Configuración de Windows que puede administrar a través de un perfil de Intune Endpoint Protection

Artigo
11/14/2023

Nota:

Intune puede admitir más opciones de configuración que las que se enumeran en este artículo. No todas las configuraciones están documentadas y no se documentarán. Para ver la configuración que puede configurar, cree una directiva de configuración de dispositivo y seleccione Catálogo de configuración. Para más información, vaya al Catálogo de configuraciones.

Microsoft Intune incluye muchas opciones de configuración para ayudar a proteger los dispositivos. En este artículo se describen los valores de la plantilla endpoint protection de configuración de dispositivo. Para administrar la seguridad del dispositivo, también puede usar directivas de seguridad de punto de conexión, que se centran directamente en subconjuntos de seguridad de dispositivos. Para configurar el Antivirus de Microsoft Defender, consulte Restricciones de dispositivos Windows o usar la directiva antivirus de seguridad de punto de conexión.

Antes de empezar

Cree un perfil de configuración de dispositivo de Endpoint Protection.

Para obtener más información sobre los proveedores de servicios de configuración (CSP), consulte Referencia del proveedor de servicios de configuración.

Protección de aplicaciones de Microsoft Defender

Para Microsoft Edge, Protección de aplicaciones de Microsoft Defender protege su entorno frente a sitios de confianza para su organización. Con Application Guard, los sitios que no están en el límite de red aislado se abren en una sesión de exploración virtual de Hyper-V. Los sitios de confianza se definen mediante un límite de red, que se configuran en Configuración del dispositivo. Para obtener más información, consulte Creación de un límite de red en dispositivos Windows.

Application Guard solo está disponible para dispositivos Windows de 64 bits. Con este perfil se instala un componente win32 para activar Application Guard.

Protección de aplicaciones
Valor predeterminado: no configurado
CSP de Application Guard: Configuración/AllowWindowsDefenderApplicationGuard
- Habilitado para Edge : activa esta característica, que abre sitios que no son de confianza en un contenedor de exploración virtualizada de Hyper-V.
- No configurado : cualquier sitio (de confianza y que no sea de confianza) puede abrirse en el dispositivo.
Comportamiento del Portapapeles
Valor predeterminado: no configurado
CSP de Application Guard: Configuración/PortapapelesSettings

Elija qué acciones de copiar y pegar se permiten entre el equipo local y el explorador virtual de Application Guard.
- Sin configurar
- Permitir copiar y pegar solo desde pc a explorador
- Permitir copiar y pegar solo desde el explorador al equipo
- Permitir copiar y pegar entre pc y explorador
- Bloquear copiar y pegar entre pc y explorador
Contenido del Portapapeles
Esta configuración solo está disponible cuando el comportamiento del Portapapeles se establece en una de las opciones de permitir .
Valor predeterminado: no configurado
CSP de Application Guard: Configuración/ClipboardFileType

Seleccione el contenido del Portapapeles permitido.
- Sin configurar
- Text
- Images
- Texto e imágenes
Contenido externo en sitios empresariales
Valor predeterminado: no configurado
CSP de Application Guard: Configuración/BlockNonEnterpriseContent
- Bloquear : impedir que se cargue contenido de sitios web no aprobados.
- No configurado : los sitios no empresariales se pueden abrir en el dispositivo.
Imprimir desde el explorador virtual
Valor predeterminado: no configurado
CSP de Application Guard: Configuración/PrintingSettings
- Permitir : permite la impresión del contenido seleccionado desde el explorador virtual.
- No configurado Deshabilite todas las características de impresión.
Al permitir la impresión, puede configurar el siguiente valor:
- Tipos de impresión Seleccione una o varias de las siguientes opciones:
  - PDF
  - XPS
  - Impresoras locales
  - Impresoras de red
Recopilación de registros
Valor predeterminado: no configurado
CSP de Application Guard: Audit/AuditApplicationGuard
- Permitir : recopile registros de eventos que se producen dentro de una sesión de exploración de Application Guard.
- No configurado : no recopile ningún registro dentro de la sesión de exploración.
Conservar los datos del explorador generados por el usuario
Valor predeterminado: no configurado
CSP de Application Guard: Configuración/AllowPersistence
- Conceder Guarde los datos de usuario (como contraseñas, favoritos y cookies) que se crean durante una sesión de exploración virtual de Application Guard.
- No configurado Descarte los archivos y datos descargados por el usuario cuando se reinicie el dispositivo o cuando un usuario cierre la sesión.
Aceleración de gráficos
Valor predeterminado: no configurado
CSP de Application Guard: Configuración/AllowVirtualGPU
- Habilitar : cargue sitios web y vídeos de uso intensivo de gráficos más rápido al obtener acceso a una unidad de procesamiento de gráficos virtual.
- No configurado Use la CPU del dispositivo para gráficos; No use la unidad de procesamiento de gráficos virtuales.
Descarga de archivos en el sistema de archivos host
Valor predeterminado: no configurado
CSP de Application Guard: Configuración/SaveFilesToHost
- Habilitar : los usuarios pueden descargar archivos del explorador virtualizado en el sistema operativo host.
- No configurado : mantiene los archivos locales en el dispositivo y no descarga archivos en el sistema de archivos host.

Firewall de Windows

Configuración global

Esta configuración se aplica a todos los tipos de red.

Protocolo de transferencia de archivos
Valor predeterminado: no configurado
CSP de firewall: MdmStore/Global/DisableStatefulFtp
- Bloquear : deshabilite FTP con estado.
- No configurado : el firewall realiza el filtrado FTP con estado para permitir conexiones secundarias.
Tiempo de inactividad de la asociación de seguridad antes de la eliminación
Valor predeterminado: no configurado
CSP de firewall: MdmStore/Global/SaIdleTime

Especifique un tiempo de inactividad en segundos, después del cual se eliminan las asociaciones de seguridad.
Codificación de clave previamente compartida
Valor predeterminado: no configurado
CSP de firewall: MdmStore/Global/PresharedKeyEncoding
- Habilitar : codificación de claves escuchadas previamente mediante UTF-8.
- No configurado : codifique las claves escuchadas previamente mediante el valor de almacén local.
Exenciones de IPsec
Valor predeterminado: 0 seleccionado
CSP de firewall: MdmStore/Global/IPsecExempt

Seleccione uno o varios de los siguientes tipos de tráfico para que estén exentos de IPsec:
- Los vecinos detectan códigos de tipo ICMP de IPv6
- ICMP
- El enrutador detecta códigos de tipo ICMP IPv6
- Tráfico de red DHCP de IPv4 e IPv6
Comprobación de la lista de revocación de certificados
Valor predeterminado: no configurado
CSP de firewall: MdmStore/Global/CRLcheck

Elija cómo comprueba el dispositivo la lista de revocación de certificados. Entre las opciones se incluyen:
- Deshabilitación de la comprobación de CRL
- Error en la comprobación de CRL solo en el certificado revocado
- Error de comprobación de CRL en cualquier error encontrado.
Coincidencia oportunista del conjunto de autenticación por módulo de claves
Valor predeterminado: no configurado
CSP de firewall: MdmStore/Global/OpportunisticallyMatchAuthSetPerKM
- Habilitar Los módulos de claves solo deben omitir los conjuntos de autenticación que no admiten.
- Sin configurar, los módulos de keying deben omitir todo el conjunto de autenticación si no admiten todos los conjuntos de autenticación especificados en el conjunto.
Cola de paquetes
Valor predeterminado: no configurado
CSP de firewall: MdmStore/Global/EnablePacketQueue

Especifique cómo se habilita el escalado de software en el lado de recepción para la recepción cifrada y el reenvío de texto no cifrado para el escenario de puerta de enlace de túnel IPsec. Esta configuración confirma que se conserva el orden del paquete. Entre las opciones se incluyen:
- Sin configurar
- Deshabilitación de todas las colas de paquetes
- Cola solo de paquetes cifrados entrantes
- Paquetes de cola después de realizar el descifrado solo para el reenvío
- Configuración de paquetes entrantes y salientes

Configuración de red

Las siguientes opciones de configuración se enumeran en este artículo una sola vez, pero todas se aplican a los tres tipos de red específicos:

Red de dominio (área de trabajo)
Red privada (reconocible)
Red pública (no detectable)

General

Firewall de Windows
Valor predeterminado: no configurado
CSP de firewall: EnableFirewall
- Habilitar : active el firewall y la seguridad avanzada.
- No configurado Permite todo el tráfico de red, independientemente de cualquier otra configuración de directiva.
Modo sigiloso
Valor predeterminado: no configurado
CSP de firewall: DisableStealthMode
- Sin configurar
- Bloquear : el firewall no funciona en modo sigiloso. Bloquear el modo sigiloso permite también bloquear la exención de paquetes protegidos por IPsec.
- Permitir : el firewall funciona en modo sigiloso, lo que ayuda a evitar respuestas a las solicitudes de sondeo.
Exención de paquetes protegidos por IPsec con modo sigiloso
Valor predeterminado: no configurado
CSP de firewall: DisableStealthModeIpsecSecuredPacketExemption

Esta opción se omite si el modo sigiloso está establecido en Bloquear.
- Sin configurar
- Bloquear : los paquetes protegidos con IPSec no reciben exenciones.
- Permitir : habilitar exenciones. El modo sigiloso del firewall NO DEBE impedir que el equipo host responda al tráfico de red no solicitado protegido por IPsec.
Apantallado
Valor predeterminado: no configurado
CSP de firewall: blindada
- Sin configurar
- Bloquear : cuando firewall de Windows está activado y esta configuración está establecida en Bloquear, todo el tráfico entrante se bloquea, independientemente de la configuración de otra directiva.
- Permitir : cuando se establece en Permitir, esta configuración está desactivada y se permite el tráfico entrante en función de otras opciones de configuración de directiva.
Respuestas de unidifusión a difusiones de multidifusión
Valor predeterminado: no configurado
CSP de firewall: DisableUnicastResponsesToMulticastBroadcast

Normalmente, no desea recibir respuestas de unidifusión a mensajes de multidifusión o difusión. Estas respuestas pueden indicar un ataque de denegación de servicio (DOS) o un atacante que intenta sondear un equipo en directo conocido.
- Sin configurar
- Bloquear : deshabilite las respuestas de unidifusión a las difusiones de multidifusión.
- Permitir : permitir respuestas de unidifusión a difusiones de multidifusión.
Notificaciones entrantes
Valor predeterminado: no configurado
CSP de firewall: DisableInboundNotifications
- Sin configurar
- Bloquear : oculta las notificaciones que se usan cuando se bloquea la escucha de una aplicación en un puerto.
- Permitir : habilita esta configuración y puede mostrar una notificación a los usuarios cuando se impide que una aplicación escuche en un puerto.
Acción predeterminada para las conexiones salientes
Valor predeterminado: no configurado
CSP de firewall: DefaultOutboundAction

Configure el firewall de acciones predeterminado que realiza en las conexiones salientes. Esta configuración se aplicará a la versión 1809 de Windows y versiones posteriores.
- Sin configurar
- Bloquear : la acción de firewall predeterminada no se ejecuta en el tráfico saliente a menos que se especifique explícitamente que no se bloquee.
- Permitir : las acciones de firewall predeterminadas se ejecutan en las conexiones salientes.
Acción predeterminada para las conexiones entrantes
Valor predeterminado: no configurado
CSP de firewall: DefaultInboundAction
- Sin configurar
- Bloquear : la acción de firewall predeterminada no se ejecuta en las conexiones entrantes.
- Permitir : las acciones de firewall predeterminadas se ejecutan en las conexiones entrantes.

Combinación de reglas

Reglas de Firewall de Windows de la aplicación autorizada desde el almacén local
Valor predeterminado: no configurado
CSP de firewall: AuthAppsAllowUserPrefMerge
- Sin configurar
- Bloquear : las reglas de firewall de aplicaciones autorizadas en el almacén local se omiten y no se aplican.
- Permitir : la opción Habilitar aplica reglas de firewall en el almacén local para que se reconozcan y se apliquen.
Reglas de Firewall de Windows de puerto global desde el almacén local
Valor predeterminado: no configurado
CSP de firewall: GlobalPortsAllowUserPrefMerge
- Sin configurar
- Bloquear : las reglas globales de firewall de puertos del almacén local se omiten y no se aplican.
- Permitir : aplique reglas de firewall de puerto global en el almacén local para que se reconozcan y se apliquen.
Reglas de Firewall de Windows desde el almacén local
Valor predeterminado: no configurado
CSP de firewall: AllowLocalPolicyMerge
- Sin configurar
- Bloquear : las reglas de firewall del almacén local se omiten y no se aplican.
- Permitir : aplique reglas de firewall en el almacén local para que se reconozcan y se apliquen.
Reglas de IPsec desde el almacén local
Valor predeterminado: no configurado
CSP de firewall: AllowLocalIpsecPolicyMerge
- Sin configurar
- Bloquear : las reglas de seguridad de conexión del almacén local se omiten y no se aplican, independientemente de la versión del esquema y la versión de la regla de seguridad de conexión.
- Permitir : aplique reglas de seguridad de conexión desde el almacén local, independientemente de las versiones de reglas de seguridad de conexión o esquema.

Reglas de firewall

Puede agregar una o varias reglas de firewall personalizadas. Para obtener más información, vea Agregar reglas de firewall personalizadas para dispositivos Windows.

Las reglas de firewall personalizadas admiten las siguientes opciones:

Configuración general

Nombre
Valor predeterminado: sin nombre

Especifique un nombre descriptivo para la regla. Este nombre aparecerá en la lista de reglas para ayudarle a identificarlo.
Descripción
Valor predeterminado: sin descripción

Proporcione una descripción de la regla.
Dirección
Valor predeterminado: no configurado
CSP de firewall: FirewallRules/FirewallRuleName/Direction

Especifique si esta regla se aplica al tráfico entrante o saliente . Cuando se establece como No configurado, la regla se aplica automáticamente al tráfico saliente.
Action
Valor predeterminado: no configurado
CSP de firewall: FirewallRules/FirewallRuleName/Action y FirewallRules/FirewallRuleName/Action/Type

Seleccione en Permitir o Bloquear. Cuando se establece como No configurado, la regla permite el tráfico de forma predeterminada.
Tipo de red
Valor predeterminado: 0 seleccionado
CSP de firewall: FirewallRules/FirewallRuleName/Profiles

Seleccione hasta tres tipos de tipos de red a los que pertenece esta regla. Las opciones incluyen Dominio, Privado y Público. Si no se selecciona ningún tipo de red, la regla se aplica a los tres tipos de red.

Configuración de aplicaciones

Aplicaciones
Valor predeterminado: Todo

Controlar las conexiones de una aplicación o programa. Las aplicaciones y programas se pueden especificar por ruta de acceso de archivo, nombre de familia de paquete o nombre de servicio:
- Nombre de familia del paquete: especifique un nombre de familia de paquete. Para buscar el nombre de la familia del paquete, use el comando de PowerShell Get-AppxPackage.
  CSP de firewall: FirewallRules/FirewallRuleName/App/PackageFamilyName
- Ruta de acceso de archivo: debe especificar una ruta de acceso de archivo a una aplicación en el dispositivo cliente, que puede ser una ruta de acceso absoluta o una ruta de acceso relativa. Por ejemplo: C:\Windows\System\Notepad.exe o %WINDIR%\Notepad.exe.
  CSP de firewall: FirewallRules/FirewallRuleName/App/FilePath
- Servicio de Windows : especifique el nombre corto del servicio de Windows si es un servicio y no una aplicación que envía o recibe tráfico. Para buscar el nombre corto del servicio, use el comando Get-Service de PowerShell.
  CSP de firewall: FirewallRules/FirewallRuleName/App/ServiceName
- Todo: no se requiere ninguna configuración

Configuración de direcciones IP

Especifique las direcciones locales y remotas a las que se aplica esta regla.

Direcciones locales
Valor predeterminado: cualquier dirección
CSP de firewall: FirewallRules/FirewallRuleName/LocalPortRanges

Seleccione Cualquier dirección o Dirección especificada.

Cuando se usa la dirección especificada, se agregan una o varias direcciones como una lista separada por comas de direcciones locales que están cubiertas por la regla. Los tokens válidos incluyen:
- Use un asterisco * para cualquier dirección local. Si usa un asterisco, debe ser el único token que use.
- Especifique una subred mediante la notación de prefijo de red o la máscara de subred. Si no se especifica una máscara de subred o un prefijo de red, el valor predeterminado de la máscara de subred es 255.255.255.255.
- Una dirección IPv6 válida.
- Intervalo de direcciones IPv4 con el formato de "dirección de inicio - dirección final" sin espacios incluidos.
- Intervalo de direcciones IPv6 con el formato "dirección de inicio - dirección final" sin espacios incluidos.
Direcciones remotas
Valor predeterminado: cualquier dirección
CSP de firewall: FirewallRules/FirewallRuleName/RemoteAddressRanges

Seleccione Cualquier dirección o Dirección especificada.

Cuando se usa la dirección especificada, se agregan una o varias direcciones como una lista separada por comas de direcciones remotas que están cubiertas por la regla. Los tokens no distinguen mayúsculas de minúsculas. Los tokens válidos incluyen:
- Use un asterisco "*" para cualquier dirección remota. Si usa un asterisco, debe ser el único token que use.
- Defaultgateway
- DHCP
- DNS
- WINS
- Intranet (compatible con las versiones 1809 y posteriores de Windows)
- RmtIntranet (compatible con las versiones 1809 y posteriores de Windows)
- Internet (compatible con las versiones 1809 y posteriores de Windows)
- Ply2Renders (compatible con las versiones 1809 y posteriores de Windows)
- LocalSubnet indica cualquier dirección local en la subred local.
- Especifique una subred mediante la notación de prefijo de red o la máscara de subred. Si no se especifica una máscara de subred o un prefijo de red, el valor predeterminado de la máscara de subred es 255.255.255.255.
- Una dirección IPv6 válida.
- Intervalo de direcciones IPv4 con el formato de "dirección de inicio - dirección final" sin espacios incluidos.
- Intervalo de direcciones IPv6 con el formato "dirección de inicio - dirección final" sin espacios incluidos.

Configuración de puertos y protocolos

Especifique los puertos locales y remotos a los que se aplica esta regla.

Protocolo
Valor predeterminado: Cualquiera
CSP de firewall: FirewallRules/FirewallRuleName/Protocol
Seleccione una de las siguientes opciones y complete las configuraciones necesarias:
- Todo : no hay ninguna configuración disponible.
- TCP : configure los puertos locales y remotos. Ambas opciones admiten Todos los puertos o Puertos especificados. Escriba Puertos especificados mediante una lista separada por comas.
  - Puertos locales : CSP de firewall: FirewallRules/FirewallRuleName/LocalPortRanges
  - Puertos remotos : CSP de firewall: FirewallRules/FirewallRuleName/RemotePortRanges
- UDP : configure puertos locales y remotos. Ambas opciones admiten Todos los puertos o Puertos especificados. Escriba Puertos especificados mediante una lista separada por comas.
  - Puertos locales : CSP de firewall: FirewallRules/FirewallRuleName/LocalPortRanges
  - Puertos remotos : CSP de firewall: FirewallRules/FirewallRuleName/RemotePortRanges
- Personalizado : especifique un número de protocolo personalizado de 0 a 255.

Configuración avanzada

Tipos de interfaz
Valor predeterminado: 0 seleccionado
CSP de firewall: FirewallRules/FirewallRuleName/InterfaceTypes

Seleccione entre las opciones siguientes:
- Acceso remoto
- Inalámbrico
- Red de área local
Permitir solo conexiones de estos usuarios
Valor predeterminado: todos los usuarios (el valor predeterminado es todos los usos cuando no se especifica ninguna lista)
CSP de firewall: FirewallRules/FirewallRuleName/LocalUserAuthorizationList

Especifique una lista de usuarios locales autorizados para esta regla. No se puede especificar una lista de usuarios autorizados si esta regla se aplica a un servicio de Windows.

Configuración de SmartScreen de Microsoft Defender

Microsoft Edge debe estar instalado en el dispositivo.

SmartScreen para aplicaciones y archivos
Valor predeterminado: no configurado
CSP de SmartScreen: SmartScreen/EnableSmartScreenInShell
- No configurado : deshabilita el uso de SmartScreen.
- Habilitar : habilite Windows SmartScreen para la ejecución de archivos y la ejecución de aplicaciones. SmartScreen es un componente anti-phishing y antimalware basado en la nube.
Ejecución de archivos no comprobados
Valor predeterminado: no configurado
CSP de SmartScreen: SmartScreen/PreventOverrideForFilesInShell
- No configurado : deshabilita esta característica y permite a los usuarios finales ejecutar archivos que no se han comprobado.
- Bloquear : impedir que los usuarios finales ejecuten archivos que no hayan sido comprobados por Windows SmartScreen.

Cifrado de Windows

Configuración de Windows

Cifrar dispositivos
Valor predeterminado: no configurado
CSP de BitLocker: RequireDeviceEncryption
- Requerir: pida a los usuarios que habiliten el cifrado de dispositivos. En función de la edición de Windows y la configuración del sistema, es posible que se pregunte a los usuarios:
  - Para confirmar que el cifrado de otro proveedor no está habilitado.
  - Debe desactivar el cifrado de unidad de BitLocker y, a continuación, volver a activar BitLocker.
- Sin configurar
Si el cifrado de Windows está activado mientras otro método de cifrado está activo, el dispositivo podría volverse inestable.

Configuración base de BitLocker

La configuración base es la configuración universal de BitLocker para todos los tipos de unidades de datos. Estas opciones administran las tareas de cifrado de unidad o las opciones de configuración que el usuario final puede modificar en todos los tipos de unidades de datos.

Advertencia para otro cifrado de disco
Valor predeterminado: no configurado
CSP de BitLocker: AllowWarningForOtherDiskEncryption
- Bloquear : deshabilite el aviso de advertencia si hay otro servicio de cifrado de disco en el dispositivo.
- No configurado : permita que se muestre la advertencia para que se muestre otro cifrado de disco.
Sugerencia

Para instalar BitLocker de forma automática y silenciosa en un dispositivo unido a Microsoft Entra y que ejecuta Windows 1809 o posterior, esta configuración debe establecerse en Bloquear. Para obtener más información, consulte Habilitación silenciosa de BitLocker en dispositivos.

Cuando se establece en Bloquear, puede configurar el siguiente valor:
- Permitir que los usuarios estándar habiliten el cifrado durante la unión a Microsoft Entra
  Esta configuración solo se aplica a dispositivos unidos a Microsoft Entra (Azure ADJ) y depende de la configuración anterior, Warning for other disk encryption.
  Valor predeterminado: no configurado
  CSP de BitLocker: AllowStandardUserEncryption
  - Permitir : los usuarios estándar (que no son administradores) pueden habilitar el cifrado de BitLocker al iniciar sesión.
  - No configurado solo los administradores pueden habilitar el cifrado de BitLocker en el dispositivo.
Sugerencia

Para instalar BitLocker de forma automática y silenciosa en un dispositivo unido a Microsoft Entra y que ejecuta Windows 1809 o posterior, esta configuración debe establecerse en Permitir. Para obtener más información, consulte Habilitación silenciosa de BitLocker en dispositivos.
Configuración de métodos de cifrado
Valor predeterminado: no configurado
CSP de BitLocker: EncryptionMethodByDriveType
- Habilitar : configure algoritmos de cifrado para el sistema operativo, los datos y las unidades extraíbles.
- No configurado : BitLocker usa XTS-AES de 128 bits como método de cifrado predeterminado o usa el método de cifrado especificado por cualquier script de instalación.
Cuando se establece en Habilitar, puede configurar los siguientes valores:
- Cifrado para unidades de sistema operativo
  Valor predeterminado: XTS-AES de 128 bits
  
  Elija el método de cifrado para las unidades del sistema operativo. Se recomienda usar el algoritmo XTS-AES.
  - AES-CBC de 128 bits
  - AES-CBC de 256 bits
  - XTS-AES de 128 bits
  - XTS-AES de 256 bits
- Cifrado de unidades de datos fijas
  Valor predeterminado: AES-CBC de 128 bits
  
  Elija el método de cifrado para las unidades de datos fijas (integradas). Se recomienda usar el algoritmo XTS-AES.
  - AES-CBC de 128 bits
  - AES-CBC de 256 bits
  - XTS-AES de 128 bits
  - XTS-AES de 256 bits
- Cifrado para unidades de datos extraíbles
  Valor predeterminado: AES-CBC de 128 bits
  
  Elija el método de cifrado para las unidades de datos extraíbles. Si la unidad extraíble se usa con dispositivos que no ejecutan Windows 10/11, se recomienda usar el algoritmo AES-CBC.
  - AES-CBC de 128 bits
  - AES-CBC de 256 bits
  - XTS-AES de 128 bits
  - XTS-AES de 256 bits

Configuración de la unidad del sistema operativo BitLocker

Esta configuración se aplica específicamente a las unidades de datos del sistema operativo.

Autenticación adicional al inicio
Valor predeterminado: no configurado
CSP de BitLocker: SystemDrivesRequireStartupAuthentication
- Requerir : configure los requisitos de autenticación para el inicio del equipo, incluido el uso del módulo de plataforma segura (TPM).
- No configurado : configure solo las opciones básicas en dispositivos con un TPM.
Cuando se establece en Requerir, puede configurar los siguientes valores:
- BitLocker con chip TPM no compatible
  Valor predeterminado: no configurado
  - Bloquear : deshabilita el uso de BitLocker cuando un dispositivo no tiene un chip TPM compatible.
  - No configurado : los usuarios pueden usar BitLocker sin un chip TPM compatible. BitLocker puede requerir una contraseña o una clave de inicio.
- Inicio de TPM compatible
  Valor predeterminado: Permitir TPM
  
  Configure si se permite tpm, se requiere o no se permite.
  - Permitir TPM
  - No permitir TPM
  - Requerir TPM
- PIN de inicio de TPM compatible
  Valor predeterminado: permitir el PIN de inicio con TPM
  
  Elija permitir, no permitir o requerir el uso de un PIN de inicio con el chip TPM. La habilitación de un PIN de inicio requiere la interacción del usuario final.
  - Permitir el PIN de inicio con TPM
  - No permitir el PIN de inicio con TPM
  - Requerir PIN de inicio con TPM
  Sugerencia
  
  Para instalar BitLocker de forma automática y silenciosa en un dispositivo unido a Microsoft Entra y que ejecuta Windows 1809 o posterior, esta configuración no debe establecerse en Requerir PIN de inicio con TPM. Para obtener más información, consulte Habilitación silenciosa de BitLocker en dispositivos.
- Clave de inicio de TPM compatible
  Valor predeterminado: permitir la clave de inicio con TPM
  
  Elija permitir, no permitir o requerir el uso de una clave de inicio con el chip TPM. La habilitación de una clave de inicio requiere la interacción del usuario final.
  - Permitir clave de inicio con TPM
  - No permitir la clave de inicio con TPM
  - Requerir clave de inicio con TPM
  Sugerencia
  
  Para instalar BitLocker de forma automática y silenciosa en un dispositivo unido a Microsoft Entra y que ejecuta Windows 1809 o posterior, esta configuración no debe establecerse en Requerir clave de inicio con TPM. Para obtener más información, consulte Habilitación silenciosa de BitLocker en dispositivos.
- Clave de inicio y PIN de TPM compatibles
  Valor predeterminado: permitir la clave de inicio y el PIN con TPM
  
  Elija permitir, no permitir o requerir el uso de una clave de inicio y un PIN con el chip TPM. La habilitación de la clave de inicio y el PIN requiere la interacción del usuario final.
  - Permitir clave de inicio y PIN con TPM
  - No permitir la clave de inicio y el PIN con TPM
  - Requerir clave de inicio y PIN con TPM
  Sugerencia
  
  Para instalar BitLocker de forma automática y silenciosa en un dispositivo unido a Microsoft Entra y que ejecuta Windows 1809 o posterior, esta configuración no debe establecerse en Requerir clave de inicio y PIN con TPM. Para obtener más información, consulte Habilitación silenciosa de BitLocker en dispositivos.
Longitud mínima del PIN
Valor predeterminado: no configurado
CSP de BitLocker: SystemDrivesMinimumPINLength
- Habilitar Configure una longitud mínima para el PIN de inicio de TPM.
- No configurado : los usuarios pueden configurar un PIN de inicio de cualquier longitud entre 6 y 20 dígitos.
Cuando se establece en Habilitar, puede configurar la siguiente configuración:
- Caracteres mínimos
  Valor predeterminado: CSP de BitLocker no configurado : SystemDrivesMinimumPINLength
  
  Escriba el número de caracteres necesarios para el PIN de inicio de 4-a 20.
Recuperación de unidad del sistema operativo
Valor predeterminado: no configurado
CSP de BitLocker: SystemDrivesRecoveryOptions
- Habilitar : controlar cómo se recuperan las unidades del sistema operativo protegidas por BitLocker cuando la información de inicio necesaria no está disponible.
- No configurado : se admiten las opciones de recuperación predeterminadas, incluido DRA. El usuario final puede especificar opciones de recuperación. No se hace una copia de seguridad de la información de recuperación en AD DS.
Cuando se establece en Habilitar, puede configurar los siguientes valores:
- Agente de recuperación de datos basado en certificados
  Valor predeterminado: no configurado
  - Bloquear : impedir el uso del agente de recuperación de datos con unidades de sistema operativo protegidas por BitLocker.
  - No configurado : permite que los agentes de recuperación de datos se usen con unidades de sistema operativo protegidas por BitLocker.
- Creación por parte del usuario de la contraseña de recuperación
  Valor predeterminado: permitir la contraseña de recuperación de 48 dígitos
  
  Elija si se permite, requiere o no a los usuarios generar una contraseña de recuperación de 48 dígitos.
  - Permitir contraseña de recuperación de 48 dígitos
  - No permitir la contraseña de recuperación de 48 dígitos
  - Requerir contraseña de recuperación de 48 dígitos
- Creación de la clave de recuperación por parte del usuario
  Valor predeterminado: permitir la clave de recuperación de 256 bits
  
  Elija si se permite, requiere o no a los usuarios generar una clave de recuperación de 256 bits.
  - Permitir clave de recuperación de 256 bits
  - No permitir la clave de recuperación de 256 bits
  - Requerir clave de recuperación de 256 bits
- Opciones de recuperación en el Asistente para la instalación de BitLocker
  Valor predeterminado: no configurado
  - Bloquear : los usuarios no pueden ver ni cambiar las opciones de recuperación. Cuando se establece en
  - No configurado : los usuarios pueden ver y cambiar las opciones de recuperación cuando activen BitLocker.
- Guardar información de recuperación de BitLocker en el identificador de Microsoft Entra
  Valor predeterminado: no configurado
  - Habilitar : almacene la información de recuperación de BitLocker en Microsoft Entra ID.
  - No configurado : la información de recuperación de BitLocker no se almacena en el identificador de Microsoft Entra.
- Información de recuperación de BitLocker almacenada en el identificador de Microsoft Entra
  Valor predeterminado: contraseñas de recuperación de copia de seguridad y paquetes de claves
  
  Configure qué partes de la información de recuperación de BitLocker se almacenan en Microsoft Entra ID. Elija entre:
  - Contraseñas de recuperación de copia de seguridad y paquetes de claves
  - Solo contraseñas de recuperación de copia de seguridad
- Rotación de contraseñas de recuperación controlada por el cliente
  Valor predeterminado: no configurado
  CSP de BitLocker: ConfigureRecoveryPasswordRotation
  
  Esta configuración inicia una rotación de contraseñas de recuperación controlada por el cliente después de una recuperación de unidad del sistema operativo (ya sea mediante bootmgr o WinRE).
  - No configurado
  - Rotación de claves deshabilitada
  - Rotación de claves habilitada para deices unidas a Microsoft Entra
  - Rotación de claves habilitada para el identificador de Microsoft Entra y los dispositivos unidos a híbridos
- Almacenar información de recuperación en el identificador de Microsoft Entra antes de habilitar BitLocker
  Valor predeterminado: no configurado
  
  Impedir que los usuarios habiliten BitLocker a menos que el equipo realice correctamente una copia de seguridad de la información de recuperación de BitLocker en Microsoft Entra ID.
  - Requerir: impedir que los usuarios activen BitLocker a menos que la información de recuperación de BitLocker se almacene correctamente en microsoft entra id.
  - No configurado : los usuarios pueden activar BitLocker, incluso si la información de recuperación no se almacena correctamente en Microsoft Entra ID.
Mensaje y dirección URL de la recuperación previa al arranque
Valor predeterminado: no configurado
CSP de BitLocker: SystemDrivesRecoveryMessage
- Habilitar : configure el mensaje y la dirección URL que se muestran en la pantalla de recuperación de claves previa al arranque.
- No configurado : deshabilite esta característica.
Cuando se establece en Habilitar, puede configurar la siguiente configuración:
- Mensaje de recuperación previa al arranque
  Valor predeterminado: use el mensaje de recuperación y la dirección URL predeterminados
  
  Configure cómo se muestra el mensaje de recuperación antes del arranque a los usuarios. Elija entre:
  - Usar la dirección URL y el mensaje de recuperación predeterminados
  - Uso de un mensaje de recuperación vacío y una dirección URL
  - Uso de un mensaje de recuperación personalizado
  - Uso de la dirección URL de recuperación personalizada

Configuración fija de la unidad de datos de BitLocker

Esta configuración se aplica específicamente a las unidades de datos fijas.

Acceso de escritura a una unidad de datos fija no protegida por BitLocker
Valor predeterminado: no configurado
CSP de BitLocker: FixedDrivesRequireEncryption
- Bloquear : proporcione acceso de solo lectura a las unidades de datos que no estén protegidas por BitLocker.
- No configurado : de forma predeterminada, el acceso de lectura y escritura a las unidades de datos que no están cifradas.
Recuperación de unidad fija
Valor predeterminado: no configurado
CSP de BitLocker: FixedDrivesRecoveryOptions
- Habilitar : controlar cómo se recuperan las unidades fijas protegidas por BitLocker cuando la información de inicio necesaria no está disponible.
- No configurado : deshabilite esta característica.
Cuando se establece en Habilitar, puede configurar los siguientes valores:
- Agente de recuperación de datos
  Valor predeterminado: no configurado
  - Bloquear : impedir el uso del agente de recuperación de datos con el Editor de directivas de unidades fijas protegidas por BitLocker.
  - No configurado : permite el uso de agentes de recuperación de datos con unidades fijas protegidas por BitLocker.
- Creación por parte del usuario de la contraseña de recuperación
  Valor predeterminado: permitir la contraseña de recuperación de 48 dígitos
  
  Elija si se permite, requiere o no a los usuarios generar una contraseña de recuperación de 48 dígitos.
  - Permitir contraseña de recuperación de 48 dígitos
  - No permitir la contraseña de recuperación de 48 dígitos
  - Requerir contraseña de recuperación de 48 dígitos
- Creación de la clave de recuperación por parte del usuario
  Valor predeterminado: permitir la clave de recuperación de 256 bits
  
  Elija si se permite, requiere o no a los usuarios generar una clave de recuperación de 256 bits.
  - Permitir clave de recuperación de 256 bits
  - No permitir la clave de recuperación de 256 bits
  - Requerir clave de recuperación de 256 bits
- Opciones de recuperación en el Asistente para la instalación de BitLocker
  Valor predeterminado: no configurado
  - Bloquear : los usuarios no pueden ver ni cambiar las opciones de recuperación. Cuando se establece en
  - No configurado : los usuarios pueden ver y cambiar las opciones de recuperación cuando activen BitLocker.
- Guardar información de recuperación de BitLocker en el identificador de Microsoft Entra
  Valor predeterminado: no configurado
  - Habilitar : almacene la información de recuperación de BitLocker en Microsoft Entra ID.
  - No configurado : la información de recuperación de BitLocker no se almacena en el identificador de Microsoft Entra.
- Información de recuperación de BitLocker almacenada en el identificador de Microsoft Entra
  Valor predeterminado: contraseñas de recuperación de copia de seguridad y paquetes de claves
  
  Configure qué partes de la información de recuperación de BitLocker se almacenan en Microsoft Entra ID. Elija entre:
  - Contraseñas de recuperación de copia de seguridad y paquetes de claves
  - Solo contraseñas de recuperación de copia de seguridad
- Almacenar información de recuperación en el identificador de Microsoft Entra antes de habilitar BitLocker
  Valor predeterminado: no configurado
  
  Impedir que los usuarios habiliten BitLocker a menos que el equipo realice correctamente una copia de seguridad de la información de recuperación de BitLocker en Microsoft Entra ID.
  - Requerir: impedir que los usuarios activen BitLocker a menos que la información de recuperación de BitLocker se almacene correctamente en microsoft entra id.
  - No configurado : los usuarios pueden activar BitLocker, incluso si la información de recuperación no se almacena correctamente en Microsoft Entra ID.

Configuración de unidad de datos extraíble de BitLocker

Esta configuración se aplica específicamente a las unidades de datos extraíbles.

Acceso de escritura a una unidad de datos extraíble no protegida por BitLocker
Valor predeterminado: no configurado
CSP de BitLocker: RemovableDrivesRequireEncryption
- Bloquear : proporcione acceso de solo lectura a las unidades de datos que no estén protegidas por BitLocker.
- No configurado : de forma predeterminada, el acceso de lectura y escritura a las unidades de datos que no están cifradas.
Cuando se establece en Habilitar, puede configurar la siguiente configuración:
- Acceso de escritura a dispositivos configurados en otra organización
  Valor predeterminado: no configurado
  - Bloquear : bloquee el acceso de escritura a los dispositivos configurados en otra organización.
  - No configurado : denegar el acceso de escritura.

Protección contra vulnerabilidades de seguridad de Microsoft Defender

Use la protección contra vulnerabilidades de seguridad para administrar y reducir la superficie expuesta a ataques de las aplicaciones usadas por los empleados.

Reducción de la superficie expuesta a ataques

Las reglas de reducción de superficie expuesta a ataques ayudan a evitar comportamientos que el malware suele usar para infectar equipos con código malintencionado.

Reglas de reducción de superficie expuesta a ataques

Para más información, consulte Reglas de reducción de la superficie expuesta a ataques en la documentación de Microsoft Defender para punto de conexión.

Comportamiento de combinación para las reglas de reducción de superficie expuesta a ataques en Intune:

Las reglas de reducción de superficie expuesta a ataques admiten una fusión de la configuración de diferentes directivas para crear un superconjunto de directivas para cada dispositivo. Solo se combinan los valores que no están en conflicto, mientras que los valores que están en conflicto no se agregan al superconjunto de reglas. Anteriormente, si dos directivas incluían conflictos para una sola configuración, ambas directivas se marcaban como en conflicto y no se implementaría ninguna configuración de ninguno de los perfiles.

El comportamiento de combinación de reglas de reducción de superficie expuesta a ataques es el siguiente:

Las reglas de reducción de superficie expuesta a ataques de los perfiles siguientes se evalúan para cada dispositivo al que se aplican las reglas:
- Directiva de configuración > de dispositivos > Perfil > de Endpoint Protection Reducción de superficie expuesta a ataques de Protección contra vulnerabilidades de > seguridad de Microsoft Defender
- Directiva de reducción de superficie expuesta a ataques de seguridad > de puntos de conexión Reglas de reducción> de superficie expuesta a ataques
- Líneas base de seguridad > de punto de conexión: Reglas de reducción de superficie expuesta a ataques> de Línea base > de Microsoft Defender para punto de conexión.
La configuración que no tiene conflictos se agrega a un superconjunto de directivas para el dispositivo.
Cuando dos o más directivas tienen configuraciones en conflicto, la configuración en conflicto no se agrega a la directiva combinada. La configuración que no entra en conflicto se agrega a la directiva de superconjunto que se aplica a un dispositivo.
Solo se retienen las configuraciones de configuración en conflicto.

Configuración de este perfil:

Marca de robo de credenciales del subsistema de autoridad de seguridad local de Windows
Valor predeterminado: no configurado
Regla: Bloquear el robo de credenciales del subsistema de autoridad de seguridad local de Windows (lsass.exe)

Ayuda a evitar acciones y aplicaciones que suelen usar el malware que busca vulnerabilidades de seguridad para infectar máquinas.
- Sin configurar
- Habilitar : marca el robo de credenciales del subsistema de autoridad de seguridad local de Windows (lsass.exe).
- Solo auditoría
Creación de procesos desde Adobe Reader (beta)
Valor predeterminado: no configurado
Regla: Impedir que Adobe Reader cree procesos secundarios
- Sin configurar
- Habilitar : bloquee los procesos secundarios creados a partir de Adobe Reader.
- Solo auditoría

Reglas para evitar amenazas de macro de Office

Impedir que las aplicaciones de Office realicen las siguientes acciones:

Aplicaciones de Office que se insertan en otros procesos (sin excepciones)
Valor predeterminado: no configurado
Regla: Impedir que las aplicaciones de Office inserten código en otros procesos
- Sin configurar
- Bloquear : impedir que las aplicaciones de Office se inserten en otros procesos.
- Solo auditoría
Aplicaciones o macros de Office que crean contenido ejecutable
Valor predeterminado: no configurado
Regla: Impedir que las aplicaciones de Office creen contenido ejecutable
- Sin configurar
- Bloquear : impedir que las aplicaciones y macros de Office creen contenido ejecutable.
- Solo auditoría
Aplicaciones de Office que inician procesos secundarios
Valor predeterminado: no configurado
Regla: Impedir que todas las aplicaciones de Office creen procesos secundarios
- Sin configurar
- Bloquear : impedir que las aplicaciones de Office inicien procesos secundarios.
- Solo auditoría
Importación de Win32 desde el código de macro de Office
Valor predeterminado: no configurado
Regla: Bloquear llamadas API win32 desde macros de Office
- Sin configurar
- Bloquear : bloquee las importaciones de Win32 desde el código de macro en Office.
- Solo auditoría
Creación de procesos a partir de productos de comunicación de Office
Valor predeterminado: no configurado
Regla: Impedir que la aplicación de comunicación de Office cree procesos secundarios
- Sin configurar
- Habilitar : bloquear la creación de procesos secundarios desde aplicaciones de comunicaciones de Office.
- Solo auditoría

Reglas para evitar amenazas de script

Bloquee lo siguiente para evitar amenazas de script:

Código de js/vbs/ps/macro ofuscado
Valor predeterminado: no configurado
Regla: Bloquear la ejecución de scripts potencialmente ofuscados
- Sin configurar
- Bloquear : bloquee cualquier código de js/vbs/ps/macro ofuscado.
- Solo auditoría
js/vbs que ejecuta la carga descargada de Internet (sin excepciones)
Valor predeterminado: no configurado
Regla: Impedir que JavaScript o VBScript inicien contenido ejecutable descargado
- Sin configurar
- Bloquear : impide que js/vbs ejecute la carga descargada desde Internet.
- Solo auditoría
Creación de procesos a partir de comandos PSExec y WMI
Valor predeterminado: no configurado
Regla: Bloquear las creaciones de procesos que se originen a partir de comandos PSExec y WMI
- Sin configurar
- Bloquear : bloquee las creaciones de procesos que se originen a partir de comandos PSExec y WMI.
- Solo auditoría
Se ejecuten desde una unidad USB procesos no firmados y que no sean de confianza
Valor predeterminado: no configurado
Regla: Bloquear procesos que no son de confianza y no firmados que se ejecutan desde USB
- Sin configurar
- Bloquear : bloquee los procesos que no son de confianza y no firmados que se ejecutan desde USB.
- Solo auditoría
Ejecutables que no cumplen un criterio de prevalencia, edad o lista de confianza
Valor predeterminado: no configurado
Regla: Impedir que los archivos ejecutables se ejecuten a menos que cumplan un criterio de prevalencia, edad o lista de confianza
- Sin configurar
- Bloquear : impedir que los archivos ejecutables se ejecuten a menos que cumplan un criterio de prevalencia, edad o lista de confianza.
- Solo auditoría

Reglas para evitar amenazas de correo electrónico

Bloquee lo siguiente para evitar amenazas por correo electrónico:

Ejecución de contenido ejecutable (exe, dll, ps, js, vbs, etcetera).) eliminado del correo electrónico (cliente de correo web/correo) (sin excepciones)
Valor predeterminado: no configurado
Regla: Bloquear el contenido ejecutable del cliente de correo electrónico y el correo web
- Sin configurar
- Bloquear : bloquear la ejecución de contenido ejecutable (exe, dll, ps, js, vbs, etcetera).) eliminado del correo electrónico (webmail/mail-client).
- Solo auditoría

Reglas para protegerse contra ransomware

Protección avanzada contra ransomware
Valor predeterminado: no configurado
Regla: Uso de la protección avanzada contra ransomware
- Sin configurar
- Habilitar : use una protección contra ransomware agresiva.
- Solo auditoría

Excepciones de reducción de superficie expuesta a ataques

Archivos y carpetas que se van a excluir de las reglas de reducción de superficie expuesta a ataques
CSP de Defender: AttackSurfaceReductionOnlyExclusions
- Importe un archivo .csv que contenga archivos y carpetas para excluir de las reglas de reducción de la superficie expuesta a ataques.
- Agregue archivos o carpetas locales manualmente.

Importante

Para permitir la instalación y ejecución correctas de aplicaciones lob Win32, la configuración de antimalware debe excluir los siguientes directorios para que no se analicen:
En máquinas cliente X64:
C:\Archivos de programa (x86)\Microsoft Intune Management Extension\Content
C:\windows\IMECache

En máquinas cliente X86:
C:\Archivos de programa\Extensión de administración de Microsoft Intune\Contenido
C:\windows\IMECache

Para obtener más información, consulte Recomendaciones de detección de virus para equipos enterprise que ejecutan versiones compatibles actualmente de Windows.

Acceso controlado a carpetas

Ayuda a proteger datos valiosos de aplicaciones y amenazas malintencionadas, como ransomware.

Protección de carpetas
Valor predeterminado: no configurado
CSP de Defender: EnableControlledFolderAccess

Proteja archivos y carpetas de cambios no autorizados mediante aplicaciones poco amigables.
- Sin configurar
- Enable
- Solo auditoría
- Bloquear modificación de disco
- Auditar la modificación del disco
Al seleccionar una configuración distinta de No configurada, puede configurar:
- Lista de aplicaciones que tienen acceso a carpetas protegidas
  CSP de Defender: ControlledFolderAccessAllowedApplications
  - Importe un archivo .csv que contenga una lista de aplicaciones.
  - Agregue aplicaciones a esta lista manualmente.
- Lista de carpetas adicionales que deben protegerse
  CSP de Defender: ControlledFolderAccessProtectedFolders
  - Importe un archivo .csv que contenga una lista de carpetas.
  - Agregue carpetas a esta lista manualmente.

Filtrado de red

Bloquee las conexiones salientes desde cualquier aplicación a direcciones IP o dominios con baja reputación. El filtrado de red se admite en los modos Audit y Block.

Protección de red
Valor predeterminado: no configurado
CSP de Defender: EnableNetworkProtection

La intención de esta configuración es proteger a los usuarios finales de aplicaciones con acceso a estafas de phishing, sitios de hospedaje de vulnerabilidades de seguridad y contenido malintencionado en Internet. También impide que los exploradores de terceros se conecten a sitios peligrosos.
- No configurado : deshabilite esta característica. No se impide que los usuarios y las aplicaciones se conecten a dominios peligrosos. Los administradores no pueden ver esta actividad en el Centro de seguridad de Microsoft Defender.
- Habilitar : active la protección de red y bloquee la conexión de usuarios y aplicaciones a dominios peligrosos. Los administradores pueden ver esta actividad en el Centro de seguridad de Microsoft Defender.
- Solo auditoría: los usuarios y las aplicaciones no están bloqueados para conectarse a dominios peligrosos. Los administradores pueden ver esta actividad en el Centro de seguridad de Microsoft Defender.

Protección contra vulnerabilidades de seguridad

Carga de XML
Valor predeterminado: no configurado

Para usar protección contra vulnerabilidades de seguridad para proteger los dispositivos frente a vulnerabilidades de seguridad, cree un archivo XML que incluya la configuración de mitigación del sistema y la aplicación que desee. Hay dos métodos para crear el archivo XML:
- PowerShell : use uno o varios cmdlets de PowerShell Get-ProcessMitigation, Set-ProcessMitigation y ConvertTo-ProcessMitigationPolicy . Los cmdlets configuran las opciones de mitigación y exportan una representación XML de ellas.
- Interfaz de usuario de Microsoft Defender Security Center : en el Centro de seguridad de Microsoft Defender, seleccione Aplicación & control del explorador y, a continuación, desplácese hasta la parte inferior de la pantalla resultante para buscar Protección contra vulnerabilidades. En primer lugar, use las pestañas Configuración del sistema y Configuración del programa para configurar las opciones de mitigación. A continuación, busque el vínculo Exportar configuración en la parte inferior de la pantalla para exportar una representación XML de ellos.
Edición del usuario de la interfaz de protección contra vulnerabilidades de seguridad
Valor predeterminado: no configurado
CSP de ExploitGuard: ExploitProtectionSettings
- Bloquear : cargue un archivo XML que le permita configurar restricciones de directivas, flujo de control y memoria. La configuración del archivo XML se puede usar para bloquear las vulnerabilidades de seguridad de una aplicación.
- No configurado : no se usa ninguna configuración personalizada.

Control de aplicaciones de Microsoft Defender

Elija las aplicaciones que se van a auditar o que son de confianza para que las ejecute el Control de aplicaciones de Microsoft Defender. Los componentes de Windows y todas las aplicaciones de la Tienda Windows son de confianza para ejecutarse automáticamente.

Directivas de integridad de código de control de aplicaciones
Valor predeterminado: no configurado
CSP: CSP de AppLocker
- Aplicar : elija las directivas de integridad de código de control de aplicaciones para los dispositivos de los usuarios.
  
  Después de habilitarse en un dispositivo, el control de aplicaciones solo se puede deshabilitar cambiando el modo de Aplicarsolo a Auditoría. Al cambiar el modo de Aplicar a No configurado , el control de aplicaciones se sigue aplicando en los dispositivos asignados.
- No configurado : el control de aplicaciones no se agrega a los dispositivos. Sin embargo, la configuración que se agregó anteriormente se sigue aplicando en los dispositivos asignados.
- Solo auditoría : las aplicaciones no están bloqueadas. Todos los eventos se registran en los registros del cliente local.
  
  Nota:
  
  Si usa esta configuración, el comportamiento de CSP de AppLocker pide actualmente al usuario final que reinicie su equipo cuando se implemente una directiva.

Microsoft Defender Credential Guard

Credential Guard de Microsoft Defender protege contra ataques de robo de credenciales. Aísla los secretos para que solo el software del sistema con privilegios pueda acceder a ellos.

Credential Guard
Valor predeterminado: Deshabilitar
DeviceGuard CSP
- Deshabilitar : desactive Credential Guard de forma remota, si se ha activado anteriormente con la opción Habilitado sin bloqueo UEFI .
- Habilitar con bloqueo UEFI : Credential Guard no se puede deshabilitar de forma remota mediante una clave del Registro o una directiva de grupo.
  
  Nota:
  
  Si usa esta configuración y, después, quiere deshabilitar Credential Guard, debe establecer la directiva de grupo en Deshabilitada. Además, borre físicamente la información de configuración de UEFI de cada equipo. Siempre que la configuración de UEFI persista, Credential Guard está habilitado.
- Habilitar sin bloqueo UEFI : permite que Credential Guard se deshabilite de forma remota mediante la directiva de grupo. Los dispositivos que usan esta configuración deben ejecutar Windows 10, versión 1511 y versiones posteriores, o Windows 11.
Al habilitar Credential Guard, también se habilitan las siguientes características necesarias:
- Seguridad basada en virtualización (VBS)
  Se activa durante el siguiente reinicio. La seguridad basada en virtualización usa el hipervisor de Windows para proporcionar compatibilidad con los servicios de seguridad.
- Arranque seguro con acceso a memoria de directorio
  Activa VBS con protección de arranque seguro y acceso directo a memoria (DMA). Las protecciones DMA requieren compatibilidad con hardware y solo están habilitadas en dispositivos configurados correctamente.

Centro de seguridad de Microsoft Defender

El Centro de seguridad de Microsoft Defender funciona como una aplicación o proceso independiente de cada una de las características individuales. Muestra notificaciones a través del Centro de acciones. Actúa como recopilador o lugar único para ver el estado y ejecutar alguna configuración para cada una de las características. Obtenga más información en la documentación de Microsoft Defender .

Aplicaciones y notificaciones del Centro de seguridad de Microsoft Defender

Bloquear el acceso del usuario final a las distintas áreas de la aplicación Centro de seguridad de Microsoft Defender. Ocultar una sección también bloquea las notificaciones relacionadas.

Protección contra virus y amenazas
Valor predeterminado: no configurado
CSP de WindowsDefenderSecurityCenter: DisableVirusUI

Configure si los usuarios finales pueden ver el área Detección de virus y amenazas en el Centro de seguridad de Microsoft Defender. Ocultar esta sección también bloqueará todas las notificaciones relacionadas con virus y protección contra amenazas.
- Sin configurar
- Hide
Protección contra ransomware
Valor predeterminado: no configurado
CSP de WindowsDefenderSecurityCenter: HideRansomwareDataRecovery

Configure si los usuarios finales pueden ver el área de protección contra ransomware en el Centro de seguridad de Microsoft Defender. Ocultar esta sección también bloqueará todas las notificaciones relacionadas con la protección contra ransomware.
- Sin configurar
- Hide
Protección de cuentas
Valor predeterminado: no configurado
CSP de WindowsDefenderSecurityCenter: DisableAccountProtectionUI

Configure si los usuarios finales pueden ver el área Protección de cuentas en el Centro de seguridad de Microsoft Defender. Ocultar esta sección también bloqueará todas las notificaciones relacionadas con la protección de la cuenta.
- Sin configurar
- Hide
Firewall y protección de red
Valor predeterminado: no configurado
CSP de WindowsDefenderSecurityCenter: DisableNetworkUI

Configure si los usuarios finales pueden ver el firewall y el área de protección de red en el Centro de seguridad de Microsoft Defender. Ocultar esta sección también bloqueará todas las notificaciones relacionadas con el firewall y la protección de red.
- Sin configurar
- Hide
Control de aplicación y explorador
Valor predeterminado: no configurado
CSP de WindowsDefenderSecurityCenter: DisableAppBrowserUI

Configure si los usuarios finales pueden ver el área de control aplicación y explorador en el Centro de seguridad de Microsoft Defender. Ocultar esta sección también bloqueará todas las notificaciones relacionadas con la aplicación y el control del explorador.
- Sin configurar
- Hide
Protección de hardware
Valor predeterminado: no configurado
CSP de WindowsDefenderSecurityCenter: DisableDeviceSecurityUI

Configure si los usuarios finales pueden ver el área Protección de hardware en el Centro de seguridad de Microsoft Defender. Ocultar esta sección también bloqueará todas las notificaciones relacionadas con la protección de hardware.
- Sin configurar
- Hide
Rendimiento y estado del dispositivo
Valor predeterminado: no configurado
CSP de WindowsDefenderSecurityCenter: DisableHealthUI

Configure si los usuarios finales pueden ver el área Rendimiento y estado del dispositivo en el Centro de seguridad de Microsoft Defender. Ocultar esta sección también bloqueará todas las notificaciones relacionadas con el rendimiento y el estado del dispositivo.
- Sin configurar
- Hide
Opciones de familia
Valor predeterminado: no configurado
CSP de WindowsDefenderSecurityCenter: DisableFamilyUI

Configure si los usuarios finales pueden ver el área Opciones de familia en el Centro de seguridad de Microsoft Defender. Si oculta esta sección, también se bloquearán todas las opciones relacionadas con las notificaciones relacionadas con la familia.
- Sin configurar
- Hide
Notificaciones de las áreas mostradas de la aplicación
Valor predeterminado: no configurado
CSP de WindowsDefenderSecurityCenter: DisableNotifications

Elija qué notificaciones se mostrarán a los usuarios finales. Las notificaciones no críticas incluyen resúmenes de la actividad del Antivirus de Microsoft Defender, incluidas las notificaciones cuando se han completado los exámenes. Todas las demás notificaciones se consideran críticas.
- Sin configurar
- Bloquear notificaciones no críticas
- Bloquear todas las notificaciones
Icono de Windows Security Center en la bandeja del sistema
Valor predeterminado: CSP de WindowsDefenderSecurityCenter no configurado: HideWindowsSecurityNotificationAreaControl

Configure la visualización del control de área de notificación. El usuario debe cerrar sesión e iniciar sesión o reiniciar el equipo para que esta configuración surta efecto.
- Sin configurar
- Hide
Botón Borrar TPM
Valor predeterminado: CSP de WindowsDefenderSecurityCenter no configurado: DisableClearTpmButton

Configure la visualización del botón Borrar TPM.
- Sin configurar
- Disable
Advertencia de actualización de firmware de TPM
Valor predeterminado: CSP de WindowsDefenderSecurityCenter no configurado: DisableTpmFirmwareUpdateWarning

Configure la visualización del firmware de TPM de actualización cuando se detecte un firmware vulnerable.
- Sin configurar
- Hide
Protección contra alteraciones
Valor predeterminado: no configurado

Active o desactive la protección contra alteraciones en los dispositivos. Para usar Tamper Protection, debe integrar Microsoft Defender para punto de conexión con Intune y tener licencias de Enterprise Mobility + Security E5.
- No configurado : no se realiza ningún cambio en la configuración del dispositivo.
- Habilitado : la protección contra alteraciones está activada y se aplican restricciones en los dispositivos.
- Deshabilitado : la protección contra alteraciones está desactivada y no se aplican restricciones.

Información de contacto de TI

Proporcione información de contacto de TI para que aparezca en la aplicación Centro de seguridad de Microsoft Defender y en las notificaciones de la aplicación.

Puede elegir Mostrar en la aplicación y en las notificaciones, Mostrar solo en la aplicación, Mostrar solo en notificaciones o No mostrar. Escriba el nombre de la organización de TI y al menos una de las siguientes opciones de contacto:

Información de contacto de TI
Valor predeterminado: No mostrar
CSP de WindowsDefenderSecurityCenter: EnableCustomizedToasts

Configure dónde mostrar información de contacto de TI a los usuarios finales.
- Mostrar en la aplicación y en las notificaciones
- Mostrar solo en la aplicación
- Mostrar solo en notificaciones
- No mostrar
Cuando esté configurado para mostrarse, puede configurar los siguientes valores:
- Nombre de la organización de TI
  Valor predeterminado: no configurado
  CSP de WindowsDefenderSecurityCenter: CompanyName
- Número de teléfono del departamento de TI o identificador de Skype
  Valor predeterminado: no configurado
  CSP de WindowsDefenderSecurityCenter: Teléfono
- Dirección de correo electrónico del departamento de TI
  Valor predeterminado: no configurado
  CSP de WindowsDefenderSecurityCenter: correo electrónico
- DIRECCIÓN URL del sitio web de soporte técnico de TI
  Valor predeterminado: no configurado
  CSP de WindowsDefenderSecurityCenter: DIRECCIÓN URL

Opciones de seguridad de dispositivos locales

Use estas opciones para configurar las opciones de seguridad locales en dispositivos Windows 10/11.

Cuentas

Agregar nuevas cuentas de Microsoft
Valor predeterminado: no configurado
CSP LocalPoliciesSecurityOptions: Accounts_BlockMicrosoftAccounts
- Bloquear Impedir que los usuarios agreguen nuevas cuentas de Microsoft al dispositivo.
- No configurado : los usuarios pueden usar cuentas de Microsoft en el dispositivo.
Inicio de sesión remoto sin contraseña
Valor predeterminado: no configurado
CSP LocalPoliciesSecurityOptions: Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly
- Bloquear : permite que solo las cuentas locales con contraseñas en blanco inicien sesión con el teclado del dispositivo.
- No configurado : permite que las cuentas locales con contraseñas en blanco inicien sesión desde ubicaciones distintas del dispositivo físico.

Admin

Cuenta de administrador local
Valor predeterminado: no configurado
CSP LocalPoliciesSecurityOptions: Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly
- Bloquear Impedir el uso de una cuenta de administrador local.
- Sin configurar
Cambiar el nombre de la cuenta de administrador
Valor predeterminado: no configurado
CSP LocalPoliciesSecurityOptions: Accounts_RenameAdministratorAccount

Defina un nombre de cuenta diferente que se asociará con el identificador de seguridad (SID) de la cuenta "Administrador".

Guest

Cuenta de invitado
Valor predeterminado: no configurado
CSP LocalPoliciesSecurityOptions: LocalPoliciesSecurityOptions
- Bloquear : impedir el uso de una cuenta de invitado.
- Sin configurar
Cambiar el nombre de la cuenta de invitado
Valor predeterminado: no configurado
CSP LocalPoliciesSecurityOptions: Accounts_RenameGuestAccount

Defina un nombre de cuenta diferente que se asociará con el identificador de seguridad (SID) de la cuenta "Invitado".

Dispositivos

Desacoplar el dispositivo sin inicio de sesión
Valor predeterminado: no configurado
CSP LocalPoliciesSecurityOptions: Devices_AllowUndockWithoutHavingToLogon
- Bloquear : un usuario debe iniciar sesión en el dispositivo y recibir permiso para desacoplar el dispositivo.
- No configurado : los usuarios pueden presionar el botón de expulsión física de un dispositivo portátil acoplado para desacoplar el dispositivo de forma segura.
Instalación de controladores de impresora para impresoras compartidas
Valor predeterminado: no configurado
CSP LocalPoliciesSecurityOptions: Devices_PreventUsersFromInstallingPrinterDriversWhenConnectingToSharedPrinters
- Habilitado : cualquier usuario puede instalar un controlador de impresora como parte de la conexión a una impresora compartida.
- No configurado : solo los administradores pueden instalar un controlador de impresora como parte de la conexión a una impresora compartida.
Restricción del acceso de CD-ROM al usuario activo local
Valor predeterminado: no configurado
CSP: Devices_RestrictCDROMAccessToLocallyLoggedOnUserOnly
- Habilitado : solo el usuario que ha iniciado sesión interactivamente puede usar los medios de CD-ROM. Si esta directiva está habilitada y no se ha iniciado sesión de forma interactiva, se accede al CD-ROM a través de la red.
- No configurado : cualquiera tiene acceso al CD-ROM.
Formato y expulsión de medios extraíbles
Valor predeterminado: Administradores
CSP: Devices_AllowedToFormatAndEjectRemovableMedia

Defina quién tiene permiso para dar formato y expulsar medios NTFS extraíbles:
- Sin configurar
- Administradores
- Administradores y usuarios avanzados
- Administradores y usuarios interactivos

Inicio de sesión interactivo

Minutos de inactividad de la pantalla de bloqueo hasta que se activa el protector de pantalla
Valor predeterminado: no configurado
CSP LocalPoliciesSecurityOptions: InteractiveLogon_MachineInactivityLimit

Escriba los minutos máximos de inactividad hasta que se active el protector de pantalla. (0 - 99999)
Requerir CTRL+ALT+SUPR para iniciar sesión
Valor predeterminado: no configurado
CSP LocalPoliciesSecurityOptions: InteractiveLogon_DoNotRequireCTRLALTDEL
- Habilitar : requerir a los usuarios que presionen CTRL+ALT+SUPR antes de iniciar sesión en Windows.
- No configurado : no es necesario presionar CTRL+ALT+SUPR para que los usuarios inicien sesión.
Comportamiento de eliminación de tarjeta inteligente
Valor predeterminado: No hay ninguna acción LocalPoliciesSecurityOptions CSP: InteractiveLogon_SmartCardRemovalBehavior

Determina lo que ocurre cuando la tarjeta inteligente de un usuario que ha iniciado sesión se quita del lector de tarjetas inteligentes. Las opciones son:
- Estación de trabajo de bloqueo : la estación de trabajo está bloqueada cuando se quita la tarjeta inteligente. Esta opción permite a los usuarios salir del área, tomar su tarjeta inteligente con ellos y mantener una sesión protegida.
- Ninguna acción
- Forzar cierre de sesión : el usuario se cierra automáticamente cuando se quita la tarjeta inteligente.
- Desconectar si una sesión de Servicios de Escritorio remoto : la eliminación de la tarjeta inteligente desconecta la sesión sin cerrar la sesión del usuario. Esta opción permite al usuario insertar la tarjeta inteligente y reanudar la sesión más adelante, o en otro equipo equipado con lector de tarjetas inteligentes, sin tener que volver a iniciar sesión. Si la sesión es local, esta directiva funciona de forma idéntica a Bloquear estación de trabajo.

Visualización

Información del usuario en la pantalla de bloqueo
Valor predeterminado: no configurado
CSP LocalPoliciesSecurityOptions: InteractiveLogon_DisplayUserInformationWhenTheSessionIsLocked

Configure la información de usuario que se muestra cuando la sesión está bloqueada. Si no está configurado, se muestran el nombre para mostrar del usuario, el dominio y el nombre de usuario.
- Sin configurar
- Nombre para mostrar, dominio y nombre de usuario de usuario
- Solo nombre para mostrar de usuario
- No mostrar información del usuario
Ocultar el último usuario que inició sesión
Valor predeterminado: no configurado
CSP LocalPoliciesSecurityOptions: InteractiveLogon_DoNotDisplayLastSignedIn
- Habilitar : oculte el nombre de usuario.
- No configurado : muestra el último nombre de usuario.
Ocultar el nombre de usuario en el inicio de sesiónpredeterminado: no configurado
CSP LocalPoliciesSecurityOptions: InteractiveLogon_DoNotDisplayUsernameAtSignIn
- Habilitar : oculte el nombre de usuario.
- No configurado : muestra el último nombre de usuario.
Título del mensaje de inicio de sesión
Valor predeterminado: no configurado
CSP LocalPoliciesSecurityOptions: InteractiveLogon_MessageTitleForUsersAttemptingToLogOn

Establezca el título del mensaje para los usuarios que inician sesión.
Texto del mensaje de inicio de sesión
Valor predeterminado: no configurado
CSP LocalPoliciesSecurityOptions: InteractiveLogon_MessageTextForUsersAttemptingToLogOn

Establezca el texto del mensaje para los usuarios que inician sesión.

Acceso a la red y seguridad

Acceso anónimo a canalizaciones y recursos compartidos con nombre
Valor predeterminado: no configurado
CSP LocalPoliciesSecurityOptions: NetworkAccess_RestrictAnonymousAccessToNamedPipesAndShares
- No configurado : restrinja el acceso anónimo a la configuración de canalización con nombre y recurso compartido. Se aplica a la configuración a la que se puede acceder de forma anónima.
- Bloquear : deshabilite esta directiva y haga que el acceso anónimo esté disponible.
Enumeración anónima de cuentas SAM
Valor predeterminado: no configurado
CSP LocalPoliciesSecurityOptions: NetworkAccess_DoNotAllowAnonymousEnumerationOfSAMAccounts
- No configurado : los usuarios anónimos pueden enumerar cuentas SAM.
- Bloquear : impedir la enumeración anónima de cuentas SAM.
Enumeración anónima de cuentas y recursos compartidos sam
Valor predeterminado: no configurado
CSP LocalPoliciesSecurityOptions: NetworkAccess_DoNotAllowAnonymousEnumerationOfSamAccountsAndShares
- No configurado : los usuarios anónimos pueden enumerar los nombres de las cuentas de dominio y los recursos compartidos de red.
- Bloquear : impedir la enumeración anónima de cuentas SAM y recursos compartidos.
Valor hash del administrador de LAN almacenado en el cambio de contraseña
Valor predeterminado: no configurado
CSP LocalPoliciesSecurityOptions: NetworkSecurity_DoNotStoreLANManagerHashValueOnNextPasswordChange

Determine si el valor hash de las contraseñas se almacena la próxima vez que se cambia la contraseña.
- No configurado : el valor hash no se almacena
- Bloquear : el Administrador de LAN (LM) almacena el valor hash de la nueva contraseña.
Solicitudes de autenticación PKU2U
Valor predeterminado: no configurado
CSP LocalPoliciesSecurityOptions: NetworkSecurity_AllowPKU2UAuthenticationRequests
- No configurado: permitir solicitudes PU2U.
- Bloquear : bloquee las solicitudes de autenticación PKU2U en el dispositivo.
Restricción de conexiones RPC remotas a SAM
Valor predeterminado: no configurado
CSP LocalPoliciesSecurityOptions: NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM
- No configurado : use el descriptor de seguridad predeterminado, que puede permitir a los usuarios y grupos realizar llamadas RPC remotas al SAM.
- Permitir : impedir que los usuarios y grupos realicen llamadas RPC remotas al Administrador de cuentas de seguridad (SAM), que almacena las cuentas de usuario y las contraseñas. Permitir también permite cambiar la cadena predeterminada del lenguaje de definición de descriptor de seguridad (SDDL) para permitir o denegar explícitamente a los usuarios y grupos realizar estas llamadas remotas.
  - Descriptor de seguridad
    Valor predeterminado: no configurado
Seguridad mínima de sesión para clientes basados en SSP NTLM
Valor predeterminado: Ninguno
CSP LocalPoliciesSecurityOptions: NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedClients

Esta configuración de seguridad permite que un servidor requiera la negociación del cifrado de 128 bits o la seguridad de la sesión NTLMv2.
- Ninguna
- Requerir seguridad de sesión NTLMv2
- Requerir cifrado de 128 bits
- NTLMv2 y cifrado de 128 bits
Seguridad mínima de la sesión para el servidor basado en NTLM SSP
Valor predeterminado: Ninguno
CSP LocalPoliciesSecurityOptions: NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedServers

Esta configuración de seguridad determina qué protocolo de autenticación de desafío/respuesta se usa para los inicios de sesión de red.
- Ninguna
- Requerir seguridad de sesión NTLMv2
- Requerir cifrado de 128 bits
- NTLMv2 y cifrado de 128 bits
Nivel de autenticación de LAN Manager
Valor predeterminado: LM y NTLM
CSP LocalPoliciesSecurityOptions: NetworkSecurity_LANManagerAuthenticationLevel
- LM y NTLM
- LM, NTLM y NTLMv2
- NTLM
- NTLMv2
- NTLMv2 y no LM
- NTLMv2 y no LM o NTLM
Inicios de sesión de invitado no seguros
Valor predeterminado: no configurado
CSP de LanmanWorkstation: LanmanWorkstation

Si habilita esta configuración, el cliente SMB rechazará los inicios de sesión de invitado no seguros.
- Sin configurar
- Bloquear : el cliente SMB rechaza los inicios de sesión de invitado no seguros.

Consola de recuperación y apagado

Borrar el archivo de página de memoria virtual al apagarse
Valor predeterminado: no configurado
CSP LocalPoliciesSecurityOptions: Shutdown_ClearVirtualMemoryPageFile
- Habilitar : borre el archivo de página de memoria virtual cuando el dispositivo esté apagado.
- No configurado : no borra la memoria virtual.
Apagar sin iniciar sesión
Valor predeterminado: no configurado
CSP LocalPoliciesSecurityOptions: Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn
- Bloquear : oculta la opción de apagado en la pantalla de inicio de sesión de Windows. Los usuarios deben iniciar sesión en el dispositivo y, a continuación, apagarse.
- No configurado : permite a los usuarios apagar el dispositivo desde la pantalla de inicio de sesión de Windows.

Control de cuentas de usuario

Integridad de UIA sin ubicación segura
Valor predeterminado: no configurado
CSP LocalPoliciesSecurityOptions: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations
- Bloquear : las aplicaciones que se encuentran en una ubicación segura en el sistema de archivos solo se ejecutarán con la integridad de UIAccess.
- No configurado : permite que las aplicaciones se ejecuten con integridad de UIAccess, incluso si las aplicaciones no están en una ubicación segura en el sistema de archivos.
Virtualización de errores de escritura de archivos y registros en ubicaciones por usuario
Valor predeterminado: no configurado
CSP LocalPoliciesSecurityOptions: UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations
- Habilitado : se produce un error en las aplicaciones que escriben datos en ubicaciones protegidas.
- No configurado : los errores de escritura de la aplicación se redirigen en tiempo de ejecución a ubicaciones de usuario definidas para el sistema de archivos y el registro.
Elevar solo los archivos ejecutables firmados y validados
Valor predeterminado: no configurado
CSP LocalPoliciesSecurityOptions: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations
- Habilitado : aplique la validación de la ruta de certificación PKI para un archivo ejecutable antes de que pueda ejecutarse.
- No configurado : no aplique la validación de la ruta de certificación PKI antes de que se pueda ejecutar un archivo ejecutable.

Comportamiento del símbolo del sistema de elevación de UIA

Petición de elevación para administradores
Valor predeterminado: solicitar consentimiento para archivos binarios que no son de Windows
CSP LocalPoliciesSecurityOptions: UserAccountControl_BehaviorOfTheElevationPromptForAdministrators

Defina el comportamiento del símbolo del sistema de elevación para los administradores en modo de aprobación de administrador.
- Sin configurar
- Elevar sin preguntar
- Solicitud de credenciales en el escritorio seguro
- Solicitud de credenciales
- Solicitud de consentimiento
- Solicitud de consentimiento para archivos binarios que no son de Windows
Petición de elevación para usuarios estándar
Valor predeterminado: solicitud de credenciales
CSP LocalPoliciesSecurityOptions: UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers

Defina el comportamiento de la solicitud de elevación para los usuarios estándar.
- Sin configurar
- Denegar automáticamente solicitudes de elevación
- Solicitud de credenciales en el escritorio seguro
- Solicitud de credenciales
Enrutamiento de solicitudes de elevación al escritorio interactivo del usuario
Valor predeterminado: no configurado
CSP LocalPoliciesSecurityOptions: UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation
- Habilitado : todas las solicitudes de elevación van al escritorio del usuario interactivo en lugar del escritorio seguro. Se usa cualquier configuración de directiva de comportamiento de aviso para administradores y usuarios estándar.
- No configurado : forzar que todas las solicitudes de elevación vayan al escritorio seguro, independientemente de la configuración de la directiva de comportamiento de mensajes para los administradores y los usuarios estándar.
Solicitud con privilegios elevados para instalaciones de aplicaciones
Valor predeterminado: no configurado
CSP LocalPoliciesSecurityOptions: UserAccountControl_DetectApplicationInstallationsAndPromptForElevation
- Habilitado : los paquetes de instalación de la aplicación no se detectan ni se solicitan elevación.
- No configurado : se solicita a los usuarios un nombre de usuario administrativo y una contraseña cuando un paquete de instalación de la aplicación requiere privilegios elevados.
Solicitud de elevación de UIA sin escritorio seguro
Valor predeterminado: no configurado
CSP LocalPoliciesSecurityOptions: UserAccountControl_AllowUIAccessApplicationsToPromptForElevation
Habilitar : permite que las aplicaciones de UIAccess soliciten elevación, sin usar el escritorio seguro.
No configurado : las solicitudes de elevación usan un escritorio seguro.

Modo de aprobación de administrador

Modo de aprobación de administrador para administrador integrado
Valor predeterminado: no configurado
CSP LocalPoliciesSecurityOptions: UserAccountControl_UseAdminApprovalMode
- Habilitado : permite que la cuenta de administrador integrada use el modo de aprobación de administrador. Cualquier operación que requiera la elevación de privilegios solicita al usuario que apruebe la operación.
- Sin configurar : ejecuta todas las aplicaciones con privilegios de administrador completos.
Ejecución de todos los administradores en modo de aprobación de administrador
Valor predeterminado: no configurado
CSP LocalPoliciesSecurityOptions: UserAccountControl_RunAllAdministratorsInAdminApprovalMode
- Habilitado: habilite el modo de aprobación de administrador.
- No configurado : deshabilite el modo de aprobación del administrador y toda la configuración de directiva de UAC relacionada.

Cliente de red de Microsoft

Firmar digitalmente las comunicaciones (si el servidor está de acuerdo)
Valor predeterminado: no configurado
CSP LocalPoliciesSecurityOptions: MicrosoftNetworkClient_DigitallySignCommunicationsIfServerAgrees

Determina si el cliente SMB negocia la firma de paquetes SMB.
- Bloquear : el cliente SMB nunca negocia la firma de paquetes SMB.
- No configurado : el cliente de red de Microsoft pide al servidor que ejecute la firma de paquetes SMB al configurar la sesión. Si la firma de paquetes está habilitada en el servidor, se negocia la firma de paquetes.
Envío de una contraseña sin cifrar a servidores SMB de terceros
Valor predeterminado: no configurado
CSP LocalPoliciesSecurityOptions: MicrosoftNetworkClient_SendUnencryptedPasswordToThirdPartySMBServers
- Bloquear : el redireccionamiento del bloque de mensajes del servidor (SMB) puede enviar contraseñas de texto no cifrado a servidores SMB que no sean de Microsoft que no admiten el cifrado de contraseñas durante la autenticación.
- No configurado : bloquee el envío de contraseñas de texto no cifrado. Las contraseñas se cifran.
Firmar digitalmente las comunicaciones (siempre)
Valor predeterminado: no configurado
CSP LocalPoliciesSecurityOptions: MicrosoftNetworkClient_DigitallySignCommunicationsAlways
- Habilitar : el cliente de red de Microsoft no se comunica con un servidor de red de Microsoft a menos que ese servidor acepte la firma de paquetes SMB.
- No configurado : la firma de paquetes SMB se negocia entre el cliente y el servidor.

Microsoft Network Server

Firmar digitalmente las comunicaciones (si el cliente está de acuerdo)
Valor predeterminado: no configurado
CSP: MicrosoftNetworkServer_DigitallySignCommunicationsIfClientAgrees
- Habilitar : el servidor de red de Microsoft negocia la firma de paquetes SMB según lo solicitado por el cliente. Es decir, si la firma de paquetes está habilitada en el cliente, se negocia la firma de paquetes.
- No configurado : el cliente SMB nunca negocia la firma de paquetes SMB.
Firmar digitalmente las comunicaciones (siempre)
Valor predeterminado: no configurado
CSP: MicrosoftNetworkServer_DigitallySignCommunicationsAlways
- Habilitar : el servidor de red de Microsoft no se comunica con un cliente de red de Microsoft a menos que ese cliente acepte la firma de paquetes SMB.
- No configurado : la firma de paquetes SMB se negocia entre el cliente y el servidor.

Servicios de Xbox

Tarea Guardar juego de Xbox
Valor predeterminado: no configurado
CSP: TaskScheduler/EnableXboxGameSaveTask

Esta configuración determina si la tarea Guardar juego de Xbox está habilitada o deshabilitada.
- Enabled
- Sin configurar
Servicio de administración de accesorios de Xbox
Valor predeterminado: manual
CSP: SystemServices/ConfigureXboxAccessoryManagementServiceStartupMode

Esta configuración determina el tipo de inicio del servicio de administración de descriptores de acceso.
- Manual
- Automática
- Disabled
Servicio administrador de autenticación de Xbox Live
Valor predeterminado: manual
CSP: SystemServices/ConfigureXboxLiveAuthManagerServiceStartupMode

Esta configuración determina el tipo de inicio del servicio Live Auth Manager.
- Manual
- Automática
- Disabled
Servicio de guardado de juegos de Xbox Live
Valor predeterminado: manual
CSP: SystemServices/ConfigureXboxLiveGameSaveServiceStartupMode

Esta configuración determina el tipo de inicio del servicio Live Game Save.
- Manual
- Automática
- Disabled
Servicio de redes de Xbox Live
Valor predeterminado: manual
CSP: SystemServices/ConfigureXboxLiveNetworkingServiceStartupMode

Esta configuración determina el tipo de inicio del servicio de redes.
- Manual
- Automática
- Disabled

Siguientes pasos

Se crea el perfil, pero aún no hace nada. A continuación, asigne el perfil y supervise su estado.

Configuración de las protecciones de puntos de conexión en dispositivos macOS .

Compartir por