Configuración de exclusiones personalizadas para Microsoft Defender Antivirus

Se aplica a:

• Microsoft Defender para punto de conexión Plan 1
• Microsoft Defender para punto de conexión Plan 2
• Antivirus de Microsoft Defender

Plataformas

• Windows

En general, no es necesario definir exclusiones para Microsoft Defender Antivirus. Sin embargo, si es necesario, puede excluir archivos, carpetas, procesos y archivos abiertos por procesos de Microsoft Defender exámenes antivirus. Estos tipos de exclusiones se conocen como exclusiones personalizadas. En este artículo se describe cómo definir exclusiones personalizadas para Microsoft Defender Antivirus con Microsoft Intune e incluye vínculos a otros recursos para obtener más información.

Las exclusiones personalizadas se aplican a los exámenes programados, a los exámenes a petición y a la protección y supervisión en tiempo real siempre activados. Las exclusiones de los archivos abiertos por procesos solo se aplican a la protección en tiempo real.

Sugerencia

Para obtener información general detallada sobre las supresiones, envíos y exclusiones en Microsoft Defender Antivirus y Defender para punto de conexión, consulte Exclusiones para Microsoft Defender para punto de conexión y Microsoft Defender Antivirus.

Configurar y validar exclusiones

Precaución

Use Microsoft Defender extensiones antivirus con moderación. Asegúrese de revisar la información de Administrar exclusiones para Microsoft Defender para punto de conexión y Microsoft Defender Antivirus.

Si usa Microsoft Intune para administrar Microsoft Defender Antivirus o Microsoft Defender para punto de conexión, use los procedimientos siguientes para definir exclusiones:

• Administración de exclusiones de antivirus en Intune (para directivas existentes)
• Creación de una nueva directiva antivirus con exclusiones en Intune

Si usa otra herramienta, como Configuration Manager o directiva de grupo, o desea obtener información más detallada sobre las exclusiones personalizadas, consulte estos artículos:

• Configuración y validación de exclusiones basadas en la extensión de archivo y la ubicación de la carpeta
• Configuración de exclusiones para archivos abiertos por procesos

Administración de exclusiones de antivirus en Intune (para directivas existentes)

1. En el centro de administración de Microsoft Intune, elijaAntivirus de seguridad> de puntos de conexión y, a continuación, seleccione una directiva existente. (Si no tiene una directiva existente o quiere crear una nueva, vaya a Creación de una nueva directiva antivirus con exclusiones en Intune).

2. Elija Propiedades y, junto a Configuración, elija Editar.

3. Expanda Microsoft Defender Exclusiones antivirus y especifique las exclusiones.

   • Las extensiones excluidas son exclusiones que se definen por extensión de tipo de archivo. Estas extensiones se aplican a cualquier nombre de archivo que tenga la extensión definida sin la ruta de acceso o carpeta del archivo. Cada tipo de archivo de la lista debe separarse con un | carácter. Por ejemplo, lib|obj. Para obtener más información, vea ExcludedExtensions.
   • Las rutas de acceso excluidas son exclusiones que se definen por su ubicación (ruta de acceso). Estos tipos de exclusiones también se conocen como exclusiones de archivos y carpetas. Separe cada ruta de acceso de la lista con un | carácter. Por ejemplo, C:\Example|C:\Example1. Para obtener más información, vea ExcludedPaths.
   • Los procesos excluidos son exclusiones de archivos abiertos por determinados procesos. Separe cada tipo de archivo de la lista con un | carácter. Por ejemplo, C:\Example. exe|C:\Example1.exe. Estas exclusiones no son para los procesos reales. Para excluir procesos, puede usar exclusiones de archivos y carpetas. Para obtener más información, vea ExcludedProcesses.

4. Elija Revisar y guardar y, a continuación, elija Guardar.

Creación de una nueva directiva antivirus con exclusiones en Intune

1. En el centro de administración de Microsoft Intune, elijaAntivirus>+ Crear directiva de seguridad> de puntos de conexión.

2. Seleccione una plataforma (como Windows 10, Windows 11 y Windows Server).

3. En Perfil, seleccione Microsoft Defender Exclusiones de Antivirus y, a continuación, elija Crear.

4. En el paso Crear perfil , especifique un nombre y una descripción para el perfil y, a continuación, elija Siguiente.

5. En la pestaña Configuración , especifique las exclusiones de antivirus y, a continuación, elija Siguiente.

   • Las extensiones excluidas son exclusiones que se definen por extensión de tipo de archivo. Estas extensiones se aplican a cualquier nombre de archivo que tenga la extensión definida sin la ruta de acceso o carpeta del archivo. Separe cada tipo de archivo de la lista con un | carácter. Por ejemplo, lib|obj. Para obtener más información, vea ExcludedExtensions.
   • Las rutas de acceso excluidas son exclusiones que se definen por su ubicación (ruta de acceso). Estos tipos de exclusiones también se conocen como exclusiones de archivos y carpetas. Separe cada ruta de acceso de la lista con un | carácter. Por ejemplo, C:\Example|C:\Example1. Para obtener más información, vea ExcludedPaths.
   • Los procesos excluidos son exclusiones de archivos abiertos por determinados procesos. Separe cada tipo de archivo de la lista con un | carácter. Por ejemplo, C:\Example. exe|C:\Example1.exe. Estas exclusiones no son para los procesos reales. Para excluir procesos, puede usar exclusiones de archivos y carpetas. Para obtener más información, vea ExcludedProcesses.

6. En la pestaña Etiquetas de ámbito, si usa etiquetas de ámbito en su organización, especifique las etiquetas de ámbito para la directiva que va a crear. (Consulte Etiquetas de ámbito).

7. En la pestaña Asignaciones , especifique los usuarios y grupos a los que se debe aplicar la directiva y, a continuación, elija Siguiente. (Si necesita ayuda con las asignaciones, consulte Asignación de perfiles de usuario y dispositivo en Microsoft Intune).

8. En la pestaña Revisar y crear , revise la configuración y, a continuación, elija Crear.

Puntos importantes sobre exclusiones

La definición de exclusiones reduce la protección que ofrece Microsoft Defender Antivirus. Siempre debe evaluar los riesgos asociados a la implementación de exclusiones y solo debe excluir los archivos que esté seguro de que no son malintencionados.

Las exclusiones afectan directamente a la capacidad de Microsoft Defender Antivirus de bloquear, corregir o inspeccionar eventos relacionados con los archivos, carpetas o procesos que se agregan a la lista de exclusión. Las exclusiones personalizadas pueden afectar a las características que dependen directamente del motor antivirus (como la protección contra malware, los IOC de archivos y los IOC de certificado). Las exclusiones de procesos también afectan a las reglas de protección de red y reducción de superficie expuesta a ataques. En concreto, una exclusión de procesos en cualquier plataforma hace que la protección de red y ASR no puedan inspeccionar el tráfico ni aplicar reglas para ese proceso específico.

Tenga en cuenta los siguientes puntos al definir exclusiones:

• Las exclusiones son técnicamente una brecha de protección. Tenga en cuenta todas las opciones al definir exclusiones. Consulte Envíos, supresiones y exclusiones.

• Revise las exclusiones periódicamente. Vuelva a comprobar y volver a aplicar las mitigaciones como parte del proceso de revisión.

• Idealmente, evite definir exclusiones en un intento de ser proactivo. Por ejemplo, no excluya algo solo porque cree que podría ser un problema en el futuro. Use exclusiones solo para problemas específicos, como los relacionados con el rendimiento o la compatibilidad de aplicaciones que las exclusiones podrían mitigar.

• Revise y audite los cambios en la lista de exclusiones. El equipo de seguridad debe conservar el contexto de por qué se agregó una exclusión determinada para evitar confusiones más adelante. El equipo de seguridad debe poder proporcionar respuestas específicas a preguntas sobre por qué existen exclusiones.

Auditoría de exclusiones de antivirus en sistemas Exchange

Microsoft Exchange ha admitido la integración con la interfaz de examen antimalware (AMSI) desde la Novedades trimestral de junio de 2021 para Exchange (consulte Ejecución de software antivirus de Windows en servidores exchange). Se recomienda encarecidamente instalar estas actualizaciones y asegurarse de que AMSI funciona correctamente. Consulte Microsoft Defender Actualizaciones de productos e inteligencia de seguridad del antivirus.

Muchas organizaciones excluyen los directorios de Exchange de los exámenes antivirus por motivos de rendimiento. Microsoft recomienda auditar Microsoft Defender exclusiones de Antivirus en sistemas Exchange y evaluar si las exclusiones se pueden quitar sin afectar al rendimiento en su entorno para garantizar el nivel más alto de protección. Las exclusiones se pueden administrar mediante directiva de grupo, PowerShell o herramientas de administración de sistemas como Microsoft Intune.

Para auditar las exclusiones Microsoft Defender Antivirus en un Exchange Server, ejecute el comando Get-MpPreference desde un símbolo del sistema de PowerShell con privilegios elevados. (Consulte Get-MpPreference).

Si no se pueden quitar exclusiones para los procesos y carpetas de Exchange, tenga en cuenta que la ejecución de un examen rápido en Microsoft Defender Antivirus examina los directorios y archivos de Exchange, independientemente de las exclusiones.

Consulte también

• Microsoft Defender exclusiones de Antivirus en Windows Server 2016 y versiones posteriores
• Errores comunes para evitarlos cuando se definen exclusiones
• Exclusiones para Microsoft Defender para punto de conexión y antivirus de Microsoft Defender
• Configuración y validación de exclusiones para Microsoft Defender para punto de conexión en Linux
• Configuración y validación de exclusiones para Microsoft Defender para punto de conexión en macOS

Sugerencia

¿Desea obtener más información? Interactúe con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.