Configuración de la directiva de seguridad de la unidad para desarrolladores para dispositivos empresariales
Artículo
Los administradores de nivel empresarial suelen ser responsables de administrar la seguridad en muchos dispositivos Windows distintos dentro de una organización. Hay varias maneras de configurar las directivas que controlan si las nuevas características se habilitan a medida que están disponibles en las nuevas versiones de Windows. En esta guía se trata información importante sobre las características del volumen de almacenamiento de la unidad para desarrolladores de Windows 11 y cómo configurar la directiva de grupo para su organización para permitir que los desarrolladores usen este formato de almacenamiento optimizado para rendimiento, a la vez que se mantiene la seguridad y el control sobre la asociación de filtros del sistema de archivos.
A continuación encontrará instrucciones sobre cómo habilitar la directiva de grupo mediante su herramienta de administración de directivas preferida:
Las unidades de desarrollo están disponibles en todas las versiones de SKU de Windows.
El Control de características empresariales temporales deshabilita la unidad para desarrolladores
Las nuevas características y mejoras se presentan a través de la actualización acumulativa mensual para proporcionar innovación continua para Windows 11. Para dar tiempo a las organizaciones a planificar y prepararse, algunas de estas nuevas características se desactivan temporalmente de manera predeterminada mediante el Control de características empresariales temporales de Windows 11.
La unidad para desarrolladores se deshabilitará automáticamente para los dispositivos cuyas actualizaciones de Windows se administran mediante directivas. Deshabilitar la capacidad de crear una unidad para desarrolladores solo es temporal para permitir que los administradores de seguridad decidan e implementen nuevas actualizaciones de directivas. A continuación se describen instrucciones para determinar y configurar esas actualizaciones de directivas.
Determinación de la directiva de grupo para la habilitación del almacenamiento de la unidad para desarrolladores y la seguridad del filtro antivirus
La directiva de grupo es una característica de Windows que permite a los administradores empresariales administrar la configuración de los dispositivos de trabajo y tener cierto control sobre qué cambios de configuración pueden realizar las cuentas de usuario (administradores locales) en un entorno empresarial.
Los filtros antivirus, como Microsoft Defender y los filtros antivirus de terceros, se adjuntan a una unidad de desarrollo de forma predeterminada. La configuración predeterminada de los volúmenes de almacenamiento de la unidad para desarrolladores también permite a los administradores de dispositivos locales controlar qué filtros están asociados. Esto significa que un administrador de dispositivos local podría configurar el sistema para quitar filtros antivirus predeterminados, de modo que no haya filtros antivirus asociados a la unidad para desarrolladores. Si esto es un problema, la directiva de grupo se puede configurar para asegurarse de que los filtros antivirus permanezcan conectados cuando la unidad para desarrolladores esté habilitada. Además, se puede definir una lista permitida de filtros del sistema de archivos.
Actualizar la directiva de grupo para habilitar la unidad para desarrolladores
La configuración de la directiva Habilitar unidad para desarrolladores incluye:
No configurado: de forma predeterminada, la opción de volumen de almacenamiento de Unidad de desarrollo se desactivará en la directiva de control de características empresariales temporales hasta que un administrador de empresa la habilite en la directiva de grupo.
Habilitado: Si se habilita, se activa la opción para crear volúmenes de almacenamiento de la unidad para desarrolladores.
Opciones: Permitir que el filtro antivirus proteja las unidades para desarrolladores: Las unidades para desarrolladores están optimizadas para el rendimiento en escenarios de desarrollador, lo que permite al administrador local (cuenta de usuario) elegir qué filtros del sistema de archivos se asocian. Esto también permite a los administradores locales desasociar las características del antivirus predeterminadas, a menos que se active la opción "Permitir que el filtro antivirus proteja las unidades para desarrolladores". Al marcar esta opción, se obliga a que los filtros antivirus predeterminados permanezcan asociados.
Deshabilitado: Al deshabilitar esta configuración, se desactiva la capacidad de crear y utilizar volúmenes de almacenamiento de la unidad para desarrolladores.
Actualización de la directiva de asociación de filtros de unidad para desarrolladores
Además, hay una opción Directiva de asociación de filtros de la unidad para desarrolladores, que ofrece a los administradores empresariales el control sobre qué filtros se pueden asociar a una unidad para desarrolladores. La configuración incluye:
Sin configurar: De manera predeterminada, la unidad para desarrolladores está optimizada para el rendimiento, con filtros antivirus de Microsoft Defender y de terceros asociados, pero sin ningún otro filtro del sistema de archivos. Esta opción predeterminada permite a los administradores locales asociar o desasociar filtros, incluidos los filtros antivirus predeterminados. Marcar la opción "Permitir que el filtro antivirus proteja las unidades para desarrolladores" en la directiva Habilitar unidad para desarrolladores anterior forzará que los filtros antivirus permanezcan asociados aunque no se haya definido ninguna otra directiva de filtros.
Habilitado: Los administradores locales (cuentas de usuario) pueden asociar o desasociar filtros. La adición de una lista de filtros permite a los administradores de empresa (en el nivel de dominio de directiva de grupo) definir qué filtros se pueden adjuntar. Si no se incluye una lista de filtros, se habilitará la asociación de cualquier filtro.
Deshabilitado: Los administradores locales (cuentas de usuario) no pueden asociar ni desasociar filtros.
Hay varias maneras de habilitar la característica Unidad para desarrolladores y actualizar la directiva de grupo:
Dispositivos > Windows > Perfiles de configuración > Crear perfil
Seleccione Plataforma > Windows 10 y posterior.
Seleccione Tipo de perfil > Catálogo de configuración.
Establezca un nombre y una descripción para el perfil personalizado.
Configure las opciones relacionadas con la unidad para desarrolladores:
Busque "Unidad de desarrollo" en el selector de configuración o vaya a "Plantillas administrativas\Sistema\Sistema de archivos"
Seleccione Directivas relacionadas con la unidad para desarrolladores: Habilitar unidad para desarrolladores y Permitir que el filtro antivirus proteja las unidades para desarrolladores, la directiva de asociación de filtros de la unidad para desarrolladores y la lista de filtros.
Configure las opciones de directiva de la unidad para desarrolladores, complete la configuración restante de las etiquetas de ámbito y las asignaciones y, a continuación, seleccione Crear.
Uso de Microsoft Configuration Manager para actualizar la directiva de grupo para la unidad para desarrolladores
La consola de Configuration Manager tiene una capacidad integrada de ejecutar scripts de PowerShell para actualizar la configuración de las directivas de grupo en todos los equipos de la red.
Abra la consola de Microsoft Configuration Manager. Seleccione Biblioteca de software>Scripts>Crear script.
Escriba el nombre del script (por ejemplo, Dev Drive demo), la descripción (configuración de la demostración para habilitar las opciones de la unidad para desarrolladores), el lenguaje (PowerShell), los segundos de tiempo de espera (180) y, a continuación, pegue el siguiente ejemplo de script "Dev Drive demo" para usarlo como plantilla.
Al agregar un nuevo script, debe seleccionarlo y aprobarlo. El estado de aprobación cambiará de "En espera de aprobación" a "Aprobado".
Una vez que se apruebe, haga clic con el botón derecho en un único dispositivo o en una colección de dispositivos y seleccione Ejecutar script.
En la página del script del Asistente para ejecutar scripts, elija el script de la lista (Dev Drive demo del ejemplo). Solo se muestran los scripts aprobados. Seleccione Siguiente y complete el asistente.
Uso del Editor de directivas de grupo local de Windows 11 para actualizar la directiva de grupo para la unidad para desarrolladores
Para actualizar la directiva de grupo y habilitar la unidad para desarrolladores mediante el Editor de directivas de grupo local de Windows 11:
Abra el Editor de directivas de grupo local en el Panel de control de Windows.
En Configuración del equipo, seleccione Plantillas administrativas>Sistema>Filesystem y, en la lista Configuración, seleccione Habilitar unidad para desarrolladores.
Seleccione Habilitado para habilitar la unidad para desarrolladores en la directiva de grupo.
Para actualizar esta directiva de asociación de filtros, seleccione Directiva de asociación de filtros de la unidad para desarrolladores en el Editor de directivas de grupo local en el Panel de control de Windows.
Consulta de directivas con FsUtil
FsUtil puede utilizarse para consultar la directiva de grupo configurada para la unidad para desarrolladores. Esta es la salida de una consulta FsUtil para una directiva de grupo de la unidad para desarrolladores configurada para:
Habilitar la unidad para desarrolladores
Permitir que los filtros antivirus protejan las unidades para desarrolladores (MsSecFlt)
Comprobar que el minifiltro FileInfo se ha agregado a la lista de filtros como filtro permitido
Escriba el comando de FsUtil:
fsutil devdrv query
Resultado:
Developer volumes are enabled.
Developer volumes are protected by antivirus filter, by group policy.
Filters allowed on any developer volume, by group policy:
MsSecFlt
Filters allowed on any developer volume:
FileInfo
Esta misma consulta se puede ejecutar en una unidad para desarrolladores específica para ver los filtros asociados. Para ejecutar el comando en una unidad para desarrolladores específica, escriba el comando:
fsutil devdrv query d:
Resultado:
This is a trusted developer volume.
Developer volumes are protected by antivirus filter, by group policy.
Filters allowed on any developer volume, by group policy:
MsSecFlt
Filters allowed on any developer volume:
FileInfo
Filters currently attached to this developer volume:
MsSecFlt, WdFilter, FileInfo
El origen de este contenido se puede encontrar en GitHub, donde también puede crear y revisar problemas y solicitudes de incorporación de cambios. Para más información, consulte nuestra guía para colaboradores.
Comentarios de Windows developer
Windows developer es un proyecto de código abierto. Seleccione un vínculo para proporcionar comentarios:
En este módulo se describe cómo puede usar Intune para crear y administrar directivas de WIP que administran esta protección. El módulo también trata la implementación de BitLocker y el Sistema de cifrado de archivos.
Planee y ejecute una estrategia de implementación de puntos de conexión mediante elementos esenciales de la administración moderna, los enfoques de administración conjunta y la integración de Microsoft Intune.