Nota
O acceso a esta páxina require autorización. Pode tentar iniciar sesión ou modificar os directorios.
O acceso a esta páxina require autorización. Pode tentar modificar os directorios.
En este artículo se explica cómo habilitar y probar las características de protección clave de Microsoft Defender Antivirus y Microsoft Defender Exploit Guard en las versiones actuales de Microsoft Windows y Windows Server.
Requisitos previos
Sistemas operativos admitidos
- Windows 10 o posterior
- Windows Server 2016 o posterior
Uso de Microsoft Defender Antivirus mediante directiva de grupo para habilitar las características
En esta sección se describe cómo usar una directiva de grupo Central Store para configurar Microsoft Defender Antivirus para su evaluación.
Descargue los archivos de plantilla administrativa más recientes de Vínculos para descargar los archivos de plantillas administrativas en función de la versión del sistema operativo.
Sugerencia
Compruebe la sección Requisitos del sistema en las páginas de descarga individuales:
- La mayoría de las descargas admiten clientes Windows y servidores Windows.
- Obtenga la descarga más reciente disponible y aplicable.
Realice uno de los procedimientos siguientes para crear un Almacén central para hospedar las plantillas .admx y .adml más recientes:
Dominios:
- Cree una nueva unidad organizativa para bloquear la herencia de directivas.
- Abra la consola de administración de directivas de grupo (gpmc.msc).
- Vaya a objetos directiva de grupo y cree una nueva directiva de grupo.
- Haga clic con el botón derecho en la nueva directiva de grupo y, a continuación, seleccione Editar.
- Vaya aDirectivas>de configuración> del equipoPlantillas> administrativasComponentes>de Windows Microsoft Defender Antivirus.
Grupos de trabajo:
- Abre el Editor de directivas de grupo (gpedit.msc).
- Vaya a Configuración> del equipoPlantillas> administrativasComponentes> de Windows Microsoft Defender Antivirus.
Para obtener más información, consulta Crear y administrar la Tienda central: cliente de Windows.
MDAV y aplicaciones potencialmente no deseadas (PUA)
Raíz:
| Descripción | Configuración |
|---|---|
| Desactivar Microsoft Defender Antivirus | Deshabilitada |
| Configuración de la detección para aplicaciones potencialmente no deseadas | Habilitado: bloquear |
Protección en tiempo real (protección siempre activa, examen en tiempo real)
Protección en tiempo real:
| Descripción | Configuración |
|---|---|
| Desactivar la protección en tiempo real | Deshabilitada |
| Configuración de la supervisión de la actividad de archivos y programas entrantes y salientes | Habilitado, bidireccional (full on-access) |
| Activar la supervisión del comportamiento | Habilitado |
| Supervisión de la actividad de archivos y programas en el equipo | Habilitado |
Características de protección en la nube
Standard actualizaciones de inteligencia de seguridad pueden tardar horas en prepararse y entregarse; nuestro servicio de protección entregado en la nube puede ofrecer esta protección en segundos.
Para obtener más información, consulte Uso de tecnologías de última generación en Microsoft Defender Antivirus a través de la protección proporcionada en la nube.
MAPS:
| Descripción | Configuración |
|---|---|
| Unirse a Microsoft MAPS | Habilitado, Mapas avanzados |
| Configuración de la característica "Bloquear a primera vista" | Habilitado |
| Envío de ejemplos de archivos cuando se requiera un análisis adicional | Habilitado, Enviar todos los ejemplos |
MpEngine:
| Descripción | Configuración |
|---|---|
| Selección del nivel de protección en la nube | Habilitado, nivel de bloqueo alto |
| Configuración de la comprobación de nube extendida | Habilitado, 50 |
Exámenes
| Descripción | Configuración |
|---|---|
| Activar la heurística | Habilitado |
| Activar el examen de correo electrónico | Habilitado |
| Examinar todos los archivos y datos adjuntos descargados | Habilitado |
| Activar el examen de scripts | Habilitado |
| Examen de archivos de archivo | Habilitado |
| Examen de archivos ejecutables empaquetados | Habilitado |
| Configuración del examen de archivos de red (scan network Files) | Habilitado |
| Examen de unidades extraíbles | Habilitado |
| Activar el examen del punto de reanálisis | Habilitado |
Actualizaciones de Inteligencia de seguridad
| Descripción | Configuración |
|---|---|
| Especificar el intervalo para comprobar si hay actualizaciones de inteligencia de seguridad | Habilitado, 4 |
| Definir el orden de los orígenes para descargar las actualizaciones de inteligencia de seguridad | Habilitado, en "Definir el orden de los orígenes para descargar las actualizaciones de inteligencia de seguridad"
|
Deshabilitación de la configuración del antivirus de administrador local
Deshabilite la configuración del antivirus del administrador local, como las exclusiones, y aplique las directivas de la administración de configuración de seguridad de Microsoft Defender para punto de conexión.
Raíz:
| Descripción | Configuración |
|---|---|
| Configuración del comportamiento de combinación de administrador local para listas | Deshabilitada |
| Controlar si las exclusiones son visibles para los administradores locales | Habilitado |
Acción predeterminada de gravedad de amenaza
Amenazas:
| Descripción | Configuración | Nivel de alerta | Acción |
|---|---|---|---|
| Especificar los niveles de alerta de amenaza en los que no se debe realizar una acción predeterminada cuando se detecta | Habilitado | ||
| 5 (grave) | 2 (cuarentena) | ||
| 4 (Alto) | 2 (cuarentena) | ||
| 2 (medio) | 2 (cuarentena) | ||
| 1 (Bajo) | 2 (cuarentena) |
Cuarentena:
| Descripción | Configuración |
|---|---|
| Configuración de la eliminación de elementos de la carpeta Cuarentena | Habilitado, 60 |
Interfaz de cliente:
| Descripción | Configuración |
|---|---|
| Habilitación del modo de interfaz de usuario sin cabeza | Deshabilitada |
Protección de red
Microsoft Defender Protección contra vulnerabilidades de seguridad\Protección de red:
| Descripción | Configuración |
|---|---|
| Impedir que usuarios y aplicaciones accedan a sitios web peligrosos | Habilitado, Bloquear |
| Esta configuración controla si la protección de red se puede configurar en modo de bloque o auditoría en Windows Server | Habilitado |
Para habilitar La protección de red para servidores Windows, por ahora, use PowerShell:
| SO | Comando de PowerShell |
|---|---|
| Windows Server 2012 R2 y versiones posteriores | Set-MpPreference -AllowNetworkProtectionOnWinServer $true |
| Windows Server 2016 y Windows Server 2012 cliente de MDE unificado de R2 | Set-MpPreference -AllowNetworkProtectionOnWinServer $true -AllowNetworkProtectionDownLevel $true |
Reglas de reducción de la superficie expuesta a ataques
Vaya a Configuración> del equipoPlantillas> administrativasComponentes> de Windows Microsoft Defender Antivirus> Microsoft DefenderReducción de la superficie expuesta a ataques de Protección contra vulnerabilidades> de seguridad.
Seleccione Siguiente.
*Si usa Microsoft Configuration Manager (anteriormente conocida como Microsoft Endpoint Configuration Manager y Microsoft System Center Configuration Manager) u otras herramientas de administración que usan WMI, use el valor 2 (Audit). El cliente Administrador de configuración se basa en gran medida en WMI.
Sugerencia
Algunas reglas pueden bloquear el comportamiento que considere aceptable en su organización. En estos casos, cambie la regla de 1 (Bloque) a 2 (Auditoría) para evitar bloques no deseados.
Acceso controlado a carpetas
Vaya a Configuración> del equipoPlantillas> administrativasComponentes> de Windows Microsoft Defender Antivirus> Microsoft DefenderReducción de la superficie expuesta a ataques de Protección contra vulnerabilidades> de seguridad.
| Descripción | Configuración |
|---|---|
| Configuración del acceso controlado a carpetas | Habilitado, Bloquear |
Asigne las directivas a la unidad organizativa donde se encuentran las máquinas de prueba.
Habilitación de la protección contra alteraciones
En el portal de Microsoft Defender en https://security.microsoft.com, vaya a Configuración>Puntos de conexiónCaracterísticas >avanzadasProtección contra alteraciones>>activada.
Para obtener más información, consulte Cómo configurar o administrar la protección contra alteraciones.
Comprobación de la conectividad de red de Cloud Protection
Es importante comprobar que la conectividad de red de Cloud Protection funciona durante las pruebas de penetración.
En un símbolo del sistema con privilegios elevados (una ventana del símbolo del sistema que abrió seleccionando Ejecutar como administrador), ejecute los siguientes comandos:
Sugerencia
El primer comando cambia el directorio a la versión más reciente de la versión> de <la plataforma antimalware en %ProgramData%\Microsoft\Windows Defender\Platform\<antimalware platform version>. Si esa ruta de acceso no existe, se dirige a %ProgramFiles%\Windows Defender.
(set "_done=" & if exist "%ProgramData%\Microsoft\Windows Defender\Platform\" (for /f "delims=" %d in ('dir "%ProgramData%\Microsoft\Windows Defender\Platform" /ad /b /o:-n 2^>nul') do if not defined _done (cd /d "%ProgramData%\Microsoft\Windows Defender\Platform\%d" & set _done=1)) else (cd /d "%ProgramFiles%\Windows Defender")) >nul 2>&1
MpCmdRun.exe -ValidateMapsConnection
Para obtener más información, vea Configurar y administrar Microsoft Defender Antivirus con la herramienta de línea de comandos MpCmdRun.
Comprobación de la versión de Platform Update
La versión más reciente de "Actualización de plataforma" Canal de producción (GA) está disponible aquí:
Para ver la versión instalada de "Actualización de plataforma", ejecute el siguiente comando en una sesión de PowerShell con privilegios elevados (una ventana de PowerShell que abrió seleccionando Ejecutar como administrador):
Get-MpComputerStatus | Format-Table AMProductVersion
Comprobación de la versión de Security Intelligence Update
La última versión de "Security Intelligence Update" está disponible aquí:
Para ver la versión instalada de "Security Intelligence Update", ejecute el siguiente comando en una sesión de PowerShell con privilegios elevados:
Get-MpComputerStatus | Format-Table AntivirusSignatureVersion
Comprobación de la versión de la actualización del motor
La versión más reciente de la "actualización del motor" del examen está disponible aquí:
Para ver la versión instalada de "Engine Update", ejecute el siguiente comando en una sesión de PowerShell con privilegios elevados:
Get-MpComputerStatus | Format-Table AMEngineVersion
Si la configuración no surte efecto, es posible que tenga un conflicto. Para resolver conflictos, consulte Solución de problemas Microsoft Defender configuración del Antivirus.
Para envíos de falsos negativos (FN)
Si tiene alguna pregunta sobre una detección que Microsoft Defender AV realiza, o detecta una detección perdida, puede enviarnos un archivo.
Si tiene Microsoft XDR, Microsoft Defender para punto de conexión P2/P1 o Microsoft Defender para Empresas: consulte Envío de archivos en Microsoft Defender para punto de conexión.
Si tiene Microsoft Defender Antivirus, consulte Envío de archivos para su análisis.
Microsoft Defender AV indica una detección mediante notificaciones estándar de Windows. También puede revisar las detecciones en la aplicación Microsoft Defender AV.
El registro de eventos de Windows también registra los eventos de detección y motor. Consulte el artículo eventos Microsoft Defender Antivirus para obtener una lista de los identificadores de evento y sus acciones correspondientes.
Si la configuración no se aplica correctamente, averigüe si hay directivas en conflicto habilitadas en el entorno. Para obtener más información, consulte Solución de problemas Microsoft Defender configuración del antivirus.
Si necesita abrir un caso de soporte técnico de Microsoft: póngase en contacto con el soporte técnico de Microsoft Defender para punto de conexión.