Compartir vía


Revisión o edición de las directivas de protección de última generación en Microsoft Defender para empresas

En Defender para empresas, la protección de última generación incluye antivirus sólidos y protección antimalware para equipos y dispositivos móviles. Las directivas predeterminadas con la configuración recomendada se incluyen en Defender para empresas. Las directivas predeterminadas están diseñadas para proteger los dispositivos y los usuarios sin obstaculizar la productividad. Sin embargo, puede personalizar las directivas para satisfacer sus necesidades empresariales.

Puede elegir entre varias opciones para administrar las directivas de protección de próxima generación:

  • Use el portal de Microsoft Defender en https://security.microsoft.com (recomendado si usa la versión independiente de Defender para empresas sin Intune); o
  • Use el Centro de administración de Microsoft Intune en https://intune.microsoft.com (disponible si la suscripción incluye Intune)

  1. Vaya al portal de Microsoft Defender (https://security.microsoft.com) e inicie sesión.

  2. En el panel de navegación, vaya aAdministración de> configuración de puntos> de conexiónConfiguración configuración del dispositivo. Las directivas se organizan por sistema operativo y tipo de directiva.

  3. Seleccione una pestaña del sistema operativo (como Windows).

  4. En Protección de próxima generación, vea la lista de directivas. Como mínimo, se muestra una directiva predeterminada que usa la configuración recomendada. Esta directiva predeterminada se asigna a todos los dispositivos incorporados que ejecutan el sistema operativo que seleccionó en el paso anterior (por ejemplo , Windows). Puede:

    • Mantenga la directiva predeterminada tal y como está configurada actualmente.
    • Edite la directiva predeterminada para realizar los ajustes necesarios.
    • Crear una nueva directiva.
  5. Use uno de los procedimientos de la tabla siguiente:

    Tarea Procedure
    Edición de la directiva predeterminada 1. En la sección Protección de próxima generación , seleccione la directiva predeterminada y, a continuación, elija Editar.

    2. En el paso Información general , revise la información. Si es necesario, edite la descripción y, a continuación, seleccione Siguiente.

    3. En el paso Grupos de dispositivos, use un grupo existente o configure un nuevo grupo. A continuación, elija Siguiente.

    4. En el paso Configuración , revise y, si es necesario, edite la configuración de seguridad y, a continuación, elija Siguiente. Para obtener más información sobre la configuración, vea Configuración y opciones de protección de próxima generación (en este artículo).

    5. En el paso Revisar la directiva , revise la configuración actual. Seleccione Editar para realizar los cambios necesarios. A continuación, seleccione Actualizar directiva.
    Crear una nueva directiva 1. En la sección Protección de próxima generación , seleccione Agregar.

    2. En el paso Información general , especifique un nombre y una descripción para la directiva. También puede mantener o cambiar un orden de directiva (consulte Descripción del orden de directiva en Microsoft Defender para empresas). Después, seleccione Siguiente.

    3. En el paso Grupos de dispositivos, puede usar un grupo existente o crear un nuevo grupo (consulte Grupos de dispositivos en Microsoft Defender para empresas). A continuación, elija Siguiente.

    4. En el paso Configuración , revise y edite la configuración de seguridad y, a continuación, elija Siguiente. Para obtener más información sobre la configuración, vea Configuración y opciones de protección de próxima generación (en este artículo).

    5. En el paso Revisar la directiva , revise la configuración actual. Seleccione Editar para realizar los cambios necesarios. A continuación, seleccione Crear directiva.

Configuración y opciones de protección de última generación

En la tabla siguiente se enumeran la configuración y las opciones para la protección de próxima generación en Defender para empresas.

Configuración Descripción
Protección en tiempo real
Activar la protección en tiempo real Habilitada de forma predeterminada, la protección en tiempo real busca y evita que el malware se ejecute en los dispositivos. Se recomienda mantener activada la protección en tiempo real. Cuando se activa la protección en tiempo real, configura los siguientes valores:
- La supervisión del comportamiento está activada (AllowBehaviorMonitoring).
- Se examinan todos los archivos y datos adjuntos descargados (AllowIOAVProtection).
- Los scripts que se usan en exploradores de Microsoft se examinan (AllowScriptScanning).
Bloqueo a primera vista Habilitado de forma predeterminada, bloquear a primera vista bloquea el malware en segundos después de la detección, aumenta el tiempo (en segundos) permitido para enviar archivos de ejemplo para su análisis y establece el nivel de detección en Alto. Se recomienda mantener activado el bloqueo a primera vista.

Cuando el bloqueo a primera vista está activado, configura los siguientes valores para el Antivirus de Microsoft Defender:
- El bloqueo y el examen de archivos sospechosos se establece en el nivel de bloqueo alto (CloudBlockLevel).
- El número de segundos para que un archivo se bloquee y compruebe se establece en 50 segundos (CloudExtendedTimeout).
Importante Si el bloqueo a primera vista está desactivado, afecta a CloudBlockLevel y CloudExtendedTimeout para el Antivirus de Microsoft Defender.
Habilitar protección de red Habilitada en el modo de bloqueo de forma predeterminada, la protección de red ayuda a protegerse frente a estafas de suplantación de identidad (phishing), sitios de hospedaje de vulnerabilidades de seguridad y contenido malintencionado en Internet. También impide que los usuarios desactiven la protección de red.

La protección de red se puede establecer en los modos siguientes:
- El modo de bloque es la configuración predeterminada. Impide que los usuarios visiten sitios que se consideran no seguros. Se recomienda mantener la protección de red establecida en modo de bloqueo.
- El modo de auditoría permite a los usuarios visitar sitios que podrían no ser seguros y realizar un seguimiento de la actividad de red hacia y desde dichos sitios.
- El modo deshabilitado no impide que los usuarios visiten sitios que podrían no ser seguros ni realiza un seguimiento de la actividad de red hacia o desde dichos sitios.
Remediación
Acción para realizar aplicaciones potencialmente no deseadas (PUA) Habilitado de forma predeterminada, la protección pua bloquea los elementos que se detectan como PUA. PUA puede incluir software de publicidad; agrupación de software que ofrece para instalar otro software sin firmar; y el software de evasión que intenta eludir las características de seguridad. Aunque PUA no es necesariamente un virus, malware u otro tipo de amenaza, puede afectar al rendimiento del dispositivo. Puede establecer la protección pua en los modos siguientes:
- Habilitado es la configuración predeterminada. Bloquea los elementos detectados como PUA en los dispositivos. Se recomienda mantener habilitada la protección de PUA.
- El modo auditoría no realiza ninguna acción en los elementos detectados como PUA.
- Deshabilitado no detecta ni realiza acciones en elementos que podrían ser PUA.
Escanear
Tipo de examen programado Habilitado en el modo de análisis rápido de forma predeterminada, puede especificar un día y una hora para ejecutar exámenes antivirus semanales. Están disponibles las siguientes opciones de tipo de examen:
- Quickscan comprueba las ubicaciones, como las claves del Registro y las carpetas de inicio, donde se podría registrar malware para iniciarse junto con un dispositivo. Se recomienda usar la opción quickscan.
- Fullscan comprueba todos los archivos y carpetas de un dispositivo.
- Deshabilitado significa que no se realizará ningún examen programado. Los usuarios todavía pueden ejecutar exámenes en sus propios dispositivos. (En general, no se recomienda deshabilitar los exámenes programados).
Obtenga más información sobre los tipos de examen.
Día de la semana para ejecutar un examen programado Seleccione un día para que se ejecuten los exámenes antivirus normales y semanales.
Hora del día para ejecutar un examen programado Seleccione una hora para ejecutar los exámenes antivirus programados periódicamente para ejecutarse.
Uso de bajo rendimiento Esta configuración está desactivada de forma predeterminada. Se recomienda mantener esta configuración desactivada. Sin embargo, puede activar esta configuración para limitar la memoria del dispositivo y los recursos que se usan durante los exámenes programados. Importante Si activa Usar bajo rendimiento, configura los siguientes valores para el Antivirus de Microsoft Defender:
- Los archivos de archivo no se examinan (AllowArchiveScanning).
- A los exámenes se les asigna una prioridad de CPU baja (EnableLowCPUPriority).
- Si se pierde un examen antivirus completo, no se ejecutará ningún examen de puesta al día (DisableCatchupFullScan).
- Si se pierde un examen rápido del antivirus, no se ejecutará ningún examen de puesta al día (DisableCatchupQuickScan).
- Reduce el factor de carga promedio de CPU durante un examen antivirus del 50 al 20 por ciento (AvgCPULoadFactor).
Experiencia del usuario
Permitir que los usuarios accedan a la aplicación seguridad de Windows Active esta configuración para permitir que los usuarios abran la aplicación Seguridad de Windows en sus dispositivos. Los usuarios no pueden invalidar la configuración que configure en Defender for Business, pero pueden ejecutar un examen rápido o ver las amenazas detectadas.
Exclusiones de antivirus Las exclusiones son procesos, archivos o carpetas omitidos por los exámenes del Antivirus de Microsoft Defender. En general, no es necesario definir exclusiones. Antivirus de Microsoft Defender incluye muchas exclusiones automáticas basadas en el comportamiento conocido del sistema operativo y los archivos de administración típicos. Cada exclusión reduce el nivel de protección, por lo que es importante tener en cuenta detenidamente las exclusiones que se deben definir. Antes de agregar exclusiones, consulte Administrar exclusiones para Microsoft Defender para punto de conexión y Antivirus de Microsoft Defender.
Exclusiones de procesos Las exclusiones de procesos impiden que antivirus de Microsoft Defender analice los archivos abiertos por procesos específicos. Al agregar un proceso a la lista de exclusión de procesos, Antivirus de Microsoft Defender no examinará los archivos abiertos por ese proceso, independientemente de dónde se encuentren los archivos. El propio proceso se examina a menos que se agregue a la lista de exclusión de archivos. Consulte Configuración de exclusiones para archivos abiertos por procesos.
Exclusiones de extensiones de archivo Las exclusiones de extensiones de archivo impiden que antivirus de Microsoft Defender analice los archivos con extensiones específicas. Consulte Configuración y validación de exclusiones basadas en la extensión de archivo y la ubicación de la carpeta.
Exclusiones de archivos y carpetas Las exclusiones de archivos y carpetas impiden que antivirus de Microsoft Defender analice los archivos que se encuentran en carpetas específicas. Consulte Exclusiones de archivos y carpetas contextuales.

Otras configuraciones preconfiguradas en Defender para empresas

La siguiente configuración de seguridad está preconfigurada en Defender para empresas:

Cómo se corresponde la configuración predeterminada de Defender para empresas con la configuración de Microsoft Intune

En la tabla siguiente se describen los valores preconfigurados para Defender para empresas y cómo se corresponden con lo que podría ver en Intune. Si usa el proceso de configuración simplificado en Defender for Business, no es necesario editar esta configuración.

Configuración Descripción
Protección en la nube A veces denominada protección entregada en la nube o Servicio de protección avanzada de Microsoft (MAPS), la protección en la nube funciona con el Antivirus de Microsoft Defender y la nube de Microsoft para identificar nuevas amenazas, a veces incluso antes de que un único dispositivo se vea afectado. De forma predeterminada, AllowCloudProtection está activado. Más información sobre la protección en la nube.
Supervisión de archivos entrantes y salientes Para supervisar los archivos entrantes y salientes, RealTimeScanDirection está establecido para supervisar todos los archivos.
Examen de archivos de red De forma predeterminada, AllowScanningNetworkFiles no está habilitado y los archivos de red no se examinan.
Examen de mensajes de correo electrónico De forma predeterminada, AllowEmailScanning no está habilitado y los mensajes de correo electrónico no se examinan.
Número de días (0-90) para mantener el malware en cuarentena De forma predeterminada, la configuración DaysToRetainCleanedMalware se establece en cero (0) días. Los artefactos que están en cuarentena no se quitan automáticamente.
Enviar el consentimiento de ejemplos De forma predeterminada, SubmitSamplesConsent está establecido para enviar muestras seguras automáticamente. Algunos ejemplos de ejemplos seguros son .bat, .scr, .dlly .exe archivos que no contienen información de identificación personal (PII). Si un archivo contiene PII, el usuario recibe una solicitud para permitir que continúe el envío de ejemplo. Obtenga más información sobre la protección en la nube y el envío de ejemplos.
Examen de unidades extraíbles De forma predeterminada, AllowFullScanRemovableDriveScanning está configurado para examinar unidades extraíbles, como unidades usb en dispositivos. Obtenga más información sobre la configuración de directivas antimalware.
Ejecución del tiempo de examen rápido diario De forma predeterminada, ScheduleQuickScanTime se establece en 2:00 AM. Obtenga más información sobre la configuración del examen.
Comprobación de actualizaciones de firmas antes de ejecutar el examen De forma predeterminada, CheckForSignaturesBeforeRunningScan está configurado para comprobar si hay actualizaciones de inteligencia de seguridad antes de ejecutar exámenes antivirus o antimalware. Obtenga más información sobre la configuración de examen y las actualizaciones de inteligencia de seguridad.
Frecuencia (0-24 horas) para comprobar si hay actualizaciones de inteligencia de seguridad De forma predeterminada, SignatureUpdateInterval está configurado para comprobar si hay actualizaciones de inteligencia de seguridad cada cuatro horas. Obtenga más información sobre la configuración de examen y las actualizaciones de inteligencia de seguridad.

Pasos siguientes