Windows configuración que puede implementar con la directiva de Intune para proteger Windows dispositivos

Nota

Intune puede admitir más opciones de configuración que las que se enumeran en este artículo. No todas las opciones de configuración están documentadas y no se documentarán. Para ver las opciones que puede configurar, cree un perfil de configuración de dispositivo y seleccione Configuración Catalog. Para obtener más información, vea Configuración catálogo.

Microsoft Intune incluye muchas opciones de configuración para ayudar a proteger los dispositivos. En este artículo se describen algunas de las opciones de configuración que puede habilitar y configurar en Windows 10 y Windows 11 dispositivos. Esta configuración se crea en un perfil de configuración de protección de puntos de conexión en Intune para controlar la seguridad, incluidos BitLocker y Microsoft Defender.

Para configurar Antivirus de Microsoft Defender, consulta Windows restricciones de dispositivos o usa la directiva antivirus de seguridad de puntos de conexión.

Antes de empezar

Crear un perfil de configuración de dispositivo de protección de puntos de conexión.

Para obtener más información acerca de los proveedores de servicios de configuración (CSP), vea Configuration service provider reference.

Protección de aplicaciones de Microsoft Defender

Al usar Microsoft Edge, Protección de aplicaciones de Microsoft Defender protege el entorno de sitios que no son de confianza para su organización. Cuando los usuarios visitan sitios que no aparecen en el límite de red aislado, los sitios se abren en una sesión de exploración virtual de Hyper-V. Los sitios de confianza se definen mediante un límite de red, que se configuran en Configuración de dispositivos. Para obtener más información, vea Create a network boundary on Windows devices.

Application Guard solo está disponible para dispositivos de Windows b4 bits. El uso de este perfil instala un componente de Win32 para activar La Protección de aplicaciones.

  • Protección de aplicaciones
    Valor predeterminado: no configurado
    CSP de Protección de aplicaciones: Configuración/AllowWindowsDefenderApplicationGuard

    • Habilitado para Edge: activa esta característica, que abre sitios que no son de confianza en un contenedor de exploración virtualizado de Hyper-V.
    • No configurado: cualquier sitio (de confianza y no de confianza) se puede abrir en el dispositivo.
  • Comportamiento del Portapapeles
    Valor predeterminado: no configurado
    CSP de Protección de aplicaciones: Configuración/ClipboardSettings

    Elige qué acciones de copiar y pegar se permiten entre el equipo local y el explorador virtual de Application Guard.

    • Sin configurar
    • Permitir copiar y pegar solo desde el equipo al explorador
    • Permitir copiar y pegar solo desde el explorador al equipo
    • Permitir copiar y pegar entre pc y explorador
    • Bloquear copiar y pegar entre pc y explorador
  • Contenido del Portapapeles
    Esta configuración solo está disponible cuando el comportamiento del Portapapeles se establece en una de las opciones de permitir.
    Valor predeterminado: no configurado
    CSP de Protección de aplicaciones: Configuración/ClipboardFileType

    Seleccione el contenido permitido del Portapapeles.

    • Sin configurar
    • Texto
    • Images
    • Texto e imágenes
  • Contenido externo en sitios de empresa
    Valor predeterminado: no configurado
    CSP de Protección de aplicaciones: Configuración/BlockNonEnterpriseContent

    • Bloquear: bloquear la carga del contenido de sitios web no aprobados.
    • No configurado: los sitios que no son de empresa se pueden abrir en el dispositivo.
  • Imprimir desde el explorador virtual
    Valor predeterminado: no configurado
    CSP de Protección de aplicaciones: Configuración/PrintingSettings

    • Permitir: permite la impresión del contenido seleccionado desde el explorador virtual.
    • No configurado Deshabilita todas las características de impresión.

    Al permitir la impresión, puede configurar la siguiente configuración:

    • Tipos de impresión Seleccione una o varias de las siguientes opciones:
      • PDF
      • XPS
      • Impresoras locales
      • Impresoras de red
  • Recopilar registros
    Valor predeterminado: no configurado
    CSP de Protección de aplicaciones: Audit/AuditApplicationGuard

    • Permitir: recopila registros de eventos que se producen en una sesión de exploración de Application Guard.
    • No configurado: no recopile ningún registro dentro de la sesión de exploración.
  • Conservar los datos del explorador generados por el usuario
    Valor predeterminado: no configurado
    CSP de Protección de aplicaciones: Configuración/AllowPersistence

    • Permitir Guarde los datos de usuario (como contraseñas, favoritos y cookies) que se crean durante una sesión de exploración virtual de Application Guard.
    • No configurado Descartar los archivos y datos descargados por el usuario cuando se reinicia el dispositivo o cuando un usuario cierra sesión.
  • Aceleración de gráficos
    Valor predeterminado: no configurado
    CSP de Protección de aplicaciones: Configuración/AllowVirtualGPU

    • Habilitar: cargue los sitios web y el vídeo con un uso intensivo de gráficos más rápido al obtener acceso a una unidad de procesamiento de gráficos virtuales.
    • No configurado Usa la CPU del dispositivo para gráficos; No use la unidad de procesamiento de gráficos virtuales.
  • Descargar archivos en el sistema de archivos host
    Valor predeterminado: no configurado
    CSP de Protección de aplicaciones: Configuración/SaveFilesToHost

    • Habilitar: los usuarios pueden descargar archivos desde el explorador virtualizado en el sistema operativo host.
    • No configurado: mantiene los archivos locales en el dispositivo y no descarga los archivos en el sistema de archivos host.

Firewall de Microsoft Defender

Configuración global

Esta configuración es aplicable a todos los tipos de red.

  • Protocolo de transferencia de archivos
    Valor predeterminado: no configurado
    CSP de firewall: MdmStore/Global/DisableStatefulFtp

    • Bloquear: deshabilitar FTP con estado.
    • No configurado: el firewall realiza un filtrado FTP con estado para permitir conexiones secundarias.
  • Tiempo de inactividad de la asociación de seguridad antes de la eliminación
    Valor predeterminado: no configurado
    CSP de firewall: MdmStore/Global/SaIdleTime

    Especifique un tiempo de inactividad en segundos, después de lo cual se eliminan las asociaciones de seguridad.

  • Codificación de clave previamente compartida
    Valor predeterminado: no configurado
    CSP de firewall: MdmStore/Global/PresharedKeyEncoding

    • Habilitar: codifica las claves escuchadas previamente con UTF-8.
    • No configurado: codifica las claves previamente escuchadas con el valor de almacén local.
  • Exenciones de IPsec
    Valor predeterminado : 0 seleccionado
    CSP de firewall: MdmStore/Global/IPsecExempt

    Seleccione uno o varios de los siguientes tipos de tráfico para estar exentos de IPsec:

    • Vecinos descubren códigos de tipo ICMP IPv6
    • ICMP
    • Códigos de tipo IPv6 ICMP de descubriendo el enrutador
    • Tráfico de red DHCP IPv4 e IPv6
  • Comprobación de lista de revocación de certificados
    Valor predeterminado: no configurado
    CSP de firewall: MdmStore/Global/CRLcheck

    Elige cómo comprueba el dispositivo la lista de revocación de certificados. Entre las opciones se incluyen:

    • Deshabilitar la comprobación de CRL
    • Error en la comprobación de CRL solo en el certificado revocado
    • Error en la comprobación de CRL en cualquier error encontrado.
  • Coincidencia oportunista del conjunto de autenticación por módulo de claves
    Valor predeterminado: no configurado
    CSP de firewall: MdmStore/Global/OpportunisticallyMatchAuthSetPerKM

    • Habilitar Los módulos de claves deben omitir solo los conjuntos de autenticación que no admiten.
    • No configurado, los módulos de claves deben omitir todo el conjunto de autenticación si no admiten todos los conjuntos de autenticación especificados en el conjunto.
  • Cola de paquetes
    Valor predeterminado: no configurado
    CSP de firewall: MdmStore/Global/EnablePacketQueue

    Especifique cómo se habilita el escalado de software en el lado de recepción para la recepción cifrada y el reenvío de texto sin cifrar para el escenario de puerta de enlace de túnel IPsec. Esta configuración confirma que se conserva el orden de paquetes. Entre las opciones se incluyen:

    • Sin configurar
    • Deshabilitar todas las colas de paquetes
    • Solo cola de paquetes cifrados entrantes
    • Paquetes de cola después de realizar el descifrado solo para reenvío
    • Configurar paquetes entrantes y salientes

Configuración de red

Las siguientes opciones de configuración se enumeran en este artículo una sola vez, pero todas se aplican a los tres tipos de red específicos:

  • Red de dominio (lugar de trabajo)
  • Red privada (detectable)
  • Red pública (no detectable)

Configuración general

  • Firewall de Microsoft Defender
    Valor predeterminado: no configurado
    CSP de firewall: EnableFirewall

    • Habilitar: activar el firewall y la seguridad avanzada.
    • No configurado Permite todo el tráfico de red, independientemente de cualquier otra configuración de directiva.
  • Modo oculto
    Valor predeterminado: no configurado
    CSP de firewall: DisableStealthMode

    • Sin configurar
    • Bloquear: el firewall no funciona en modo oculto. El modo oculto de bloqueo también permite bloquear la exención de paquetes protegidos por IPsec.
    • Permitir: el firewall funciona en modo oculto, lo que ayuda a evitar respuestas a solicitudes de sondeo.
  • Exención de paquetes protegidos por IPsec con modo oculto
    Valor predeterminado: no configurado
    CSP de firewall: DisableStealthModeIpsecSecuredPacketExemption

    Esta opción se omite si el modo oculto está establecido en Bloquear.

    • Sin configurar
    • Block: los paquetes protegidos por IPSec no reciben exenciones.
    • Permitir: habilitar exenciones. El modo oculto del firewall NO DEBE impedir que el equipo host responda al tráfico de red no solicitado protegido por IPsec.
  • Blinded
    Valor predeterminado: no configurado
    CSP de firewall: blindada

    • Sin configurar
    • Bloquear: cuando el Firewall de Microsoft Defender está en y esta configuración está establecida en Bloquear, se bloquea todo el tráfico entrante, independientemente de otras configuraciones de directiva.
    • Permitir: cuando se establece en Permitir, esta configuración está desactivada y el tráfico entrante se permite en función de otras configuraciones de directiva.
  • Respuestas de unidifusión a las difusiones de multidifusión
    Valor predeterminado: no configurado
    CSP de firewall: DisableUnicastResponsesToMulticastBroadcast

    Normalmente, no desea recibir respuestas de unidifusión a los mensajes de difusión o multidifusión. Estas respuestas pueden indicar un ataque de denegación de servicio (DOS) o un atacante que intenta sondear un equipo en directo conocido.

    • Sin configurar
    • Bloquear: deshabilita las respuestas de unidifusión a las difusiones de multidifusión.
    • Permitir: permitir respuestas de unidifusión a las difusiones de multidifusión.
  • Notificaciones entrantes
    Valor predeterminado: no configurado
    CSP de firewall: DisableInboundNotifications

    • Sin configurar
    • Bloquear: oculta las notificaciones que se usan cuando se bloquea la escucha de una aplicación en un puerto.
    • Permitir: habilita esta configuración y puede mostrar una notificación a los usuarios cuando se bloquea la escucha de una aplicación en un puerto.
  • Acción predeterminada para las conexiones salientes
    Valor predeterminado: no configurado
    CSP de firewall: DefaultOutboundAction

    Configure el firewall de acción predeterminado que realiza en las conexiones salientes. Esta configuración se aplicará a Windows versión 1809 y versiones posteriores.

    • Sin configurar
    • Bloquear: la acción de firewall predeterminada no se ejecuta en el tráfico saliente a menos que se especifique explícitamente que no se bloquee.
    • Permitir: las acciones de firewall predeterminadas se ejecutan en conexiones salientes.
  • Acción predeterminada para las conexiones entrantes
    Valor predeterminado: no configurado
    CSP de firewall: DefaultInboundAction

    • Sin configurar
    • Bloquear: la acción de firewall predeterminada no se ejecuta en conexiones entrantes.
    • Permitir: las acciones de firewall predeterminadas se ejecutan en conexiones entrantes.

Combinación de reglas

  • Reglas de Firewall de Microsoft Defender de aplicaciones autorizadas desde el almacén local
    Valor predeterminado: no configurado
    CSP de firewall: AuthAppsAllowUserPrefMerge

    • Sin configurar
    • Bloquear: las reglas de firewall de aplicaciones autorizadas en el almacén local se omiten y no se aplican.
    • Permitir - Elija Habilitar Aplica reglas de firewall en el almacén local para que se reconozcan y se apliquen.
  • Reglas de Firewall de Microsoft Defender de puerto global desde el almacén local
    Valor predeterminado: no configurado
    CSP de firewall: GlobalPortsAllowUserPrefMerge

    • Sin configurar
    • Bloquear: las reglas de firewall de puerto global del almacén local se omiten y no se aplican.
    • Permitir: aplicar reglas de firewall de puerto global en el almacén local para que se reconozcan y se apliquen.
  • Reglas de Firewall de Microsoft Defender desde el almacén local
    Valor predeterminado: no configurado
    CSP de firewall: AllowLocalPolicyMerge

    • Sin configurar
    • Bloquear: las reglas de firewall del almacén local se omiten y no se aplican.
    • Permitir: aplicar reglas de firewall en el almacén local para que se reconozcan y se apliquen.
  • Reglas IPsec de la tienda local
    Valor predeterminado: no configurado
    CSP de firewall: AllowLocalIpsecPolicyMerge

    • Sin configurar
    • Bloquear: las reglas de seguridad de conexión del almacén local se omiten y no se aplican, independientemente de la versión del esquema y la versión de la regla de seguridad de conexión.
    • Permitir: aplicar reglas de seguridad de conexión desde el almacén local, independientemente de las versiones de reglas de seguridad de esquema o conexión.

Reglas de firewall

Puede agregar una o más reglas de firewall personalizadas. Para obtener más información, vea Add custom firewall rules for Windows devices.

Las reglas de firewall personalizadas admiten las siguientes opciones:

Configuración general:

  • Nombre
    Valor predeterminado : Sin nombre

    Especifique un nombre descriptivo para la regla. Este nombre aparecerá en la lista de reglas para ayudarle a identificarlo.

  • Descripción
    Valor predeterminado : Sin descripción

    Proporcione una descripción de la regla.

  • Dirección
    Valor predeterminado: no configurado
    CSP de firewall: FirewallRules/FirewallRuleName/Direction

    Especifique si esta regla se aplica al tráfico entrante o saliente. Cuando se establece como No configurado, la regla se aplica automáticamente al tráfico saliente.

  • Action
    Valor predeterminado: no configurado
    CSP de firewall: FirewallRules/FirewallRuleName/Actiony FirewallRules/FirewallRuleName/Action/Type

    Seleccione en Permitir o Bloquear. Cuando se establece como No configurado, la regla se establece de forma predeterminada para permitir el tráfico.

  • Tipo de red
    Valor predeterminado : 0 seleccionado
    CSP de firewall: FirewallRules/FirewallRuleName/Profiles

    Seleccione hasta tres tipos de red a los que pertenece esta regla. Las opciones incluyen Dominio, Privado y Público. Si no se selecciona ningún tipo de red, la regla se aplica a los tres tipos de red.

Configuración de aplicaciones

  • Aplicaciones
    Valor predeterminado : All

    Controla las conexiones de una aplicación o programa. Seleccione una de las siguientes opciones y, a continuación, complete la configuración adicional:

    • Nombre de familia del paquete: especifique un nombre de familia de paquete. Para buscar el nombre de familia del paquete, use el comando de PowerShell Get-AppxPackage.
      CSP de firewall: FirewallRules/FirewallRuleName/App/PackageFamilyName

    • Ruta de acceso de archivo: debe especificar una ruta de acceso de archivo a una aplicación en el dispositivo cliente, que puede ser una ruta de acceso absoluta o una ruta relativa. Por ejemplo: C:\Windows\System\Notepad.exe o %WINDIR%\Notepad.exe.
      CSP de firewall: FirewallRules/FirewallRuleName/App/FilePath

    • Windows: especifique el nombre corto del Windows si es un servicio y no una aplicación que envía o recibe tráfico. Para buscar el nombre corto del servicio, use el comando de PowerShell Get-Service.
      CSP de firewall: FirewallRules/FirewallRuleName/App/ServiceName

    • All: no hay ninguna configuración adicional disponible.

Configuración de la dirección IP

Especifique las direcciones locales y remotas a las que se aplica esta regla.

  • Direcciones locales
    Valor predeterminado: cualquier dirección
    CSP de firewall: FirewallRules/FirewallRuleName/LocalPortRanges

    Seleccione Cualquier dirección o dirección especificada.

    Cuando se usa dirección especificada, se agregan una o más direcciones como una lista separada por comas de las direcciones locales que se tratan en la regla. Los tokens válidos incluyen:

    • Use un asterisco "*" para cualquier dirección local. Si usa un asterisco, debe ser el único token que use.
    • Para especificar una subred, use la máscara de subred o la notación de prefijo de red. Si no se especifica ninguna máscara de subred ni un prefijo de red, la máscara de subred tiene el valor predeterminado 255.255.255.255.
    • Una dirección IPv6 válida.
    • Un intervalo de direcciones IPv4 con el formato de "dirección de inicio - dirección final" sin espacios incluidos.
    • Un intervalo de direcciones IPv6 con el formato de "dirección de inicio - dirección final" sin espacios incluidos.
  • Direcciones remotas
    Valor predeterminado: cualquier dirección
    CSP de firewall: FirewallRules/FirewallRuleName/RemoteAddressRanges

    Seleccione Cualquier dirección o dirección especificada.

    Cuando se usa dirección especificada, se agregan una o más direcciones como una lista separada por comas de direcciones remotas que se tratan en la regla. Los tokens no distinguen mayúsculas de minúsculas. Los tokens válidos incluyen:

    • Use un asterisco "*" para cualquier dirección remota. Si usa un asterisco, debe ser el único token que use.
    • "Defaultgateway"
    • "DHCP"
    • "DNS"
    • "WINS"
    • "Intranet" (compatible con Windows versiones 1809 y posteriores)
    • "RmtIntranet" (compatible con Windows versiones 1809 y posteriores)
    • "Internet" (compatible con Windows versiones 1809 y posteriores)
    • "Ply2Renders" (compatible Windows versiones 1809 y posteriores)
    • "LocalSubnet" indica cualquier dirección local en la subred local.
    • Para especificar una subred, use la máscara de subred o la notación de prefijo de red. Si no se especifica ninguna máscara de subred ni un prefijo de red, la máscara de subred tiene el valor predeterminado 255.255.255.255.
    • Una dirección IPv6 válida.
    • Un intervalo de direcciones IPv4 con el formato de "dirección de inicio - dirección final" sin espacios incluidos.
    • Un intervalo de direcciones IPv6 con el formato de "dirección de inicio - dirección final" sin espacios incluidos.

Configuración de puertos y protocolos

Especifique los puertos locales y remotos a los que se aplica esta regla.

Configuración avanzada

  • Tipos de interfaz
    Valor predeterminado : 0 seleccionado
    CSP de firewall: FirewallRules/FirewallRuleName/InterfaceTypes

    Seleccione entre las opciones siguientes:

    • Acceso remoto
    • Inalámbrico
    • Red de área local
  • Solo permitir conexiones de estos usuarios
    Valor predeterminado: todos los usuarios (valores predeterminados para todos los usos cuando no se especifica ninguna lista)
    CSP de firewall: FirewallRules/FirewallRuleName/LocalUserAuthorizationList

    Especifique una lista de usuarios locales autorizados para esta regla. No se puede especificar una lista de usuarios autorizados si esta regla se aplica a un servicio Windows usuario.

SmartScreen de Microsoft Defender configuración

Microsoft Edge debe instalarse en el dispositivo.

  • SmartScreen para aplicaciones y archivos
    Valor predeterminado: no configurado
    CSP de SmartScreen: SmartScreen/EnableSmartScreenInShell

    • No configurado: deshabilita el uso de SmartScreen.
    • Habilitar: habilite Windows SmartScreen para la ejecución de archivos y la ejecución de aplicaciones. SmartScreen es un componente anti phishing y antimalware basado en la nube.
  • Ejecución de archivos noverificados
    Valor predeterminado: no configurado
    CSP de SmartScreen: SmartScreen/PreventOverrideForFilesInShell

    • No configurado: deshabilita esta característica y permite a los usuarios finales ejecutar archivos que no se han comprobado.
    • Bloquear: impedir que los usuarios finales ejecuten archivos que no hayan sido comprobados por Windows SmartScreen.

Cifrado de Windows

Windows Configuración

  • Cifrar dispositivos
    Valor predeterminado: no configurado
    CSP de BitLocker: RequireDeviceEncryption

    • Requerir: pida a los usuarios que habiliten el cifrado de dispositivos. Según la edición Windows y la configuración del sistema, se puede preguntar a los usuarios:
      • Para confirmar que el cifrado de otro proveedor no está habilitado.
      • Debe desactivar el cifrado de unidad BitLocker y volver a activar BitLocker.
    • Sin configurar

    Si Windows cifrado está activado mientras otro método de cifrado está activo, el dispositivo puede volverse inestable.

Configuración base de BitLocker

La configuración base es la configuración universal de BitLocker para todos los tipos de unidades de datos. Estas opciones administran las tareas de cifrado de unidades o las opciones de configuración que el usuario final puede modificar en todos los tipos de unidades de datos.

  • Advertencia para otro cifrado de disco
    Valor predeterminado: no configurado
    CSP de BitLocker: AllowWarningForOtherDiskEncryption

    • Bloquear: deshabilita el mensaje de advertencia si hay otro servicio de cifrado de disco en el dispositivo.
    • No configurado: permite mostrar la advertencia de otro cifrado de disco.

    Sugerencia

    Para instalar BitLocker de forma automática y silenciosa en un dispositivo que Azure AD unido y ejecuta Windows 1809 o posterior, esta configuración debe establecerse en Bloquear. Para obtener más información, consulta Habilitar Silenciosamente BitLocker en dispositivos.

    Cuando se establece en Bloquear, puede configurar la siguiente configuración:

    • Permitir que los usuarios estándar habiliten el cifrado durante Azure AD unirse
      Esta configuración solo se aplica Azure Active Directory dispositivos unidos (Azure ADJ) y depende de la configuración anterior, Warning for other disk encryption .
      Valor predeterminado: no configurado
      CSP de BitLocker: AllowStandardUserEncryption

      • Permitir: los usuarios estándar (que no son administradores) pueden habilitar el cifrado de BitLocker cuando han iniciado sesión.
      • No configurado solo los administradores pueden habilitar el cifrado de BitLocker en el dispositivo.

    Sugerencia

    Para instalar BitLocker de forma automática y silenciosa en un dispositivo que Azure AD unido y ejecuta Windows 1809 o posterior, esta configuración debe establecerse en Permitir. Para obtener más información, consulta Habilitar Silenciosamente BitLocker en dispositivos.

  • Configurar métodos de cifrado
    Valor predeterminado: no configurado
    CSP de BitLocker: EncryptionMethodByDriveType

    • Habilitar: configure algoritmos de cifrado para el sistema operativo, los datos y las unidades extraíbles.
    • No configurado: BitLocker usa XTS-AES de 128 bits como método de cifrado predeterminado o usa el método de cifrado especificado por cualquier script de instalación.

    Cuando se establece en Habilitar, puede configurar las siguientes opciones:

    • Cifrado para unidades del sistema operativo
      Valor predeterminado : XTS-AES de 128 bits

      Elija el método de cifrado para las unidades del sistema operativo. Se recomienda usar el algoritmo XTS-AES.

      • AES-CBC de 128 bits
      • AES-CBC de 256 bits
      • XTS-AES de 128 bits
      • XTS-AES de 256 bits
    • Cifrado para unidades de datos fijas
      Valor predeterminado : AES-CBC de 128 bits

      Elija el método de cifrado para las unidades de datos fijas (integradas). Se recomienda usar el algoritmo XTS-AES.

      • AES-CBC de 128 bits
      • AES-CBC de 256 bits
      • XTS-AES de 128 bits
      • XTS-AES de 256 bits
    • Cifrado para unidades de datos extraíbles
      Valor predeterminado : AES-CBC de 128 bits

      Elija el método de cifrado para unidades de datos extraíbles. Si la unidad extraíble se usa con dispositivos que no se ejecutan Windows 10/11, se recomienda usar el algoritmo AES-CBC.

      • AES-CBC de 128 bits
      • AES-CBC de 256 bits
      • XTS-AES de 128 bits
      • XTS-AES de 256 bits

Configuración de unidad del sistema operativo BitLocker

Esta configuración se aplica específicamente a las unidades de datos del sistema operativo.

  • Autenticación adicional al inicio
    Valor predeterminado: no configurado
    CSP de BitLocker: SystemDrivesRequireStartupAuthentication

    • Requerir: configure los requisitos de autenticación para el inicio del equipo, incluido el uso del Módulo de plataforma de confianza (TPM).
    • No configurado: configure solo opciones básicas en dispositivos con un TPM.

    Cuando se establece en Requerir, puede configurar las siguientes opciones:

    • BitLocker con chip TPM no compatible
      Valor predeterminado: no configurado

      • Bloquear: deshabilita el uso de BitLocker cuando un dispositivo no tiene un chip TPM compatible.
      • No configurado: los usuarios pueden usar BitLocker sin un chip TPM compatible. BitLocker puede requerir una contraseña o una clave de inicio.
    • Inicio de TPM compatible
      Valor predeterminado: Permitir TPM

      Configure si tpm está permitido, obligatorio o no permitido.

      • Permitir TPM
      • No permitir TPM
      • Requerir TPM
    • PIN de inicio de TPM compatible
      Valor predeterminado: permitir el PIN de inicio con TPM

      Elija permitir, no permitir o requerir el uso de un PIN de inicio con el chip TPM. La habilitación de un PIN de inicio requiere la interacción del usuario final.

      • Permitir el PIN de inicio con TPM
      • No permitir el PIN de inicio con TPM
      • Requerir PIN de inicio con TPM

      Sugerencia

      Para instalar BitLocker de forma automática y silenciosa en un dispositivo que está unido Azure AD y ejecuta Windows 1809 o posterior, esta configuración no debe establecerse en Requerir PIN de inicio con TPM. Para obtener más información, consulta Habilitar Silenciosamente BitLocker en dispositivos.

    • Clave de inicio de TPM compatible
      Valor predeterminado: permitir la clave de inicio con TPM

      Elija permitir, no permitir o requerir el uso de una clave de inicio con el chip TPM. La habilitación de una clave de inicio requiere la interacción del usuario final.

      • Permitir clave de inicio con TPM
      • No permitir la clave de inicio con TPM
      • Requerir clave de inicio con TPM

      Sugerencia

      Para instalar BitLocker de forma automática y silenciosa en un dispositivo que está unido Azure AD y ejecuta Windows 1809 o posterior, esta configuración no debe establecerse en Requerir clave de inicio con TPM. Para obtener más información, consulta Habilitar Silenciosamente BitLocker en dispositivos.

    • Pin y clave de inicio de TPM compatibles
      Valor predeterminado: permitir clave de inicio y PIN con TPM

      Elija permitir, no permitir o requerir el uso de una clave de inicio y un PIN con el chip TPM. La habilitación de la clave de inicio y el PIN requiere la interacción del usuario final.

      • Permitir clave de inicio y PIN con TPM
      • No permitir clave de inicio y PIN con TPM
      • Requerir clave de inicio y PIN con TPM

      Sugerencia

      Para instalar BitLocker de forma automática y silenciosa en un dispositivo que está unido Azure AD y ejecuta Windows 1809 o posterior, esta configuración no debe establecerse en Requerir clave de inicio y PIN con TPM. Para obtener más información, consulta Habilitar Silenciosamente BitLocker en dispositivos.

  • Longitud mínima del PIN
    Valor predeterminado: no configurado
    CSP de BitLocker: SystemDrivesMinimumPINLength

    • Habilitar Configure una longitud mínima para el PIN de inicio del TPM.
    • No configurado: los usuarios pueden configurar un PIN de inicio de cualquier longitud entre 6 y 20 dígitos.

    Cuando se establece en Habilitar, puede configurar la siguiente configuración:

    • Caracteres mínimos
      Valor predeterminado : No configurado CSP de BitLocker: SystemDrivesMinimumPINLength

      Escriba el número de caracteres necesarios para el PIN de inicio de 4 - a 20.

  • Recuperación de unidad del sistema operativo
    Valor predeterminado: no configurado
    CSP de BitLocker: SystemDrivesRecoveryOptions

    • Habilitar: controla cómo se recuperan las unidades del sistema operativo protegidas por BitLocker cuando no está disponible la información de inicio necesaria.
    • No configurado: se admiten opciones de recuperación predeterminadas para la recuperación de BitLocker. De forma predeterminada, se permite un DRA, el usuario elige las opciones de recuperación, incluida la contraseña de recuperación y la clave de recuperación, y la información de recuperación no se copia de seguridad en AD DS.

    Cuando se establece en Habilitar, puede configurar las siguientes opciones:

    • Agente de recuperación de datos basado en certificados
      Valor predeterminado: no configurado

      • Bloquear: impedir el uso del agente de recuperación de datos con unidades de sistema operativo protegidas por BitLocker.
      • No configurado: permitir que los agentes de recuperación de datos se utilicen con unidades del sistema operativo protegidas por BitLocker.
    • Creación de contraseña de recuperación por parte del usuario
      Valor predeterminado: permitir la contraseña de recuperación de 48 dígitos

      Elija si los usuarios tienen permiso, requisito o no para generar una contraseña de recuperación de 48 dígitos.

      • Permitir contraseña de recuperación de 48 dígitos
      • No permitir la contraseña de recuperación de 48 dígitos
      • Requerir contraseña de recuperación de 48 dígitos
    • Creación de clave de recuperación por parte del usuario
      Valor predeterminado: permitir la clave de recuperación de 256 bits

      Elija si se permite, requiere o no a los usuarios generar una clave de recuperación de 256 bits.

      • Clave de recuperación de 256 bits
      • No permitir la clave de recuperación de 256 bits
      • Requerir clave de recuperación de 256 bits
    • Opciones de recuperación en el Asistente para configuración de BitLocker
      Valor predeterminado: no configurado

      • Bloquear: los usuarios no pueden ver ni cambiar las opciones de recuperación. Cuando se establece en
      • No configurado: los usuarios pueden ver y cambiar las opciones de recuperación cuando activen BitLocker.
    • Guardar la información de recuperación de BitLocker en Azure Active Directory
      Valor predeterminado: no configurado

      • Habilitar: almacena la información de recuperación de BitLocker en Azure Active Directory (Azure AD).
      • No configurado: la información de recuperación de BitLocker no se almacena en Azure AD.
    • Información de recuperación de BitLocker almacenada en Azure Active Directory
      Valor predeterminado: contraseñas de recuperación de copia de seguridad y paquetes clave

      Configurar qué partes de la información de recuperación de BitLocker se almacenan en Azure AD. Elija entre:

      • Contraseñas de recuperación de copia de seguridad y paquetes clave
      • Solo contraseñas de recuperación de copia de seguridad
    • Rotación de contraseñas de recuperación controlada por el cliente
      Valor predeterminado: rotación de teclas habilitada para Azure AD dispositivos unidos
      CSP de BitLocker: ConfigureRecoveryPasswordRotation

      Esta configuración inicia un giro de contraseña de recuperación controlada por el cliente después de una recuperación de unidad del sistema operativo (ya sea mediante bootmgr o WinRE).

      • No configurado
      • Rotación de teclas deshabilitada
      • Rotación de claves habilitada para Azure AD deices unidos a la clave
      • Rotación de claves habilitada para Azure AD dispositivos unidos a híbridos
    • Almacenar información de recuperación en Azure Active Directory antes de habilitar BitLocker
      Valor predeterminado: no configurado

      Impedir que los usuarios habiliten BitLocker a menos que el equipo haga una copia de seguridad correctamente de la información de recuperación de BitLocker para Azure Active Directory.

      • Requerir: detenga a los usuarios de activar BitLocker a menos que la información de recuperación de BitLocker se almacene correctamente en Azure AD.
      • No configurado: los usuarios pueden activar BitLocker, incluso si la información de recuperación no se almacena correctamente en Azure AD.
  • Url y mensaje de recuperación previos al arranque
    Valor predeterminado: no configurado
    CSP de BitLocker: SystemDrivesRecoveryMessage

    • Habilitar: configure el mensaje y la dirección URL que se muestran en la pantalla de recuperación de la clave de arranque anterior.
    • No configurado: deshabilite esta característica.

    Cuando se establece en Habilitar, puede configurar la siguiente configuración:

    • Mensaje de recuperación previa al arranque
      Valor predeterminado: usar el mensaje de recuperación predeterminado y la dirección URL

      Configure cómo se muestra a los usuarios el mensaje de recuperación previo al arranque. Elija entre:

      • Usar el mensaje de recuperación predeterminado y la dirección URL
      • Usar el mensaje de recuperación vacío y la dirección URL
      • Usar mensaje de recuperación personalizado
      • Usar dirección URL de recuperación personalizada

Configuración fija de unidad de datos de BitLocker

Esta configuración se aplica específicamente a las unidades de datos fijas.

  • Acceso de escritura a una unidad de datos fija no protegida por BitLocker
    Valor predeterminado: no configurado
    CSP de BitLocker: FixedDrivesRequireEncryption

    • Bloquear: proporciona acceso de solo lectura a las unidades de datos que no están protegidas con BitLocker.
    • No configurado: de forma predeterminada, el acceso de lectura y escritura a las unidades de datos que no están cifradas.
  • Recuperación de unidad fija
    Valor predeterminado: no configurado
    CSP de BitLocker: FixedDrivesRecoveryOptions

    • Habilitar: controla cómo se recuperan las unidades fijas protegidas por BitLocker cuando no está disponible la información de inicio necesaria.
    • No configurado: deshabilite esta característica.

    Cuando se establece en Habilitar, puede configurar las siguientes opciones:

    • Agente de recuperación de datos
      Valor predeterminado: no configurado

      • Bloquear: impedir el uso del agente de recuperación de datos con el Editor de directivas de unidades fijas protegidas por BitLocker.
      • No configurado: habilita el uso de agentes de recuperación de datos con unidades fijas protegidas por BitLocker.
    • Creación de contraseña de recuperación por parte del usuario
      Valor predeterminado: permitir la contraseña de recuperación de 48 dígitos

      Elija si los usuarios tienen permiso, requisito o no para generar una contraseña de recuperación de 48 dígitos.

      • Permitir contraseña de recuperación de 48 dígitos
      • No permitir la contraseña de recuperación de 48 dígitos
      • Requerir contraseña de recuperación de 48 dígitos
    • Creación de clave de recuperación por parte del usuario
      Valor predeterminado: permitir la clave de recuperación de 256 bits

      Elija si se permite, requiere o no a los usuarios generar una clave de recuperación de 256 bits.

      • Clave de recuperación de 256 bits
      • No permitir la clave de recuperación de 256 bits
      • Requerir clave de recuperación de 256 bits
    • Opciones de recuperación en el Asistente para configuración de BitLocker
      Valor predeterminado: no configurado

      • Bloquear: los usuarios no pueden ver ni cambiar las opciones de recuperación. Cuando se establece en
      • No configurado: los usuarios pueden ver y cambiar las opciones de recuperación cuando activen BitLocker.
    • Guardar la información de recuperación de BitLocker en Azure Active Directory
      Valor predeterminado: no configurado

      • Habilitar: almacena la información de recuperación de BitLocker en Azure Active Directory (Azure AD).
      • No configurado: la información de recuperación de BitLocker no se almacena en Azure AD.
    • Información de recuperación de BitLocker almacenada en Azure Active Directory
      Valor predeterminado: contraseñas de recuperación de copia de seguridad y paquetes clave

      Configurar qué partes de la información de recuperación de BitLocker se almacenan en Azure AD. Elija entre:

      • Contraseñas de recuperación de copia de seguridad y paquetes clave
      • Solo contraseñas de recuperación de copia de seguridad
    • Almacenar información de recuperación en Azure Active Directory antes de habilitar BitLocker
      Valor predeterminado: no configurado

      Impedir que los usuarios habiliten BitLocker a menos que el equipo haga una copia de seguridad correctamente de la información de recuperación de BitLocker para Azure Active Directory.

      • Requerir: detenga a los usuarios de activar BitLocker a menos que la información de recuperación de BitLocker se almacene correctamente en Azure AD.
      • No configurado: los usuarios pueden activar BitLocker, incluso si la información de recuperación no se almacena correctamente en Azure AD.

Configuración de unidad de datos extraíble de BitLocker

Esta configuración se aplica específicamente a las unidades de datos extraíbles.

  • Acceso de escritura a una unidad de datos extraíble no protegida por BitLocker
    Valor predeterminado: no configurado
    CSP de BitLocker: RemovableDrivesRequireEncryption

    • Bloquear: proporciona acceso de solo lectura a las unidades de datos que no están protegidas con BitLocker.
    • No configurado: de forma predeterminada, el acceso de lectura y escritura a las unidades de datos que no están cifradas.

    Cuando se establece en Habilitar, puede configurar la siguiente configuración:

    • Acceso de escritura a dispositivos configurados en otra organización
      Valor predeterminado: no configurado

      • Bloquear: bloquear el acceso de escritura a los dispositivos configurados en otra organización.
      • No configurado: denegar el acceso de escritura.

Protección contra vulnerabilidades de seguridad de Microsoft Defender

Usa la protección contra vulnerabilidades de seguridad para administrar y reducir la superficie de ataque de las aplicaciones usadas por los empleados.

Reducción de superficie de ataque

Las reglas de reducción de superficie de ataque ayudan a evitar comportamientos que el malware suele usar para infectar equipos con código malintencionado.

Reglas de reducción de superficie de ataque

Para obtener más información, consulta Reglas de reducción de superficie de ataque en la documentación de Microsoft Defender para endpoints.

Comportamiento de combinación para las reglas de reducción de superficie de ataque en Intune:

Las reglas de reducción de superficie de ataque admiten una fusión de configuraciones de diferentes directivas para crear un superconjunto de directiva para cada dispositivo. Solo se combinan las opciones que no están en conflicto, mientras que las que están en conflicto no se agregan al superconjunto de reglas. Anteriormente, si dos directivas incluían conflictos para una sola configuración, ambas directivas se marcaban como en conflicto y no se implementaría ninguna configuración de ninguno de los perfiles.

El comportamiento de combinación de reglas de reducción de superficie de ataque es el siguiente:

  • Las reglas de reducción de superficie de ataque de los siguientes perfiles se evalúan para cada dispositivo al que se aplican las reglas:
    • Dispositivos > directiva de configuración > de protección de puntos de conexión > Protección contra vulnerabilidades de seguridad de Microsoft Defender > reducción de superficie de ataque
    • Directiva de > de reducción de superficie de ataque > reglas de reducción de superficie de ataque
    • Endpoint security > Security baselines > Microsoft Defender for Endpoint Baseline > Attack Surface Reduction Rules.
  • Configuración que no tienen conflictos se agregan a un superconjunto de directiva para el dispositivo.
  • Cuando dos o más directivas tienen configuraciones en conflicto, la configuración en conflicto no se agrega a la directiva combinada, mientras que las opciones que no entren en conflicto se agregan a la directiva de superconjunto que se aplica a un dispositivo.
  • Solo se retendrá la configuración de las opciones en conflicto.

Configuración en este perfil:

  • Flag credential stealing from the Windows local security authority subsystem
    Valor predeterminado: no configurado
    Regla: bloquear el robo de credenciales del subsistema Windows autoridad de seguridad local (lsass.exe)

    Ayuda a evitar acciones y aplicaciones que suelen usar los malware que buscan vulnerabilidades para infectar máquinas.

    • Sin configurar
    • Habilitar: marca el robo de credenciales del subsistema Windows autoridad de seguridad local (lsass.exe).
    • Solo auditoría
  • Creación de procesos desde Adobe Reader (beta)
    Valor predeterminado: no configurado
    Regla: impedir que Adobe Reader cree procesos secundarios

    • Sin configurar
    • Habilitar: bloquear los procesos secundarios que se crean a partir de Adobe Reader.
    • Solo auditoría

Reglas para evitar Office amenazas de macro

Bloquear Office aplicaciones de realizar las siguientes acciones:

Reglas para evitar amenazas de script

Bloquee lo siguiente para ayudar a evitar las amenazas de script:

  • Código de js/vbs/ps/macro ofuscado
    Valor predeterminado: no configurado
    Regla: bloquear la ejecución de scripts potencialmente ofuscados

    • Sin configurar
    • Bloquear: bloquear cualquier código de js/vbs/ps/macro ofuscado.
    • Solo auditoría
  • js/vbs ejecutando la carga descargada de Internet (sin excepciones)
    Valor predeterminado: no configurado
    Regla: impedir que JavaScript o VBScript inicien contenido ejecutable descargado

    • Sin configurar
    • Bloquear: bloquear js/vbs para que no ejecuten la carga descargada de Internet.
    • Solo auditoría
  • Creación de procesos a partir de comandos PSExec y WMI
    Valor predeterminado: no configurado
    Regla: bloquear las creaciones de proceso que se originen en los comandos PSExec y WMI

    • Sin configurar
    • Bloquear: bloquear las creaciones de proceso que se originen a partir de comandos PSExec y WMI.
    • Solo auditoría
  • Se ejecuten desde una unidad USB procesos no firmados y que no sean de confianza
    Valor predeterminado: no configurado
    Regla: bloquear procesos que no son de confianza y sin firma que se ejecutan desde USB

    • Sin configurar
    • Bloquear: bloquear procesos que no son de confianza y que no se han firmado y que se ejecutan desde USB.
    • Solo auditoría
  • Ejecutables que no cumplen con criterios de prevalencia, antigüedad o lista de confianza
    Valor predeterminado: no configurado
    Regla: bloquear la ejecución de archivos ejecutables a menos que cumplan un criterio de prevalencia, antigüedad o lista de confianza

    • Sin configurar
    • Bloquear: bloquee la ejecución de archivos ejecutables a menos que cumplan un criterio de prevalencia, antigüedad o lista de confianza.
    • Solo auditoría

Reglas para evitar amenazas de correo electrónico

Bloquee lo siguiente para ayudar a evitar las amenazas de correo electrónico:

  • Ejecución de contenido ejecutable (exe, dll, ps, js, vbs, etc.) descartada del correo electrónico (cliente de correo web) (sin excepciones)
    Valor predeterminado: no configurado
    Regla: bloquear el contenido ejecutable del cliente de correo electrónico y el correo web

    • Sin configurar
    • Bloquear: bloquear la ejecución de contenido ejecutable (exe, dll, ps, js, vbs, etc.) eliminado del correo electrónico (webmail/mail-client).
    • Solo auditoría

Reglas para proteger contra ransomware

  • Protección contra ransomware avanzada
    Valor predeterminado: no configurado
    Regla: Usar protección avanzada contra ransomware

    • Sin configurar
    • Habilitar: use una protección contra ransomware agresiva.
    • Solo auditoría

Excepciones de reducción de superficie de ataque

  • Archivos y carpetas para excluir de las reglas de reducción de superficie de ataque
    CSP de Defender: AttackSurfaceReductionOnlyExclusions

    • Importe un archivo .csv que contenga archivos y carpetas para excluir de las reglas de reducción de superficie de ataque.
    • Agregue archivos o carpetas locales manualmente.

Importante

Para permitir la instalación y la ejecución correctas de las aplicaciones win32 de LOB, la configuración antimalware debe excluir los siguientes directorios de análisis:
En máquinas cliente X64:
C:\Archivos de programa (x86)\Microsoft Intune Management Extension\Content
C:\windows\IMECache

En máquinas cliente X86:
C:\Program Files\Microsoft Intune Management Extension\Content
C:\windows\IMECache

Para obtener más información, vea Virus scanning recommendations for Enterprise computers that are running currently supported versions of Windows.

Acceso controlado a carpetas

Ayude a proteger los datos valiosos de aplicaciones y amenazas malintencionadas, como ransomware.

  • Protección de carpetas
    Valor predeterminado: no configurado
    CSP de Defender: EnableControlledFolderAccess

    Proteger archivos y carpetas de cambios no autorizados por aplicaciones poco amigables.

    • Sin configurar
    • Enable
    • Solo auditoría
    • Bloquear modificación de disco
    • Auditar la modificación del disco

    Al seleccionar una configuración que no sea No configurada, puede configurar:

    • Lista de aplicaciones que tienen acceso a carpetas protegidas
      CSP de Defender: ControlledFolderAccessAllowedApplications

      • Importe un .csv que contenga una lista de aplicaciones.
      • Agrega aplicaciones a esta lista manualmente.
    • Lista de carpetas adicionales que deben protegerse
      CSP de Defender: ControlledFolderAccessProtectedFolders

      • Importe un .csv que contenga una lista de carpetas.
      • Agregue carpetas a esta lista manualmente.

Filtrado de red

Bloquear las conexiones salientes de cualquier aplicación a direcciones IP o dominios con reputación baja. El filtrado de red se admite tanto en el modo auditoría como en el modo de bloqueo.

  • Protección de red
    Valor predeterminado: no configurado
    CSP de Defender: EnableNetworkProtection

    El objetivo de esta configuración es proteger a los usuarios finales de aplicaciones con acceso a estafas de phishing, sitios de hospedaje de vulnerabilidades de seguridad y contenido malintencionado en Internet. También impide que los exploradores de terceros se conecten a sitios peligrosos.

    • No configurado: deshabilite esta característica. Los usuarios y las aplicaciones no están bloqueados para conectarse a dominios peligrosos. Los administradores no pueden ver esta actividad en Centro de seguridad de Microsoft Defender.
    • Habilitar: activar la protección de red y bloquear la conexión de usuarios y aplicaciones a dominios peligrosos. Los administradores pueden ver esta actividad en Centro de seguridad de Microsoft Defender.
    • Solo auditoría:- Los usuarios y las aplicaciones no están bloqueados para conectarse a dominios peligrosos. Los administradores pueden ver esta actividad en Centro de seguridad de Microsoft Defender.

Protección contra vulnerabilidades de seguridad

  • Upload XML
    Valor predeterminado: no configurado

    Para usar la protección contra vulnerabilidades de seguridad para proteger los dispositivosde vulnerabilidades, cree un archivo XML que incluya la configuración de mitigación del sistema y la aplicación que desee. Hay dos métodos para crear el archivo XML:

    • PowerShell: use uno o varios de los cmdlets Get-ProcessMitigation, Set-ProcessMitigation y ConvertTo-ProcessMitigationPolicy PowerShell. Los cmdlets configuran la configuración de mitigación y exportan una representación XML de ellos.

    • Centro de seguridad de Microsoft Defender interfaz de usuario: en la Centro de seguridad de Microsoft Defender, haga clic en Control del explorador & aplicación y, a continuación, desplácese hasta la parte inferior de la pantalla resultante para buscar Protección contra vulnerabilidades de seguridad. En primer lugar, use las pestañas Configuración del sistema y Configuración del programa para configurar las opciones de mitigación. A continuación, busque el vínculo Exportar configuración en la parte inferior de la pantalla para exportar una representación XML de ellos.

  • Edición de usuarios de la interfaz de protección contra vulnerabilidades
    Valor predeterminado: no configurado
    CSP de ExploitGuard: ExploitProtectionSettings

    • Bloquear: Upload un archivo XML que le permite configurar restricciones de memoria, flujo de control y directivas. La configuración del archivo XML se puede usar para bloquear una aplicación de vulnerabilidades de seguridad.
    • No configurado: no se usa ninguna configuración personalizada.

Control de aplicaciones de Microsoft Defender

Elige aplicaciones adicionales que necesiten auditar o que el Control de aplicaciones de Microsoft Defender pueda ejecutar con confianza. Windows componentes y todas las aplicaciones de Windows store son automáticamente de confianza para ejecutarse.

  • Directivas de integridad de código de control de aplicaciones
    Valor predeterminado: no configurado
    CSP: CSP de AppLocker

    • Exigir: elija las directivas de integridad de código de control de aplicaciones para los dispositivos de los usuarios.

      Después de habilitarse en un dispositivo, el control de aplicaciones solo se puede deshabilitar cambiando el modo de Aplicar a Auditar solo. Al cambiar el modo de Aplicar a No configurado, se sigue aplicando el control de aplicaciones en los dispositivos asignados.

    • No configurado: el control de aplicaciones no se agrega a los dispositivos. Sin embargo, la configuración que se agregó anteriormente se sigue aplicando en los dispositivos asignados.

    • Solo auditoría: las aplicaciones no están bloqueadas. Todos los eventos se registran en los registros del cliente local.

      Nota

      Si usas esta configuración, el comportamiento de CSP de AppLocker pide al usuario final que reinicie su equipo cuando se implementa una directiva.

Microsoft Defender Credential Guard

Credential Guard de Microsoft Defender protege contra ataques de robo de credenciales. Aísla los secretos para que solo el software del sistema con privilegios pueda acceder a ellos.

  • Credential Guard
    Valor predeterminado: Deshabilitar
    DeviceGuard CSP

    • Deshabilitar: desactive Credential Guard de forma remota, si se ha activado previamente con la opción Habilitado sin bloqueo UEFI.

    • Habilitar con el bloqueo UEFI: Credential Guard no se puede deshabilitar de forma remota mediante una clave del Registro o una directiva de grupo.

      Nota

      Si usa esta configuración y, a continuación, desea deshabilitar Credential Guard, debe establecer la directiva de grupo en Deshabilitado. Además, borra físicamente la información de configuración de UEFI de cada equipo. Mientras la configuración de UEFI persista, Credential Guard está habilitado.

    • Habilitar sin bloqueo UEFI: permite que Credential Guard se deshabilite de forma remota mediante la directiva de grupo. Los dispositivos que usan esta configuración deben ejecutarse Windows 10 versión 1511 y versiones posteriores, o Windows 11.

    Al habilitar Credential Guard, también se habilitan las siguientes características necesarias:

    • Seguridad basada en virtualización (VBS)
      Se activa durante el siguiente reinicio. La seguridad basada en virtualización usa Windows Hypervisor para proporcionar compatibilidad con los servicios de seguridad.
    • Arranque seguro con acceso a memoria de directorio
      Activa VBS con protecciones de arranque seguro y acceso directo a la memoria (DMA). Las protecciones de DMA requieren compatibilidad con hardware y solo están habilitadas en dispositivos configurados correctamente.

Centro de seguridad de Microsoft Defender

Centro de seguridad de Microsoft Defender funciona como una aplicación o proceso independiente de cada una de las características individuales. Muestra notificaciones a través del Centro de acciones. Actúa como un recopilador o un solo lugar para ver el estado y ejecutar alguna configuración para cada una de las características. Encontrará más información en los documentos de Microsoft Defender.

Centro de seguridad de Microsoft Defender aplicaciones y notificaciones

Bloquear el acceso del usuario final a las distintas áreas de la Centro de seguridad de Microsoft Defender aplicación. Ocultar una sección también bloquea las notificaciones relacionadas.

  • Protección contra virus y amenazas
    Valor predeterminado: no configurado
    CSP de WindowsDefenderSecurityCenter: DisableVirusUI

    Configure si los usuarios finales pueden ver el área protección contra virus y amenazas en el Centro de seguridad de Microsoft Defender. Ocultar esta sección también bloqueará todas las notificaciones relacionadas con la protección contra virus y amenazas.

    • Sin configurar
    • Hide
  • Protección contra ransomware
    Valor predeterminado: no configurado
    CSP de WindowsDefenderSecurityCenter: HideRansomwareDataRecovery

    Configure si los usuarios finales pueden ver el área de protección contra ransomware en el Centro de seguridad de Microsoft Defender. Ocultar esta sección también bloqueará todas las notificaciones relacionadas con la protección contra ransomware.

    • Sin configurar
    • Hide
  • Protección de cuentas
    Valor predeterminado: no configurado
    CSP de WindowsDefenderSecurityCenter: DisableAccountProtectionUI

    Configure si los usuarios finales pueden ver el área Protección de cuentas en el Centro de seguridad de Microsoft Defender. Ocultar esta sección también bloqueará todas las notificaciones relacionadas con la protección de cuentas.

    • Sin configurar
    • Hide
  • Firewall y protección de red
    Valor predeterminado: no configurado
    CSP de WindowsDefenderSecurityCenter: DisableNetworkUI

    Configure si los usuarios finales pueden ver el firewall y el área de protección de red en el Centro de seguridad de Microsoft Defender. Ocultar esta sección también bloqueará todas las notificaciones relacionadas con firewall y protección de red.

    • Sin configurar
    • Hide
  • Control de aplicaciones y exploradores
    Valor predeterminado: no configurado
    CSP de WindowsDefenderSecurityCenter: DisableAppBrowserUI

    Configure si los usuarios finales pueden ver el área de control de aplicaciones y exploradores en el Centro de seguridad de Microsoft Defender. Ocultar esta sección también bloqueará todas las notificaciones relacionadas con el control de aplicación y explorador.

    • Sin configurar
    • Hide
  • Protección de hardware
    Valor predeterminado: no configurado
    CSP de WindowsDefenderSecurityCenter: DisableDeviceSecurityUI

    Configure si los usuarios finales pueden ver el área de protección de hardware en el Centro de seguridad de Microsoft Defender. Ocultar esta sección también bloqueará todas las notificaciones relacionadas con la protección de hardware.

    • Sin configurar
    • Hide
  • Rendimiento y estado del dispositivo
    Valor predeterminado: no configurado
    CSP de WindowsDefenderSecurityCenter: DisableHealthUI

    Configure si los usuarios finales pueden ver el área rendimiento y estado del dispositivo en el Centro de seguridad de Microsoft Defender. Ocultar esta sección también bloqueará todas las notificaciones relacionadas con el rendimiento y el estado del dispositivo.

    • Sin configurar
    • Hide
  • Opciones de familia
    Valor predeterminado: no configurado
    CSP de WindowsDefenderSecurityCenter: DisableFamilyUI

    Configure si los usuarios finales pueden ver el área Opciones de familia en el Centro de seguridad de Microsoft Defender. Ocultar esta sección también bloqueará todas las notificaciones relacionadas con las opciones de familia.

    • Sin configurar
    • Hide
  • Notificaciones de las áreas mostradas de la aplicación
    Valor predeterminado: no configurado
    CSP de WindowsDefenderSecurityCenter: DisableNotifications

    Elija las notificaciones que se mostrarán a los usuarios finales. Las notificaciones no críticas incluyen resúmenes de Antivirus de Microsoft Defender actividad, incluidas las notificaciones cuando se han completado los exámenes. Todas las demás notificaciones se consideran críticas.

    • Sin configurar
    • Bloquear notificaciones no críticas
    • Bloquear todas las notificaciones
  • Seguridad de Windows Icono del centro en la bandeja del sistema
    Valor predeterminado: no configurado

    Configure la presentación del control de área de notificación. El usuario debe cerrar sesión e iniciar sesión o reiniciar el equipo para que esta configuración suba a efecto.

    • Sin configurar
    • Hide
  • Borrar botón TPM
    Valor predeterminado: no configurado

    Configure la visualización del botón Borrar TPM.

    • Sin configurar
    • Disable
  • Advertencia de actualización de firmware de TPM
    Valor predeterminado: no configurado

    Configure la visualización del firmware del TPM de actualización cuando se detecte un firmware vulnerable.

    • Sin configurar
    • Hide
  • Protección contra alteraciones
    Valor predeterminado: no configurado

    Activa o desactiva la Protección contra manipulaciones en dispositivos. Para usar la protección contra alteraciones, debe integrar Microsoft Defender para Endpoint con Intuney tener Enterprise Mobility + Security licencias de E5.

    • No configurado: no se realiza ningún cambio en la configuración del dispositivo.
    • Habilitado: la protección contra alteraciones está activada y se aplican restricciones en los dispositivos.
    • Deshabilitado: la protección contra alteraciones está desactivada y no se aplican restricciones.

Información de contacto de IT

Proporcione información de contacto de IT para que aparezca en la Centro de seguridad de Microsoft Defender y las notificaciones de la aplicación.

Puedes elegir Mostrar en la aplicación y en notificaciones , Mostrar solo en la aplicación , Mostrar solo en notificaciones o No mostrar. Escriba el nombre de la organización de IT y al menos una de las siguientes opciones de contacto:

  • Información de contacto de IT
    Valor predeterminado: No mostrar
    CSP de WindowsDefenderSecurityCenter: EnableCustomizedToasts

    Configurar dónde mostrar la información de contacto de IT a los usuarios finales.

    • Mostrar en la aplicación y en las notificaciones
    • Mostrar solo en la aplicación
    • Mostrar solo en notificaciones
    • No mostrar

    Cuando esté configurado para mostrarse, puede configurar las siguientes opciones:

    • Nombre de la organización de IT
      Valor predeterminado: no configurado
      CSP de WindowsDefenderSecurityCenter: CompanyName

    • Número de teléfono del departamento de TI o Skype id.
      Valor predeterminado: no configurado
      CSP de WindowsDefenderSecurityCenter: Teléfono

    • Dirección de correo electrónico del departamento de TI
      Valor predeterminado: no configurado
      CSP de WindowsDefenderSecurityCenter: correo electrónico

    • DIRECCIÓN URL del sitio web de soporte técnico de IT
      Valor predeterminado: no configurado
      CSP de WindowsDefenderSecurityCenter: URL

Opciones de seguridad de dispositivos locales

Usa estas opciones para configurar la configuración de seguridad local en Windows 10/11 dispositivos.

Cuentas

  • Agregar nuevas cuentas de Microsoft
    Valor predeterminado: no configurado
    Csp LocalPoliciesSecurityOptions: Accounts_BlockMicrosoftAccounts

    • Bloquear Impedir que los usuarios agreguen nuevas cuentas de Microsoft al dispositivo.
    • No configurado: los usuarios pueden usar cuentas de Microsoft en el dispositivo.
  • Inicio de sesión remoto sin contraseña
    Valor predeterminado: no configurado
    Csp LocalPoliciesSecurityOptions: Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly

    • Bloquear: permite que solo las cuentas locales con contraseñas en blanco inicien sesión con el teclado del dispositivo.
    • No configurado: permitir que las cuentas locales con contraseñas en blanco inicien sesión desde ubicaciones distintas del dispositivo físico.

Admin

  • Cuenta de administrador local
    Valor predeterminado: no configurado
    Csp LocalPoliciesSecurityOptions: Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly

    • Bloquear Impedir el uso de una cuenta de administrador local.
    • Sin configurar
  • Cambiar el nombre de la cuenta de administrador
    Valor predeterminado: no configurado
    Csp LocalPoliciesSecurityOptions: Accounts_RenameAdministratorAccount

    Defina un nombre de cuenta diferente que se asociará con el identificador de seguridad (SID) de la cuenta "Administrador".

Guest

  • Cuenta de invitado
    Valor predeterminado: no configurado
    LocalPoliciesSecurityOptions CSP: LocalPoliciesSecurityOptions

    • Bloquear: impedir el uso de una cuenta de invitado.
    • Sin configurar
  • Cambiar el nombre de la cuenta de invitado
    Valor predeterminado: no configurado
    LocalPoliciesSecurityOptions CSP: Accounts_RenameGuestAccount

    Defina un nombre de cuenta diferente que se asociará con el identificador de seguridad (SID) de la cuenta "Invitado".

Dispositivos

  • Desacoplar el dispositivo sin inicio de sesión
    Valor predeterminado: no configurado
    LocalPoliciesSecurityOptions CSP: Devices_AllowUndockWithoutHavingToLogon

    • Bloquear: un usuario debe iniciar sesión en el dispositivo y recibir permiso para desacoplar el dispositivo.
    • No configurado: los usuarios pueden presionar el botón de expulsión física de un dispositivo portátil acoplado para desacoplar el dispositivo de forma segura.
  • Instalar controladores de impresora para impresoras compartidas
    Valor predeterminado: no configurado
    LocalPoliciesSecurityOptions CSP: Devices_PreventUsersFromInstallingPrinterDriversWhenConnectingToSharedPrinters

    • Habilitado: cualquier usuario puede instalar un controlador de impresora como parte de la conexión a una impresora compartida.
    • No configurado: solo los administradores pueden instalar un controlador de impresora como parte de la conexión a una impresora compartida.
  • Restringir el acceso de CD-ROM al usuario activo local
    Valor predeterminado: no configurado
    CSP: Devices_RestrictCDROMAccessToLocallyLoggedOnUserOnly

    • Habilitado: solo el usuario que ha iniciado sesión interactivamente puede usar los medios de CD-ROM. Si esta directiva está habilitada y nadie ha iniciado sesión de forma interactiva, se accede al CD-ROM a través de la red.
    • No configurado: cualquier persona tiene acceso al CD-ROM.
  • Formatear y expulsar medios extraíbles
    Valor predeterminado: administradores
    CSP: Devices_AllowedToFormatAndEjectRemovableMedia

    Definir quién tiene permiso para dar formato y expulsar medios NTFS extraíbles:

    • Sin configurar
    • Administradores
    • Administradores y usuarios avanzados
    • Administradores y usuarios interactivos

Inicio de sesión interactivo

  • Minutos de inactividad de la pantalla de bloqueo hasta que se activa el protector de pantalla
    Valor predeterminado: no configurado
    LocalPoliciesSecurityOptions CSP: InteractiveLogon_MachineInactivityLimit

    Escriba los minutos máximos de inactividad hasta que se active el protector de pantalla. (0 - 99999)

  • Requerir CTRL+ALT+SUPR para iniciar sesión
    Valor predeterminado: no configurado
    Csp LocalPoliciesSecurityOptions: InteractiveLogon_DoNotRequireCTRLALTDEL

    • Habilitar: requerir que los usuarios presionen CTRL+ALT+SUPR antes de iniciar sesión en Windows.
    • No configurado: no es necesario presionar CTRL+ALT+SUPR para que los usuarios inicien sesión.
  • Comportamiento de eliminación de tarjetas inteligentes
    Valor predeterminado: Bloquear estación de trabajo
    Csp LocalPoliciesSecurityOptions: InteractiveLogon_SmartCardRemovalBehavior

    Determina qué sucede cuando la tarjeta inteligente de un usuario que ha iniciado sesión se quita del lector de tarjetas inteligentes. Sus opciones:

    • Bloquear estación de trabajo: la estación de trabajo se bloquea cuando se quita la tarjeta inteligente. Esta opción permite a los usuarios salir del área, llevar su tarjeta inteligente con ellos y mantener una sesión protegida.
    • Ninguna acción
    • Forzar cierre de sesión: el usuario se cierra automáticamente cuando se quita la tarjeta inteligente.
    • Desconectar si una sesión de Servicios de Escritorio remoto: la eliminación de la tarjeta inteligente desconecta la sesión sin cerrar sesión el usuario. Esta opción permite al usuario insertar la tarjeta inteligente y reanudar la sesión más adelante, o en otro equipo equipado con lector de tarjetas inteligentes, sin tener que volver a iniciar sesión. Si la sesión es local, esta directiva funciona de forma idéntica a Lock Workstation.

Pantalla

  • Información del usuario en la pantalla de bloqueo
    Valor predeterminado: no configurado
    LocalPoliciesSecurityOptions CSP: InteractiveLogon_DisplayUserInformationWhenTheSessionIsLocked

    Configure la información del usuario que se muestra cuando se bloquea la sesión. Si no está configurado, se muestran el nombre para mostrar del usuario, el dominio y el nombre de usuario.

    • Sin configurar
    • Nombre para mostrar de usuario, dominio y nombre de usuario
    • Solo nombre para mostrar de usuario
    • No mostrar información de usuario
  • Ocultar el último usuario que ha iniciado sesión
    Valor predeterminado: no configurado
    LocalPoliciesSecurityOptions CSP: InteractiveLogon_DoNotDisplayLastSignedIn

    • Habilitar: ocultar el nombre de usuario.
    • No configurado: muestra el último nombre de usuario.
  • Ocultar nombre de usuario al iniciar sesión Valor predeterminado: no configurado
    Csp LocalPoliciesSecurityOptions: InteractiveLogon_DoNotDisplayUsernameAtSignIn

    • Habilitar: ocultar el nombre de usuario.
    • No configurado: muestra el último nombre de usuario.
  • Título del mensaje de inicio de sesión
    Valor predeterminado: no configurado
    Csp LocalPoliciesSecurityOptions: InteractiveLogon_MessageTitleForUsersAttemptingToLogOn

    Establece el título del mensaje para los usuarios que inician sesión.

  • Texto del mensaje de inicio de sesión
    Valor predeterminado: no configurado
    LocalPoliciesSecurityOptions CSP: InteractiveLogon_MessageTextForUsersAttemptingToLogOn

    Establece el texto del mensaje para los usuarios que inician sesión.

Seguridad y acceso a la red

  • Acceso anónimo a canalizaciones y recursos compartidos con nombre
    Valor predeterminado: no configurado
    LocalPoliciesSecurityOptions CSP: NetworkAccess_RestrictAnonymousAccessToNamedPipesAndShares

    • No configurado: restringir el acceso anónimo a la configuración de la canalización con nombre y el recurso compartido. Se aplica a la configuración a la que se puede tener acceso de forma anónima.
    • Bloquear: deshabilita esta directiva, lo que hace que el acceso anónimo esté disponible.
  • Enumeración anónima de cuentas SAM
    Valor predeterminado: no configurado
    Csp LocalPoliciesSecurityOptions: NetworkAccess_DoNotAllowAnonymousEnumerationOfSAMAccounts

    • No configurado: los usuarios anónimos pueden enumerar cuentas SAM.
    • Bloquear: impedir la enumeración anónima de cuentas SAM.
  • Enumeración anónima de cuentas SAM y recursos compartidos
    Valor predeterminado: no configurado
    LocalPoliciesSecurityOptions CSP: NetworkAccess_DoNotAllowAnonymousEnumerationOfSamAccountsAndShares

    • No configurado: los usuarios anónimos pueden enumerar los nombres de cuentas de dominio y recursos compartidos de red.
    • Bloquear: impedir la enumeración anónima de cuentas SAM y recursos compartidos.
  • Valor hash del Administrador de LAN almacenado en el cambio de contraseña
    Valor predeterminado: no configurado
    LocalPoliciesSecurityOptions CSP: NetworkSecurity_DoNotStoreLANManagerHashValueOnNextPasswordChange

    Determine si el valor hash de las contraseñas se almacena la próxima vez que se cambie la contraseña.

    • No configurado: el valor hash no está almacenado
    • Bloquear: el Administrador de LAN (LM) almacena el valor hash de la nueva contraseña.
  • Solicitudes de autenticación de PKU2U
    Valor predeterminado: no configurado
    LocalPoliciesSecurityOptions CSP: NetworkSecurity_AllowPKU2UAuthenticationRequests

    • No configurado: permitir solicitudes PU2U.
    • Bloquear: bloquear las solicitudes de autenticación de PKU2U en el dispositivo.
  • Restringir conexiones RPC remotas a SAM
    Valor predeterminado: no configurado
    LocalPoliciesSecurityOptions CSP: NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM

    • No configurado: use el descriptor de seguridad predeterminado, que puede permitir a los usuarios y grupos realizar llamadas RPC remotas al SAM.

    • Permitir: denegar a los usuarios y grupos la realización de llamadas RPC remotas al Administrador de cuentas de seguridad (SAM), que almacena las cuentas de usuario y las contraseñas. Allow también le permite cambiar la cadena predeterminada del Lenguaje de definición de descriptor de seguridad (SDDL) para permitir o denegar explícitamente a los usuarios y grupos realizar estas llamadas remotas.

      • Descriptor de seguridad
        Valor predeterminado: no configurado
  • Seguridad mínima de sesión para clientes basados en NTLM SSP
    Valor predeterminado : Ninguno
    CSP LocalPoliciesSecurityOptions: NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedClients

    Esta configuración de seguridad permite que un servidor requiera la negociación de cifrado de 128 bits o seguridad de sesión NTLMv2.

    • Ninguna
    • Requerir seguridad de sesión NTLMv2
    • Requerir cifrado de 128 bits
    • Cifrado NTLMv2 y 128 bits
  • Seguridad mínima de sesión para el servidor basado en SSP NTLM
    Valor predeterminado : Ninguno
    LocalPoliciesSecurityOptions CSP: NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedServers

    Esta configuración de seguridad determina qué protocolo de autenticación de desafío/respuesta se usa para los inicios de sesión de red.

    • Ninguna
    • Requerir seguridad de sesión NTLMv2
    • Requerir cifrado de 128 bits
    • Cifrado NTLMv2 y 128 bits
  • Nivel de autenticación del administrador de LAN
    Valor predeterminado : LM y NTLM
    Csp LocalPoliciesSecurityOptions: NetworkSecurity_LANManagerAuthenticationLevel

    • LM y NTLM
    • LM, NTLM y NTLMv2
    • NTLM
    • NTLMv2
    • NTLMv2 y no LM
    • NTLMv2 y no LM ni NTLM
  • Inicios de sesión de invitado no seguros
    Valor predeterminado: no configurado
    CSP de LanmanWorkstation: LanmanWorkstation

    Si habilita esta configuración, el cliente SMB rechazará los inicios de sesión de invitado no seguros.

    • Sin configurar
    • Bloquear: el cliente SMB rechaza los inicios de sesión de invitado no seguros.

Consola de recuperación y apagado

  • Borrar el archivo de página de memoria virtual al apagarlo
    Valor predeterminado: no configurado
    LocalPoliciesSecurityOptions CSP: Shutdown_ClearVirtualMemoryPageFile

    • Habilitar: borra el archivo de página de memoria virtual cuando el dispositivo está apagado.
    • No configurado: no borra la memoria virtual.
  • Apagar sin iniciar sesión
    Valor predeterminado: no configurado
    LocalPoliciesSecurityOptions CSP: Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn

    • Bloquear: oculta la opción de apagado en la Windows inicio de sesión. Los usuarios deben iniciar sesión en el dispositivo y, a continuación, apagarse.
    • No configurado: permitir a los usuarios apagar el dispositivo desde la Windows de inicio de sesión.

Control de cuentas de usuario

  • Integridad de UIA sin ubicación segura
    Valor predeterminado: no configurado
    Csp LocalPoliciesSecurityOptions: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations

    • Bloquear: las aplicaciones que se encuentran en una ubicación segura en el sistema de archivos se ejecutarán solo con la integridad de UIAccess.
    • No configurado: permite que las aplicaciones se ejecuten con integridad UIAccess, incluso si las aplicaciones no están en una ubicación segura en el sistema de archivos.
  • Virtualizar errores de escritura de archivos y registro en ubicaciones por usuario
    Valor predeterminado: no configurado
    LocalPoliciesSecurityOptions CSP: UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations

    • Habilitado: fallan las aplicaciones que escriben datos en ubicaciones protegidas.
    • No configurado: los errores de escritura de aplicaciones se redirigen en tiempo de ejecución a ubicaciones de usuario definidas para el registro y el sistema de archivos.
  • Elevar solo los archivos ejecutables que están firmados y validados
    Valor predeterminado: no configurado
    Csp LocalPoliciesSecurityOptions: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations

    • Habilitado: aplica la validación de la ruta de certificación PKI para un archivo ejecutable antes de que se pueda ejecutar.
    • No configurado: no aplique la validación de la ruta de certificación PKI antes de que se pueda ejecutar un archivo ejecutable.

Comportamiento del símbolo del sistema de elevación UIA

  • Solicitud de elevación para administradores
    Valor predeterminado: solicitar el consentimiento para los archivos binarios que no Windows datos
    CSP LocalPoliciesSecurityOptions: UserAccountControl_BehaviorOfTheElevationPromptForAdministrators

    Defina el comportamiento del símbolo del sistema de elevación para los administradores en el modo de aprobación de administradores.

    • Sin configurar
    • Elevar sin preguntar
    • Solicitar credenciales en el escritorio seguro
    • Solicitar credenciales
    • Solicitar consentimiento
    • Solicitar consentimiento para archivos binarios Windows no Windows
  • Solicitud de elevación para usuarios estándar
    Valor predeterminado: solicitar credenciales
    LocalPoliciesSecurityOptions CSP: UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers

    Defina el comportamiento del símbolo del sistema de elevación para los usuarios estándar.

    • Sin configurar
    • Denegar automáticamente solicitudes de elevación
    • Solicitar credenciales en el escritorio seguro
    • Solicitar credenciales
  • Enrutar avisos de elevación al escritorio interactivo del usuario
    Valor predeterminado: no configurado
    CSP LocalPoliciesSecurityOptions: UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation

    • Habilitado: todas las solicitudes de elevación para ir al escritorio del usuario interactivo en lugar del escritorio seguro. Se usa cualquier configuración de directiva de comportamiento de aviso para administradores y usuarios estándar.
    • No configurado: fuerza que todas las solicitudes de elevación vayan al escritorio seguro, independientemente de la configuración de la directiva de comportamiento de aviso para administradores y usuarios estándar.
  • Solicitud con privilegios elevados para instalaciones de aplicaciones
    Valor predeterminado: no configurado
    LocalPoliciesSecurityOptions CSP: UserAccountControl_DetectApplicationInstallationsAndPromptForElevation

    • Habilitado: los paquetes de instalación de aplicaciones no se detectan ni se solicitan para la elevación.
    • No configurado: se pide a los usuarios un nombre de usuario administrativo y una contraseña cuando un paquete de instalación de la aplicación requiere privilegios elevados.
  • Símbolo del sistema de elevación de UIA sin escritorio seguro
    Valor predeterminado: no configurado
    Csp LocalPoliciesSecurityOptions: UserAccountControl_AllowUIAccessApplicationsToPromptForElevation

  • Habilitar: permitir que las aplicaciones UIAccess soliciten la elevación, sin usar el escritorio seguro.

  • No configurado: los mensajes de elevación usan un escritorio seguro.

Modo de aprobación de administrador

  • Modo de aprobación de administrador para administrador integrado
    Valor predeterminado: no configurado
    LocalPoliciesSecurityOptions CSP: UserAccountControl_UseAdminApprovalMode

    • Habilitado: permite que la cuenta de administrador integrada use el modo de aprobación de administrador. Cualquier operación que requiera elevación de privilegios solicita al usuario que apruebe la operación.
    • No configurado: ejecuta todas las aplicaciones con privilegios de administrador completos.
  • Ejecutar todos los administradores en modo de aprobación de administrador
    Valor predeterminado: no configurado
    LocalPoliciesSecurityOptions CSP: UserAccountControl_RunAllAdministratorsInAdminApprovalMode

    • Habilitado: habilitar el modo de aprobación de administrador.
    • No configurado: deshabilite el modo de aprobación de administrador y todas las configuraciones de directiva UAC relacionadas.

Cliente de red de Microsoft

  • Firmar digitalmente las comunicaciones (si el servidor está de acuerdo)
    Valor predeterminado: no configurado
    LocalPoliciesSecurityOptions CSP: MicrosoftNetworkClient_DigitallySignCommunicationsIfServerAgrees

    Determina si el cliente SMB negocia la firma de paquetes SMB.

    • Bloquear: el cliente SMB nunca negocia la firma de paquetes SMB.
    • No configurado: el cliente de red de Microsoft pide al servidor que ejecute la firma de paquetes SMB al configurar la sesión. Si la firma de paquetes está habilitada en el servidor, se negocia la firma de paquetes.
  • Enviar contraseña sin cifrar a servidores SMB de terceros
    Valor predeterminado: no configurado
    LocalPoliciesSecurityOptions CSP: MicrosoftNetworkClient_SendUnencryptedPasswordToThirdPartySMBServers

    • Bloquear: el redirector bloque de mensajes de servidor (SMB) puede enviar contraseñas de texto sin formato a servidores que no son de Microsoft SMB que no admiten el cifrado de contraseñas durante la autenticación.
    • No configurado: bloquear el envío de contraseñas de texto sin formato. Las contraseñas están cifradas.
  • Firmar digitalmente comunicaciones (siempre)
    Valor predeterminado: no configurado
    LocalPoliciesSecurityOptions CSP: MicrosoftNetworkClient_DigitallySignCommunicationsAlways

    • Habilitar: el cliente de red de Microsoft no se comunica con un servidor de red de Microsoft a menos que ese servidor acepte la firma de paquetes SMB.
    • No configurado: la firma de paquetes SMB se negocia entre el cliente y el servidor.

Microsoft Network Server

  • Firmar digitalmente las comunicaciones (si el cliente está de acuerdo)
    Valor predeterminado: no configurado
    CSP: MicrosoftNetworkServer_DigitallySignCommunicationsIfClientAgrees

    • Habilitar: el servidor de red de Microsoft negocia la firma de paquetes SMB según lo solicitado por el cliente. Es decir, si la firma de paquetes está habilitada en el cliente, se negocia la firma de paquetes.
    • No configurado: el cliente SMB nunca negocia la firma de paquetes SMB.
  • Firmar digitalmente comunicaciones (siempre)
    Valor predeterminado: no configurado
    CSP: MicrosoftNetworkServer_DigitallySignCommunicationsAlways

    • Habilitar: el servidor de red de Microsoft no se comunica con un cliente de red de Microsoft a menos que ese cliente acepte la firma de paquetes SMB.
    • No configurado: la firma de paquetes SMB se negocia entre el cliente y el servidor.

Servicios de Xbox

Siguientes pasos

El perfil se crea, pero aún no está haciendo nada. A continuación, asigne el perfily supervise su estado.

Configurar la configuración de las protecciones de puntos de conexión en dispositivos macOS.