Descripción de la configuración de próxima generación en Microsoft Defender para Empresas

La protección de última generación en Defender for Business incluye antivirus sólidos y protección antimalware. Las directivas predeterminadas están diseñadas para proteger los dispositivos y los usuarios sin obstaculizar la productividad; sin embargo, también puede personalizar las directivas para satisfacer sus necesidades empresariales. Además, si usa Microsoft Intune, puede usar el centro de administración de Microsoft Endpoint Manager para administrar las directivas de seguridad.

En este artículo se describe:

Configuración y opciones de protección de última generación

En la tabla siguiente se enumeran la configuración y las opciones:

Configuración Descripción
Protección en tiempo real
Activar la protección en tiempo real Habilitada de forma predeterminada, la protección en tiempo real busca y evita que el malware se ejecute en los dispositivos. Se recomienda mantener activada la protección en tiempo real.

Cuando se activa la protección en tiempo real, configura los siguientes valores:
- La supervisión del comportamiento está activada (AllowBehaviorMonitoring)
- Se examinan todos los archivos y datos adjuntos descargados (AllowIOAVProtection)
- Los scripts que se usan en exploradores de Microsoft se examinan (AllowScriptScanning)
Bloqueo a primera vista Habilitado de forma predeterminada, bloquear a primera vista bloquea el malware en segundos después de la detección, aumenta el tiempo (en segundos) permitido para enviar archivos de ejemplo para su análisis y establece el nivel de detección en Alto. Se recomienda mantener activado el bloqueo a primera vista.

Cuando el bloqueo a primera vista está activado, configura los siguientes valores para Antivirus de Microsoft Defender:
- El bloqueo y el examen de archivos sospechosos se establece en el nivel de bloqueo alto (CloudBlockLevel)
- El número de segundos para que un archivo se bloquee y compruebe se establece en 50 segundos (CloudExtendedTimeout)

IMPORTANTE: Si el bloqueo a primera vista está desactivado, afecta a CloudBlockLevel y CloudExtendedTimeout para Antivirus de Microsoft Defender.
Habilitar protección de red Cuando está activada, la protección de red ayuda a protegerse frente a estafas de suplantación de identidad (phishing), sitios de hospedaje de vulnerabilidades de seguridad y contenido malintencionado en Internet. También impide que los usuarios desactiven la protección de red.

La protección de red se puede establecer en uno de los modos siguientes:
- Modo de bloque (esta configuración es la predeterminada), lo que impide que los usuarios visiten sitios que se consideran no seguros. Se recomienda mantener la protección de red establecida en modo de bloqueo.
- Modo de auditoría, que permite a los usuarios visitar sitios que podrían no ser seguros y realizar un seguimiento de la actividad de red hacia y desde dichos sitios
- Modo deshabilitado, que impide a los usuarios visitar sitios que podrían no ser seguros ni realizar un seguimiento de la actividad de red hacia y desde dichos sitios
Remediación
Acción para realizar aplicaciones potencialmente no deseadas (PUA) PUA puede incluir software de publicidad, software de agrupación que ofrece para instalar otro software sin firmar y software de evasión que intenta eludir las características de seguridad. Aunque PUA no es necesariamente un virus, malware u otro tipo de amenazas, PUA puede afectar al rendimiento del dispositivo.

La protección pua bloquea los elementos que se detectan como PUA. Puede establecer la protección pua en una de las siguientes opciones:
- Habilitado (esta configuración es la predeterminada), que bloquea los elementos detectados como PUA en los dispositivos. Se recomienda mantener habilitada la protección de PUA.
- Modo de auditoría, que no realiza ninguna acción en los elementos detectados como PUA
- Deshabilitado, que no detecta ni toma medidas en elementos que podrían ser PUA
Escanear
Tipo de examen programado Considere la posibilidad de ejecutar un examen antivirus semanal en los dispositivos. Puede elegir entre las siguientes opciones de tipo de examen:
- Quickscan comprueba las ubicaciones, como las claves del Registro y las carpetas de inicio, donde se podría registrar malware para empezar con un dispositivo. Se recomienda usar la opción quickscan.
- Fullscan comprueba todos los archivos y carpetas de un dispositivo
- Deshabilitado significa que no se realizará ningún examen programado. Los usuarios todavía pueden ejecutar exámenes en sus propios dispositivos. (En general, no se recomienda deshabilitar los exámenes programados).

Obtenga más información sobre los tipos de examen.
Día de la semana para ejecutar un examen programado Seleccione un día para que se ejecuten los exámenes antivirus normales y semanales.
Hora del día para ejecutar un examen programado Seleccione una hora para ejecutar los exámenes antivirus programados periódicamente para ejecutarse.
Uso de bajo rendimiento Esta configuración está desactivada de forma predeterminada. Se recomienda mantener esta configuración desactivada. Sin embargo, puede activar esta configuración para limitar la memoria del dispositivo y los recursos que se usan durante los exámenes programados.

IMPORTANTE Si activa Usar bajo rendimiento, configura los siguientes valores para Antivirus de Microsoft Defender:
- No se examinan los archivos de archivo (AllowArchiveScanning)
- A los exámenes se les asigna una prioridad de CPU baja (EnableLowCPUPriority)
- Si se pierde un examen antivirus completo, no se ejecutará ningún examen de puesta al día (DisableCatchupFullScan)
- Si se pierde un examen rápido del antivirus, no se ejecutará ningún examen de puesta al día (DisableCatchupQuickScan)
- Reduce el factor de carga promedio de CPU durante un examen antivirus del 50 % al 20 % (AvgCPULoadFactor)
Experiencia del usuario
Permitir que los usuarios accedan a la aplicación Seguridad de Windows Active esta opción para permitir que los usuarios abran la aplicación Seguridad de Windows en sus dispositivos. Los usuarios no podrán invalidar la configuración que configure en Microsoft Defender para Empresas, pero podrán ejecutar un examen rápido si es necesario o ver las amenazas detectadas.
Exclusiones de antivirus Las exclusiones son procesos, archivos o carpetas omitidos por Antivirus de Microsoft Defender exámenes. En general, no es necesario definir exclusiones. Antivirus de Microsoft Defender incluye muchas exclusiones automáticas basadas en comportamientos conocidos del sistema operativo y archivos de administración típicos.

Más información sobre las exclusiones
Exclusiones de procesos Las exclusiones de procesos impiden que Antivirus de Microsoft Defender analicen los archivos abiertos por procesos específicos.

Más información sobre las exclusiones de procesos
Exclusiones de extensiones de archivo Las exclusiones de extensiones de archivo impiden que Antivirus de Microsoft Defender analicen los archivos con extensiones específicas.

Más información sobre las exclusiones de extensiones de archivo
Exclusiones de archivos y carpetas Las exclusiones de archivos y carpetas impiden que Antivirus de Microsoft Defender analicen los archivos que se encuentran en carpetas específicas.

Más información sobre las exclusiones de archivos y carpetas

Otras configuraciones preconfiguradas en Defender para empresas

La siguiente configuración de seguridad está preconfigurada en Defender para empresas:

Configuración predeterminada de Defender for Business y Microsoft Intune

En la tabla siguiente se describen los valores preconfigurados para Defender para empresas y cómo se corresponden con lo que puede ver en Intune (administrado en el centro de administración de Microsoft Endpoint Manager). Si usa el proceso de configuración simplificado en Defender for Business, no es necesario editar esta configuración.

Configuración Descripción
Protección en la nube A veces denominada protección entregada en la nube o Servicio de protección avanzada de Microsoft (MAPS), la protección en la nube funciona con Antivirus de Microsoft Defender y la nube de Microsoft para identificar nuevas amenazas, a veces incluso antes de que un solo dispositivo se vea afectado. De forma predeterminada, AllowCloudProtection está activado.

Más información sobre la protección en la nube.
Supervisión de archivos entrantes y salientes Para supervisar los archivos entrantes y salientes, RealTimeScanDirection está establecido para supervisar todos los archivos.
Examen de archivos de red De forma predeterminada, AllowScanningNetworkFiles no está habilitado y los archivos de red no se examinan.
Examen de mensajes de correo electrónico De forma predeterminada, AllowEmailScanning no está habilitado y los mensajes de correo electrónico no se examinan.
Número de días (0-90) para mantener el malware en cuarentena De forma predeterminada, DaysToRetainCleanedMalware esta configuración se establece en cero (0) días. Artifacts que en cuarentena no se quitan automáticamente.
Enviar el consentimiento de ejemplos De forma predeterminada, SubmitSamplesConsent está establecido para enviar muestras seguras automáticamente. Algunos ejemplos de ejemplos seguros son .bat, .scr, .dlly .exe archivos que no contienen información de identificación personal (PII). Si un archivo contiene PII, el usuario recibe una solicitud para permitir que continúe el envío de ejemplo.

Más información sobre la protección en la nube y el envío de ejemplos
Examen de unidades extraíbles De forma predeterminada, AllowFullScanRemovableDriveScanning está configurado para examinar unidades extraíbles, como unidades usb en dispositivos.

Más información sobre la configuración de directivas antimalware
Ejecución del tiempo de examen rápido diario De forma predeterminada, ScheduleQuickScanTime se establece en 2:00 AM.

Obtenga más información sobre la configuración del examen.
Comprobación de actualizaciones de firmas antes de ejecutar el examen De forma predeterminada, CheckForSignaturesBeforeRunningScan está configurado para comprobar si hay actualizaciones de inteligencia de seguridad antes de ejecutar exámenes antivirus o antimalware.

Obtenga más información sobre la configuración de examen y las actualizaciones de inteligencia de seguridad.
Frecuencia (0-24 horas) para comprobar si hay actualizaciones de inteligencia de seguridad De forma predeterminada, SignatureUpdateInterval está configurado para comprobar si hay actualizaciones de inteligencia de seguridad cada cuatro horas.

Obtenga más información sobre la configuración de examen y las actualizaciones de inteligencia de seguridad.

Siguientes pasos

Consulte también