Nota
O acceso a esta páxina require autorización. Pode tentar iniciar sesión ou modificar os directorios.
O acceso a esta páxina require autorización. Pode tentar modificar os directorios.
En Windows 10 o versiones posteriores y Windows Server 2016 o posterior, puede usar las características de protección de próxima generación en Microsoft Defender Antivirus con protección contra vulnerabilidades de seguridad.
En este artículo se explica cómo habilitar y probar las características de protección clave de Microsoft Defender Antivirus con protección contra vulnerabilidades de seguridad.
Se recomienda usar nuestro script de PowerShell de evaluación para configurar estas características, pero puede habilitar individualmente cada característica como se describe en este artículo.
Para obtener más información sobre nuestros productos y servicios de Endpoint Protection, consulte los siguientes recursos:
- Información sobre los servicios de protección de última generación
- Antivirus de Microsoft Defender en Windows
- Antivirus de Microsoft Defender en Windows Server
- Proteger los dispositivos contra vulnerabilidades de seguridad
Si tiene alguna pregunta sobre una detección por Microsoft Defender Antivirus, o detecta una detección perdida, puede enviarnos el archivo. Para más información, consulte Enviar archivos para su análisis.
Uso de PowerShell para habilitar las características
En esta guía se proporcionan los cmdlets Microsoft Defender Antivirus que configuran las características que debe usar para evaluar nuestra protección.
Use estos cmdlets en una sesión de PowerShell con privilegios elevados (una ventana de PowerShell que abrió seleccionando Ejecutar como administrador).
Antes de realizar cambios, debe ver y registrar el estado actual de todas las configuraciones mediante uno o ambos métodos:
- Use el cmdlet Get-MpPreference .
- Instale el módulo DefenderEval desde el Galería de PowerShell y, a continuación, use el cmdlet Get-DefenderEvaluationReport.
Microsoft Defender Antivirus usa notificaciones estándar de Windows para las detecciones. También puede revisar las detecciones en la aplicación antivirus de Microsoft Defender.
El registro de eventos de Windows también registra los eventos de detección y motor. Para obtener más información, consulte Revisión de registros de eventos y códigos de error para solucionar problemas con Microsoft Defender Antivirus.
Características de protección en la nube
Standard actualizaciones de definiciones pueden tardar horas en prepararse y entregarse. Nuestro servicio de protección entregado en la nube puede ofrecer esta protección en segundos. Para obtener más información, consulte Protección en la nube y antivirus de Microsoft Defender.
Habilite la Microsoft Defender Cloud para una protección casi instantánea y una mayor protección:
Set-MpPreference -MAPSReporting AdvancedEnvíe automáticamente ejemplos para aumentar la protección de grupos:
Set-MpPreference -SubmitSamplesConsent AlwaysUse siempre la nube para bloquear el nuevo malware en cuestión de segundos:
Set-MpPreference -DisableBlockAtFirstSeen 0Examine todos los archivos y datos adjuntos descargados:
Set-MpPreference -DisableIOAVProtection 0Establezca el nivel de bloque de nube en Alto:
Set-MpPreference -CloudBlockLevel HighEstablezca el tiempo de espera del bloque de nube en 1 minuto:
Set-MpPreference -CloudExtendedTimeout 50
Protección always-on (examen en tiempo real)
Microsoft Defender Antivirus examina los archivos a medida que Windows los ve y supervisa los procesos en ejecución para detectar comportamientos malintencionados (conocidos o sospechosos). Si el motor antivirus detecta actividad malintencionada, el motor bloquea inmediatamente la ejecución del proceso o archivo. Para obtener más información sobre estas opciones, consulte Configuración del comportamiento, la heurística y la protección en tiempo real.
Supervise constantemente los archivos y procesos de actividad de malware conocida:
Set-MpPreference -DisableRealtimeMonitoring 0**Supervise constantemente el comportamiento de malware conocido en los programas en ejecución, incluso en los archivos que no se consideran una amenaza:
Set-MpPreference -DisableBehaviorMonitoring 0Examine los scripts tan pronto como se vean o ejecuten:
Set-MpPreference -DisableScriptScanning 0Examine las unidades extraíbles en cuanto se inserten o monten:
Set-MpPreference -DisableRemovableDriveScanning 0
Protección de aplicaciones potencialmente no deseadas
Las aplicaciones potencialmente no deseadas son archivos y aplicaciones que tradicionalmente no se clasifican como malintencionadas. Estos tipos de aplicaciones incluyen:
- Instaladores que no son de Microsoft.
- Aplicaciones que realizan la inserción de anuncios.
- Algunos tipos de barras de herramientas del explorador.
Evite que grayware, adware y otras aplicaciones potencialmente no deseadas instalen:
Set-MpPreference -PUAProtection Enabled
examen de Email y archivo
Puede establecer Microsoft Defender Antivirus para examinar automáticamente determinados tipos de archivos de correo electrónico y archivos de archivo (como .zip) cuando Windows los vea. Para obtener más información, consulte Exámenes de correo electrónico administrados en Microsoft Defender.
Examinar archivos y archivos de correo electrónico:
Set-MpPreference -DisableArchiveScanning 0 -DisableEmailScanning 0
Administración de actualizaciones de productos y protección
Normalmente, obtiene Microsoft Defender actualizaciones del Antivirus de Windows Update una vez al día. Para aumentar la frecuencia de actualización, establezca las siguientes opciones y asegúrese de Microsoft Configuration Manager, directiva de grupo o Microsoft Intune administre las actualizaciones.
Actualice las firmas todos los días (valor predeterminado):
Set-MpPreference -SignatureUpdateIntervalActualice las firmas antes de ejecutar un examen programado:
Set-MpPreference -CheckForSignaturesBeforeRunningScan 1
Mitigación y prevención avanzadas de amenazas
Protección contra vulnerabilidades de seguridad proporciona características que ayudan a proteger los dispositivos frente a comportamientos malintencionados conocidos y ataques a tecnologías vulnerables.
Evite que las aplicaciones malintencionadas y sospechosas (como ransomware) realicen cambios en carpetas protegidas con carpetas controladas:
Set-MpPreference -EnableControlledFolderAccess EnabledBloquee las conexiones a direcciones IP incorrectas conocidas y otras conexiones de red con protección de red:
Set-MpPreference -EnableNetworkProtection EnabledAplique un conjunto estándar de mitigaciones con protección contra vulnerabilidades de seguridad:
Invoke-WebRequest https://demo.wd.microsoft.com/Content/ProcessMitigation.xml -OutFile ProcessMitigation.xml Set-ProcessMitigation -PolicyFilePath ProcessMitigation.xmlBloquear vectores de ataque malintencionados conocidos con reglas de reducción de superficie expuesta a ataques (ASR):
Importante
Normalmente, puede habilitar las reglas de protección estándar en el modo Bloquear o Advertir sin realizar pruebas. Debe probar otras reglas de ASR en modo auditoría antes de cambiarlas al modo Bloquear o Advertir . Para obtener más información, consulte la guía de implementación de reglas de ASR.
Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5,9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2,e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions Enabled,Enabled,Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-cd74-433a-b99e-2ecdc07bfc25,26190899-1602-49e8-8b27-eb1d0a1ce869 ,33ddedf1-c6e0-47cb-833e-de6133960387,3b576869-a4ec-4529-8536-b80a7769e899,5beb7efe-fd9a-4556-801d-275e5ffc04cc,75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84,7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c,92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b,b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4,be9ba2d9-53ea-4cdc-84e5-9b1eeee46550,c1db55ab-c21a-4637-bb3f-a12568109d35,d1e49aac-8f56-4280-b9ba-993a6d77406c,d3e037e1-3eb8-44c8-a917-57927947596d,d4f940ab-401b-4efc-aadc-ad5f3c50688a,a8f5898e-1dc8-49a9-9878-85004b8a61e6,c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb -AttackSurfaceReductionRules_Actions AuditMode,AuditMode,AuditMode,AuditMode,AuditMode,AuditMode,AuditMode,AuditMode,AuditMode,AuditMode,AuditMode,AuditMode,AuditMode,AuditMode,AuditMode,AuditMode
Habilitación de la protección contra alteraciones
Para obtener más información, consulte Cómo configurar o administrar la protección contra alteraciones.
Comprobación de la conectividad de red de Cloud Protection
Es importante comprobar que la conectividad de red de Cloud Protection funciona durante las pruebas de penetración mediante los pasos siguientes:
En un símbolo del sistema con privilegios elevados (una ventana del símbolo del sistema que abrió seleccionando Ejecutar como administrador), ejecute los siguientes comandos:
Sugerencia
El primer comando cambia el directorio a la versión más reciente de la versión> de <la plataforma antimalware en %ProgramData%\Microsoft\Windows Defender\Platform\<antimalware platform version>. Si esa ruta de acceso no existe, se dirige a %ProgramFiles%\Windows Defender.
(set "_done=" & if exist "%ProgramData%\Microsoft\Windows Defender\Platform\" (for /f "delims=" %d in ('dir "%ProgramData%\Microsoft\Windows Defender\Platform" /ad /b /o:-n 2^>nul') do if not defined _done (cd /d "%ProgramData%\Microsoft\Windows Defender\Platform\%d" & set _done=1)) else (cd /d "%ProgramFiles%\Windows Defender")) >nul 2>&1
MpCmdRun.exe -ValidateMapsConnection
Para obtener más información, vea Configurar y administrar Microsoft Defender Antivirus con la herramienta de línea de comandos MpCmdRun.
Selección única Microsoft Defender examen sin conexión
Microsoft Defender Offline Scan es una herramienta especializada que le permite arrancar una máquina en un entorno dedicado fuera del sistema operativo normal. Es especialmente útil para malware potente, como rootkits.
Para obtener más información, vea Microsoft Defender sin conexión.
Asegúrese de que las notificaciones le permiten arrancar el dispositivo en un entorno de eliminación de malware especializado:
Set-MpPreference -UILockdown 0