Configuración de directivas antimalware en EOP
Sugerencia
¿Sabía que puede probar las características de Microsoft Defender XDR para Office 365 Plan 2 de forma gratuita? Use la prueba de Defender para Office 365 de 90 días en el centro de pruebas del portal de Microsoft Defender. Obtenga información sobre quién puede registrarse y los términos de prueba en Probar Microsoft Defender para Office 365.
En organizaciones de Microsoft 365 con buzones de correo de Exchange Online u organizaciones independientes de Exchange Online Protection (EOP) sin buzones de Exchange Online, EOP protege automáticamente los mensajes de correo electrónico entrantes contra el malware. EOP usa directivas antimalware para la configuración de protección contra malware. Para obtener más información, consulte Protección contra malware.
Sugerencia
Se recomienda activar y agregar todos los usuarios a las directivas de seguridad preestablecidas Estándar o Estricta. Para obtener más información, consulte Configuración de directivas de protección.
La directiva antimalware predeterminada se aplica automáticamente a todos los destinatarios. Para una mayor granularidad, también puede crear directivas antimalware personalizadas que se apliquen a usuarios, grupos o dominios específicos de la organización.
Nota:
La directiva antimalware predeterminada se aplica al correo electrónico entrante y saliente. Las directivas antimalware personalizadas solo se aplican al correo electrónico entrante.
Puede configurar directivas antimalware en el portal de Microsoft Defender o en PowerShell (Exchange Online PowerShell para organizaciones de Microsoft 365 con buzones en Exchange Online; PowerShell EOP independiente para organizaciones sin buzones de Exchange Online).
¿Qué necesita saber antes de empezar?
Abra el portal de Microsoft Defender en https://security.microsoft.com. Para ir directamente a la página Antimalware , use https://security.microsoft.com/antimalwarev2.
Para conectarse al PowerShell de Exchange Online, consulte Conexión a Exchange Online PowerShell. Para conectarse a EOP PowerShell independiente, consulte Connect to Exchange Online Protection PowerShell (Conexión a Exchange Online Protection PowerShell).
Debe tener asignados permisos para poder realizar los procedimientos de este artículo. Tiene las siguientes opciones:
Microsoft Defender XDR control de acceso basado en rol unificado (RBAC) (si Email & colaboración>Defender para Office 365 permisos es Activo. Afecta solo al portal de Defender, no a PowerShell: Autorización y configuración/Configuración de seguridad/Configuración de seguridad principal (administrar) o Autorización y configuración/Configuración de seguridad/Configuración de seguridad principal (lectura).
-
- Agregar, modificar y eliminar directivas: pertenencia a los grupos de roles Administración de la organización o Administrador de seguridad .
- Acceso de solo lectura a directivas: pertenencia a los grupos de roles Lector global, Lector de seguridad o Administración de la organización de solo vista .
Microsoft Entra permisos: la pertenencia a los roles Administrador* global, Administrador de seguridad, Lector global o Lector de seguridad proporciona a los usuarios los permisos y permisos necesarios para otras características de Microsoft 365.
Importante
* Microsoft recomienda usar roles con los permisos más mínimos. El uso de cuentas con permisos inferiores ayuda a mejorar la seguridad de su organización. Administrador global es un rol con muchos privilegios que debe limitarse a escenarios de emergencia cuando no se puede usar un rol existente.
Para ver nuestra configuración recomendada para las directivas antimalware, consulte Configuración de directivas antimalware de EOP.
Sugerencia
La configuración de las directivas antimalware predeterminadas o personalizadas se omite si un destinatario también se incluye en las directivas de seguridad preestablecidas Estándar o Estricta. Para obtener más información, vea Orden y prioridad de la protección por correo electrónico.
Uso del portal de Microsoft Defender para crear directivas antimalware
En el portal de Microsoft Defender en https://security.microsoft.com, vaya a Email & Directivas de colaboración>& Reglas>Directivas de amenazas>antimalware en la sección Directivas. Para ir directamente a la página Antimalware , use https://security.microsoft.com/antimalwarev2.
En la página Antimalware , seleccione Crear para abrir el asistente para directivas antimalware.
En la página Asigne un nombre a la directiva, configure estas opciones:
- Nombre: escriba un nombre único y descriptivo para la directiva.
- Descripción: escriba una descripción opcional para la directiva.
Cuando haya terminado en la página Nombre de la directiva , seleccione Siguiente.
En la página Usuarios y dominios , identifique los destinatarios internos a los que se aplica la directiva (condiciones de destinatario):
- Usuarios: los buzones de correo, los usuarios de correo o los contactos de correo especificados.
-
Grupos:
- Miembros de los grupos de distribución especificados o grupos de seguridad habilitados para correo (no se admiten grupos de distribución dinámicos).
- Los Grupos de Microsoft 365 especificados.
- Dominios: todos los destinatarios de la organización con una dirección de correo electrónico principal en el dominio aceptado especificado.
Haga clic en el cuadro correspondiente, comience a escribir un valor y seleccione el valor que desee de los resultados. Repita este proceso tantas veces como sea necesario. Para quitar un valor existente, seleccione junto al valor.
Para los usuarios o grupos, puede usar la mayoría de los identificadores (nombre, nombre para mostrar, alias, dirección de correo electrónico, nombre de cuenta, etc.), pero el nombre para mostrar correspondiente se muestra en los resultados. Para los usuarios o grupos, escriba un asterisco (*) por sí mismo para ver todos los valores disponibles.
Puede usar una condición solo una vez, pero la condición puede contener varios valores:
Varios valores de la misma condición usan lógica OR (por ejemplo, <recipient1> o <recipient2>). Si el destinatario coincide con cualquiera de los valores especificados, se le aplica la directiva.
Los distintos tipos de condiciones usan lógica AND. El destinatario debe coincidir con todas las condiciones especificadas para que la directiva se aplique a ellos. Por ejemplo, configure una condición con los siguientes valores:
- Usuarios:
romain@contoso.com
- Grupos: Ejecutivos
La política se aplica solo
romain@contoso.com
si también es miembro del grupo Ejecutivos. De lo contrario, la directiva no se aplica a él.- Usuarios:
Excluir estos usuarios, grupos y dominios: para agregar excepciones a los destinatarios internos a los que se aplica la directiva (excepciones de destinatarios), seleccione esta opción y configure las excepciones.
Puede usar una excepción solo una vez, pero la excepción puede contener varios valores:
- Varios valores de la misma excepción usan lógica OR (por ejemplo, <recipient1> o <recipient2>). Si el destinatario coincide con cualquiera de los valores especificados, la directiva no se aplica a ellos.
- Los distintos tipos de excepciones usan lógica OR (por ejemplo, <recipient1> o <miembro de group1> o <miembro de domain1>). Si el destinatario coincide con cualquiera de los valores de excepción especificados, la directiva no se aplica a ellos.
Cuando haya terminado en la página Usuarios y dominios , seleccione Siguiente.
En la página Configuración de protección , configure los siguientes valores:
Sección configuración de protección :
Habilitar el filtro de datos adjuntos comunes: si selecciona esta opción, los mensajes con los datos adjuntos especificados se tratan como malware y se ponen en cuarentena automáticamente. Para modificar la lista, haga clic en Personalizar tipos de archivo y seleccione o anule la selección de valores en la lista.
Para ver los valores predeterminados y disponibles, consulte Filtro de datos adjuntos comunes en las directivas antimalware.
Cuando se encuentren estos tipos: seleccione uno de los valores siguientes:
- Rechazar el mensaje con un informe de no entrega (NDR) ( este es el valor predeterminado)
- Poner en cuarentena el mensaje
Habilitar la purga automática de cero horas para malware: si selecciona esta opción, ZAP pone en cuarentena los mensajes de malware que ya se han entregado. Para obtener más información, vea Purga automática de cero horas (ZAP) para malware.
Directiva de cuarentena: seleccione la directiva de cuarentena que se aplica a los mensajes que se ponen en cuarentena como malware. De forma predeterminada, la directiva de cuarentena denominada AdminOnlyAccessPolicy se usa para las detecciones de malware. Para obtener más información sobre esta directiva de cuarentena, consulte Anatomía de una directiva de cuarentena.
Sugerencia
Las notificaciones de cuarentena se deshabilitan en la directiva denominada AdminOnlyAccessPolicy. Para notificar a los destinatarios que tienen mensajes en cuarentena como malware, cree o use una directiva de cuarentena existente en la que las notificaciones de cuarentena estén activadas. Para obtener instrucciones, consulte Creación de directivas de cuarentena en el portal de Microsoft Defender.
Los usuarios no pueden liberar sus propios mensajes que se pusieron en cuarentena como malware mediante directivas antimalware, independientemente de cómo se configure la directiva de cuarentena. Si la directiva permite a los usuarios liberar sus propios mensajes en cuarentena, se permite a los usuarios solicitar la liberación de sus mensajes de malware en cuarentena.
Sección notificaciones :
Administración sección de notificaciones: seleccione ninguna, una o ambas de las siguientes opciones:
- Notificar a un administrador acerca de los mensajes no entregados de remitentes internos: si selecciona esta opción, escriba una dirección de correo electrónico de destinatario en el cuadro Administración dirección de correo electrónico que aparece.
- Notificar a un administrador acerca de los mensajes no entregados de remitentes externos: si selecciona esta opción, escriba una dirección de correo electrónico de destinatario en el cuadro Administración dirección de correo electrónico que aparece.
Sugerencia
Las notificaciones de administrador solo se envían para datos adjuntos que se clasifican como malware.
La directiva de cuarentena que se asigna a la directiva antimalware determina si los destinatarios reciben notificaciones por correo electrónico para los mensajes que se pusieron en cuarentena como malware.
Personalización de la sección de notificaciones : use la configuración de esta sección para personalizar las propiedades del mensaje que se usan para las notificaciones de administrador.
Usar texto de notificación personalizado: si selecciona esta opción, use los cuadros De nombre y Desde dirección que aparecen para especificar el nombre y la dirección de correo electrónico del remitente para los mensajes de notificación de administrador.
Personalización de notificaciones para mensajes de remitentes internos : si previamente seleccionó Notificar a un administrador acerca de los mensajes no entregados de remitentes internos, use los cuadros Asunto y Mensaje que aparecen en esta sección para especificar el asunto y el cuerpo del mensaje de los mensajes de notificación de administrador.
Personalización de notificaciones para mensajes de remitentes externos : si previamente seleccionó Notificar a un administrador sobre mensajes no entregados de remitentes externos, use los cuadros Asunto y Mensaje que aparecen en esta sección para especificar el asunto y el cuerpo del mensaje de los mensajes de notificación de administrador.
Cuando haya terminado en la página Configuración de protección , seleccione Siguiente.
En la página Revisar , revise la configuración. Puede seleccionar Editar en cada sección para modificar la configuración dentro de la sección. O bien, puede seleccionar Atrás o la página específica en el asistente.
Cuando haya terminado en la página Revisar , seleccione Enviar.
En la página Crear nueva directiva antimalware , puede seleccionar los vínculos para ver la directiva, ver directivas antimalware y obtener más información sobre las directivas antimalware.
Cuando haya terminado en la página Crear nueva directiva antimalware , seleccione Listo.
De nuevo en la página Antimalware , se muestra la nueva directiva.
Uso del portal de Microsoft Defender para ver los detalles de la directiva antimalware
En el portal de Microsoft Defender en https://security.microsoft.com, vaya a Email & Directivas de colaboración>& Reglas>Directivas de amenazas>antimalware en la sección Directivas. O bien, para ir directamente a la página Antimalware , use https://security.microsoft.com/antimalwarev2.
En la página Antimalware , se muestran las siguientes propiedades en la lista de directivas antimalware:
- Nombre
-
Estado: los valores son:
- Siempre activado para la directiva antimalware predeterminada.
- Activado o desactivado para otras directivas antimalware.
- Prioridad: para obtener más información, consulte la sección Establecer la prioridad de las directivas antimalware personalizadas .
Para cambiar la lista de directivas de espaciado normal a compacto, seleccione Cambiar espaciado de lista a compacto o normal y, a continuación, seleccione Lista compacta.
Use el cuadro Buscar y un valor correspondiente para buscar directivas antimalware específicas.
Use Exportar para exportar la lista de directivas a un archivo CSV.
Seleccione una directiva haciendo clic en cualquier lugar de la fila que no sea la casilla situada junto al nombre para abrir el control flotante de detalles de la directiva.
Sugerencia
Para ver detalles sobre otras directivas antimalware sin salir del control flotante de detalles, use el elemento Anterior y el elemento Siguiente en la parte superior del control flotante.
Uso del portal de Microsoft Defender para realizar acciones en las directivas antimalware
En el portal de Microsoft Defender en https://security.microsoft.com, vaya a Email & Directivas de colaboración>& Reglas>Directivas de amenazas>antimalware en la sección Directivas. Para ir directamente a la página Antimalware , use https://security.microsoft.com/antimalwarev2.
En la página Antimalware , seleccione la directiva antimalware mediante cualquiera de los métodos siguientes:
Seleccione la directiva de la lista seleccionando la casilla situada junto al nombre. Las siguientes acciones están disponibles en la lista desplegable Más acciones que aparece:
- Habilite las directivas seleccionadas.
- Deshabilite las directivas seleccionadas.
- Elimine las directivas seleccionadas.
Seleccione la directiva de la lista haciendo clic en cualquier lugar de la fila que no sea la casilla situada junto al nombre. Algunas o todas las acciones siguientes están disponibles en el control flotante de detalles que se abre:
- Para modificar la configuración de la directiva, haga clic en Editar en cada sección (directivas personalizadas o la directiva predeterminada)
- Activar o desactivar (solo directivas personalizadas)
- Aumentar la prioridad o reducir la prioridad (solo directivas personalizadas)
- Eliminar directiva (solo directivas personalizadas)
Las acciones se describen en las siguientes subsecciones.
Uso del portal de Microsoft Defender para modificar directivas antimalware
Después de seleccionar la directiva antimalware predeterminada o una directiva personalizada haciendo clic en cualquier lugar de la fila que no sea la casilla situada junto al nombre, la configuración de la directiva se muestra en el control flotante de detalles que se abre. Seleccione Editar en cada sección para modificar la configuración dentro de la sección. Para obtener más información sobre la configuración, consulte la sección Crear directivas antimalware anteriormente en este artículo.
Para la directiva predeterminada, no puede modificar el nombre de la directiva y no hay filtros de destinatarios que configurar (la directiva se aplica a todos los destinatarios). Sin embargo, puede modificar todas las demás opciones de configuración de la directiva.
Para las directivas antimalware denominadas Standard Preset Security Policy y Strict Preset Security Policy que están asociadas a directivas de seguridad preestablecidas, no puede modificar la configuración de la directiva en el control flotante de detalles. En su lugar, seleccione Ver directivas de seguridad preestablecidas en el control flotante de detalles para ir a la página Directivas de seguridad preestablecidas en https://security.microsoft.com/presetSecurityPolicies para modificar las directivas de seguridad preestablecidas.
Uso del portal de Microsoft Defender para habilitar o deshabilitar directivas antimalware personalizadas
No se puede deshabilitar la directiva antimalware predeterminada (siempre está habilitada).
No puede habilitar ni deshabilitar las directivas de antimalware asociadas a las directivas de seguridad preestablecidas Estándar y Estricta. Habilite o deshabilite las directivas de seguridad preestablecidas Estándar o Estricta en la página Directivas de seguridad preestablecidas en https://security.microsoft.com/presetSecurityPolicies.
Después de seleccionar una directiva antimalware personalizada habilitada (el valor De estado es Activado), use cualquiera de los métodos siguientes para deshabilitarla:
- En la página Antimalware : seleccione Más acciones>Deshabilitar directivas seleccionadas.
- En el control flotante de detalles de la directiva: seleccione Desactivar en la parte superior del control flotante.
Después de seleccionar una directiva de antimalware personalizada deshabilitada (el valor Status es Off), use cualquiera de los métodos siguientes para habilitarla:
- En la página Antimalware : seleccione Más acciones>Habilitar directivas seleccionadas.
- En el control flotante de detalles de la directiva: seleccione Activar en la parte superior del control flotante.
En la página Antimalware , el valor Estado de la directiva ahora es Activado o Desactivado.
Uso del portal de Microsoft Defender para establecer la prioridad de las directivas antimalware personalizadas
Las directivas antimalware se procesan en el orden en que se muestran en la página Antimalware :
- La directiva antimalware denominada Directiva de seguridad preestablecida estricta asociada a la directiva de seguridad preestablecida Estricta siempre se aplica primero (si la directiva de seguridad preestablecida Estricta está habilitada).
- La directiva antimalware denominada Directiva de seguridad preestablecida estándar asociada a la directiva de seguridad preestablecida Estándar siempre se aplica a continuación (si la directiva de seguridad preestablecida Estándar está habilitada).
- Las directivas antimalware personalizadas se aplican a continuación en orden de prioridad (si están habilitadas):
- Un valor de prioridad inferior indica una prioridad más alta (0 es la más alta).
- De forma predeterminada, se crea una nueva directiva con una prioridad inferior a la directiva personalizada más baja existente (la primera es 0, la siguiente es 1, etcetera).
- Ninguna de las dos directivas puede tener el mismo valor de prioridad.
- La directiva antimalware predeterminada siempre tiene el valor de prioridad Más bajo y no se puede cambiar.
La protección contra malware se detiene para un destinatario después de aplicar la primera directiva (la directiva de mayor prioridad para ese destinatario). Para obtener más información, vea Orden y prioridad de la protección por correo electrónico.
Después de seleccionar la directiva antimalware personalizada haciendo clic en cualquier parte de la fila que no sea la casilla situada junto al nombre, puede aumentar o reducir la prioridad de la directiva en el control flotante de detalles que se abre:
- La directiva personalizada con el valor De prioridad0 en la página Antimalware tiene la acción Reducir prioridad en la parte superior del control flotante de detalles.
- La directiva personalizada con la prioridad más baja (valor de prioridad más alta; por ejemplo, 3) tiene la acción Aumentar prioridad en la parte superior del control flotante de detalles.
- Si tiene tres o más directivas, las directivas entre la prioridad 0 y la prioridad más baja tienen las acciones Aumentar prioridad y Reducir prioridad en la parte superior del control flotante de detalles.
Cuando haya terminado en el control flotante de detalles de la directiva, seleccione Cerrar.
De nuevo en la página Antimalware , el orden de la directiva de la lista coincide con el valor de Prioridad actualizado.
Uso del portal de Microsoft Defender para quitar directivas antimalware personalizadas
No puede quitar la directiva antimalware predeterminada ni las directivas antimalware denominadas Directiva de seguridad preestablecida estándar y Directiva de seguridad preestablecida estricta asociadas a directivas de seguridad preestablecidas.
Después de seleccionar la directiva antimalware personalizada, use cualquiera de los métodos siguientes para quitarla:
- En la página Antimalware : seleccione Más acciones>Eliminar directivas seleccionadas.
- En el control flotante de detalles de la directiva: seleccione Eliminar directiva en la parte superior del control flotante.
Seleccione Sí en el cuadro de diálogo de advertencia que se abre.
En la página Antimalware , la directiva eliminada ya no aparece.
Usar Exchange Online PowerShell o PowerShell EOP independiente para configurar directivas antimalware
En PowerShell, los elementos básicos de una directiva antimalware son:
- La directiva de filtro de malware: especifica la notificación del destinatario, la notificación de remitente y administrador, ZAP y la configuración de filtro de datos adjuntos comunes.
- Regla de filtro de malware: especifica la prioridad y los filtros de destinatario (a los que se aplica la directiva) para una directiva de filtro de malware.
La diferencia entre estos dos elementos no es obvia cuando se administran directivas antimalware en el portal de Microsoft Defender:
- Al crear una directiva antimalware en el portal de Defender, en realidad está creando una regla de filtro de malware y la directiva de filtro de malware asociada al mismo tiempo con el mismo nombre para ambos.
- Al modificar una directiva antimalware en el portal de Defender, la configuración relacionada con el nombre, la prioridad, habilitada o deshabilitada y los filtros de destinatarios modifican la regla de filtro de malware. Otras configuraciones (notificación de destinatario, notificación de remitente y administrador, ZAP y el filtro de datos adjuntos comunes) modifican la directiva de filtro de malware asociada.
- Al quitar una directiva antimalware del portal de Defender, la regla de filtro de malware y la directiva de filtro de malware asociada se quitan al mismo tiempo.
En Exchange Online PowerShell o PowerShell EOP independiente, la diferencia entre las directivas de filtro de malware y las reglas de filtro de malware es evidente. Las directivas de filtro de malware se administran mediante los cmdlets *-MalwareFilterPolicy y se administran las reglas de filtro de malware mediante los cmdlets *-MalwareFilterRule .
- En PowerShell, primero se crea la directiva de filtro de malware y, a continuación, se crea la regla de filtro de malware que identifica la directiva a la que se aplica la regla.
- En PowerShell, modifica la configuración de la directiva de filtro de malware y la regla de filtro de malware por separado.
- Al quitar una directiva de filtro de malware de PowerShell, la regla de filtro de malware correspondiente no se quita automáticamente y viceversa.
Uso de PowerShell para crear directivas antimalware
La creación de una directiva contra correo no deseado en PowerShell es un proceso de dos pasos:
- Crear la directiva de filtro de malware.
- Cree la regla de filtro de malware que especifica la directiva de filtro de malware a la que se aplica la regla.
Notas:
- Puede crear una nueva regla de filtro de malware y asignar una directiva de filtro de malware existente sin asociar. Una regla de filtro de malware no se puede asociar a más de una directiva de filtro de malware.
- Hay dos opciones que puede configurar en las nuevas directivas antimalware en PowerShell que no están disponibles en el portal de Microsoft Defender hasta después de crear la directiva:
- Crear la nueva directiva como deshabilitada (Habilitada
$false
en el cmdlet New-HostedContentFilterRule). - Establecer la prioridad de la directiva durante la creación (Priority<Number>) en el cmdlet New-SafeLinksRule).
- Crear la nueva directiva como deshabilitada (Habilitada
- Una nueva directiva de filtro de malware que cree en PowerShell no será visible en el portal de Microsoft Defender hasta que asigne la directiva a una regla de filtro de malware.
Paso 1: Uso de PowerShell para crear una directiva de filtro de correo no deseado
Para crear una directiva de filtro de malware, use esta sintaxis:
New-MalwareFilterPolicy -Name "<PolicyName>" [-AdminDisplayName "<OptionalComments>"] [-EnableFileFilter <$true | $false>] [-FileTypeAction <Reject | Quarantine>] [-FileTypes FileType1,FileType2,...FileTypeN] [-CustomNotifications <$true | $false>] [<Inbound notification options>] [<Outbound notification options>] [-QuarantineTag <QuarantineTagName>]
En este ejemplo se crea una nueva directiva de filtro de malware denominada Contoso Malware Filter Policy con esta configuración:
- Notificar admin@contoso.com cuando se detecta malware en un mensaje de un remitente interno.
- El filtro de datos adjuntos comunes está habilitado (
-EnableFileFilter $true
) y se usa la lista predeterminada de tipos de archivo (no se usa el parámetro FileTypes ). - Los mensajes detectados por el filtro de datos adjuntos comunes se rechazan con un NDR (no se usa el parámetro FileTypeAction y el valor predeterminado es
Reject
). - Se usa la directiva de cuarentena predeterminada para las detecciones de malware (no se usa el parámetro QuarantineTag ).
New-MalwareFilterPolicy -Name "Contoso Malware Filter Policy" -EnableFileFilter $true -EnableInternalSenderAdminNotifications $true -InternalSenderAdminAddress admin@contoso.com
Para obtener información detallada sobre la sintaxis y los parámetros, consulte New-MalwareFilterPolicy.
Paso 2: Uso de PowerShell para crear una regla de filtro de malware
Para crear una regla de filtro de malware, use esta sintaxis:
New-MalwareFilterRule -Name "<RuleName>" -MalwareFilterPolicy "<PolicyName>" <Recipient filters> [<Recipient filter exceptions>] [-Comments "<OptionalComments>"]
En este ejemplo se crea una nueva regla de filtro de malware denominada Contoso Recipients con esta configuración:
- La directiva de filtro de malware denominada Contoso Malware Filter Policy está asociada a la regla.
- La regla se aplica a todos los destinatarios del dominio contoso.com.
New-MalwareFilterRule -Name "Contoso Recipients" -MalwareFilterPolicy "Contoso Malware Filter Policy" -RecipientDomainIs contoso.com
Para obtener información detallada sobre la sintaxis y los parámetros, vea New-MalwareFilterRule.
Uso de PowerShell para ver las directivas de filtro de malware
Para devolver una lista de resumen de todas las directivas de filtro de malware, ejecute este comando:
Get-MalwareFilterPolicy
Para devolver información detallada sobre una directiva de filtro de malware específica, use esta sintaxis:
Get-MalwareFilterPolicy -Identity "<PolicyName>" | Format-List [<Specific properties to view>]
En este ejemplo se devuelven todos los valores de propiedad de la directiva de filtro de malware denominada Ejecutivos.
Get-MalwareFilterPolicy -Identity "Executives" | Format-List
En este ejemplo solo se devuelven las propiedades especificadas para la misma directiva.
Get-MalwareFilterPolicy -Identity "Executives" | Format-List Action,AdminDisplayName,CustomNotifications,Enable*Notifications
Para obtener información detallada sobre la sintaxis y los parámetros, consulte Get-MalwareFilterPolicy.
Uso de PowerShell para ver las reglas de filtro de malware
Para devolver una lista de resumen de todas las reglas de filtro de malware, ejecute este comando:
Get-MalwareFilterRule
Para filtrar la lista mediante las reglas habilitadas o deshabilitadas, ejecute los siguientes comandos:
Get-MalwareFilterRule -State Disabled
Get-MalwareFilterRule -State Enabled
Para devolver información detallada sobre una regla de filtro de malware específica, use esta sintaxis:
Get-MalwareFilterRule -Identity "<RuleName>" | Format-List [<Specific properties to view>]
En este ejemplo se devuelven todos los valores de propiedad de la regla de filtro de malware denominada Ejecutivos.
Get-MalwareFilterRule -Identity "Executives" | Format-List
En el ejemplo solo se devuelven las propiedades especificadas para la misma regla.
Get-MalwareFilterRule -Identity "Executives" | Format-List Name,Priority,State,MalwareFilterPolicy,*Is,*SentTo,*MemberOf
Para obtener información detallada sobre la sintaxis y los parámetros, consulte Get-MalwareFilterRule.
Uso de PowerShell para modificar directivas de filtro de malware
Aparte de los siguientes elementos, la misma configuración está disponible al modificar una directiva de filtro de malware en PowerShell que al crear la directiva, como se describe en la sección Paso 1: Uso de PowerShell para crear una directiva de filtro de malware anterior en este artículo.
- El modificador MakeDefault que convierte la directiva especificada en la directiva predeterminada (aplicada a todos, prioridad mínima no modificable y no se puede eliminar) solo está disponible cuando se modifica una directiva de filtro de malware en PowerShell.
- No se puede cambiar el nombre de una directiva de filtro de malware (el cmdlet Set-MalwareFilterPolicy no tiene ningún parámetro Name ). Al cambiar el nombre de una directiva antimalware en el portal de Microsoft Defender, solo se cambia el nombre de la regla de filtro de malware.
Para modificar una directiva de filtro de malware, use esta sintaxis:
Set-MalwareFilterPolicy -Identity "<PolicyName>" <Settings>
Para obtener información detallada sobre la sintaxis y los parámetros, consulte Set-MalwareFilterPolicy.
Sugerencia
Para obtener instrucciones detalladas para especificar la directiva de cuarentena que se usará en una directiva de filtro de malware, consulte Uso de PowerShell para especificar la directiva de cuarentena en directivas antimalware.
Uso de PowerShell para modificar las reglas de filtro de malware
La única configuración que no está disponible al modificar una regla de filtro de malware en PowerShell es el parámetro Enabled que permite crear una regla deshabilitada. Para habilitar o deshabilitar las reglas de filtro de malware existentes, consulte la sección siguiente.
De lo contrario, no hay ninguna configuración adicional disponible al modificar una regla de filtro de malware en PowerShell. La misma configuración está disponible al crear una regla como se describe en la sección Paso 2: Usar PowerShell para crear una regla de filtro de malware anteriormente en este artículo.
Para modificar una regla de filtro de malware, use esta sintaxis:
Set-MalwareFilterRule -Identity "<RuleName>" <Settings>
Para obtener información detallada sobre la sintaxis y los parámetros, consulte Set-MalwareFilterRule.
Uso de PowerShell para habilitar o deshabilitar reglas de filtro de malware
La habilitación o deshabilitación de una regla de filtro de malware en PowerShell habilita o deshabilita toda la directiva antimalware (la regla de filtro de malware y la directiva de filtro de malware asignada). No se puede habilitar ni deshabilitar la directiva antimalware predeterminada (siempre se aplica a todos los destinatarios).
Para habilitar o deshabilitar una regla de filtro de malware en PowerShell, use esta sintaxis:
<Enable-MalwareFilterRule | Disable-MalwareFilterRule> -Identity "<RuleName>"
En este ejemplo se deshabilita la regla de filtro de malware denominada Departamento de marketing.
Disable-MalwareFilterRule -Identity "Marketing Department"
Este ejemplo habilita la misma regla.
Enable-MalwareFilterRule -Identity "Marketing Department"
Para obtener información detallada sobre la sintaxis y los parámetros, vea Enable-MalwareFilterRule y Disable-MalwareFilterRule.
Uso de PowerShell para establecer la prioridad de las reglas de filtro de malware
El valor de prioridad máximo que se puede establecer en una regla es 0. El valor mínimo que se puede establecer depende del número de reglas. Por ejemplo, si tiene cinco reglas, puede usar los valores de prioridad del 0 al 4. El cambio de prioridad de una regla existente puede tener un efecto cascada en otras reglas. Por ejemplo, si tiene cinco reglas personalizadas (prioridades del 0 al 4) y cambia la prioridad de una regla a 2, la regla existente de prioridad 2 cambia a prioridad 3 y la regla de prioridad 3 cambia a prioridad 4.
Para establecer la prioridad de una regla de filtro de malware en PowerShell, use la sintaxis siguiente:
Set-MalwareFilterRule -Identity "<RuleName>" -Priority <Number>
Este ejemplo establece la prioridad de la regla denominada Marketing Department en 2. Todas las reglas existentes que tienen una prioridad menor o igual a 2 se reducen en 1 (sus números de prioridad aumentan en 1).
Set-MalwareFilterRule -Identity "Marketing Department" -Priority 2
Sugerencia
Para establecer la prioridad de una nueva regla al crearla, use el parámetro Priority en el cmdlet New-MalwareFilterRule en su lugar.
La directiva de filtro de malware predeterminada no tiene una regla de filtro de malware correspondiente y siempre tiene el valor de prioridad no modificable Más bajo.
Uso de PowerShell para quitar directivas de filtro de malware
Cuando se usa PowerShell para quitar una directiva de filtro de malware, no se quita la regla de filtro de malware correspondiente.
Para quitar una directiva de filtro de malware en PowerShell, use esta sintaxis:
Remove-MalwareFilterPolicy -Identity "<PolicyName>"
En este ejemplo se quita la directiva de filtro de malware denominada Departamento de marketing.
Remove-MalwareFilterPolicy -Identity "Marketing Department"
Para obtener información detallada sobre la sintaxis y los parámetros, consulte Remove-MalwareFilterPolicy.
Uso de PowerShell para quitar reglas de filtro de malware
Cuando se usa PowerShell para quitar una regla de filtro de malware, no se quita la directiva de filtro de malware correspondiente.
Para quitar una regla de filtro de malware en PowerShell, use esta sintaxis:
Remove-MalwareFilterRule -Identity "<PolicyName>"
En este ejemplo se quita la regla de filtro de malware denominada Departamento de marketing.
Remove-MalwareFilterRule -Identity "Marketing Department"
Para obtener información detallada sobre la sintaxis y los parámetros, vea Remove-MalwareFilterRule.
¿Cómo saber si estos procedimientos han funcionado?
Use el archivo EICAR.TXT para comprobar la configuración de la directiva antimalware.
Importante
El archivo EICAR.TXT no es un virus. El Instituto Europeo de Investigación de Antivirus Informáticos (EICAR) desarrolló este archivo para probar de forma segura las soluciones antivirus.
Abra el Bloc de notas y pegue el texto siguiente en un archivo vacío:
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
Asegúrese de que estos caracteres son el único texto del archivo. El tamaño del archivo debe ser de 68 bytes.
Guarde el archivo como EICAR.TXT
En el programa antivirus de escritorio, asegúrese de excluir el EICAR.TXT del examen (de lo contrario, el archivo se pondrá en cuarentena).
Envíe un mensaje de correo electrónico que contenga el archivo EICAR.TXT como datos adjuntos, mediante un cliente de correo electrónico que no bloqueará automáticamente el archivo y mediante un servicio de correo electrónico que no bloquee automáticamente el correo no deseado saliente. Use la configuración de la directiva antimalware para determinar los siguientes escenarios para probar:
- Correo electrónico de un buzón interno a un destinatario interno.
- Correo electrónico de un buzón interno a un destinatario externo.
- Correo electrónico de un buzón externo a un destinatario interno.
Compruebe que el mensaje se puso en cuarentena y compruebe los resultados de la notificación de administración en función de la configuración de la directiva antimalware. Por ejemplo, la dirección de correo electrónico del administrador que especificó recibe una notificación para los remitentes de mensajes internos o externos, con los mensajes de notificación predeterminados o personalizados.
Elimine el archivo EICAR.TXT una vez completadas las pruebas (para que otros usuarios no se alarmen innecesariamente por él).