Configuración de Windows que puede administrar a través de un perfil de Intune Endpoint Protection

Nota:

Intune puede admitir más opciones de configuración que las que se enumeran en este artículo. No todas las configuraciones están documentadas y no se documentarán. Para ver la configuración que puede configurar, cree una directiva de configuración de dispositivo y seleccione Catálogo de configuración. Para obtener más información, vaya al catálogo configuración.

Microsoft Intune incluye muchas configuraciones para ayudar a proteger los dispositivos. En este artículo se describen los valores de la plantilla endpoint protection de configuración de dispositivo. Para administrar la seguridad del dispositivo, también puede usar directivas de seguridad de punto de conexión, que se centran directamente en subconjuntos de seguridad de dispositivos. Para configurar Microsoft Defender Antivirus, consulte Restricciones de dispositivos Windows o usar la directiva antivirus de seguridad de puntos de conexión.

Antes de empezar

Cree un perfil de configuración de dispositivo de Endpoint Protection.

Para obtener más información sobre los proveedores de servicios de configuración (CSP), consulte Referencia del proveedor de servicios de configuración.

Protección de aplicaciones de Microsoft Defender

En el caso de Microsoft Edge, Protección de aplicaciones de Microsoft Defender protege su entorno frente a sitios de confianza para su organización. Con Protección de aplicaciones, los sitios que no están en el límite de red aislado se abren en una sesión de exploración virtual de Hyper-V. Los sitios de confianza se definen mediante un límite de red, que se configuran en Configuración del dispositivo. Para obtener más información, consulte Creación de un límite de red en dispositivos Windows.

Protección de aplicaciones solo está disponible para dispositivos Windows de 64 bits. Con este perfil se instala un componente win32 para activar Protección de aplicaciones.

• Protección de aplicaciones
  Valor predeterminado: no configurado
  CSP de Protección de aplicaciones: Configuración/AllowWindowsDefenderApplicationGuard

  • Habilitado para Edge : activa esta característica, que abre sitios que no son de confianza en un contenedor de exploración virtualizada de Hyper-V.
  • No configurado : cualquier sitio (de confianza y que no sea de confianza) puede abrirse en el dispositivo.

• Comportamiento del Portapapeles
  Valor predeterminado: no configurado
  CSP de Protección de aplicaciones: Configuración/PortapapelesConfiguración

  Elija qué acciones de copiar y pegar se permiten entre el equipo local y el Protección de aplicaciones explorador virtual.

  • Sin configurar
  • Permitir copiar y pegar solo desde pc a explorador
  • Permitir copiar y pegar solo desde el explorador al equipo
  • Permitir copiar y pegar entre pc y explorador
  • Bloquear copiar y pegar entre pc y explorador

• Contenido del Portapapeles
  Esta configuración solo está disponible cuando el comportamiento del Portapapeles se establece en una de las opciones de permitir .
  Valor predeterminado: no configurado
  CSP de Protección de aplicaciones: Settings/ClipboardFileType

  Seleccione el contenido del Portapapeles permitido.

  • Sin configurar
  • Texto
  • Images
  • Texto e imágenes

• Contenido externo en sitios empresariales
  Valor predeterminado: no configurado
  CSP de Protección de aplicaciones: Configuración/BlockNonEnterpriseContent

  • Bloquear : impedir que se cargue contenido de sitios web no aprobados.
  • No configurado : los sitios no empresariales se pueden abrir en el dispositivo.

• Imprimir desde el explorador virtual
  Valor predeterminado: no configurado
  CSP de Protección de aplicaciones: Configuración/PrintingSettings

  • Permitir : permite la impresión del contenido seleccionado desde el explorador virtual.
  • No configurado Deshabilite todas las características de impresión.

  Al permitir la impresión, puede configurar el siguiente valor:

  • Tipos de impresión Seleccione una o varias de las siguientes opciones:
    • PDF
    • XPS
    • Impresoras locales
    • Impresoras de red

• Recopilación de registros
  Valor predeterminado: no configurado
  CSP de Protección de aplicaciones: Audit/AuditApplicationGuard

  • Permitir: recopila registros de eventos que se producen dentro de una sesión de exploración de Protección de aplicaciones.
  • No configurado : no recopile ningún registro dentro de la sesión de exploración.

• Conservar los datos del explorador generados por el usuario
  Valor predeterminado: no configurado
  CSP de Protección de aplicaciones: Configuración/AllowPersistence

  • Conceder Guarde los datos de usuario (como contraseñas, favoritos y cookies) que se crean durante una sesión de exploración virtual Protección de aplicaciones.
  • No configurado Descarte los archivos y datos descargados por el usuario cuando se reinicie el dispositivo o cuando un usuario cierre la sesión.

• Aceleración de gráficos
  Valor predeterminado: no configurado
  CSP de Protección de aplicaciones: Configuración/AllowVirtualGPU

  • Habilitar : cargue sitios web y vídeos de uso intensivo de gráficos más rápido al obtener acceso a una unidad de procesamiento de gráficos virtual.
  • No configurado Use la CPU del dispositivo para gráficos; No use la unidad de procesamiento de gráficos virtuales.

• Descarga de archivos en el sistema de archivos host
  Valor predeterminado: no configurado
  CSP de Protección de aplicaciones: Configuración/SaveFilesToHost

  • Habilitar : los usuarios pueden descargar archivos del explorador virtualizado en el sistema operativo host.
  • No configurado : mantiene los archivos locales en el dispositivo y no descarga archivos en el sistema de archivos host.

Firewall de Windows

Configuración global

Esta configuración se aplica a todos los tipos de red.

• Protocolo de transferencia de archivos
  Valor predeterminado: no configurado
  CSP de firewall: MdmStore/Global/DisableStatefulFtp

  • Bloquear : deshabilite FTP con estado.
  • No configurado : el firewall realiza el filtrado FTP con estado para permitir conexiones secundarias.

• Tiempo de inactividad de la asociación de seguridad antes de la eliminación
  Valor predeterminado: no configurado
  CSP de firewall: MdmStore/Global/SaIdleTime

  Especifique un tiempo de inactividad en segundos, después del cual se eliminan las asociaciones de seguridad.

• Codificación de clave previamente compartida
  Valor predeterminado: no configurado
  CSP de firewall: MdmStore/Global/PresharedKeyEncoding

  • Habilitar : codificación de claves escuchadas previamente mediante UTF-8.
  • No configurado : codifique las claves escuchadas previamente mediante el valor de almacén local.

• Exenciones de IPsec
  Valor predeterminado: 0 seleccionado
  CSP de firewall: MdmStore/Global/IPsecExempt

  Seleccione uno o varios de los siguientes tipos de tráfico para que estén exentos de IPsec:

  • Los vecinos detectan códigos de tipo ICMP de IPv6
  • ICMP
  • El enrutador detecta códigos de tipo ICMP IPv6
  • Tráfico de red DHCP de IPv4 e IPv6

• Comprobación de la lista de revocación de certificados
  Valor predeterminado: no configurado
  CSP de firewall: MdmStore/Global/CRLcheck

  Elija cómo comprueba el dispositivo la lista de revocación de certificados. Entre las opciones se incluyen:

  • Deshabilitación de la comprobación de CRL
  • Error en la comprobación de CRL solo en el certificado revocado
  • Error de comprobación de CRL en cualquier error encontrado.

• Coincidencia oportunista del conjunto de autenticación por módulo de claves
  Valor predeterminado: no configurado
  CSP de firewall: MdmStore/Global/OpportunisticallyMatchAuthSetPerKM

  • Habilitar Los módulos de claves solo deben omitir los conjuntos de autenticación que no admiten.
  • Sin configurar, los módulos de keying deben omitir todo el conjunto de autenticación si no admiten todos los conjuntos de autenticación especificados en el conjunto.

• Cola de paquetes
  Valor predeterminado: no configurado
  CSP de firewall: MdmStore/Global/EnablePacketQueue

  Especifique cómo se habilita el escalado de software en el lado de recepción para la recepción cifrada y el reenvío de texto no cifrado para el escenario de puerta de enlace de túnel IPsec. Esta configuración confirma que se conserva el orden del paquete. Entre las opciones se incluyen:

  • Sin configurar
  • Deshabilitación de todas las colas de paquetes
  • Cola solo de paquetes cifrados entrantes
  • Paquetes de cola después de realizar el descifrado solo para el reenvío
  • Configuración de paquetes entrantes y salientes

Configuración de red

Las siguientes opciones de configuración se enumeran en este artículo una sola vez, pero todas se aplican a los tres tipos de red específicos:

• Red de dominio (área de trabajo)
• Red privada (reconocible)
• Red pública (no detectable)

General

• Firewall de Windows
  Valor predeterminado: no configurado
  CSP de firewall: EnableFirewall

  • Habilitar : active el firewall y la seguridad avanzada.
  • No configurado Permite todo el tráfico de red, independientemente de cualquier otra configuración de directiva.

• Modo sigiloso
  Valor predeterminado: no configurado
  CSP de firewall: DisableStealthMode

  • Sin configurar
  • Bloquear : el firewall no funciona en modo sigiloso. Bloquear el modo sigiloso permite también bloquear la exención de paquetes protegidos por IPsec.
  • Permitir : el firewall funciona en modo sigiloso, lo que ayuda a evitar respuestas a las solicitudes de sondeo.

• Exención de paquetes protegidos por IPsec con modo sigiloso
  Valor predeterminado: no configurado
  CSP de firewall: DisableStealthModeIpsecSecuredPacketExemption

  Esta opción se omite si el modo sigiloso está establecido en Bloquear.

  • Sin configurar
  • Bloquear : los paquetes protegidos con IPSec no reciben exenciones.
  • Permitir : habilitar exenciones. El modo sigiloso del firewall NO DEBE impedir que el equipo host responda al tráfico de red no solicitado protegido por IPsec.

• Blindado
  Valor predeterminado: no configurado
  CSP de firewall: blindada

  • Sin configurar
  • Bloquear : cuando firewall de Windows está activado y esta configuración está establecida en Bloquear, todo el tráfico entrante se bloquea, independientemente de la configuración de otra directiva.
  • Permitir : cuando se establece en Permitir, esta configuración está desactivada y se permite el tráfico entrante en función de otras opciones de configuración de directiva.

• Respuestas de unidifusión a difusiones de multidifusión
  Valor predeterminado: no configurado
  CSP de firewall: DisableUnicastResponsesToMulticastBroadcast

  Normalmente, no desea recibir respuestas de unidifusión a mensajes de multidifusión o difusión. Estas respuestas pueden indicar un ataque de denegación de servicio (DOS) o un atacante que intenta sondear un equipo en directo conocido.

  • Sin configurar
  • Bloquear : deshabilite las respuestas de unidifusión a las difusiones de multidifusión.
  • Permitir : permitir respuestas de unidifusión a difusiones de multidifusión.

• Notificaciones entrantes
  Valor predeterminado: no configurado
  CSP de firewall: DisableInboundNotifications

  • Sin configurar
  • Bloquear : oculta las notificaciones que se usan cuando se bloquea la escucha de una aplicación en un puerto.
  • Permitir : habilita esta configuración y puede mostrar una notificación a los usuarios cuando se impide que una aplicación escuche en un puerto.

• Acción predeterminada para las conexiones salientes
  Valor predeterminado: no configurado
  CSP de firewall: DefaultOutboundAction

  Configure el firewall de acciones predeterminado que realiza en las conexiones salientes. Esta configuración se aplicará a la versión 1809 de Windows y versiones posteriores.

  • Sin configurar
  • Bloquear : la acción de firewall predeterminada no se ejecuta en el tráfico saliente a menos que se especifique explícitamente que no se bloquee.
  • Permitir : las acciones de firewall predeterminadas se ejecutan en las conexiones salientes.

• Acción predeterminada para las conexiones entrantes
  Valor predeterminado: no configurado
  CSP de firewall: DefaultInboundAction

  • Sin configurar
  • Bloquear : la acción de firewall predeterminada no se ejecuta en las conexiones entrantes.
  • Permitir : las acciones de firewall predeterminadas se ejecutan en las conexiones entrantes.

Combinación de reglas

• Reglas de Firewall de Windows de la aplicación autorizada desde el almacén local
  Valor predeterminado: no configurado
  CSP de firewall: AuthAppsAllowUserPrefMerge

  • Sin configurar
  • Bloquear : las reglas de firewall de aplicaciones autorizadas en el almacén local se omiten y no se aplican.
  • Permitir : la opción Habilitar aplica reglas de firewall en el almacén local para que se reconozcan y se apliquen.

• Reglas de Firewall de Windows de puerto global desde el almacén local
  Valor predeterminado: no configurado
  CSP de firewall: GlobalPortsAllowUserPrefMerge

  • Sin configurar
  • Bloquear : las reglas globales de firewall de puertos del almacén local se omiten y no se aplican.
  • Permitir : aplique reglas de firewall de puerto global en el almacén local para que se reconozcan y se apliquen.

• Reglas de Firewall de Windows desde el almacén local
  Valor predeterminado: no configurado
  CSP de firewall: AllowLocalPolicyMerge

  • Sin configurar
  • Bloquear : las reglas de firewall del almacén local se omiten y no se aplican.
  • Permitir : aplique reglas de firewall en el almacén local para que se reconozcan y se apliquen.

• Reglas de IPsec desde el almacén local
  Valor predeterminado: no configurado
  CSP de firewall: AllowLocalIpsecPolicyMerge

  • Sin configurar
  • Bloquear : las reglas de seguridad de conexión del almacén local se omiten y no se aplican, independientemente de la versión del esquema y la versión de la regla de seguridad de conexión.
  • Permitir : aplique reglas de seguridad de conexión desde el almacén local, independientemente de las versiones de reglas de seguridad de conexión o esquema.

Reglas de firewall

Puede agregar una o varias reglas de firewall personalizadas. Para obtener más información, vea Agregar reglas de firewall personalizadas para dispositivos Windows.

Las reglas de firewall personalizadas admiten las siguientes opciones:

Configuración general

• Nombre
  Valor predeterminado: sin nombre

  Especifique un nombre descriptivo para la regla. Este nombre aparecerá en la lista de reglas para ayudarle a identificarlo.

• Descripción
  Valor predeterminado: sin descripción

  Proporcione una descripción de la regla.

• Dirección
  Valor predeterminado: no configurado
  CSP de firewall: FirewallRules/FirewallRuleName/Direction

  Especifique si esta regla se aplica al tráfico entrante o saliente . Cuando se establece como No configurado, la regla se aplica automáticamente al tráfico saliente.

• Action
  Valor predeterminado: no configurado
  CSP de firewall: FirewallRules/FirewallRuleName/Action y FirewallRules/FirewallRuleName/Action/Type

  Seleccione en Permitir o Bloquear. Cuando se establece como No configurado, la regla permite el tráfico de forma predeterminada.

• Tipo de red
  Valor predeterminado: 0 seleccionado
  CSP de firewall: FirewallRules/FirewallRuleName/Profiles

  Seleccione hasta tres tipos de tipos de red a los que pertenece esta regla. Las opciones incluyen Dominio, Privado y Público. Si no se selecciona ningún tipo de red, la regla se aplica a los tres tipos de red.

Configuración de aplicaciones

• Aplicaciones
  Valor predeterminado: Todo

  Controlar las conexiones de una aplicación o programa. Las aplicaciones y programas se pueden especificar por ruta de acceso de archivo, nombre de familia de paquete o nombre de servicio:

  • Nombre de familia del paquete: especifique un nombre de familia de paquete. Para buscar el nombre de la familia del paquete, use el comando de PowerShell Get-AppxPackage.
    CSP de firewall: FirewallRules/FirewallRuleName/App/PackageFamilyName

  • Ruta de acceso de archivo: debe especificar una ruta de acceso de archivo a una aplicación en el dispositivo cliente, que puede ser una ruta de acceso absoluta o una ruta de acceso relativa. Por ejemplo: C:\Windows\System\Notepad.exe o %WINDIR%\Notepad.exe.
    CSP de firewall: FirewallRules/FirewallRuleName/App/FilePath

  • Servicio de Windows : especifique el nombre corto del servicio de Windows si es un servicio y no una aplicación que envía o recibe tráfico. Para buscar el nombre corto del servicio, use el comando Get-Service de PowerShell.
    CSP de firewall: FirewallRules/FirewallRuleName/App/ServiceName

  • Todo: no se requiere ninguna configuración

Configuración de direcciones IP

Especifique las direcciones locales y remotas a las que se aplica esta regla.

• Direcciones locales
  Valor predeterminado: cualquier dirección
  CSP de firewall: FirewallRules/FirewallRuleName/LocalPortRanges

  Seleccione Cualquier dirección o Dirección especificada.

  Cuando se usa la dirección especificada, se agregan una o varias direcciones como una lista separada por comas de direcciones locales que están cubiertas por la regla. Los tokens válidos incluyen:

  • Use un asterisco * para cualquier dirección local. Si usa un asterisco, debe ser el único token que use.
  • Especifique una subred mediante la notación de prefijo de red o la máscara de subred. Si no se especifica una máscara de subred o un prefijo de red, el valor predeterminado de la máscara de subred es 255.255.255.255.
  • Una dirección IPv6 válida.
  • Intervalo de direcciones IPv4 con el formato de "dirección de inicio - dirección final" sin espacios incluidos.
  • Intervalo de direcciones IPv6 con el formato "dirección de inicio - dirección final" sin espacios incluidos.

• Direcciones remotas
  Valor predeterminado: cualquier dirección
  CSP de firewall: FirewallRules/FirewallRuleName/RemoteAddressRanges

  Seleccione Cualquier dirección o Dirección especificada.

  Cuando se usa la dirección especificada, se agregan una o varias direcciones como una lista separada por comas de direcciones remotas que están cubiertas por la regla. Los tokens no distinguen mayúsculas de minúsculas. Los tokens válidos incluyen:

  • Use un asterisco "*" para cualquier dirección remota. Si usa un asterisco, debe ser el único token que use.
  • Defaultgateway
  • DHCP
  • DNS
  • WINS
  • Intranet (compatible con las versiones 1809 y posteriores de Windows)
  • RmtIntranet (compatible con las versiones 1809 y posteriores de Windows)
  • Internet (compatible con las versiones 1809 y posteriores de Windows)
  • Ply2Renders (compatible con las versiones 1809 y posteriores de Windows)
  • LocalSubnet indica cualquier dirección local en la subred local.
  • Especifique una subred mediante la notación de prefijo de red o la máscara de subred. Si no se especifica una máscara de subred o un prefijo de red, el valor predeterminado de la máscara de subred es 255.255.255.255.
  • Una dirección IPv6 válida.
  • Intervalo de direcciones IPv4 con el formato de "dirección de inicio - dirección final" sin espacios incluidos.
  • Intervalo de direcciones IPv6 con el formato "dirección de inicio - dirección final" sin espacios incluidos.

Configuración de puertos y protocolos

Especifique los puertos locales y remotos a los que se aplica esta regla.

• Protocolo
  Valor predeterminado: Cualquiera
  CSP de firewall: FirewallRules/FirewallRuleName/Protocol
  Seleccione una de las siguientes opciones y complete las configuraciones necesarias:
  • Todo : no hay ninguna configuración disponible.
  • TCP : configure los puertos locales y remotos. Ambas opciones admiten Todos los puertos o Puertos especificados. Escriba Puertos especificados mediante una lista separada por comas.
    • Puertos locales : CSP de firewall: FirewallRules/FirewallRuleName/LocalPortRanges
    • Puertos remotos : CSP de firewall: FirewallRules/FirewallRuleName/RemotePortRanges
  • UDP : configure puertos locales y remotos. Ambas opciones admiten Todos los puertos o Puertos especificados. Escriba Puertos especificados mediante una lista separada por comas.
    • Puertos locales : CSP de firewall: FirewallRules/FirewallRuleName/LocalPortRanges
    • Puertos remotos : CSP de firewall: FirewallRules/FirewallRuleName/RemotePortRanges
  • Personalizado : especifique un número de protocolo personalizado de 0 a 255.

Configuración avanzada

• Tipos de interfaz
  Valor predeterminado: 0 seleccionado
  CSP de firewall: FirewallRules/FirewallRuleName/InterfaceTypes

  Seleccione entre las opciones siguientes:

  • Acceso remoto
  • Inalámbrico
  • Red de área local

• Permitir solo conexiones de estos usuarios
  Valor predeterminado: todos los usuarios (el valor predeterminado es todos los usos cuando no se especifica ninguna lista)
  CSP de firewall: FirewallRules/FirewallRuleName/LocalUserAuthorizationList

  Especifique una lista de usuarios locales autorizados para esta regla. No se puede especificar una lista de usuarios autorizados si esta regla se aplica a un servicio de Windows.

Microsoft Defender configuración de SmartScreen

Microsoft Edge debe estar instalado en el dispositivo.

• SmartScreen para aplicaciones y archivos
  Valor predeterminado: no configurado
  CSP de SmartScreen: SmartScreen/EnableSmartScreenInShell

  • No configurado : deshabilita el uso de SmartScreen.
  • Habilitar : habilite Windows SmartScreen para la ejecución de archivos y la ejecución de aplicaciones. SmartScreen es un componente anti-phishing y antimalware basado en la nube.

• Ejecución de archivos no comprobados
  Valor predeterminado: no configurado
  CSP de SmartScreen: SmartScreen/PreventOverrideForFilesInShell

  • No configurado : deshabilita esta característica y permite a los usuarios finales ejecutar archivos que no se han comprobado.
  • Bloquear : impedir que los usuarios finales ejecuten archivos que no hayan sido comprobados por Windows SmartScreen.

Cifrado de Windows

Configuración de Windows

• Cifrar dispositivos
  Valor predeterminado: no configurado
  CSP de BitLocker: RequireDeviceEncryption

  • Requerir: pida a los usuarios que habiliten el cifrado de dispositivos. En función de la edición de Windows y la configuración del sistema, es posible que se pregunte a los usuarios:
    • Para confirmar que el cifrado de otro proveedor no está habilitado.
    • Debe desactivar el cifrado de unidad de BitLocker y, a continuación, volver a activar BitLocker.
  • Sin configurar

  Si el cifrado de Windows está activado mientras otro método de cifrado está activo, el dispositivo podría volverse inestable.

Configuración base de BitLocker

La configuración base es la configuración universal de BitLocker para todos los tipos de unidades de datos. Estas opciones administran las tareas de cifrado de unidad o las opciones de configuración que el usuario final puede modificar en todos los tipos de unidades de datos.

• Advertencia para otro cifrado de disco
  Valor predeterminado: no configurado
  CSP de BitLocker: AllowWarningForOtherDiskEncryption

  • Bloquear : deshabilite el aviso de advertencia si hay otro servicio de cifrado de disco en el dispositivo.
  • No configurado : permita que se muestre la advertencia para que se muestre otro cifrado de disco.

  Sugerencia

  Para instalar BitLocker de forma automática y silenciosa en un dispositivo que Microsoft Entra unido y ejecuta Windows 1809 o posterior, esta configuración debe establecerse en Bloquear. Para obtener más información, consulte Habilitación silenciosa de BitLocker en dispositivos.

  Cuando se establece en Bloquear, puede configurar el siguiente valor:

  • Permitir que los usuarios estándar habiliten el cifrado durante Microsoft Entra unión
    Esta configuración solo se aplica a Microsoft Entra dispositivos unidos (Azure ADJ) y depende de la configuración anterior, Warning for other disk encryption.
    Valor predeterminado: no configurado
    CSP de BitLocker: AllowStandardUserEncryption

    • Permitir : los usuarios estándar (que no son administradores) pueden habilitar el cifrado de BitLocker al iniciar sesión.
    • No configurado solo los administradores pueden habilitar el cifrado de BitLocker en el dispositivo.

  Sugerencia

  Para instalar BitLocker de forma automática y silenciosa en un dispositivo que Microsoft Entra unido y ejecuta Windows 1809 o posterior, esta configuración debe establecerse en Permitir. Para obtener más información, consulte Habilitación silenciosa de BitLocker en dispositivos.

• Configuración de métodos de cifrado
  Valor predeterminado: no configurado
  CSP de BitLocker: EncryptionMethodByDriveType

  • Habilitar : configure algoritmos de cifrado para el sistema operativo, los datos y las unidades extraíbles.
  • No configurado : BitLocker usa XTS-AES de 128 bits como método de cifrado predeterminado o usa el método de cifrado especificado por cualquier script de instalación.

  Cuando se establece en Habilitar, puede configurar los siguientes valores:

  • Cifrado para unidades de sistema operativo
    Valor predeterminado: XTS-AES de 128 bits

    Elija el método de cifrado para las unidades del sistema operativo. Se recomienda usar el algoritmo XTS-AES.

    • AES-CBC de 128 bits
    • AES-CBC de 256 bits
    • XTS-AES de 128 bits
    • XTS-AES de 256 bits

  • Cifrado de unidades de datos fijas
    Valor predeterminado: AES-CBC de 128 bits

    Elija el método de cifrado para las unidades de datos fijas (integradas). Se recomienda usar el algoritmo XTS-AES.

    • AES-CBC de 128 bits
    • AES-CBC de 256 bits
    • XTS-AES de 128 bits
    • XTS-AES de 256 bits

  • Cifrado para unidades de datos extraíbles
    Valor predeterminado: AES-CBC de 128 bits

    Elija el método de cifrado para las unidades de datos extraíbles. Si la unidad extraíble se usa con dispositivos que no ejecutan Windows 10/11, se recomienda usar el algoritmo AES-CBC.

    • AES-CBC de 128 bits
    • AES-CBC de 256 bits
    • XTS-AES de 128 bits
    • XTS-AES de 256 bits

Configuración de la unidad del sistema operativo BitLocker

Esta configuración se aplica específicamente a las unidades de datos del sistema operativo.

• Autenticación adicional al inicio
  Valor predeterminado: no configurado
  CSP de BitLocker: SystemDrivesRequireStartupAuthentication

  • Requerir : configure los requisitos de autenticación para el inicio del equipo, incluido el uso del módulo de plataforma segura (TPM).
  • No configurado : configure solo las opciones básicas en dispositivos con un TPM.

  Cuando se establece en Requerir, puede configurar los siguientes valores:

  • BitLocker con chip TPM no compatible
    Valor predeterminado: no configurado

    • Bloquear : deshabilita el uso de BitLocker cuando un dispositivo no tiene un chip TPM compatible.
    • No configurado : los usuarios pueden usar BitLocker sin un chip TPM compatible. BitLocker puede requerir una contraseña o una clave de inicio.

  • Inicio de TPM compatible
    Valor predeterminado: Permitir TPM

    Configure si se permite tpm, se requiere o no se permite.

    • Permitir TPM
    • No permitir TPM
    • Requerir TPM

  • PIN de inicio de TPM compatible
    Valor predeterminado: permitir el PIN de inicio con TPM

    Elija permitir, no permitir o requerir el uso de un PIN de inicio con el chip TPM. La habilitación de un PIN de inicio requiere la interacción del usuario final.

    • Permitir el PIN de inicio con TPM
    • No permitir el PIN de inicio con TPM
    • Requerir PIN de inicio con TPM

    Sugerencia

    Para instalar BitLocker de forma automática y silenciosa en un dispositivo que Microsoft Entra unido y ejecuta Windows 1809 o posterior, esta configuración no debe establecerse en Requerir PIN de inicio con TPM. Para obtener más información, consulte Habilitación silenciosa de BitLocker en dispositivos.

  • Clave de inicio de TPM compatible
    Valor predeterminado: permitir la clave de inicio con TPM

    Elija permitir, no permitir o requerir el uso de una clave de inicio con el chip TPM. La habilitación de una clave de inicio requiere la interacción del usuario final.

    • Permitir clave de inicio con TPM
    • No permitir la clave de inicio con TPM
    • Requerir clave de inicio con TPM

    Sugerencia

    Para instalar BitLocker de forma automática y silenciosa en un dispositivo que Microsoft Entra unido y ejecuta Windows 1809 o posterior, esta configuración no debe establecerse en Requerir clave de inicio con TPM. Para obtener más información, consulte Habilitación silenciosa de BitLocker en dispositivos.

  • Clave de inicio y PIN de TPM compatibles
    Valor predeterminado: permitir la clave de inicio y el PIN con TPM

    Elija permitir, no permitir o requerir el uso de una clave de inicio y un PIN con el chip TPM. La habilitación de la clave de inicio y el PIN requiere la interacción del usuario final.

    • Permitir clave de inicio y PIN con TPM
    • No permitir la clave de inicio y el PIN con TPM
    • Requerir clave de inicio y PIN con TPM

    Sugerencia

    Para instalar BitLocker de forma automática y silenciosa en un dispositivo que Microsoft Entra unido y ejecuta Windows 1809 o posterior, esta configuración no debe establecerse en Requerir clave de inicio y PIN con TPM. Para obtener más información, consulte Habilitación silenciosa de BitLocker en dispositivos.

• Longitud mínima del PIN
  Valor predeterminado: no configurado
  CSP de BitLocker: SystemDrivesMinimumPINLength

  • Habilitar Configure una longitud mínima para el PIN de inicio de TPM.
  • No configurado : los usuarios pueden configurar un PIN de inicio de cualquier longitud entre 6 y 20 dígitos.

  Cuando se establece en Habilitar, puede configurar la siguiente configuración:

  • Caracteres mínimos
    Valor predeterminado: CSP de BitLocker no configurado : SystemDrivesMinimumPINLength

    Escriba el número de caracteres necesarios para el PIN de inicio de 4-a 20.

• Recuperación de unidad del sistema operativo
  Valor predeterminado: no configurado
  CSP de BitLocker: SystemDrivesRecoveryOptions

  • Habilitar : controlar cómo se recuperan las unidades del sistema operativo protegidas por BitLocker cuando la información de inicio necesaria no está disponible.
  • No configurado : se admiten las opciones de recuperación predeterminadas, incluido DRA. El usuario final puede especificar opciones de recuperación. No se hace una copia de seguridad de la información de recuperación en AD DS.

  Cuando se establece en Habilitar, puede configurar los siguientes valores:

  • Agente de recuperación de datos basado en certificados
    Valor predeterminado: no configurado

    • Bloquear : impedir el uso del agente de recuperación de datos con unidades de sistema operativo protegidas por BitLocker.
    • No configurado : permite que los agentes de recuperación de datos se usen con unidades de sistema operativo protegidas por BitLocker.

  • Creación por parte del usuario de la contraseña de recuperación
    Valor predeterminado: permitir la contraseña de recuperación de 48 dígitos

    Elija si se permite, requiere o no a los usuarios generar una contraseña de recuperación de 48 dígitos.

    • Permitir contraseña de recuperación de 48 dígitos
    • No permitir la contraseña de recuperación de 48 dígitos
    • Requerir contraseña de recuperación de 48 dígitos

  • Creación de la clave de recuperación por parte del usuario
    Valor predeterminado: permitir la clave de recuperación de 256 bits

    Elija si se permite, requiere o no a los usuarios generar una clave de recuperación de 256 bits.

    • Permitir clave de recuperación de 256 bits
    • No permitir la clave de recuperación de 256 bits
    • Requerir clave de recuperación de 256 bits

  • Opciones de recuperación en el Asistente para la instalación de BitLocker
    Valor predeterminado: no configurado

    • Bloquear : los usuarios no pueden ver ni cambiar las opciones de recuperación. Cuando se establece en
    • No configurado : los usuarios pueden ver y cambiar las opciones de recuperación cuando activen BitLocker.

  • Guardar información de recuperación de BitLocker en Microsoft Entra id.
    Valor predeterminado: no configurado

    • Habilitar: almacene la información de recuperación de BitLocker en Microsoft Entra identificador.
    • No configurado: la información de recuperación de BitLocker no se almacena en Microsoft Entra identificador.

  • Información de recuperación de BitLocker almacenada en el identificador de Microsoft Entra
    Valor predeterminado: contraseñas de recuperación de copia de seguridad y paquetes de claves

    Configure qué partes de la información de recuperación de BitLocker se almacenan en Microsoft Entra identificador. Elija entre:

    • Contraseñas de recuperación de copia de seguridad y paquetes de claves
    • Solo contraseñas de recuperación de copia de seguridad

  • Rotación de contraseñas de recuperación controlada por el cliente
    Valor predeterminado: no configurado
    CSP de BitLocker: ConfigureRecoveryPasswordRotation

    Esta configuración inicia una rotación de contraseñas de recuperación controlada por el cliente después de una recuperación de unidad del sistema operativo (ya sea mediante bootmgr o WinRE).

    • No configurado
    • Rotación de claves deshabilitada
    • Rotación de claves habilitada para Microsoft Entra deices unidas
    • Rotación de claves habilitada para el identificador de Microsoft Entra y los dispositivos unidos a híbridos

  • Almacenar información de recuperación en Microsoft Entra id. antes de habilitar BitLocker
    Valor predeterminado: no configurado

    Impedir que los usuarios habiliten BitLocker a menos que el equipo realice correctamente una copia de seguridad de la información de recuperación de BitLocker para Microsoft Entra identificador.

    • Requerir: impedir que los usuarios activen BitLocker a menos que la información de recuperación de BitLocker se almacene correctamente en Microsoft Entra identificador.
    • No configurado: los usuarios pueden activar BitLocker, incluso si la información de recuperación no se almacena correctamente en Microsoft Entra identificador.

• Mensaje y dirección URL de la recuperación previa al arranque
  Valor predeterminado: no configurado
  CSP de BitLocker: SystemDrivesRecoveryMessage

  • Habilitar : configure el mensaje y la dirección URL que se muestran en la pantalla de recuperación de claves previa al arranque.
  • No configurado : deshabilite esta característica.

  Cuando se establece en Habilitar, puede configurar la siguiente configuración:

  • Mensaje de recuperación previa al arranque
    Valor predeterminado: use el mensaje de recuperación y la dirección URL predeterminados

    Configure cómo se muestra el mensaje de recuperación antes del arranque a los usuarios. Elija entre:

    • Usar la dirección URL y el mensaje de recuperación predeterminados
    • Uso de un mensaje de recuperación vacío y una dirección URL
    • Uso de un mensaje de recuperación personalizado
    • Uso de la dirección URL de recuperación personalizada

Configuración fija de la unidad de datos de BitLocker

Esta configuración se aplica específicamente a las unidades de datos fijas.

• Acceso de escritura a una unidad de datos fija no protegida por BitLocker
  Valor predeterminado: no configurado
  CSP de BitLocker: FixedDrivesRequireEncryption

  • Bloquear : proporcione acceso de solo lectura a las unidades de datos que no estén protegidas por BitLocker.
  • No configurado : de forma predeterminada, el acceso de lectura y escritura a las unidades de datos que no están cifradas.

• Recuperación de unidad fija
  Valor predeterminado: no configurado
  CSP de BitLocker: FixedDrivesRecoveryOptions

  • Habilitar : controlar cómo se recuperan las unidades fijas protegidas por BitLocker cuando la información de inicio necesaria no está disponible.
  • No configurado : deshabilite esta característica.

  Cuando se establece en Habilitar, puede configurar los siguientes valores:

  • Agente de recuperación de datos
    Valor predeterminado: no configurado

    • Bloquear : impedir el uso del agente de recuperación de datos con el Editor de directivas de unidades fijas protegidas por BitLocker.
    • No configurado : permite el uso de agentes de recuperación de datos con unidades fijas protegidas por BitLocker.

  • Creación por parte del usuario de la contraseña de recuperación
    Valor predeterminado: permitir la contraseña de recuperación de 48 dígitos

    Elija si se permite, requiere o no a los usuarios generar una contraseña de recuperación de 48 dígitos.

    • Permitir contraseña de recuperación de 48 dígitos
    • No permitir la contraseña de recuperación de 48 dígitos
    • Requerir contraseña de recuperación de 48 dígitos

  • Creación de la clave de recuperación por parte del usuario
    Valor predeterminado: permitir la clave de recuperación de 256 bits

    Elija si se permite, requiere o no a los usuarios generar una clave de recuperación de 256 bits.

    • Permitir clave de recuperación de 256 bits
    • No permitir la clave de recuperación de 256 bits
    • Requerir clave de recuperación de 256 bits

  • Opciones de recuperación en el Asistente para la instalación de BitLocker
    Valor predeterminado: no configurado

    • Bloquear : los usuarios no pueden ver ni cambiar las opciones de recuperación. Cuando se establece en
    • No configurado : los usuarios pueden ver y cambiar las opciones de recuperación cuando activen BitLocker.

  • Guardar información de recuperación de BitLocker en Microsoft Entra id.
    Valor predeterminado: no configurado

    • Habilitar: almacene la información de recuperación de BitLocker en Microsoft Entra identificador.
    • No configurado: la información de recuperación de BitLocker no se almacena en Microsoft Entra identificador.

  • Información de recuperación de BitLocker almacenada en el identificador de Microsoft Entra
    Valor predeterminado: contraseñas de recuperación de copia de seguridad y paquetes de claves

    Configure qué partes de la información de recuperación de BitLocker se almacenan en Microsoft Entra identificador. Elija entre:

    • Contraseñas de recuperación de copia de seguridad y paquetes de claves
    • Solo contraseñas de recuperación de copia de seguridad

  • Almacenar información de recuperación en Microsoft Entra id. antes de habilitar BitLocker
    Valor predeterminado: no configurado

    Impedir que los usuarios habiliten BitLocker a menos que el equipo realice correctamente una copia de seguridad de la información de recuperación de BitLocker para Microsoft Entra identificador.

    • Requerir: impedir que los usuarios activen BitLocker a menos que la información de recuperación de BitLocker se almacene correctamente en Microsoft Entra identificador.
    • No configurado: los usuarios pueden activar BitLocker, incluso si la información de recuperación no se almacena correctamente en Microsoft Entra identificador.

Configuración de unidad de datos extraíble de BitLocker

Esta configuración se aplica específicamente a las unidades de datos extraíbles.

• Acceso de escritura a una unidad de datos extraíble no protegida por BitLocker
  Valor predeterminado: no configurado
  CSP de BitLocker: RemovableDrivesRequireEncryption

  • Bloquear : proporcione acceso de solo lectura a las unidades de datos que no estén protegidas por BitLocker.
  • No configurado : de forma predeterminada, el acceso de lectura y escritura a las unidades de datos que no están cifradas.

  Cuando se establece en Habilitar, puede configurar la siguiente configuración:

  • Acceso de escritura a dispositivos configurados en otra organización
    Valor predeterminado: no configurado

    • Bloquear : bloquee el acceso de escritura a los dispositivos configurados en otra organización.
    • No configurado : denegar el acceso de escritura.

Microsoft Defender Protección contra vulnerabilidades de seguridad

Use la protección contra vulnerabilidades de seguridad para administrar y reducir la superficie expuesta a ataques de las aplicaciones usadas por los empleados.

Reducción de la superficie expuesta a ataques

Las reglas de reducción de superficie expuesta a ataques ayudan a evitar comportamientos que el malware suele usar para infectar equipos con código malintencionado.

Reglas de reducción de superficie expuesta a ataques

Para obtener más información, consulte Reglas de reducción de superficie expuesta a ataques en la documentación de Microsoft Defender para punto de conexión.

Comportamiento de combinación para las reglas de reducción de superficie expuesta a ataques en Intune:

Las reglas de reducción de superficie expuesta a ataques admiten una fusión de la configuración de diferentes directivas para crear un superconjunto de directivas para cada dispositivo. Solo se combinan los valores que no están en conflicto, mientras que los valores que están en conflicto no se agregan al superconjunto de reglas. Anteriormente, si dos directivas incluían conflictos para una sola configuración, ambas directivas se marcaban como en conflicto y no se implementaría ninguna configuración de ninguno de los perfiles.

El comportamiento de combinación de reglas de reducción de superficie expuesta a ataques es el siguiente:

• Las reglas de reducción de superficie expuesta a ataques de los perfiles siguientes se evalúan para cada dispositivo al que se aplican las reglas:
  • Directiva de configuración > de dispositivos > Perfil > de Endpoint Protection Microsoft Defender Reducción de superficie expuesta a ataques de Protección contra vulnerabilidades >
  • Directiva de reducción de superficie expuesta a ataques de seguridad > de puntos de conexión Reglas de reducción> de superficie expuesta a ataques
  • Líneas base de seguridad > de punto de conexión Microsoft Defender para punto de conexión reglas de reducción de superficie expuesta a ataques> de línea base>.
• La configuración que no tiene conflictos se agrega a un superconjunto de directivas para el dispositivo.
• Cuando dos o más directivas tienen configuraciones en conflicto, la configuración en conflicto no se agrega a la directiva combinada. La configuración que no entra en conflicto se agrega a la directiva de superconjunto que se aplica a un dispositivo.
• Solo se retienen las configuraciones de configuración en conflicto.

Configuración de este perfil:

• Marca de robo de credenciales del subsistema de autoridad de seguridad local de Windows
  Valor predeterminado: no configurado
  Regla: Bloquear el robo de credenciales del subsistema de autoridad de seguridad local de Windows (lsass.exe)

  Ayuda a evitar acciones y aplicaciones que suelen usar el malware que busca vulnerabilidades de seguridad para infectar máquinas.

  • Sin configurar
  • Habilitar : marca el robo de credenciales del subsistema de autoridad de seguridad local de Windows (lsass.exe).
  • Solo auditoría

• Creación de procesos desde Adobe Reader (beta)
  Valor predeterminado: no configurado
  Regla: Impedir que Adobe Reader cree procesos secundarios

  • Sin configurar
  • Habilitar : bloquee los procesos secundarios creados a partir de Adobe Reader.
  • Solo auditoría

Reglas para evitar amenazas de macro de Office

Impedir que las aplicaciones de Office realicen las siguientes acciones:

• Aplicaciones de Office que se insertan en otros procesos (sin excepciones)
  Valor predeterminado: no configurado
  Regla: Impedir que las aplicaciones de Office inserten código en otros procesos

  • Sin configurar
  • Bloquear : impedir que las aplicaciones de Office se inserten en otros procesos.
  • Solo auditoría

• Aplicaciones o macros de Office que crean contenido ejecutable
  Valor predeterminado: no configurado
  Regla: Impedir que las aplicaciones de Office creen contenido ejecutable

  • Sin configurar
  • Bloquear : impedir que las aplicaciones y macros de Office creen contenido ejecutable.
  • Solo auditoría

• Aplicaciones de Office que inician procesos secundarios
  Valor predeterminado: no configurado
  Regla: Impedir que todas las aplicaciones de Office creen procesos secundarios

  • Sin configurar
  • Bloquear : impedir que las aplicaciones de Office inicien procesos secundarios.
  • Solo auditoría

• Importación de Win32 desde el código de macro de Office
  Valor predeterminado: no configurado
  Regla: Bloquear llamadas API win32 desde macros de Office

  • Sin configurar
  • Bloquear : bloquee las importaciones de Win32 desde el código de macro en Office.
  • Solo auditoría

• Creación de procesos a partir de productos de comunicación de Office
  Valor predeterminado: no configurado
  Regla: Impedir que la aplicación de comunicación de Office cree procesos secundarios

  • Sin configurar
  • Habilitar : bloquear la creación de procesos secundarios desde aplicaciones de comunicaciones de Office.
  • Solo auditoría

Reglas para evitar amenazas de script

Bloquee lo siguiente para evitar amenazas de script:

• Código de js/vbs/ps/macro ofuscado
  Valor predeterminado: no configurado
  Regla: Bloquear la ejecución de scripts potencialmente ofuscados

  • Sin configurar
  • Bloquear : bloquee cualquier código de js/vbs/ps/macro ofuscado.
  • Solo auditoría

• js/vbs que ejecuta la carga descargada de Internet (sin excepciones)
  Valor predeterminado: no configurado
  Regla: Impedir que JavaScript o VBScript inicien contenido ejecutable descargado

  • Sin configurar
  • Bloquear : impide que js/vbs ejecute la carga descargada desde Internet.
  • Solo auditoría

• Creación de procesos a partir de comandos PSExec y WMI
  Valor predeterminado: no configurado
  Regla: Bloquear las creaciones de procesos que se originen a partir de comandos PSExec y WMI

  • Sin configurar
  • Bloquear : bloquee las creaciones de procesos que se originen a partir de comandos PSExec y WMI.
  • Solo auditoría

• Se ejecuten desde una unidad USB procesos no firmados y que no sean de confianza
  Valor predeterminado: no configurado
  Regla: Bloquear procesos que no son de confianza y no firmados que se ejecutan desde USB

  • Sin configurar
  • Bloquear : bloquee los procesos que no son de confianza y no firmados que se ejecutan desde USB.
  • Solo auditoría

• Ejecutables que no cumplen un criterio de prevalencia, edad o lista de confianza
  Valor predeterminado: no configurado
  Regla: Impedir que los archivos ejecutables se ejecuten a menos que cumplan un criterio de prevalencia, edad o lista de confianza

  • Sin configurar
  • Bloquear : impedir que los archivos ejecutables se ejecuten a menos que cumplan un criterio de prevalencia, edad o lista de confianza.
  • Solo auditoría

Reglas para evitar amenazas de correo electrónico

Bloquee lo siguiente para evitar amenazas por correo electrónico:

• Ejecución de contenido ejecutable (exe, dll, ps, js, vbs, etc.) eliminado del correo electrónico (cliente de correo web/correo) (sin excepciones)
  Valor predeterminado: no configurado
  Regla: Bloquear el contenido ejecutable del cliente de correo electrónico y el correo web

  • Sin configurar
  • Bloquear : bloquear la ejecución de contenido ejecutable (exe, dll, ps, js, vbs, etc.) eliminado del correo electrónico (webmail/mail-client).
  • Solo auditoría

Reglas para protegerse contra ransomware

• Protección avanzada contra ransomware
  Valor predeterminado: no configurado
  Regla: Uso de la protección avanzada contra ransomware

  • Sin configurar
  • Habilitar : use una protección contra ransomware agresiva.
  • Solo auditoría

Excepciones de reducción de superficie expuesta a ataques

• Archivos y carpetas que se van a excluir de las reglas de reducción de superficie expuesta a ataques
  CSP de Defender: AttackSurfaceReductionOnlyExclusions

  • Importe un archivo .csv que contenga archivos y carpetas para excluir de las reglas de reducción de la superficie expuesta a ataques.
  • Agregue archivos o carpetas locales manualmente.

Importante

Para permitir la instalación y ejecución correctas de aplicaciones lob Win32, la configuración de antimalware debe excluir los siguientes directorios para que no se analicen:
En máquinas cliente X64:
C:\Archivos de programa (x86)\Microsoft Intune Extensión de administración\Contenido
C:\windows\IMECache

En máquinas cliente X86:
C:\Archivos de programa\Microsoft Intune Extensión de administración\Contenido
C:\windows\IMECache

Para obtener más información, consulte Recomendaciones de detección de virus para equipos enterprise que ejecutan versiones compatibles actualmente de Windows.

Acceso controlado a carpetas

Ayuda a proteger datos valiosos de aplicaciones y amenazas malintencionadas, como ransomware.

• Protección de carpetas
  Valor predeterminado: no configurado
  CSP de Defender: EnableControlledFolderAccess

  Proteja archivos y carpetas de cambios no autorizados mediante aplicaciones poco amigables.

  • Sin configurar
  • Enable
  • Solo auditoría
  • Bloquear modificación de disco
  • Auditar la modificación del disco

  Al seleccionar una configuración distinta de No configurada, puede configurar:

  • Lista de aplicaciones que tienen acceso a carpetas protegidas
    CSP de Defender: ControlledFolderAccessAllowedApplications

    • Importe un archivo .csv que contenga una lista de aplicaciones.
    • Agregue aplicaciones a esta lista manualmente.

  • Lista de carpetas adicionales que deben protegerse
    CSP de Defender: ControlledFolderAccessProtectedFolders

    • Importe un archivo .csv que contenga una lista de carpetas.
    • Agregue carpetas a esta lista manualmente.

Filtrado de red

Bloquee las conexiones salientes desde cualquier aplicación a direcciones IP o dominios con baja reputación. El filtrado de red se admite en los modos Audit y Block.

• Protección de red
  Valor predeterminado: no configurado
  CSP de Defender: EnableNetworkProtection

  La intención de esta configuración es proteger a los usuarios finales de aplicaciones con acceso a estafas de phishing, sitios de hospedaje de vulnerabilidades de seguridad y contenido malintencionado en Internet. También impide que los exploradores de terceros se conecten a sitios peligrosos.

  • No configurado : deshabilite esta característica. No se impide que los usuarios y las aplicaciones se conecten a dominios peligrosos. Los administradores no pueden ver esta actividad en Centro de seguridad de Microsoft Defender.
  • Habilitar : active la protección de red y bloquee la conexión de usuarios y aplicaciones a dominios peligrosos. Los administradores pueden ver esta actividad en Centro de seguridad de Microsoft Defender.
  • Solo auditoría: los usuarios y las aplicaciones no están bloqueados para conectarse a dominios peligrosos. Los administradores pueden ver esta actividad en Centro de seguridad de Microsoft Defender.

Protección contra vulnerabilidades de seguridad

• Carga de XML
  Valor predeterminado: no configurado

  Para usar protección contra vulnerabilidades de seguridad para proteger los dispositivos frente a vulnerabilidades de seguridad, cree un archivo XML que incluya la configuración de mitigación del sistema y la aplicación que desee. Hay dos métodos para crear el archivo XML:

  • PowerShell : use uno o varios cmdlets de PowerShell Get-ProcessMitigation, Set-ProcessMitigation y ConvertTo-ProcessMitigationPolicy . Los cmdlets configuran las opciones de mitigación y exportan una representación XML de ellas.

  • Centro de seguridad de Microsoft Defender UI: en el Centro de seguridad de Microsoft Defender, seleccione App & browser control (Aplicación & control del explorador) y desplácese hasta la parte inferior de la pantalla resultante para buscar Protección contra vulnerabilidades. En primer lugar, use las pestañas Configuración del sistema y Configuración del programa para configurar las opciones de mitigación. A continuación, busque el vínculo Exportar configuración en la parte inferior de la pantalla para exportar una representación XML de ellos.

• Edición del usuario de la interfaz de protección contra vulnerabilidades de seguridad
  Valor predeterminado: no configurado
  CSP de ExploitGuard: ExploitProtectionSettings

  • Bloquear : cargue un archivo XML que le permita configurar restricciones de directivas, flujo de control y memoria. La configuración del archivo XML se puede usar para bloquear las vulnerabilidades de seguridad de una aplicación.
  • No configurado : no se usa ninguna configuración personalizada.

control de aplicación Microsoft Defender

Elija las aplicaciones que se auditarán mediante o que sean de confianza para que las ejecute Microsoft Defender Control de aplicaciones. Los componentes de Windows y todas las aplicaciones de la Tienda Windows son de confianza para ejecutarse automáticamente.

• Directivas de integridad de código de control de aplicaciones
  Valor predeterminado: no configurado
  CSP: CSP de AppLocker

  • Aplicar : elija las directivas de integridad de código de control de aplicaciones para los dispositivos de los usuarios.

    Después de habilitarse en un dispositivo, el control de aplicaciones solo se puede deshabilitar cambiando el modo de Aplicarsolo a Auditoría. Al cambiar el modo de Aplicar a No configurado , el control de aplicaciones se sigue aplicando en los dispositivos asignados.

  • No configurado : el control de aplicaciones no se agrega a los dispositivos. Sin embargo, la configuración que se agregó anteriormente se sigue aplicando en los dispositivos asignados.

  • Solo auditoría : las aplicaciones no están bloqueadas. Todos los eventos se registran en los registros del cliente local.

    Nota:

    Si usa esta configuración, el comportamiento de CSP de AppLocker pide actualmente al usuario final que reinicie su equipo cuando se implemente una directiva.

Microsoft Defender Credential Guard

Microsoft Defender Credential Guard protege contra ataques de robo de credenciales. Aísla los secretos para que solo el software del sistema con privilegios pueda acceder a ellos.

• Credential Guard
  Valor predeterminado: Deshabilitar
  DeviceGuard CSP

  • Deshabilitar : desactive Credential Guard de forma remota, si se ha activado anteriormente con la opción Habilitado sin bloqueo UEFI .

  • Habilitar con bloqueo UEFI : Credential Guard no se puede deshabilitar de forma remota mediante una clave del Registro o una directiva de grupo.

    Nota:

    Si usa esta configuración y, después, quiere deshabilitar Credential Guard, debe establecer el directiva de grupo en Deshabilitado. Además, borre físicamente la información de configuración de UEFI de cada equipo. Siempre que la configuración de UEFI persista, Credential Guard está habilitado.

  • Habilitar sin bloqueo UEFI: permite que Credential Guard se deshabilite de forma remota mediante directiva de grupo. Los dispositivos que usan esta configuración deben ejecutarse Windows 10 versión 1511 y posteriores o Windows 11.

  Al habilitar Credential Guard, también se habilitan las siguientes características necesarias:

  • Seguridad basada en virtualización (VBS)
    Se activa durante el siguiente reinicio. La seguridad basada en virtualización usa el hipervisor de Windows para proporcionar compatibilidad con los servicios de seguridad.
  • Arranque seguro con acceso a memoria de directorio
    Activa VBS con protección de arranque seguro y acceso directo a memoria (DMA). Las protecciones DMA requieren compatibilidad con hardware y solo están habilitadas en dispositivos configurados correctamente.

Centro de seguridad de Microsoft Defender

Centro de seguridad de Microsoft Defender funciona como una aplicación o proceso independiente de cada una de las características individuales. Muestra notificaciones a través del Centro de acciones. Actúa como recopilador o lugar único para ver el estado y ejecutar alguna configuración para cada una de las características. Obtenga más información en la documentación de Microsoft Defender.

Centro de seguridad de Microsoft Defender aplicación y notificaciones

Bloquear el acceso del usuario final a las distintas áreas de la aplicación Centro de seguridad de Microsoft Defender. Ocultar una sección también bloquea las notificaciones relacionadas.

• Protección contra virus y amenazas
  Valor predeterminado: no configurado
  CSP de WindowsDefenderSecurityCenter: DisableVirusUI

  Configure si los usuarios finales pueden ver el área de protección contra virus y amenazas en el Centro de seguridad de Microsoft Defender. Ocultar esta sección también bloqueará todas las notificaciones relacionadas con virus y protección contra amenazas.

  • Sin configurar
  • Hide

• Protección contra ransomware
  Valor predeterminado: no configurado
  CSP de WindowsDefenderSecurityCenter: HideRansomwareDataRecovery

  Configure si los usuarios finales pueden ver el área de protección contra ransomware en el Centro de seguridad de Microsoft Defender. Ocultar esta sección también bloqueará todas las notificaciones relacionadas con la protección contra ransomware.

  • Sin configurar
  • Hide

• Protección de cuentas
  Valor predeterminado: no configurado
  CSP de WindowsDefenderSecurityCenter: DisableAccountProtectionUI

  Configure si los usuarios finales pueden ver el área Protección de la cuenta en el Centro de seguridad de Microsoft Defender. Ocultar esta sección también bloqueará todas las notificaciones relacionadas con la protección de la cuenta.

  • Sin configurar
  • Hide

• Firewall y protección de red
  Valor predeterminado: no configurado
  CSP de WindowsDefenderSecurityCenter: DisableNetworkUI

  Configure si los usuarios finales pueden ver el firewall y el área de protección de red en Microsoft Defender Security Center. Ocultar esta sección también bloqueará todas las notificaciones relacionadas con el firewall y la protección de red.

  • Sin configurar
  • Hide

• Control de aplicación y explorador
  Valor predeterminado: no configurado
  CSP de WindowsDefenderSecurityCenter: DisableAppBrowserUI

  Configure si los usuarios finales pueden ver el área de control Aplicación y explorador en Microsoft Defender Security Center. Ocultar esta sección también bloqueará todas las notificaciones relacionadas con la aplicación y el control del explorador.

  • Sin configurar
  • Hide

• Protección de hardware
  Valor predeterminado: no configurado
  CSP de WindowsDefenderSecurityCenter: DisableDeviceSecurityUI

  Configure si los usuarios finales pueden ver el área Protección de hardware en el Centro de seguridad de Microsoft Defender. Ocultar esta sección también bloqueará todas las notificaciones relacionadas con la protección de hardware.

  • Sin configurar
  • Hide

• Rendimiento y estado del dispositivo
  Valor predeterminado: no configurado
  CSP de WindowsDefenderSecurityCenter: DisableHealthUI

  Configure si los usuarios finales pueden ver el área Rendimiento y estado del dispositivo en Microsoft Defender Security Center. Ocultar esta sección también bloqueará todas las notificaciones relacionadas con el rendimiento y el estado del dispositivo.

  • Sin configurar
  • Hide

• Opciones de familia
  Valor predeterminado: no configurado
  CSP de WindowsDefenderSecurityCenter: DisableFamilyUI

  Configure si los usuarios finales pueden ver el área Opciones de familia en Microsoft Defender Security Center. Si oculta esta sección, también se bloquearán todas las opciones relacionadas con las notificaciones relacionadas con la familia.

  • Sin configurar
  • Hide

• Notificaciones de las áreas mostradas de la aplicación
  Valor predeterminado: no configurado
  CSP de WindowsDefenderSecurityCenter: DisableNotifications

  Elija qué notificaciones se mostrarán a los usuarios finales. Las notificaciones no críticas incluyen resúmenes de Microsoft Defender actividad antivirus, incluidas las notificaciones cuando se han completado los exámenes. Todas las demás notificaciones se consideran críticas.

  • Sin configurar
  • Bloquear notificaciones no críticas
  • Bloquear todas las notificaciones

• icono del centro de Seguridad de Windows en la bandeja del sistema
  Valor predeterminado: CSP de WindowsDefenderSecurityCenter no configurado: HideWindowsSecurityNotificationAreaControl

  Configure la visualización del control de área de notificación. El usuario debe cerrar sesión e iniciar sesión o reiniciar el equipo para que esta configuración surta efecto.

  • Sin configurar
  • Hide

• Botón Borrar TPM
  Valor predeterminado: CSP de WindowsDefenderSecurityCenter no configurado: DisableClearTpmButton

  Configure la visualización del botón Borrar TPM.

  • Sin configurar
  • Disable

• Advertencia de actualización de firmware de TPM
  Valor predeterminado: CSP de WindowsDefenderSecurityCenter no configurado: DisableTpmFirmwareUpdateWarning

  Configure la visualización del firmware de TPM de actualización cuando se detecte un firmware vulnerable.

  • Sin configurar
  • Hide

• Protección contra alteraciones
  Valor predeterminado: no configurado

  Active o desactive la protección contra alteraciones en los dispositivos. Para usar Tamper Protection, debe integrar Microsoft Defender para punto de conexión con Intune y tener Enterprise Mobility + Security licencias de E5.

  • No configurado : no se realiza ningún cambio en la configuración del dispositivo.
  • Habilitado : la protección contra alteraciones está activada y se aplican restricciones en los dispositivos.
  • Deshabilitado : la protección contra alteraciones está desactivada y no se aplican restricciones.

Información de contacto de TI

Proporcione información de contacto de TI para que aparezca en la aplicación Centro de seguridad de Microsoft Defender y en las notificaciones de la aplicación.

Puede elegir Mostrar en la aplicación y en las notificaciones, Mostrar solo en la aplicación, Mostrar solo en notificaciones o No mostrar. Escriba el nombre de la organización de TI y al menos una de las siguientes opciones de contacto:

• Información de contacto de TI
  Valor predeterminado: No mostrar
  CSP de WindowsDefenderSecurityCenter: EnableCustomizedToasts

  Configure dónde mostrar información de contacto de TI a los usuarios finales.

  • Mostrar en la aplicación y en las notificaciones
  • Mostrar solo en la aplicación
  • Mostrar solo en notificaciones
  • No mostrar

  Cuando esté configurado para mostrarse, puede configurar los siguientes valores:

  • Nombre de la organización de TI
    Valor predeterminado: no configurado
    CSP de WindowsDefenderSecurityCenter: CompanyName

  • Número de teléfono del departamento de TI o identificador de Skype
    Valor predeterminado: no configurado
    CSP de WindowsDefenderSecurityCenter: Teléfono

  • Dirección de correo electrónico del departamento de TI
    Valor predeterminado: no configurado
    CSP de WindowsDefenderSecurityCenter: Email

  • DIRECCIÓN URL del sitio web de soporte técnico de TI
    Valor predeterminado: no configurado
    CSP de WindowsDefenderSecurityCenter: DIRECCIÓN URL

Opciones de seguridad de dispositivos locales

Use estas opciones para configurar los valores de seguridad locales en dispositivos Windows 10/11.

Cuentas

• Agregar nuevas cuentas de Microsoft
  Valor predeterminado: no configurado
  CSP LocalPoliciesSecurityOptions: Accounts_BlockMicrosoftAccounts

  • Bloquear Impedir que los usuarios agreguen nuevas cuentas de Microsoft al dispositivo.
  • No configurado : los usuarios pueden usar cuentas de Microsoft en el dispositivo.

• Inicio de sesión remoto sin contraseña
  Valor predeterminado: no configurado
  CSP LocalPoliciesSecurityOptions: Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly

  • Bloquear : permite que solo las cuentas locales con contraseñas en blanco inicien sesión con el teclado del dispositivo.
  • No configurado : permite que las cuentas locales con contraseñas en blanco inicien sesión desde ubicaciones distintas del dispositivo físico.

Admin

• Cuenta de administrador local
  Valor predeterminado: no configurado
  CSP LocalPoliciesSecurityOptions: Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly

  • Bloquear Impedir el uso de una cuenta de administrador local.
  • Sin configurar

• Cambiar el nombre de la cuenta de administrador
  Valor predeterminado: no configurado
  CSP LocalPoliciesSecurityOptions: Accounts_RenameAdministratorAccount

  Defina un nombre de cuenta diferente que se asociará con el identificador de seguridad (SID) de la cuenta "Administrador".

Guest

• Cuenta de invitado
  Valor predeterminado: no configurado
  CSP LocalPoliciesSecurityOptions: LocalPoliciesSecurityOptions

  • Bloquear : impedir el uso de una cuenta de invitado.
  • Sin configurar

• Cambiar el nombre de la cuenta de invitado
  Valor predeterminado: no configurado
  CSP LocalPoliciesSecurityOptions: Accounts_RenameGuestAccount

  Defina un nombre de cuenta diferente que se asociará con el identificador de seguridad (SID) de la cuenta "Invitado".

Dispositivos

• Desacoplar el dispositivo sin inicio de sesión
  Valor predeterminado: no configurado
  CSP LocalPoliciesSecurityOptions: Devices_AllowUndockWithoutHavingToLogon

  • Bloquear : un usuario debe iniciar sesión en el dispositivo y recibir permiso para desacoplar el dispositivo.
  • No configurado : los usuarios pueden presionar el botón de expulsión física de un dispositivo portátil acoplado para desacoplar el dispositivo de forma segura.

• Instalación de controladores de impresora para impresoras compartidas
  Valor predeterminado: no configurado
  CSP LocalPoliciesSecurityOptions: Devices_PreventUsersFromInstallingPrinterDriversWhenConnectingToSharedPrinters

  • Habilitado : cualquier usuario puede instalar un controlador de impresora como parte de la conexión a una impresora compartida.
  • No configurado : solo los administradores pueden instalar un controlador de impresora como parte de la conexión a una impresora compartida.

• Restricción del acceso de CD-ROM al usuario activo local
  Valor predeterminado: no configurado
  CSP: Devices_RestrictCDROMAccessToLocallyLoggedOnUserOnly

  • Habilitado : solo el usuario que ha iniciado sesión interactivamente puede usar los medios de CD-ROM. Si esta directiva está habilitada y no se ha iniciado sesión de forma interactiva, se accede al CD-ROM a través de la red.
  • No configurado : cualquiera tiene acceso al CD-ROM.

• Formato y expulsión de medios extraíbles
  Valor predeterminado: Administradores
  CSP: Devices_AllowedToFormatAndEjectRemovableMedia

  Defina quién tiene permiso para dar formato y expulsar medios NTFS extraíbles:

  • Sin configurar
  • Administradores
  • Administradores y usuarios avanzados
  • Administradores y usuarios interactivos

Inicio de sesión interactivo

• Minutos de inactividad de la pantalla de bloqueo hasta que se activa el protector de pantalla
  Valor predeterminado: no configurado
  CSP LocalPoliciesSecurityOptions: InteractiveLogon_MachineInactivityLimit

  Escriba los minutos máximos de inactividad hasta que se active el protector de pantalla. (0 - 99999)

• Requerir CTRL+ALT+SUPR para iniciar sesión
  Valor predeterminado: no configurado
  CSP LocalPoliciesSecurityOptions: InteractiveLogon_DoNotRequireCTRLALTDEL

  • Habilitar : requerir a los usuarios que presionen CTRL+ALT+SUPR antes de iniciar sesión en Windows.
  • No configurado : no es necesario presionar CTRL+ALT+SUPR para que los usuarios inicien sesión.

• Comportamiento de eliminación de tarjeta inteligente
  Valor predeterminado: No hay ninguna acción LocalPoliciesSecurityOptions CSP: InteractiveLogon_SmartCardRemovalBehavior

  Determina lo que ocurre cuando la tarjeta inteligente de un usuario que ha iniciado sesión se quita del lector de tarjetas inteligentes. Sus opciones:

  • Estación de trabajo de bloqueo : la estación de trabajo está bloqueada cuando se quita la tarjeta inteligente. Esta opción permite a los usuarios salir del área, tomar su tarjeta inteligente con ellos y mantener una sesión protegida.
  • Ninguna acción
  • Forzar cierre de sesión : el usuario se cierra automáticamente cuando se quita la tarjeta inteligente.
  • Desconectar si una sesión de Servicios de Escritorio remoto : la eliminación de la tarjeta inteligente desconecta la sesión sin cerrar la sesión del usuario. Esta opción permite al usuario insertar la tarjeta inteligente y reanudar la sesión más adelante, o en otro equipo equipado con lector de tarjetas inteligentes, sin tener que volver a iniciar sesión. Si la sesión es local, esta directiva funciona de forma idéntica a Bloquear estación de trabajo.

Visualización

• Información del usuario en la pantalla de bloqueo
  Valor predeterminado: no configurado
  CSP LocalPoliciesSecurityOptions: InteractiveLogon_DisplayUserInformationWhenTheSessionIsLocked

  Configure la información de usuario que se muestra cuando la sesión está bloqueada. Si no está configurado, se muestran el nombre para mostrar del usuario, el dominio y el nombre de usuario.

  • Sin configurar
  • Nombre para mostrar, dominio y nombre de usuario de usuario
  • Solo nombre para mostrar de usuario
  • No mostrar información del usuario

• Ocultar el último usuario que inició sesión
  Valor predeterminado: no configurado
  CSP LocalPoliciesSecurityOptions: InteractiveLogon_DoNotDisplayLastSignedIn

  • Habilitar : oculte el nombre de usuario.
  • No configurado : muestra el último nombre de usuario.

• Ocultar el nombre de usuario en el inicio de sesiónpredeterminado: no configurado
  CSP LocalPoliciesSecurityOptions: InteractiveLogon_DoNotDisplayUsernameAtSignIn

  • Habilitar : oculte el nombre de usuario.
  • No configurado : muestra el último nombre de usuario.

• Título del mensaje de inicio de sesión
  Valor predeterminado: no configurado
  CSP LocalPoliciesSecurityOptions: InteractiveLogon_MessageTitleForUsersAttemptingToLogOn

  Establezca el título del mensaje para los usuarios que inician sesión.

• Texto del mensaje de inicio de sesión
  Valor predeterminado: no configurado
  CSP LocalPoliciesSecurityOptions: InteractiveLogon_MessageTextForUsersAttemptingToLogOn

  Establezca el texto del mensaje para los usuarios que inician sesión.

Acceso a la red y seguridad

• Acceso anónimo a canalizaciones y recursos compartidos con nombre
  Valor predeterminado: no configurado
  CSP LocalPoliciesSecurityOptions: NetworkAccess_RestrictAnonymousAccessToNamedPipesAndShares

  • No configurado : restrinja el acceso anónimo a la configuración de canalización con nombre y recurso compartido. Se aplica a la configuración a la que se puede acceder de forma anónima.
  • Bloquear : deshabilite esta directiva y haga que el acceso anónimo esté disponible.

• Enumeración anónima de cuentas SAM
  Valor predeterminado: no configurado
  CSP LocalPoliciesSecurityOptions: NetworkAccess_DoNotAllowAnonymousEnumerationOfSAMAccounts

  • No configurado : los usuarios anónimos pueden enumerar cuentas SAM.
  • Bloquear : impedir la enumeración anónima de cuentas SAM.

• Enumeración anónima de cuentas y recursos compartidos sam
  Valor predeterminado: no configurado
  CSP LocalPoliciesSecurityOptions: NetworkAccess_DoNotAllowAnonymousEnumerationOfSamAccountsAndShares

  • No configurado : los usuarios anónimos pueden enumerar los nombres de las cuentas de dominio y los recursos compartidos de red.
  • Bloquear : impedir la enumeración anónima de cuentas SAM y recursos compartidos.

• Valor hash del administrador de LAN almacenado en el cambio de contraseña
  Valor predeterminado: no configurado
  CSP LocalPoliciesSecurityOptions: NetworkSecurity_DoNotStoreLANManagerHashValueOnNextPasswordChange

  Determine si el valor hash de las contraseñas se almacena la próxima vez que se cambia la contraseña.

  • No configurado : el valor hash no se almacena
  • Bloquear : el Administrador de LAN (LM) almacena el valor hash de la nueva contraseña.

• Solicitudes de autenticación PKU2U
  Valor predeterminado: no configurado
  CSP LocalPoliciesSecurityOptions: NetworkSecurity_AllowPKU2UAuthenticationRequests

  • No configurado: permitir solicitudes PU2U.
  • Bloquear : bloquee las solicitudes de autenticación PKU2U en el dispositivo.

• Restricción de conexiones RPC remotas a SAM
  Valor predeterminado: no configurado
  CSP LocalPoliciesSecurityOptions: NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM

  • No configurado : use el descriptor de seguridad predeterminado, que puede permitir a los usuarios y grupos realizar llamadas RPC remotas al SAM.

  • Permitir : impedir que los usuarios y grupos realicen llamadas RPC remotas al Administrador de cuentas de seguridad (SAM), que almacena las cuentas de usuario y las contraseñas. Permitir también permite cambiar la cadena predeterminada del lenguaje de definición de descriptor de seguridad (SDDL) para permitir o denegar explícitamente a los usuarios y grupos realizar estas llamadas remotas.

    • Descriptor de seguridad
      Valor predeterminado: no configurado

• Seguridad mínima de sesión para clientes basados en SSP NTLM
  Valor predeterminado: Ninguno
  CSP LocalPoliciesSecurityOptions: NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedClients

  Esta configuración de seguridad permite que un servidor requiera la negociación del cifrado de 128 bits o la seguridad de la sesión NTLMv2.

  • Ninguna
  • Requerir seguridad de sesión NTLMv2
  • Requerir cifrado de 128 bits
  • NTLMv2 y cifrado de 128 bits

• Seguridad mínima de la sesión para el servidor basado en NTLM SSP
  Valor predeterminado: Ninguno
  CSP LocalPoliciesSecurityOptions: NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedServers

  Esta configuración de seguridad determina qué protocolo de autenticación de desafío/respuesta se usa para los inicios de sesión de red.

  • Ninguna
  • Requerir seguridad de sesión NTLMv2
  • Requerir cifrado de 128 bits
  • NTLMv2 y cifrado de 128 bits

• Nivel de autenticación de LAN Manager
  Valor predeterminado: LM y NTLM
  CSP LocalPoliciesSecurityOptions: NetworkSecurity_LANManagerAuthenticationLevel

  • LM y NTLM
  • LM, NTLM y NTLMv2
  • NTLM
  • NTLMv2
  • NTLMv2 y no LM
  • NTLMv2 y no LM o NTLM

• Inicios de sesión de invitado no seguros
  Valor predeterminado: no configurado
  CSP de LanmanWorkstation: LanmanWorkstation

  Si habilita esta configuración, el cliente SMB rechazará los inicios de sesión de invitado no seguros.

  • Sin configurar
  • Bloquear : el cliente SMB rechaza los inicios de sesión de invitado no seguros.

Consola de recuperación y apagado

• Borrar el archivo de página de memoria virtual al apagarse
  Valor predeterminado: no configurado
  CSP LocalPoliciesSecurityOptions: Shutdown_ClearVirtualMemoryPageFile

  • Habilitar : borre el archivo de página de memoria virtual cuando el dispositivo esté apagado.
  • No configurado : no borra la memoria virtual.

• Apagar sin iniciar sesión
  Valor predeterminado: no configurado
  CSP LocalPoliciesSecurityOptions: Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn

  • Bloquear : oculta la opción de apagado en la pantalla de inicio de sesión de Windows. Los usuarios deben iniciar sesión en el dispositivo y, a continuación, apagarse.
  • No configurado : permite a los usuarios apagar el dispositivo desde la pantalla de inicio de sesión de Windows.

Control de cuentas de usuario

• Integridad de UIA sin ubicación segura
  Valor predeterminado: no configurado
  CSP LocalPoliciesSecurityOptions: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations

  • Bloquear : las aplicaciones que se encuentran en una ubicación segura en el sistema de archivos solo se ejecutarán con la integridad de UIAccess.
  • No configurado : permite que las aplicaciones se ejecuten con integridad de UIAccess, incluso si las aplicaciones no están en una ubicación segura en el sistema de archivos.

• Virtualización de errores de escritura de archivos y registros en ubicaciones por usuario
  Valor predeterminado: no configurado
  CSP LocalPoliciesSecurityOptions: UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations

  • Habilitado : se produce un error en las aplicaciones que escriben datos en ubicaciones protegidas.
  • No configurado : los errores de escritura de la aplicación se redirigen en tiempo de ejecución a ubicaciones de usuario definidas para el sistema de archivos y el registro.

• Elevar solo los archivos ejecutables firmados y validados
  Valor predeterminado: no configurado
  CSP LocalPoliciesSecurityOptions: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations

  • Habilitado : aplique la validación de la ruta de certificación PKI para un archivo ejecutable antes de que pueda ejecutarse.
  • No configurado : no aplique la validación de la ruta de certificación PKI antes de que se pueda ejecutar un archivo ejecutable.

Comportamiento del símbolo del sistema de elevación de UIA

• Petición de elevación para administradores
  Valor predeterminado: solicitar consentimiento para archivos binarios que no son de Windows
  CSP LocalPoliciesSecurityOptions: UserAccountControl_BehaviorOfTheElevationPromptForAdministrators

  Defina el comportamiento del símbolo del sistema de elevación para los administradores en Administración modo de aprobación.

  • Sin configurar
  • Elevar sin preguntar
  • Solicitud de credenciales en el escritorio seguro
  • Solicitud de credenciales
  • Solicitud de consentimiento
  • Solicitud de consentimiento para archivos binarios que no son de Windows

• Petición de elevación para usuarios estándar
  Valor predeterminado: solicitud de credenciales
  CSP LocalPoliciesSecurityOptions: UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers

  Defina el comportamiento de la solicitud de elevación para los usuarios estándar.

  • Sin configurar
  • Denegar automáticamente solicitudes de elevación
  • Solicitud de credenciales en el escritorio seguro
  • Solicitud de credenciales

• Enrutamiento de solicitudes de elevación al escritorio interactivo del usuario
  Valor predeterminado: no configurado
  CSP LocalPoliciesSecurityOptions: UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation

  • Habilitado : todas las solicitudes de elevación van al escritorio del usuario interactivo en lugar del escritorio seguro. Se usa cualquier configuración de directiva de comportamiento de aviso para administradores y usuarios estándar.
  • No configurado : forzar que todas las solicitudes de elevación vayan al escritorio seguro, independientemente de la configuración de la directiva de comportamiento de mensajes para los administradores y los usuarios estándar.

• Solicitud con privilegios elevados para instalaciones de aplicaciones
  Valor predeterminado: no configurado
  CSP LocalPoliciesSecurityOptions: UserAccountControl_DetectApplicationInstallationsAndPromptForElevation

  • Habilitado : los paquetes de instalación de la aplicación no se detectan ni se solicitan elevación.
  • No configurado : se solicita a los usuarios un nombre de usuario administrativo y una contraseña cuando un paquete de instalación de la aplicación requiere privilegios elevados.

• Solicitud de elevación de UIA sin escritorio seguro
  Valor predeterminado: no configurado
  CSP LocalPoliciesSecurityOptions: UserAccountControl_AllowUIAccessApplicationsToPromptForElevation

• Habilitar : permite que las aplicaciones de UIAccess soliciten elevación, sin usar el escritorio seguro.

• No configurado : las solicitudes de elevación usan un escritorio seguro.

Administración modo de aprobación

• Administración modo de aprobación para el administrador integrado
  Valor predeterminado: no configurado
  CSP LocalPoliciesSecurityOptions: UserAccountControl_UseAdminApprovalMode

  • Habilitado: permite que la cuenta de administrador integrada use Administración modo de aprobación. Cualquier operación que requiera la elevación de privilegios solicita al usuario que apruebe la operación.
  • Sin configurar : ejecuta todas las aplicaciones con privilegios de administrador completos.

• Ejecución de todos los administradores en Administración modo de aprobación
  Valor predeterminado: no configurado
  CSP LocalPoliciesSecurityOptions: UserAccountControl_RunAllAdministratorsInAdminApprovalMode

  • Habilitado: habilite Administración modo de aprobación.
  • No configurado: deshabilite Administración modo de aprobación y toda la configuración de directiva de UAC relacionada.

Cliente de red de Microsoft

• Firmar digitalmente las comunicaciones (si el servidor está de acuerdo)
  Valor predeterminado: no configurado
  CSP LocalPoliciesSecurityOptions: MicrosoftNetworkClient_DigitallySignCommunicationsIfServerAgrees

  Determina si el cliente SMB negocia la firma de paquetes SMB.

  • Bloquear : el cliente SMB nunca negocia la firma de paquetes SMB.
  • No configurado : el cliente de red de Microsoft pide al servidor que ejecute la firma de paquetes SMB al configurar la sesión. Si la firma de paquetes está habilitada en el servidor, se negocia la firma de paquetes.

• Envío de una contraseña sin cifrar a servidores SMB de terceros
  Valor predeterminado: no configurado
  CSP LocalPoliciesSecurityOptions: MicrosoftNetworkClient_SendUnencryptedPasswordToThirdPartySMBServers

  • Bloquear : el redireccionamiento del bloque de mensajes del servidor (SMB) puede enviar contraseñas de texto no cifrado a servidores SMB que no sean de Microsoft que no admiten el cifrado de contraseñas durante la autenticación.
  • No configurado : bloquee el envío de contraseñas de texto no cifrado. Las contraseñas se cifran.

• Firmar digitalmente las comunicaciones (siempre)
  Valor predeterminado: no configurado
  CSP LocalPoliciesSecurityOptions: MicrosoftNetworkClient_DigitallySignCommunicationsAlways

  • Habilitar : el cliente de red de Microsoft no se comunica con un servidor de red de Microsoft a menos que ese servidor acepte la firma de paquetes SMB.
  • No configurado : la firma de paquetes SMB se negocia entre el cliente y el servidor.

Microsoft Network Server

• Firmar digitalmente las comunicaciones (si el cliente está de acuerdo)
  Valor predeterminado: no configurado
  CSP: MicrosoftNetworkServer_DigitallySignCommunicationsIfClientAgrees

  • Habilitar : el servidor de red de Microsoft negocia la firma de paquetes SMB según lo solicitado por el cliente. Es decir, si la firma de paquetes está habilitada en el cliente, se negocia la firma de paquetes.
  • No configurado : el cliente SMB nunca negocia la firma de paquetes SMB.

• Firmar digitalmente las comunicaciones (siempre)
  Valor predeterminado: no configurado
  CSP: MicrosoftNetworkServer_DigitallySignCommunicationsAlways

  • Habilitar : el servidor de red de Microsoft no se comunica con un cliente de red de Microsoft a menos que ese cliente acepte la firma de paquetes SMB.
  • No configurado : la firma de paquetes SMB se negocia entre el cliente y el servidor.

Servicios de Xbox

• Tarea Guardar juego de Xbox
  Valor predeterminado: no configurado
  CSP: TaskScheduler/EnableXboxGameSaveTask

  Esta configuración determina si la tarea Guardar juego de Xbox está habilitada o deshabilitada.

  • Enabled
  • Sin configurar

• Servicio de administración de accesorios de Xbox
  Valor predeterminado: manual
  CSP: SystemServices/ConfigureXboxAccessoryManagementServiceStartupMode

  Esta configuración determina el tipo de inicio del servicio de administración de descriptores de acceso.

  • Manual
  • Automática
  • Disabled

• Servicio administrador de autenticación de Xbox Live
  Valor predeterminado: manual
  CSP: SystemServices/ConfigureXboxLiveAuthManagerServiceStartupMode

  Esta configuración determina el tipo de inicio del servicio Live Auth Manager.

  • Manual
  • Automática
  • Disabled

• Servicio de guardado de juegos de Xbox Live
  Valor predeterminado: manual
  CSP: SystemServices/ConfigureXboxLiveGameSaveServiceStartupMode

  Esta configuración determina el tipo de inicio del servicio Live Game Save.

  • Manual
  • Automática
  • Disabled

• Servicio de redes de Xbox Live
  Valor predeterminado: manual
  CSP: SystemServices/ConfigureXboxLiveNetworkingServiceStartupMode

  Esta configuración determina el tipo de inicio del servicio de redes.

  • Manual
  • Automática
  • Disabled

Pasos siguientes

Se crea el perfil, pero aún no hace nada. A continuación, asigne el perfil y supervise su estado.

Configuración de las protecciones de puntos de conexión en dispositivos macOS .