Leer en inglés

Compartir a través de


Configuración de la directiva de seguridad de la unidad para desarrolladores para dispositivos empresariales

Los administradores de nivel empresarial suelen ser responsables de administrar la seguridad en muchos dispositivos Windows distintos dentro de una organización. Hay varias maneras de configurar las directivas que controlan si las nuevas características se habilitan a medida que están disponibles en las nuevas versiones de Windows. En esta guía se trata información importante sobre las características del volumen de almacenamiento de la unidad para desarrolladores de Windows 11 y cómo configurar la directiva de grupo para su organización para permitir que los desarrolladores usen este formato de almacenamiento optimizado para rendimiento, a la vez que se mantiene la seguridad y el control sobre la asociación de filtros del sistema de archivos.

A continuación encontrará instrucciones sobre cómo habilitar la directiva de grupo mediante su herramienta de administración de directivas preferida:

Requisitos previos

  • Windows 11, Compilación #10.0.22621.2338 o posterior (Buscar actualizaciones de Windows)
  • Se recomiendan 16 GB de memoria (mínimo de 8 GB)
  • 50 GB de espacio libre en disco como mínimo
  • Las unidades de desarrollo están disponibles en todas las versiones de SKU de Windows.

El Control de características empresariales temporales deshabilita la unidad para desarrolladores

Las nuevas características y mejoras se presentan a través de la actualización acumulativa mensual para proporcionar innovación continua para Windows 11. Para dar tiempo a las organizaciones a planificar y prepararse, algunas de estas nuevas características se desactivan temporalmente de manera predeterminada mediante el Control de características empresariales temporales de Windows 11.

La unidad para desarrolladores se deshabilitará automáticamente para los dispositivos cuyas actualizaciones de Windows se administran mediante directivas. Deshabilitar la capacidad de crear una unidad para desarrolladores solo es temporal para permitir que los administradores de seguridad decidan e implementen nuevas actualizaciones de directivas. A continuación se describen instrucciones para determinar y configurar esas actualizaciones de directivas.

Determinación de la directiva de grupo para la habilitación del almacenamiento de la unidad para desarrolladores y la seguridad del filtro antivirus

La directiva de grupo es una característica de Windows que permite a los administradores empresariales administrar la configuración de los dispositivos de trabajo y tener cierto control sobre qué cambios de configuración pueden realizar las cuentas de usuario (administradores locales) en un entorno empresarial.

Los filtros antivirus, como Microsoft Defender y los filtros antivirus de terceros, se adjuntan a una unidad de desarrollo de forma predeterminada. La configuración predeterminada de los volúmenes de almacenamiento de la unidad para desarrolladores también permite a los administradores de dispositivos locales controlar qué filtros están asociados. Esto significa que un administrador de dispositivos local podría configurar el sistema para quitar filtros antivirus predeterminados, de modo que no haya filtros antivirus asociados a la unidad para desarrolladores. Si esto es un problema, la directiva de grupo se puede configurar para asegurarse de que los filtros antivirus permanezcan conectados cuando la unidad para desarrolladores esté habilitada. Además, se puede definir una lista permitida de filtros del sistema de archivos.

Actualizar la directiva de grupo para habilitar la unidad para desarrolladores

La configuración de la directiva Habilitar unidad para desarrolladores incluye:

  • No configurado: de forma predeterminada, la opción de volumen de almacenamiento de Unidad de desarrollo se desactivará en la directiva de control de características empresariales temporales hasta que un administrador de empresa la habilite en la directiva de grupo.
  • Habilitado: Si se habilita, se activa la opción para crear volúmenes de almacenamiento de la unidad para desarrolladores.
  • Opciones: Permitir que el filtro antivirus proteja las unidades para desarrolladores: Las unidades para desarrolladores están optimizadas para el rendimiento en escenarios de desarrollador, lo que permite al administrador local (cuenta de usuario) elegir qué filtros del sistema de archivos se asocian. Esto también permite a los administradores locales desasociar las características del antivirus predeterminadas, a menos que se active la opción "Permitir que el filtro antivirus proteja las unidades para desarrolladores". Al marcar esta opción, se obliga a que los filtros antivirus predeterminados permanezcan asociados.
  • Deshabilitado: Al deshabilitar esta configuración, se desactiva la capacidad de crear y utilizar volúmenes de almacenamiento de la unidad para desarrolladores.

Actualización de la directiva de asociación de filtros de unidad para desarrolladores

Además, hay una opción Directiva de asociación de filtros de la unidad para desarrolladores, que ofrece a los administradores empresariales el control sobre qué filtros se pueden asociar a una unidad para desarrolladores. La configuración incluye:

  • Sin configurar: De manera predeterminada, la unidad para desarrolladores está optimizada para el rendimiento, con filtros antivirus de Microsoft Defender y de terceros asociados, pero sin ningún otro filtro del sistema de archivos. Esta opción predeterminada permite a los administradores locales asociar o desasociar filtros, incluidos los filtros antivirus predeterminados. Marcar la opción "Permitir que el filtro antivirus proteja las unidades para desarrolladores" en la directiva Habilitar unidad para desarrolladores anterior forzará que los filtros antivirus permanezcan asociados aunque no se haya definido ninguna otra directiva de filtros.
  • Habilitado: Los administradores locales (cuentas de usuario) pueden asociar o desasociar filtros. La adición de una lista de filtros permite a los administradores de empresa (en el nivel de dominio de directiva de grupo) definir qué filtros se pueden adjuntar. Si no se incluye una lista de filtros, se habilitará la asociación de cualquier filtro.
  • Deshabilitado: Los administradores locales (cuentas de usuario) no pueden asociar ni desasociar filtros.

Hay varias maneras de habilitar la característica Unidad para desarrolladores y actualizar la directiva de grupo:

Uso de Microsoft Intune para actualizar la directiva de grupo para la unidad para desarrolladores

Para actualizar la directiva de grupo y habilitar la unidad para desarrolladores mediante Microsoft Intune):

  1. Vaya al portal de Intune (https://endpoint.microsoft.com) e inicie sesión con sus credenciales.

  2. Cree un perfil:

    1. Dispositivos > Windows > Perfiles de configuración > Crear perfil
    2. Seleccione Plataforma > Windows 10 y posterior.
    3. Seleccione Tipo de perfil > Catálogo de configuración.

    Captura de pantalla de perfiles de configuración de Windows del centro de administración de Microsoft Intune

  3. Establezca un nombre y una descripción para el perfil personalizado.

    Captura de pantalla de Microsoft Intune creando un perfil de configuración

  4. Configure las opciones relacionadas con la unidad para desarrolladores:

    1. Busque "Unidad de desarrollo" en el selector de configuración o vaya a "Plantillas administrativas\Sistema\Sistema de archivos"
    2. Seleccione Directivas relacionadas con la unidad para desarrolladores: Habilitar unidad para desarrolladores y Permitir que el filtro antivirus proteja las unidades para desarrolladores, la directiva de asociación de filtros de la unidad para desarrolladores y la lista de filtros.

    Captura de pantalla del selector de configuración del centro de administración de Microsoft Intune con los resultados de la Unidad de desarrollo

  5. Configure las opciones de directiva de la unidad para desarrolladores, complete la configuración restante de las etiquetas de ámbito y las asignaciones y, a continuación, seleccione Crear.

    Captura de pantalla del paso final de configuración del perfil del centro de administración de Microsoft Intune para revisar y crear

Uso de Microsoft Configuration Manager para actualizar la directiva de grupo para la unidad para desarrolladores

Para actualizar la directiva de grupo y habilitar la unidad para desarrolladores mediante Microsoft Configuration Manager (ConfigMgr, anteriormente MEMCM/SCCM), puede usar los siguientes scripts de PowerShell. (¿Qué es Configuration Manager?).

La consola de Configuration Manager tiene una capacidad integrada de ejecutar scripts de PowerShell para actualizar la configuración de las directivas de grupo en todos los equipos de la red.

  1. Abra la consola de Microsoft Configuration Manager. Seleccione Biblioteca de software>Scripts>Crear script.

    Captura de pantalla de la ventana Crear script de Microsoft Configuration Manager en la que se muestran detalles, como el nombre del script, la descripción, el idioma, los segundos de espera y el script real

  2. Escriba el nombre del script (por ejemplo, Dev Drive demo), la descripción (configuración de la demostración para habilitar las opciones de la unidad para desarrolladores), el lenguaje (PowerShell), los segundos de tiempo de espera (180) y, a continuación, pegue el siguiente ejemplo de script "Dev Drive demo" para usarlo como plantilla.

    ######
    #ConfigMgr Management of Dev Drive
    #Dev Drive is a new form of storage volume available to improve performance for key developer workloads.
    #Check Log File for enforcement status - C:\Windows\temp\ConfigDevDrive-<TimeStamp>.log
    ######
    
    Function Set-RegistryKeyValue{
    param (
    $KeyPath,
    $ValueName,
    $Value,
    $PropertyType,
    $LogFile
    )
    Try {
        If (!(Test-path $KeyPath)) {
        $Path = ($KeyPath.Split(':'))[1].TrimStart("\")
        ([Microsoft.Win32.RegistryKey]::OpenRemoteBaseKey([Microsoft.Win32.RegistryHive]::LocalMachine,$env:COMPUTERNAME)).CreateSubKey($Path)
        New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
        }
        Else {
        New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
        }
        $TestValue = (Get-ItemProperty -Path $KeyPath)."$ValueName"
        If ($TestValue -eq $Value){ Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Success" }
        Else { Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure" }
        }
        Catch {
        $ExceptionMessage = $($PSItem.ToString()) -replace [Environment]::NewLine,"";
        Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure - $ExceptionMessage"
        }
    }
    $ExecutionTime = Get-Date
    $StartTime = Get-Date $ExecutionTime -Format yyyyMMdd-HHmmss
    $LogFile = "C:\Windows\temp\ConfigDevDrive-$StartTime.log"
    Add-Content -Path $LogFile -Value "------------------------------------V 1.0 $ExecutionTime - Execution Starts -------------------------------------------"
    Add-Content -Path $LogFile -Value "RegistryKeyPath,ValueName,ExpectedValue,PropertyType,CurrentValue,ComparisonResult"
    #Set up a Dev Drive
    Set-RegistryKeyValue -KeyPath "HKLM:\System\CurrentControlSet\Policies\" -ValueName "FsEnableDevDrive" -Value "1" -PropertyType "Dword" -LogFile $LogFile
    Set-RegistryKeyValue -KeyPath "HKLM:\System\CurrentControlSet\Policies\" -ValueName "FltmgrDevDriveAllowAntivirusFilter" -Value "1" -PropertyType "Dword" -LogFile $LogFile
    Set-RegistryKeyValue -KeyPath "HKLM:\System\CurrentControlSet\Policies\" -ValueName "FltmgrDevDriveAttachPolicy" -Value "PrjFlt, MsSecFlt, WdFilter, bindFlt, wcifs, FileInfo" -PropertyType "MultiString" -LogFile $LogFile
    $ExecutionTime = Get-Date
    Add-Content -Path $LogFile -Value "------------------------------------ $ExecutionTime - Execution Ends -------------------------------------------"
    --------------------
    
  3. Al agregar un nuevo script, debe seleccionarlo y aprobarlo. El estado de aprobación cambiará de "En espera de aprobación" a "Aprobado".

  4. Una vez que se apruebe, haga clic con el botón derecho en un único dispositivo o en una colección de dispositivos y seleccione Ejecutar script.

    Captura de pantalla de la ventana Ejecutar script de Microsoft Configuration Manager en la que se muestra el script de demostración de Unidad de desarrollo

  5. En la página del script del Asistente para ejecutar scripts, elija el script de la lista (Dev Drive demo del ejemplo). Solo se muestran los scripts aprobados. Seleccione Siguiente y complete el asistente.

Visite Consulta de directivas con FsUtil para comprobar que la configuración de la directiva de grupo se actualizó con precisión.

Para obtener más información, consulte Creación y ejecución de scripts de PowerShell desde la consola de Configuration Manager.

Uso del Editor de directivas de grupo local de Windows 11 para actualizar la directiva de grupo para la unidad para desarrolladores

Para actualizar la directiva de grupo y habilitar la unidad para desarrolladores mediante el Editor de directivas de grupo local de Windows 11:

  1. Abra el Editor de directivas de grupo local en el Panel de control de Windows.

    Captura de pantalla de la ventana Editor de directivas de grupo local con una lista de elementos de directorio

  2. En Configuración del equipo, seleccione Plantillas administrativas>Sistema>Filesystem y, en la lista Configuración, seleccione Habilitar unidad para desarrolladores.

    Captura de pantalla de la selección de Habilitar unidad de desarrollo en el Editor de directivas de grupo local

  3. Seleccione Habilitado para habilitar la unidad para desarrolladores en la directiva de grupo.

    Captura de pantalla de la casilla Unidad de desarrollo habilitada en el Editor de directivas de grupo local

Para actualizar esta directiva de asociación de filtros, seleccione Directiva de asociación de filtros de la unidad para desarrolladores en el Editor de directivas de grupo local en el Panel de control de Windows.

Captura de pantalla de la selección de la directiva de asociación de filtros de Unidad de desarrollo y la lista de filtros en el Editor de directivas de grupo local

Consulta de directivas con FsUtil

FsUtil puede utilizarse para consultar la directiva de grupo configurada para la unidad para desarrolladores. Esta es la salida de una consulta FsUtil para una directiva de grupo de la unidad para desarrolladores configurada para:

  • Habilitar la unidad para desarrolladores
  • Permitir que los filtros antivirus protejan las unidades para desarrolladores (MsSecFlt)
  • Comprobar que el minifiltro FileInfo se ha agregado a la lista de filtros como filtro permitido

Escriba el comando de FsUtil:

fsutil devdrv query

Resultado:

Developer volumes are enabled. 
Developer volumes are protected by antivirus filter, by group policy. 
Filters allowed on any developer volume, by group policy: 
    MsSecFlt 
Filters allowed on any developer volume: 
    FileInfo 

Esta misma consulta se puede ejecutar en una unidad para desarrolladores específica para ver los filtros asociados. Para ejecutar el comando en una unidad para desarrolladores específica, escriba el comando:

fsutil devdrv query d:

Resultado:

This is a trusted developer volume. 
Developer volumes are protected by antivirus filter, by group policy. 
Filters allowed on any developer volume, by group policy: 
    MsSecFlt 
Filters allowed on any developer volume: 
    FileInfo 
Filters currently attached to this developer volume: 
    MsSecFlt, WdFilter, FileInfo 

Recursos adicionales