Si el software antivirus o antimalware que no es de Microsoft está instalado en un dispositivo, cuando ese dispositivo se incorpora a Microsoft Defender para punto de conexión, Microsoft Defender Antivirus se ejecuta en modo pasivo de forma predeterminada. La protección contra alteraciones protege el servicio y sus características.

Si se desinstala el software antivirus o antimalware que no es de Microsoft, Microsoft Defender antivirus cambia automáticamente al modo activo. La protección contra alteraciones sigue protegiendo el servicio y sus características.

Se recomienda usar Microsoft Intune para administrar Microsoft Defender configuración del Antivirus para su organización. Con Intune, puede controlar dónde está habilitada (o deshabilitada) la protección contra alteraciones mediante directivas. También puede proteger las exclusiones Microsoft Defender Antivirus. Consulte Protección contra alteraciones: exclusiones Microsoft Defender Antivirus.

También puede usar el portal de Microsoft Defender o Configuration Manager.

Si es un usuario principal, consulte Administración de la protección contra alteraciones en un dispositivo individual.

La protección contra alteraciones forma parte de la protección integrada y debe habilitarse.

Ahora se está implementando una nueva funcionalidad para proteger las exclusiones Microsoft Defender Antivirus en los dispositivos. Se deben cumplir ciertas condiciones. Por ejemplo, solo debe usar Intune o Configuration Manager solo para administrar dispositivos y debe tener Sense habilitado. Consulte Protección de exclusiones Microsoft Defender Antivirus.

Si actualmente usa Intune para configurar y administrar la protección contra alteraciones, debe seguir usando Intune. Cuando se activa la protección contra alteraciones y se usa directiva de grupo para realizar cambios en Microsoft Defender configuración del Antivirus, se omite cualquier configuración protegida por la protección contra alteraciones.

• Si debe realizar cambios en un dispositivo y esos cambios están bloqueados por la protección contra alteraciones, puede usar el modo de solución de problemas para deshabilitar temporalmente la protección contra alteraciones en el dispositivo. Una vez finalizado el modo de solución de problemas, los cambios realizados en la configuración protegida contra alteraciones se revierten a su estado configurado.
• Puede usar Intune o Configuration Manager para excluir dispositivos de la protección contra alteraciones.
• Si administra la protección contra alteraciones a través de Intune y se cumplen otras condiciones, puede administrar exclusiones de antivirus protegidas contra alteraciones.

Si usa Intune para configurar y administrar la protección contra alteraciones, no tiene que aplicar necesariamente la protección contra alteraciones a toda la organización. Con Intune, puede optar por aplicar la protección contra alteraciones a toda la organización, o puede seleccionar dispositivos o grupos de usuarios específicos para recibir protección contra alteraciones. También puede excluir dispositivos específicos de la protección contra alteraciones.

Cuando se activa la protección contra alteraciones, se protegen los siguientes valores de seguridad para que no se cambien:

• La protección contra virus y amenazas permanece habilitada.
• La protección en tiempo real permanece activada.
• La supervisión del comportamiento permanece activada.
• La protección antivirus, incluido IOfficeAntivirus (IOAV) permanece habilitada.
• La protección en la nube permanece habilitada.
• Las actualizaciones de inteligencia de seguridad siguen ocurriendo.
• Las acciones automáticas se realizan en las amenazas detectadas.
• Las notificaciones son visibles en la aplicación Seguridad de Windows en dispositivos Windows.
• Los archivos archivados se examinan.

Para obtener más información, consulte ¿Qué ocurre cuando está activada la protección contra alteraciones?

Cuando la protección contra alteraciones está activada en el portal de Microsoft Defender (https://security.microsoft.com), la protección contra alteraciones está activada, en todo el inquilino. Sin embargo, las directivas definidas en Intune o Configuration Manager pueden invalidar la configuración en el portal de Microsoft Defender. Por ejemplo, puede definir una directiva en Intune o Configuration Manager que excluya determinados dispositivos de la protección contra alteraciones.

Use Intune para implementar DisableLocalAdminMerge.

Siga las instrucciones de Administración de exclusiones de antivirus protegidas contra alteraciones.

No. Cuando se habilita la protección contra alteraciones para exclusiones, no es necesario deshabilitarla para aplicar nuevas exclusiones.

Sí. De forma similar al uso de Intune, puede aplicar la protección contra alteraciones a toda la organización o a usuarios y dispositivos específicos. Para obtener más información, consulte los siguientes recursos:

• Administración de la protección contra alteraciones mediante Intune
• Administración de la protección contra alteraciones mediante la asociación de inquilinos con Configuration Manager, versión 2006
• Blog de tech community: Anuncio de la protección contra alteraciones para Configuration Manager clientes de asociación de inquilinos

En general, la protección contra alteraciones ayuda a proteger contra que los usuarios puedan cambiar la configuración de seguridad directamente en los dispositivos. La protección contra alteraciones forma parte de las funcionalidades contra alteraciones que incluyen reglas estándar de reducción de la superficie expuesta a ataques de protección. Para evitar que el malware se ejecute en el kernel, considere la posibilidad de usar reglas de bloque de controladores con Application Control para Windows.

Si un dispositivo está desconectado de Microsoft Defender para punto de conexión, se activa la protección contra alteraciones, que es el estado predeterminado para los dispositivos no administrados.

Las alertas deben aparecer en el portal de Microsoft Defender en Alertas.

El equipo de operaciones de seguridad también puede usar consultas de búsqueda, como el ejemplo siguiente:

AlertInfo|where Title == "Tamper Protection bypass"

Puede usar cualquiera de los métodos siguientes para configurar la protección contra alteraciones:

• El portal de Microsoft Defender (activar o desactivar la protección contra alteraciones, en todo el inquilino)
• Intune (activar o desactivar la protección contra alteraciones y/o configurar la protección contra alteraciones para algunos o todos los usuarios)
• Configuration Manager (con la asociación de inquilinos, puede configurar la protección contra alteraciones para algunos o todos los dispositivos mediante el perfil de experiencia de Seguridad de Windows).
• Seguridad de Windows aplicación (para un dispositivo individual que se usa en casa o en situaciones en las que un equipo de seguridad no administra el dispositivo)