Cómo crear e implementar directivas antimalware para Endpoint Protection en Configuration Manager

Se aplica a: Configuration Manager (rama actual)

Puede implementar directivas antimalware en colecciones de equipos cliente de Configuration Manager para especificar cómo Endpoint Protection protege contra malware y otras amenazas. Estas directivas incluyen información sobre la programación del examen, los tipos de archivos y carpetas que se deben examinar y las acciones que deben realizarse cuando se detecte malware. Cuando se habilita Endpoint Protection, se aplica una directiva antimalware predeterminada a los equipos cliente. También puede usar una de las plantillas de directiva proporcionadas o crear una directiva personalizada para satisfacer las necesidades específicas de su entorno.

Configuration Manager proporciona una selección de plantillas predefinidas. Están optimizadas para diversos escenarios y se pueden importar a Configuration Manager. Estas plantillas están disponibles en la carpeta < ConfigMgr Install Folder > \AdminConsole\XMLStorage\EPTemplates.

Importante

Si crea una nueva directiva antimalware e la implementa en una colección, esta directiva antimalware invalida la directiva antimalware predeterminada.

Use los procedimientos descritos en este tema para crear o importar directivas de antimalware y asignarlas a los equipos cliente de Configuration Manager de la jerarquía.

Nota

Antes de realizar estos procedimientos, asegúrese de que Configuration Manager está configurado para Endpoint Protection como se describe en Configurar Endpoint Protection.

Modificar la directiva antimalware predeterminada

  1. En la consola de Configuration Manager, haga clic en Activos y cumplimiento.

  2. En el área de trabajo Activos y cumplimiento, expanda Endpoint Protection y, a continuación, haga clic en Directivas antimalware.

  3. Seleccione la directiva de antimalware Directiva de cliente predeterminada antimalware y, a continuación, en la ficha Inicio, en el grupo Propiedades, haga clic en Propiedades.

  4. En el cuadro de diálogo Directiva antimalware predeterminada, configure la configuración que necesita para esta directiva de antimalware y, a continuación, haga clic en Aceptar.

    Nota

    Para obtener una lista de las opciones de configuración que puede configurar, vea List of Antimalware Policy Configuración en este tema.

Crear una nueva directiva antimalware

  1. En la consola de Configuration Manager, haga clic en Activos y cumplimiento.

  2. En el área de trabajo Activos y cumplimiento, expanda Endpoint Protection y, a continuación, haga clic en Directivas antimalware.

  3. En la pestaña Inicio, en el grupo Crear, haga clic en Crear directiva antimalware.

  4. En la sección General del cuadro de diálogo Crear directiva antimalware, escriba un nombre y una descripción para la directiva.

  5. En el cuadro de diálogo Crear directiva antimalware, configure la configuración que necesita para esta directiva de antimalware y, a continuación, haga clic en Aceptar. Para obtener una lista de las opciones que puede configurar, vea List of Antimalware Policy Configuración.

  6. Compruebe que la nueva directiva antimalware se muestra en la lista Directivas de Antimalware.

Importar una directiva de antimalware

  1. En la consola de Configuration Manager, haga clic en Activos y cumplimiento.

  2. En el área de trabajo Activos y cumplimiento, expanda Endpoint Protection y, a continuación, haga clic en Directivas antimalware.

  3. En la ficha Inicio, en el grupo Crear, haga clic en Importar.

  4. En el cuadro de diálogo Abrir, vaya al archivo de directiva que desea importar y, a continuación, haga clic en Abrir.

  5. En el cuadro de diálogo Crear directiva antimalware, revise la configuración que se usará y, a continuación, haga clic en Aceptar.

  6. Compruebe que la nueva directiva antimalware se muestra en la lista Directivas de Antimalware.

Implementar una directiva antimalware en equipos cliente

  1. En la consola de Configuration Manager, haga clic en Activos y cumplimiento.

  2. En el área de trabajo Activos y cumplimiento, expanda Endpoint Protection y, a continuación, haga clic en Directivas antimalware.

  3. En la lista Directivas de Antimalware, seleccione la directiva de antimalware que desea implementar. A continuación, en la pestaña Inicio, en el grupo Implementación, haga clic en Implementar.

    Nota

    La opción Implementar no se puede usar con la directiva de malware de cliente predeterminada.

  4. En el cuadro de diálogo Seleccionar colección, seleccione la colección de dispositivos en la que desea implementar la directiva antimalware y, a continuación, haga clic en Aceptar.

Lista de directivas antimalware Configuración

Muchas de las opciones de configuración de antimalware se explican por sí solas. Use las secciones siguientes para obtener más información acerca de las opciones de configuración que pueden requerir más información antes de configurarlas.

Exámenes programados Configuración

Tipo de examen: puede especificar uno de los dos tipos de examen que se deben ejecutar en los equipos cliente:

  • Examen rápido: este tipo de examen comprueba los procesos y carpetas en memoria en los que normalmente se encuentra malware. Requiere menos recursos que un examen completo.

  • Examen completo: este tipo de examen agrega una comprobación completa de todos los archivos y carpetas locales a los elementos analizados en el examen rápido. Este examen tarda más que un examen rápido y usa más recursos de memoria y procesamiento de CPU en los equipos cliente.

    En la mayoría de los casos, use examen rápido para minimizar el uso de recursos del sistema en los equipos cliente. Si la eliminación de malware requiere un examen completo, Endpoint Protection genera una alerta que se muestra en la consola de Configuration Manager. El valor predeterminado es Examen rápido.

Examinar Configuración

Examinar datos adjuntos de correo electrónico y correo electrónico: establece en para activar el examen de correo electrónico.

Examinar dispositivos de almacenamiento extraíbles, como unidades USB: establece en para examinar unidades extraíbles durante los exámenes completos.

Examinar archivos de red: se establece en Sí para examinar archivos de red.

Examinar unidades de red asignadas al ejecutar un examen completo: establece en para examinar las unidades de red asignadas en los equipos cliente. Habilitar esta configuración puede aumentar significativamente el tiempo de examen en los equipos cliente.

  • La configuración Examinar archivos de red debe establecerse en para que esta configuración esté disponible para configurar.

  • De forma predeterminada, esta configuración se establece en No, lo que significa que un examen completo no tendrá acceso a las unidades de red asignadas.

Examinar archivos archivados: se establece en para examinar archivos archivados, como archivos .zip archivos .rar archivo.

Permitir a los usuarios configurar el uso de la CPU durante los exámenes: se establece en para permitir a los usuarios especificar el porcentaje máximo de uso de la CPU durante un examen. Los exámenes no siempre usarán la carga máxima definida por los usuarios, pero no podrán superarla.

Control de usuario de exámenes programados: especifique el nivel de control de usuario. Permitir a los usuarios establecer solo tiempo de examen o control total de los exámenes antivirus en sus dispositivos.

Acciones predeterminadas Configuración

Seleccione la acción que se debe realizar cuando se detecte malware en los equipos cliente. Se pueden aplicar las siguientes acciones, en función del nivel de amenaza de alerta del malware detectado.

  • Recomendado: use la acción recomendada en el archivo de definición de malware.

  • Cuarentena: ponga en cuarentena el malware, pero no lo quite.

  • Quitar: quite el malware del equipo.

  • Permitir: no quite ni ponga en cuarentena el malware.

Protección en tiempo real Configuración

Nombre de la opción Descripción
Habilitar la protección en tiempo real Se establece en Sí para configurar las opciones de protección en tiempo real para los equipos cliente. Se recomienda habilitar esta configuración.
Supervisar la actividad de archivos y programas en el equipo Establezca en si desea Endpoint Protection supervisar cuándo comienzan a ejecutarse los archivos y programas en los equipos cliente y alertar sobre las acciones que realizan o las acciones realizadas en ellos.
Examinar archivos del sistema Esta configuración le permite configurar si los archivos del sistema entrantes, salientes o entrantes y salientes se supervisan en busca de malware. Por motivos de rendimiento, es posible que tenga que cambiar el valor predeterminado de Examinar archivos entrantes y salientes si un servidor tiene una actividad de archivo entrante o saliente alta.
Habilitar la supervisión del comportamiento Habilite esta configuración para usar la actividad del equipo y los datos de archivos para detectar amenazas desconocidas. Cuando esta configuración está habilitada, puede aumentar el tiempo necesario para examinar equipos en busca de malware.
Habilitar la protección contra vulnerabilidades basadas en red Habilite esta configuración para proteger los equipos contra vulnerabilidades de red conocidas inspeccionando el tráfico de red y bloqueando cualquier actividad sospechosa.
Habilitar el examen de scripts Para Configuration Manager sin service pack solamente.

Habilite esta configuración si desea examinar los scripts que se ejecutan en equipos en busca de actividad sospechosa.
Bloquear aplicaciones potencialmente no deseadas en la descarga y antes de la instalación Aplicaciones potenciales no deseadas (PUA) es una clasificación de amenazas basada en la reputación y la identificación basada en la investigación. Normalmente, se trata de agrupadores de aplicaciones no deseados o sus aplicaciones agrupadas.

Microsoft Edge también proporciona opciones para bloquear aplicaciones potencialmente no deseadas. Explore estas opciones para obtener una protección completa contra aplicaciones no deseadas.

Esta configuración de directiva de protección está disponible y se establece en Habilitado de forma predeterminada. Cuando está habilitada, esta configuración bloquea PUA en tiempo de descarga e instalación. Sin embargo, puede excluir archivos o carpetas específicos para satisfacer las necesidades específicas de su empresa u organización.

A partir de Configuration Manager versión 2107, puede seleccionar Auditar esta configuración. Usa la protección pua en modo auditoría para detectar aplicaciones potencialmente no deseadas sin bloquearlas. La protección de PUA en modo auditoría es útil si su empresa desea medir el impacto que la habilitación de las protecciones de PUA tendrá en su entorno. Habilitar la protección en modo auditoría permite determinar el impacto en los puntos de conexión antes de habilitar la protección en modo de bloqueo.

Exclusion Configuración

Para obtener información sobre carpetas, archivos y procesos recomendados para la exclusión en Configuration Manager 2012 y rama actual, vea Exclusiones antivirus recomendadas para Configuration Manager 2012y servidores de sitios de sucursal, sistemas de sitios y clientes actuales.

Archivos y carpetas excluidos:

Haga clic en Establecer para abrir el cuadro de diálogo Configurar exclusiones de archivos y carpetas y especifique los nombres de los archivos y carpetas que se excluirán de Endpoint Protection exámenes.

Si desea excluir archivos y carpetas que se encuentran en una unidad de red asignada, especifique el nombre de cada carpeta de la unidad de red individualmente. Por ejemplo, si una unidad de red se asigna como F:\MyFolder y contiene subcarpetas denominadas Folder1, Folder2 y Folder 3, especifique las exclusiones siguientes:

  • F:\MyFolder\Folder1

  • F:\MyFolder\Folder2

  • F:\MyFolder\Folder3

A partir de la versión 1602, se mejora la configuración existente Excluir archivos y carpetas en la sección Configuración de exclusión de una directiva antimalware para permitir exclusiones de dispositivos. Por ejemplo, ahora puedes especificar lo siguiente como una exclusión: \device\mvfs (para Multiversion File System). La directiva no valida la ruta de acceso del dispositivo; la Endpoint Protection se proporciona al motor de antimalware en el cliente que debe poder interpretar la cadena del dispositivo.

Tipos de archivo excluidos:

Haga clic en Establecer para abrir el cuadro de diálogo Configurar exclusiones de tipo de archivo y especificar las extensiones de archivo que se excluirán de Endpoint Protection análisis. Puede usar caracteres comodín al definir elementos de la lista de exclusión. Para obtener más información, vea Use wildcards in the file name and folder path or extension exclusion lists.

Procesos excluidos:

Haga clic en Establecer para abrir el cuadro de diálogo Configurar exclusiones de procesos y especificar los procesos que se excluirán de Endpoint Protection análisis. Sin embargo, puede usar caracteres comodín al definir elementos de la lista de exclusión, pero hay algunas limitaciones. Para obtener más información, vea Usar caracteres comodín en la lista de exclusión de procesos

Configuración avanzada

Habilitar el examen de puntos de repetición: establezca en si desea Endpoint Protection examinar puntos de reanco de NTFS.

Para obtener más información acerca de los puntos de repetición, consulte Puntos de reanco en el Windows Centro de desarrollo.

Randomize the scheduled scan start times (within 30 minutes): set to Yes to help avoid flooding the network, which can occur if all computers send their antimalware scans results to the Configuration Manager database at the same time. Por Antivirus de Windows Defender, esto aleatoriza la hora de inicio del examen a cualquier intervalo de 0 a 4 horas, o para FEP y SCEP, a cualquier intervalo más o menos 30 minutos. Esto puede ser útil en implementaciones de VM o VDI. Esta configuración también es útil cuando se ejecutan varias máquinas virtuales en un único host. Seleccione esta opción para reducir la cantidad de acceso simultáneo al disco para el examen de antimalware.

A partir de la versión 1602 de Configuration Manager, el motor de antimalware puede solicitar que se envíen muestras de archivos a Microsoft para su análisis posterior. De forma predeterminada, siempre se preguntará antes de enviar dichas muestras. Los administradores ahora pueden administrar las siguientes opciones para configurar este comportamiento:

Habilitar el envío automático de archivos de ejemplo para ayudar a Microsoft a determinar si determinados elementos detectados son malintencionados: establezca en para habilitar el envío automático de archivos de ejemplo. De forma predeterminada, esta configuración es No, lo que significa que el envío automático de archivos de muestra está deshabilitado y se solicita a los usuarios antes de enviar ejemplos.

Permitir a los usuarios modificar la configuración de envío de archivos de muestra automática: esto determina si un usuario con derechos de administrador local en un dispositivo puede cambiar la configuración de envío de archivos de muestra automática en la interfaz de cliente. De forma predeterminada, esta configuración es "No", lo que significa que solo se puede cambiar desde la consola de Configuration Manager y los administradores locales de un dispositivo no pueden cambiar esta configuración.
Por ejemplo, la siguiente muestra esta configuración establecida por el administrador como habilitada y grised hacia fuera para evitar cambios por parte del usuario.

Windows Defender: envíos de ejemplo automáticos

Invalidaciones de amenazas Configuración

Acción de reemplazo y nombre de amenaza: haga clic en Establecer para personalizar la acción de corrección que se debe realizar para cada identificador de amenaza cuando se detecte durante un examen.

Nota

Es posible que la lista de nombres de amenazas no esté disponible inmediatamente después de la configuración de Endpoint Protection. Espere hasta que el Endpoint Protection haya sincronizado la información de amenazas y vuelva a intentarlo.

Servicio de protección en la nube

Cloud Protection Service permite la recopilación de información sobre malware detectado en sistemas administrados y las acciones realizadas. Esta información se envía a Microsoft.

Pertenencia a Cloud Protection Service

  • No unirse al servicio de protección en la nube: no se envía información
  • Básico: recopilar y enviar listas de malware detectado
  • Avanzado: información básica, así como información más completa que podría contener información personal. Por ejemplo, rutas de acceso de archivo y volcados parciales de memoria.

Permitir a los usuarios modificar la configuración del servicio de protección en la nube: alterna el control de usuario de la configuración del servicio de protección en la nube.

Nivel para bloquear archivos sospechosos: especifique el nivel al que el servicio Endpoint Protection Cloud Protection bloqueará los archivos sospechosos.

  • Normal: el nivel de bloqueo Windows Defender predeterminado
  • Alto: bloquea de forma agresiva archivos desconocidos mientras optimiza el rendimiento (mayor probabilidad de bloquear archivos no dañinos)
  • Alta con protección adicional: bloquea de forma agresiva archivos desconocidos y aplica medidas de protección adicionales (podría afectar al rendimiento del dispositivo cliente)
  • Bloquear programas desconocidos: bloquea todos los programas desconocidos

Permitir que la comprobación extendida en la nube bloquee y analice hasta (segundos): especifica el número de segundos que cloud Protection Service puede bloquear un archivo mientras el servicio comprueba que el archivo no se sabe que es malintencionado.

Nota

El número de segundos que seleccione para esta configuración se suma a un tiempo de espera predeterminado de 10 segundos. Por ejemplo, si escribe 0 segundos, el servicio de protección en la nube bloquea el archivo durante 10 segundos.

Detalles de los informes del servicio de protección en la nube

Frequency Datos recopilados o enviados Uso de datos
Cuando Windows Defender archivos de definición o protección contra virus y spyware - Versión de definiciones de virus y spyware
- Versión de protección contra virus y spyware
Microsoft usa esta información para garantizar que las últimas actualizaciones de virus y spyware estén presentes en los equipos. Si no está presente, Windows Defender actualizaciones automáticamente para que la protección del equipo se mantenga actualizada.
Si Windows Defender encuentra software potencialmente dañino o no deseado en los equipos - Nombre del software potencialmente dañino o no deseado
- Cómo se encontró el software
- Cualquier acción que Windows Defender realizar para tratar el software
- Archivos afectados por el software
- Información sobre el equipo del fabricante (Sysconfig, SysModel, SysMarker)
Windows Defender esta información para determinar el tipo y la gravedad del software potencialmente no deseado y la mejor acción que se debe realizar. Microsoft también usa esta información para mejorar la precisión de la protección contra virus y spyware.
Una vez al mes - Estado de actualización de definiciones de virus y spyware
- Estado de la supervisión de virus y spyware en tiempo real (activa o desactivada)
Windows Defender esta información para comprobar que los equipos tienen la versión y definiciones más recientes de protección contra virus y spyware. Microsoft también quiere asegurarse de que la supervisión de virus y spyware en tiempo real esté activada. Esta es una parte crítica de ayudar a proteger los equipos de software potencialmente dañino o no deseado.
Durante la instalación, o siempre que los usuarios realicen manualmente el examen de virus y spyware del equipo Lista de procesos en ejecución en la memoria del equipo Para identificar los procesos que podrían haber sido comprometidos por software potencialmente dañino.

Microsoft recopila solo los nombres de los archivos afectados, no el contenido de los propios archivos. Esta información ayuda a determinar qué sistemas son especialmente vulnerables a amenazas específicas.

Actualizaciones de definiciones Configuración

Establecer orígenes y orden para las Endpoint Protection cliente: haga clic en Establecer origen para especificar los orígenes para las actualizaciones del motor de definición y de análisis. También puede especificar el orden en que se usan estos orígenes. Si Configuration Manager se especifica como uno de los orígenes, los otros orígenes solo se usan si las actualizaciones de software no pueden descargar las actualizaciones de cliente.

Si usa cualquiera de los siguientes métodos para actualizar las definiciones en los equipos cliente, los equipos cliente deben tener acceso a Internet.

  • Actualizaciones distribuidas desde Microsoft Update

  • Actualizaciones distribuidas desde Centro de protección contra malware de Microsoft

Importante

Los clientes descargan actualizaciones de definiciones mediante la cuenta del sistema integrada. Debe configurar un servidor proxy para esta cuenta para permitir que estos clientes se conecten a Internet.

Si ha configurado una regla de implementación automática de actualizaciones de software para entregar actualizaciones de definición en los equipos cliente, estas actualizaciones se entregarán independientemente de la configuración de actualizaciones de definición.