Configuración de línea de base de Microsoft Defender for Endpoint para Intune

Vea la configuración de línea de base de Microsoft Defender for Endpoint admitida por Microsoft Intune. Los valores predeterminados de línea de base de Microsoft Defender for Endpoint representan la configuración recomendada para Defender for Endpoint y podrían no coincidir con los valores predeterminados para otras líneas de base de seguridad.

Línea de base de Microsoft Defender for Endpoint para diciembre de 2020, versión 6

Línea de base de Microsoft Defender for Endpoint para septiembre de 2020, versión 5

Línea de base de Microsoft Defender for Endpoint para abril de 2020, versión 4

Esta versión de la línea de base de seguridad reemplaza a las versiones anteriores. Los perfiles que se han creado antes de que estuviera disponible esta versión de línea de base:

  • Ahora son de solo lectura. Puede seguir usándolos, pero no puede editarlos para cambiar su configuración.
  • Se pueden actualizar a la versión más reciente. Después de actualizar a la versión de línea de base actual, puede editar el perfil para modificar la configuración.

Para comprender lo que ha cambiado en esta versión de línea de base con respecto a las versiones anteriores, use la acción Comparar líneas de base que está disponible al ver el panel Versiones para esta línea de base. Asegúrese de seleccionar la versión de la línea de base que quiere ver.

Para actualizar un perfil de línea de base de seguridad a la versión más reciente de esa línea de base, vea Cambio de la versión de la línea de base de un perfil.

Línea de base de Microsoft Defender for Endpoint para marzo de 2020, versión 3
Esta versión de la línea de base de seguridad reemplaza a las versiones anteriores. Los perfiles que se han creado antes de que estuviera disponible esta versión de línea de base:

  • Ahora son de solo lectura. Puede seguir usándolos, pero no puede editarlos para cambiar su configuración.
  • Se pueden actualizar a la versión más reciente. Después de actualizar la versión de línea de base actual, puede editar el perfil para modificar la configuración.

Para comprender lo que ha cambiado en esta versión de línea de base con respecto a las versiones anteriores, use la acción Comparar líneas de base que está disponible al ver el panel Versiones para esta línea de base. Asegúrese de seleccionar la versión de la línea de base que quiere ver.

Para actualizar un perfil de línea de base de seguridad a la versión más reciente de esa línea de base, vea Cambio de la versión de la línea de base de un perfil.

La línea de base de Microsoft Defender for Endpoint está disponible cuando el entorno cumple con los requisitos previos para usar Microsoft Defender for Endpoint.

Esta línea de base se optimiza para dispositivos físicos y no se recomienda su uso en máquinas virtuales (VM) ni puntos de conexión de VDI. Ciertas configuraciones de base de referencia pueden afectar a las sesiones interactivas remotas en entornos virtualizados. Para más información, consulte el artículo sobre el aumento del cumplimiento de la línea de base de seguridad de Microsoft Defender for Endpoint en la documentación de Windows.

Reglas de reducción de la superficie expuesta a ataques

Para más información, consulte Reglas de reducción de la superficie expuesta a ataques en la documentación de Microsoft Defender for Endpoint.

Comportamiento de combinación para reglas de reducción de la superficie expuesta a ataques en Intune:

Las reglas de reducción de la superficie expuesta a ataques admiten una combinación de configuraciones de distintas directivas, a fin de crear un superconjunto de directivas para cada dispositivo. Solo se combinan los valores que no están en conflicto, mientras que los que sí lo están no se agregan al superconjunto de reglas. Anteriormente, si dos directivas incluían conflictos para una sola configuración, se marcaban como en conflicto y no se implementaba ninguna configuración de ninguno de los perfiles.

El comportamiento de la combinación de reglas de reducción de la superficie expuesta a ataques es el siguiente:

  • Se evalúan las reglas de reducción de la superficie expuesta a ataques de los siguientes perfiles para cada dispositivo al que se aplican las reglas:
    • Dispositivos > Directiva de configuración > Perfil de Endpoint Protection > Protección contra vulnerabilidades de seguridad de Microsoft Defender > Reducción de la superficie expuesta a ataques
    • Seguridad de los puntos de conexión > Directiva de reducción de la superficie expuesta a ataques > Reglas de reducción de la superficie expuesta a ataques
    • Seguridad de los puntos de conexión > Líneas de base de seguridad > Línea de base de Microsoft Defender for Endpoint > Reglas de reducción de la superficie expuesta a ataques.
  • La configuración que no tiene conflictos se agrega a un superconjunto de directivas para el dispositivo.
  • Cuando dos o más directivas tienen una configuración en conflicto, no se agrega a la directiva combinada, mientras que la configuración que no está en conflicto se agrega a la directiva de superconjunto que se aplica a un dispositivo.
  • Solo se retienen las configuraciones de los valores en conflicto.

Configuración de este perfil:

  • Impedir que las aplicaciones de comunicación de Office creen procesos secundarios
    Regla de ASR: 26190899-1602-49e8-8b27-eb1d0a1ce869

    • Habilitar (valor predeterminado): impide que las aplicaciones de comunicación de Office creen procesos secundarios.
    • No configurado: la opción vuelve al valor predeterminado de Windows, que es desactivado.
    • Definido por el usuario
    • Modo de auditoría: se generan eventos de Windows en lugar de bloquearse.
  • Impedir que Adobe Reader cree procesos secundarios
    Regla de ASR: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c

    • Habilitar (valor predeterminado): impide que Adobe Reader cree procesos secundarios.
    • No configurado: la opción vuelve al valor predeterminado de Windows, que es desactivado.
    • Definido por el usuario
    • Modo de auditoría: se generan eventos de Windows en lugar de bloquearse.
  • Impedir que las aplicaciones de Office inserten código en otros procesos
    Regla de ASR: 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84

    • Bloquear (valor predeterminado): impide que las aplicaciones de Office inserten código en otros procesos.
    • No configurado: la opción vuelve al valor predeterminado de Windows, que es desactivado.
    • Modo de auditoría: se generan eventos de Windows en lugar de bloquearse.
  • Impedir que las aplicaciones de Office creen contenido ejecutable
    Regla de ASR: 3B576869-A4EC-4529-8536-B80A7769E899

    • Bloquear (valor predeterminado): impide que las aplicaciones de Office creen contenido ejecutable.
    • No configurado: la opción vuelve al valor predeterminado de Windows, que es desactivado.
    • Modo de auditoría: se generan eventos de Windows en lugar de bloquearse.
  • Impedir que JavaScript o VBScript inicien el contenido ejecutable descargado
    Regla de ASR: D3E037E1-3EB8-44C8-A917-57927947596D

    • Bloquear (valor predeterminado)
    • No configurado: la opción vuelve al valor predeterminado de Windows, que es desactivado.
    • Modo de auditoría: se generan eventos de Windows en lugar de bloquearse.
  • Habilitar la protección de red
    CSP: Defender/EnableNetworkProtection

    • Habilitar (valor predeterminado)
    • No configurado: la opción vuelve al valor predeterminado de Windows, que es desactivado.
    • Definido por el usuario
    • Modo de auditoría: se generan eventos de Windows en lugar de bloquearse.
  • Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar
    Regla de ASR: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4

    • Bloquear (valor predeterminado): impide que los procesos que no sean de confianza y estén sin firmar se ejecuten en una unidad USB.
    • No configurado: la opción vuelve al valor predeterminado de Windows, que es desactivado.
    • Modo de auditoría: se generan eventos de Windows en lugar de bloquearse.
  • Marcar el robo de credenciales desde el subsistema de autoridad de seguridad local de Windows (lsass.exe)
    Regla de ASR: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2

    • Habilitar (valor predeterminado): se bloquean los intentos de robo de credenciales a través de lsass.exe.
    • No configurado: la opción vuelve al valor predeterminado de Windows, que es desactivado.
    • Definido por el usuario
    • Modo de auditoría: se generan eventos de Windows en lugar de bloquearse.
  • Bloquear contenido ejecutable del cliente de correo electrónico y el correo web
    Regla de ASR: BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550

    • Bloquear (valor predeterminado): se bloquea el contenido ejecutable descargado desde clientes de correo electrónico y correo electrónico basado en web.
    • No configurado: la opción vuelve al valor predeterminado de Windows, que es desactivado.
    • Modo de auditoría: se generan eventos de Windows en lugar de bloquearse.
  • Impedir que todas las aplicaciones de Office creen procesos secundarios
    Regla de ASR: D4F940AB-401B-4EFC-AADC-AD5F3C50688A

    • Bloquear (valor predeterminado) : evita que las aplicaciones de Office creen procesos secundarios. Las aplicaciones bloqueadas incluyen Word, Excel, PowerPoint, OneNote y Access.
    • No configurado: la opción vuelve al valor predeterminado de Windows, que es desactivado.
    • Modo de auditoría: se generan eventos de Windows en lugar de bloquearse.
  • Bloquear la ejecución de scripts potencialmente alterados (js/vbs/ps)
    Regla de ASR: 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC

    • Bloquear (valor predeterminado) : Defender impide la ejecución de scripts ofuscados.
    • No configurado: la opción vuelve al valor predeterminado de Windows, que es desactivado.
    • Modo de auditoría: se generan eventos de Windows en lugar de bloquearse.
  • Impedir llamadas API de Win32 desde macros de Office
    Regla de ASR: 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B

    • Bloquear (valor predeterminado): impide que las macros de Office usen llamadas API de Win32.
    • No configurado: la opción vuelve al valor predeterminado de Windows, que es desactivado.
    • Modo de auditoría: se generan eventos de Windows en lugar de bloquearse.

Protección de aplicaciones

Para más información, vea WindowsDefenderApplicationGuard CSP (CSP de WindowsDefenderApplicationGuard) en la documentación de Windows.

Al utilizar Microsoft Edge, Protección de aplicaciones de Microsoft Defender protege su entorno de sitios que no son de confianza para su organización. Cuando los usuarios visitan sitios que no aparecen en el límite de red aislada, estos se abren en una sesión de exploración virtual de Hyper-V. Los sitios de confianza se definen mediante un límite de red.

  • Activación de la Protección de aplicaciones para Microsoft Edge (opciones)
    CSP: Settings/AllowWindowsDefenderApplicationGuard

    • Habilitado para Edge (valor predeterminado): Protección de aplicaciones abre los sitios no aprobados en un contenedor de exploración virtualizado de Hyper-V.
    • No configurado: cualquier sitio (de confianza y no de confianza) se abre en el dispositivo, y no en un contenedor virtualizado.

    Si se establece en Habilitado para Edge, se puede configurar Bloquear contenido externo de sitios aprobados que no son de la empresa y Comportamiento del Portapapeles.

    • Bloquear contenido externo de sitios aprobados que no son de la empresa
      CSP: Settings/BlockNonEnterpriseContent

      • (valor predeterminado): impide que se cargue contenido de sitios web no aprobados.
      • No configurado: se pueden abrir sitios que no sean de empresa en el dispositivo.
    • Comportamiento del Portapapeles
      CSP: Settings/ClipboardSettings

      Seleccione qué acciones de copiar y pegar se permiten entre el equipo local y el explorador virtual de la Protección de aplicaciones. Las opciones son:

      • Not Configured (No configurado)
      • Bloquear copiar y pegar entre el PC y el explorador (valor predeterminado): se bloquean ambos. No se pueden transferir datos entre el equipo y el explorador virtual.
      • Permitir copiar y pegar solo del explorador al PC: no se pueden transferir datos del PC al explorador virtual.
      • Permitir copiar y pegar solo del PC al explorador: no se pueden transferir datos del explorador virtual al PC host.
      • Permitir copiar y pegar entre el PC y el explorador: no existen bloqueos del contenido.
  • Directiva de aislamiento de red de Windows
    CSP: CSP de directiva: NetworkIsolation

    Especifique una lista de Dominios de red, que son recursos de empresa hospedados en la nube que Protección de aplicaciones trata como sitios empresariales.

    • Configurar (valor predeterminado)
    • No configurado.

    Si se establece en Configurar, puede definirse Dominios de red.

    • Dominios de red
      Seleccione Agregar y especifique los dominios, los intervalos de direcciones IP y los límites de red. securitycenter.windows.com está configurada de manera predeterminada.

BitLocker

Para más información, vea Configuración de las directivas de grupo de BitLocker en la documentación de Windows.

  • Exigir cifrado de tarjeta de almacenamiento (solo dispositivos móviles)
    CSP: RequireStorageCardEncryption

    Esta opción solo se aplica a dispositivos de SKU de Windows Mobile y Mobile Enterprise.

    • (valor predeterminado): se requiere cifrado en tarjetas de almacenamiento para dispositivos móviles.
    • No configurado: está opción vuelve al valor predeterminado del sistema operativo, que no requiere cifrado de tarjeta de almacenamiento.

    Nota

    La compatibilidad con Windows 10 Mobile y Windows Phone 8.1 ha finalizado en agosto de 2020.

  • Estados de espera mientras el equipo está en suspensión con batería CSP: Power/StandbyTimeoutOnBattery

    Esta configuración de directiva controla si Windows puede usar los estados de espera al poner el equipo en estado de suspensión.

    • Deshabilitado (valor predeterminado) : no se permiten los estados en espera (S1-S3).
    • Habilitado: Windows usa estados en espera para poner el equipo en estado de suspensión.
    • No configurado: el mismo comportamiento que para Habilitado.
  • Standby states when sleeping while plugged in (Estados de espera mientras el equipo está en suspensión conectado)
    CSP: Power/StandbyTimeoutPluggedIn

    Esta configuración de directiva controla si Windows puede usar los estados de espera al poner el equipo en estado de suspensión.

    • Deshabilitado (valor predeterminado) : no se permiten los estados en espera (S1-S3).
    • Habilitado: Windows usa estados en espera para poner el equipo en estado de suspensión.
    • No configurado: el mismo comportamiento que para Habilitado.
  • Habilitar el cifrado de disco completo para las unidades de datos fijas y de sistema operativo
    CSP: RequireDeviceEncryption

    Si la unidad se cifró antes de aplicar esta directiva, no se realiza ninguna acción adicional. Si el método y las opciones de cifrado coinciden con los de esta directiva, la configuración debe devolver un valor correcto. Si una opción de configuración de BitLocker en contexto no coincide con esta directiva, es probable que la configuración devuelva un error.

    Para aplicar esta directiva a un disco ya cifrado, descifre la unidad y vuelva a aplicar la directiva MDM. El valor predeterminado de Windows es no requerir cifrado de unidad BitLocker, aunque es posible que el cifrado automático de registro/inicio de sesión en Unión a Azure AD y la cuenta de Microsoft (MSA) apliquen la habilitación de BitLocker en el cifrado XTS-AES de 128 bits.

    • (valor predeterminado): se aplica el uso de BitLocker.
    • No configurado: no se produce la aplicación de BitLocker.
  • Directiva de unidad del sistema de BitLocker
    Configuración de directiva de grupo de BitLocker

    • Configurar (valor predeterminado)
    • No configurado.

    Cuando se establece en Configurar, puede configurar los valores siguientes:

  • Autenticación de inicio requerida
    CSP: SystemDrivesRequireStartupAuthentication

    • (valor predeterminado) : puede configurar los requisitos de autenticación adicionales al inicio del sistema, como el uso del Módulo de plataforma segura (TPM) o los requisitos del PIN de inicio:

    • No configurado.

      • PIN de inicio de TPM compatible
        CSP: SystemDrivesRequireStartupAuthentication Esta opción está disponible cuando Autenticación de inicio requerida se establece en .

        • Bloqueado: se bloquea el uso de un PIN.
        • Requerido: se requiere que BitLocker tenga un PIN y TPM presentes para que se devuelvan correctamente. Para los escenarios de habilitación silenciosa (como Autopilot), esta configuración no se realizará correctamente, ya que se necesita la interacción del usuario. Se recomienda deshabilitar el PIN cuando la habilitación silenciosa de BitLocker es necesaria.
        • Permitido (valor predeterminado) : se habilita BitLocker mediante el TPM si está presente, y se permite que el usuario configure un PIN de inicio.
        • No configurado.
      • Clave de inicio de TPM compatible
        CSP: SystemDrivesRequireStartupAuthentication Esta opción está disponible cuando Autenticación de inicio requerida se establece en .

        • Bloqueado: se bloquea el uso de claves de inicio.
        • Requerido (valor predeterminado) : requiere que BitLocker tenga una clave de inicio y el TPM presentes para habilitarlo. Para los escenarios de habilitación silenciosa (como Autopilot), esta configuración no se realizará correctamente, ya que se necesita la interacción del usuario. Se recomienda deshabilitar las claves de inicio cuando la habilitación silenciosa de BitLocker es necesaria.
        • Permitido: se habilita BitLocker mediante el TPM si está presente, y se permite que haya una clave de inicio (como una unidad USB) presente para desbloquear las unidades.
        • No configurado (valor predeterminado)
      • Deshabilitar BitLocker en dispositivos en los que TPM es incompatible
        CSP: SystemDrivesRequireStartupAuthentication Esta opción está disponible cuando Autenticación de inicio requerida se establece en .

        • (valor predeterminado) : se deshabilita la configuración de BitLocker sin un chip TPM compatible. Esta configuración puede ser útil para realizar pruebas, pero no se recomienda habilitar BitLocker sin un TPM. Si no hay ningún TPM presente, BitLocker necesitará una contraseña o una unidad USB para el inicio. Esta configuración solo se aplica cuando se habilita BitLocker por primera vez. Si BitLocker ya está habilitado antes de aplicar esta configuración, no tendrá ningún efecto.
        • No configurado.
  • Cifrado para unidades del sistema operativo
    CSP: EncryptionMethodByDriveType
    Esta opción está disponible cuando Directiva de unidad del sistema de BitLocker se establece en Configurar.

    Configure el método de cifrado y la intensidad de cifrado para las unidades del sistema. XTS-AES de 128 bits es el método de cifrado predeterminado de Windows y el valor recomendado.

    • Sin configurar (valor predeterminado).
    • CBC-AES de 128 bits
    • AES-CBC de 256 bits
    • XTS-AES de 128 bits
    • AES-XTS de 256 bits
  • Directiva de unidad fija de BitLocker
    Configuración de directiva de grupo de BitLocker

    • Configurar (valor predeterminado)
    • No configurado.

    Si se establece en Configurar, se puede configurar Denegar acceso de escritura a unidad de datos fija no protegida con BitLocker y Cifrado para unidades de datos fijas.

    • Denegar acceso de escritura a unidad de datos fija no protegida con BitLocker
      CSP: FixedDrivesRequireEncryption
      Esta opción está disponible cuando Directiva de unidades fijas de BitLocker se establece en Configurar.

      • No configurado: se pueden escribir datos en unidades fijas no cifradas.
      • (valor predeterminado): Windows no permitirá que se escriban datos en unidades fijas que no estén protegidas con BitLocker. Si no se cifra una unidad fija, el usuario ha de completar el Asistente para la instalación de BitLocker para la unidad antes de que se conceda acceso de escritura.
    • Cifrado para unidades de datos fijas
      CSP: EncryptionMethodByDriveType
      Esta opción está disponible cuando Directiva de unidades fijas de BitLocker se establece en Configurar.

      Configure el método de cifrado y la intensidad de cifrado para los discos de unidades de datos fijas. XTS-AES de 128 bits es el método de cifrado predeterminado de Windows y el valor recomendado.

      • No configurado.
      • CBC-AES de 128 bits
      • AES-CBC de 256 bits
      • AES-XTS de 128 bits (valor predeterminado)
      • AES-XTS de 256 bits
  • Directiva de unidad extraíble de BitLocker
    Configuración de directiva de grupo de BitLocker

    • Configurar (valor predeterminado)
    • No configurado.

    Si se establece en Configurar, se puede configurar Cifrado para unidades de datos extraíbles y Denegar acceso de escritura a discos de datos extraíbles no protegidos con BitLocker.

    • Cifrado para unidades de datos extraíbles
      CSP: EncryptionMethodByDriveType
      Esta opción está disponible cuando Directiva de unidades extraíbles de BitLocker se establece en Configurar.

      Configure el método de cifrado y la intensidad de cifrado para los discos de unidades de datos extraíbles. XTS-AES de 128 bits es el método de cifrado predeterminado de Windows y el valor recomendado.

      • No configurado.
      • AES-CBC de 128 bits (valor predeterminado)
      • AES-CBC de 256 bits
      • XTS-AES de 128 bits
      • AES-XTS de 256 bits
    • Denegar acceso de escritura a discos de datos extraíbles no protegidos con BitLocker
      CSP: RemovableDrivesRequireEncryption
      Esta opción está disponible cuando Directiva de unidades extraíbles de BitLocker se establece en Configurar.

      • No configurado (valor predeterminado): pueden escribirse datos en unidades extraíbles no cifradas.
      • : Windows no permitirá que se escriban datos en unidades extraíbles que no estén protegidas por BitLocker. Si no se cifra una unidad extraíble, el usuario tendrá que completar el Asistente para la instalación de BitLocker para la unidad antes de que se conceda acceso de escritura.

Explorador

  • Require SmartScreen for Microsoft Edge (Requerir SmartScreen para Microsoft Edge)
    CSP: Browser/AllowSmartScreen

    • (valor predeterminado): se usa SmartScreen para proteger a los usuarios frente a posibles correos de suplantación de identidad (phishing) y software malintencionado.
    • No configurado.
  • Block malicious site access (Bloquear el acceso a sitios malintencionados)
    CSP: Browser/PreventSmartScreenPromptOverride

    • (valor predeterminado): impide que los usuarios omitan las advertencias del filtro SmartScreen de Microsoft Defender y no les permite que vayan al sitio.
    • No configurado.
  • Block unverified file download (Bloquear la descarga de archivos no comprobados)
    CSP: Browser/PreventSmartScreenPromptOverrideForFiles

    • (valor predeterminado): impide que los usuarios omitan las advertencias del filtro SmartScreen de Microsoft Defender y no les permite que descarguen archivos no comprobados.
    • No configurado.

Protección de datos

  • Block direct memory access (Bloquear el acceso directo a memoria)
    CSP: DataProtection/AllowDirectMemoryAccess

    Esta configuración de directiva solo se aplica cuando está habilitado BitLocker o el cifrado de dispositivos.

    • (valor predeterminado): impide el acceso directo a memoria (DMA) a todos los puertos de bajada PCI de conexión instantánea hasta que un usuario inicie sesión en Windows. Cuando un usuario inicie sesión, Windows mostrará los dispositivos PCI conectados a los puertos PCI de conexión de host. Cada vez que el usuario bloquee el equipo, DMA se bloquea en los puertos PCI de conexión instantánea sin dispositivos secundarios, hasta que el usuario inicie sesión de nuevo. Los dispositivos que ya aparecían cuando se desbloqueó el equipo seguirán funcionando hasta que se desconecten.
    • No configurado.

Device Guard

  • Activar Credential Guard
    CSP: DeviceGuard/ConfigureSystemGuardLaunch

    Credential Guard usa el hipervisor de Windows para proporcionar protecciones, lo que requiere un arranque seguro y protecciones DMA que funcionen, para lo que es necesario que se cumplan los requisitos de hardware.

    • No configurado.
    • Habilitar con bloqueo UEFI (valor predeterminado): habilita Credential Guard y no permite que se deshabilite de forma remota, ya que la configuración persistente de UEFI debe borrarse manualmente.
    • Habilitar sin bloqueo UEFI: habilitar Credential Guard y permitir que se apague sin acceso físico a la máquina.
    • Deshabilitar: se deshabilita el uso de Credential Guard, que es el valor predeterminado de Windows.

Instalación de dispositivos

  • Hardware device installation by device identifiers (Instalación de dispositivos de hardware mediante identificadores de dispositivo)
    DeviceInstallation/PreventInstallationOfMatchingDeviceIDs

    Esta configuración de directiva le permite especificar una lista de identificadores de hardware Plug and Play e identificadores compatibles para dispositivos que Windows no puede instalar. Esta configuración de directiva tiene prioridad sobre cualquier otra configuración de directiva que permita a Windows instalar dispositivos. Si habilita esta configuración de directiva en un servidor de escritorio remoto, esta afectará a la redirección de los dispositivos especificados desde un cliente de escritorio remoto al servidor de escritorio remoto.

    • No configurado.
    • Permitir la instalación del dispositivo de hardware: se podrán instalar o actualizar dispositivos según lo que permitan o impidan otras configuraciones de directiva.
    • Bloquear la instalación de dispositivos de hardware (valor predeterminado): Windows no podrá instalar un dispositivo cuyo identificador de hardware o identificador compatible aparezca en una lista que se define.

    Si se establece en Bloquear la instalación de dispositivos de hardware, puede configurar Quitar los dispositivos de hardware coincidentes y Identificadores de dispositivos de hardware que están bloqueados.

    • Remove matching hardware devices (Quitar dispositivos de hardware que coinciden)

      Esta opción solo está disponible cuando Hardware device installation by device identifiers (Instalación de dispositivos de hardware mediante identificadores de dispositivo) se establece en Bloquear la instalación de dispositivos de hardware.

      • (valor predeterminado)
      • No configurado.
    • Hardware device identifiers that are blocked (Identificadores de dispositivo de hardware que están bloqueados)

      Esta opción solo está disponible cuando Hardware device installation by device identifiers (Instalación de dispositivos de hardware mediante identificadores de dispositivo) se establece en Bloquear la instalación de dispositivos de hardware.

      Seleccione Agregar y especifique el identificador de dispositivo de hardware que quiere bloquear.

  • Hardware device installation by setup classes (Instalación de dispositivos de hardware mediante clases de instalación)
    CSP: DeviceInstallation/AllowInstallationOfMatchingDeviceSetupClasses

    Esta configuración de directiva permite especificar una lista de identificadores únicos globales (GUID) de clases de instalación de dispositivos para los controladores de dispositivos que no se pueden instalar en Windows. Esta configuración de directiva tiene prioridad sobre cualquier otra configuración de directiva que permita a Windows instalar dispositivos. Si habilita esta configuración de directiva en un servidor de escritorio remoto, esta afectará a la redirección de los dispositivos especificados desde un cliente de escritorio remoto al servidor de escritorio remoto.

    • No configurado.
    • Permitir la instalación del dispositivo de hardware: Windows puede instalar o actualizar dispositivos según lo permitan o impidan otras configuraciones de directiva.
    • Bloquear la instalación de dispositivos de hardware (valor predeterminado): Windows no podrá instalar un dispositivo cuyos GUID de clase de instalación aparezcan en una lista que se define.

    Si se establece en Bloquear la instalación de dispositivos de hardware, puede configurar Quitar los dispositivos de hardware coincidentes y Identificadores de dispositivos de hardware que están bloqueados.

    • Remove matching hardware devices (Quitar dispositivos de hardware que coinciden)

      Esta opción solo está disponible cuando Hardware device installation by device identifiers (Instalación de dispositivos de hardware mediante identificadores de dispositivo) se establece en Bloquear la instalación de dispositivos de hardware.

      • No configurado (valor predeterminado)
    • Hardware device identifiers that are blocked (Identificadores de dispositivo de hardware que están bloqueados)

      Esta opción solo está disponible cuando Hardware device installation by device identifiers (Instalación de dispositivos de hardware mediante identificadores de dispositivo) se establece en Bloquear la instalación de dispositivos de hardware.

      Seleccione Agregar y especifique el identificador de dispositivo de hardware que quiere bloquear.

  • Bloquear la instalación de dispositivos de hardware por clases de instalación:
    Esta configuración de directiva permite especificar una lista de identificadores únicos globales (GUID) de clases de instalación de dispositivos para los controladores de dispositivos que no se pueden instalar en Windows. Esta configuración de directiva tiene prioridad sobre cualquier otra configuración de directiva que permita a Windows instalar dispositivos. Si bloquea la instalación, Windows no podrá instalar ni actualizar controladores de dispositivos cuyos GUID de clases de instalación de dispositivos aparezcan en la lista que cree. Si habilita esta configuración de directiva en un servidor de escritorio remoto, esta afectará a la redirección de los dispositivos especificados desde un cliente de escritorio remoto al servidor de escritorio remoto. Si permite la instalación, Windows puede instalar o actualizar dispositivos según lo permitan o impidan otras configuraciones de directiva.
    Más información.

    Valor predeterminado: Sí

    Cuando se establece en , están disponibles las opciones siguientes.

    • Quitar dispositivos de hardware que coinciden:
      Esta opción solo está disponible cuando Bloquear la instalación de dispositivos de hardware por clases de instalación está establecido en .

      Valor predeterminado: Sí

    • Lista de bloqueo: administre una lista de identificadores únicos globales de clases de instalación de dispositivos de controladores de dispositivos que Windows no puede instalar.

Protección de DMA

  • Enumeración de los dispositivos externos compatibles con Kernel DMA Protection
    CSP: DmaGuard/DeviceEnumerationPolicy

    Esta directiva puede proporcionar seguridad adicional contra los dispositivos compatibles con DMA externos. Permite mayor control sobre la enumeración de dispositivos externos compatibles con DMA incompatibles con la reasignación de DMA o el aislamiento de la memoria de dispositivo y el espacio aislado.

    Esta directiva solo surte efecto cuando la característica Kernel DMA Protection se admite y está habilitada por el firmware del sistema. Kernel DMA Protection es una característica de plataforma que debe ser compatible con el sistema en el momento de la fabricación. Para comprobar si el sistema admite Kernel DMA Protection, revise el campo Kernel DMA Protection en la página de resumen de MSINFO32.exe.

  • No configurado.
  • Bloquear todo (valor predeterminado)
  • Permitir todo
  • No configurado: (valor predeterminado)
  • Bloquear todo
  • Permitir todo

Endpoint Detection and Response

Para más información sobre la siguiente configuración, consulte WindowsAdvancedThreatProtection CSP en la documentación de Windows.

  • Uso compartido de muestras para todos los archivos
    CSP: Configuration/SampleSharing

    Devuelve o establece el parámetro de configuración de uso compartido de muestras de Microsoft Defender for Endpoint.

    • (valor predeterminado)
    • No configurado.
  • Frecuencia de informes de telemetría urgentes
    CSP: Configuration/TelemetryReportingFrequency

    Frecuencia de informes de telemetría de Microsoft Defender for Endpoint urgentes.

    • (valor predeterminado)
    • No configurado.

Firewall

Para más información, vea Firewall CSP (CSP de Firewall) en la documentación de Windows.

  • Protocolo de transferencia de archivos (FTP) con estado
    CSP: MdmStore/Global/DisableStatefulFtp

    • Deshabilitado (valor predeterminado): se deshabilita FTP con estado.
    • Permitir: el firewall realiza un filtrado del protocolo de transferencia de archivos (FTP) con estado para permitir conexiones secundarias. Disabled
    • No configurado.
  • Número de segundos que una asociación de seguridad puede estar inactiva antes de eliminarla
    CSP: MdmStore/Global/SaIdleTime

    Especifique durante cuánto tiempo se conservarán las asociaciones de seguridad cuando ya no se vea el tráfico de red. Si no se configura, el sistema elimina una asociación de seguridad después de que haya estado inactiva durante 300 segundos (el valor predeterminado).

    El número debe estar comprendido entre 300 y 3600 segundos.

  • Codificación de clave previamente compartida
    CSP: MdmStore/Global/PresharedKeyEncoding

    Si no necesita UTF-8, las claves previamente compartidas se codificarán inicialmente con UTF-8. Después, los usuarios del dispositivo pueden elegir otro método de codificación.

    • No configurado.
    • Ninguno
    • UTF8 (valor predeterminado)
  • Comprobación de la lista de revocación de certificados (CRL)
    CSP: MdmStore/Global/CRLcheck

    Establece un valor para la forma de aplicar la comprobación de la lista de revocación de certificados (CRL).

    • No configurado (valor predeterminado): se deshabilita la comprobación de CRL.
    • Ninguno
    • Intento
    • Requerir
  • Puesta de paquetes en cola
    CSP: MdmStore/Global/EnablePacketQueue

    Especifique cómo se habilita el escalado para el software en el lado de recepción para la recepción cifrada y el reenvío no cifrado para un escenario de puerta de enlace de túnel de IPsec. Esta opción garantiza que se conserve el orden de los paquetes.

    • No configurado (valor predeterminado): la puesta de paquetes en cola vuelve al valor predeterminado del cliente, que está deshabilitado.
    • Deshabilitado
    • Poner en cola entrantes
    • Poner en cola salientes
    • Poner ambos en cola
  • Perfil privado del firewall
    2.2.2 FW_PROFILE_TYPE

    • Configurar (valor predeterminado)
    • No configurado.

    Si se establece en Configurar, puede configurar las siguientes opciones adicionales.

    • Inbound connections blocked (Conexiones entrantes bloqueadas)
      CSP: /DefaultInboundAction

      • (valor predeterminado)
      • No configurado.
    • Unicast responses to multicast broadcasts required (Respuestas de unidifusión a tráfico de difusión o multidifusión requeridas)
      CSP: /DisableUnicastResponsesToMulticastBroadcast

      • (valor predeterminado)
      • No configurado.
    • Outbound connections required (Conexiones salientes requeridas)
      CSP: /DefaultOutboundAction

      • (valor predeterminado)
      • No configurado.
    • Inbound notifications blocked (Notificaciones entrantes bloqueadas)
      CSP: /DisableInboundNotifications

      • (valor predeterminado)
      • No configurado.
    • Global port rules from group policy merged (Reglas de puerto globales de la directiva de grupo combinadas)
      CSP: /GlobalPortsAllowUserPrefMerge

      • (valor predeterminado)
      • No configurado.
    • Firewall habilitado
      CSP: /EnableFirewall

      • No configurado.
      • Bloqueado
      • Permitido (valor predeterminado)
    • Authorized application rules from group policy not merged (Reglas de aplicación autorizadas de la directiva de grupo no combinadas)
      CSP: /AuthAppsAllowUserPrefMerge

      • (valor predeterminado)
      • No configurado.
    • Connection security rules from group policy not merged (Reglas de seguridad de conexión de la directiva de grupo no combinadas)
      CSP: /AllowLocalIpsecPolicyMerge

      • (valor predeterminado)
      • No configurado.
    • Incoming traffic required (Tráfico entrante requerido)
      CSP: /Shielded

      • (valor predeterminado)
      • No configurado.
    • Policy rules from group policy not merged (Reglas de directiva de la directiva de grupo no combinadas)
      CSP: /AllowLocalPolicyMerge

      • (valor predeterminado)
      • No configurado.
  • Stealth mode blocked (Modo sigiloso bloqueado)
    CSP: /DisableStealthMode

    • (valor predeterminado)
    • No configurado.
  • Perfil público del firewall
    2.2.2 FW_PROFILE_TYPE

    • Configurar (valor predeterminado)
    • No configurado.

    Si se establece en Configurar, puede configurar las siguientes opciones adicionales.

    • Inbound connections blocked (Conexiones entrantes bloqueadas)
      CSP: /DefaultInboundAction

      • (valor predeterminado)
      • No configurado.
    • Unicast responses to multicast broadcasts required (Respuestas de unidifusión a tráfico de difusión o multidifusión requeridas)
      CSP: /DisableUnicastResponsesToMulticastBroadcast

      • (valor predeterminado)
      • No configurado.
    • Outbound connections required (Conexiones salientes requeridas)
      CSP: /DefaultOutboundAction

      • (valor predeterminado)
      • No configurado.
    • Authorized application rules from group policy not merged (Reglas de aplicación autorizadas de la directiva de grupo no combinadas)
      CSP: /AuthAppsAllowUserPrefMerge

      • (valor predeterminado)
      • No configurado.
    • Inbound notifications blocked (Notificaciones entrantes bloqueadas)
      CSP: /DisableInboundNotifications

      • (valor predeterminado)
      • No configurado.
    • Global port rules from group policy merged (Reglas de puerto globales de la directiva de grupo combinadas)
      CSP: /GlobalPortsAllowUserPrefMerge

      • (valor predeterminado)
      • No configurado.
    • Firewall habilitado
      CSP: /EnableFirewall

      • No configurado.
      • Bloqueado
      • Permitido (valor predeterminado)
    • Connection security rules from group policy not merged (Reglas de seguridad de conexión de la directiva de grupo no combinadas)
      CSP: /AllowLocalIpsecPolicyMerge

      • (valor predeterminado)
      • No configurado.
    • Incoming traffic required (Tráfico entrante requerido)
      CSP: /Shielded

      • (valor predeterminado)
      • No configurado.
    • Policy rules from group policy not merged (Reglas de directiva de la directiva de grupo no combinadas)
      CSP: /AllowLocalPolicyMerge

      • (valor predeterminado)
      • No configurado.
  • Stealth mode blocked (Modo sigiloso bloqueado)
    CSP: /DisableStealthMode

    • (valor predeterminado)
    • No configurado.
  • Dominio de Perfil del firewall
    CSP: 2.2.2 FW_PROFILE_TYPE

    • Unicast responses to multicast broadcasts required (Respuestas de unidifusión a tráfico de difusión o multidifusión requeridas)
      CSP: /DisableUnicastResponsesToMulticastBroadcast

    • Authorized application rules from group policy not merged (Reglas de aplicación autorizadas de la directiva de grupo no combinadas)
      CSP: /AuthAppsAllowUserPrefMerge

      • (valor predeterminado)
      • No configurado.
    • Inbound notifications blocked (Notificaciones entrantes bloqueadas)
      CSP: /DisableInboundNotifications

      • (valor predeterminado)
      • No configurado.
    • Global port rules from group policy merged (Reglas de puerto globales de la directiva de grupo combinadas)
      CSP: /GlobalPortsAllowUserPrefMerge

      • (valor predeterminado)
      • No configurado.
    • Firewall habilitado
      CSP: /EnableFirewall

      • No configurado.
      • Bloqueado
      • Permitido (valor predeterminado)
    • Connection security rules from group policy not merged (Reglas de seguridad de conexión de la directiva de grupo no combinadas)
      CSP: /AllowLocalIpsecPolicyMerge

      • (valor predeterminado)
      • No configurado.
    • Policy rules from group policy not merged (Reglas de directiva de la directiva de grupo no combinadas)
      CSP: /AllowLocalPolicyMerge

      • (valor predeterminado)
      • No configurado.
  • Stealth mode blocked (Modo sigiloso bloqueado)
    CSP: /DisableStealthMode

    • (valor predeterminado)
    • No configurado.

Microsoft Defender

  • Activar la protección en tiempo real
    CSP: Defender/AllowRealtimeMonitoring

    • (valor predeterminado): se aplica la supervisión en tiempo real y el usuario no puede deshabilitarla.
    • No configurado: la opción vuelve al valor predeterminado del cliente, que es activado, pero el usuario puede cambiarlo. Para deshabilitar la supervisión en tiempo real, use un URI personalizado.
  • Cantidad de tiempo adicional (0-50 segundos) para ampliar el tiempo de espera de protección en la nube
    CSP: Defender/CloudExtendedTimeout

    El antivirus de Defender bloquea automáticamente los archivos sospechosos durante 10 segundos, de manera que puede examinarlos en la nube para asegurarse de que son seguros. Con esta opción, puede agregar hasta 50 segundos adicionales a este tiempo de espera. De forma predeterminada, el tiempo de espera se establece en cero (0).

  • Examinar todos los archivos y datos adjuntos descargados
    CSP: Defender/AllowIOAVProtection

    • (valor predeterminado): se examinan todos los archivos y datos adjuntos descargados. La opción vuelve al valor predeterminado del cliente, que es activado, pero el usuario puede cambiarlo. Para deshabilitar esta opción, use un URI personalizado.
    • No configurado: la opción vuelve al valor predeterminado del cliente, que es activado, pero el usuario puede cambiarlo. Para deshabilitar esta opción, use un URI personalizado.
  • Tipo de examen
    CSP: Defender/ScanParameter

    • Definido por el usuario
    • Deshabilitado
    • Examen rápido (valor predeterminado)
    • Examen completo
  • Programar día de examen de Windows Defender:
    Programar día de examen de Windows Defender.

    Valor predeterminado: Todos los días

  • Hora de inicio de examen de Windows Defender:
    programar hora de examen de Windows Defender.

    Valor predeterminado: No configurado

  • Consentimiento de envío de muestra de Microsoft Defender
    CSP: Defender/SubmitSamplesConsent

    Comprueba el nivel de consentimiento del usuario en Microsoft Defender para enviar datos. Si ya se ha concedido el consentimiento requerido, Microsoft Defender los envía. En caso contrario (y si el usuario ha especificado que no se pida nunca) se inicia la interfaz de usuario para solicitar el consentimiento del usuario (cuando Protección que proporciona la nube está configurado en ) antes de enviar los datos.

    • Enviar muestras seguras automáticamente (valor predeterminado)
    • Preguntar siempre
    • No enviar nunca
    • Enviar todas las muestras automáticamente
  • Nivel de protección que proporciona la nube
    CSP: CloudBlockLevel

    Configure el modo en que el antivirus de Defender bloquea y examina archivos sospechosos.

    • No configurado: nivel de bloqueo de Defender predeterminado.
    • Alto (valor predeterminado) : bloquea de forma agresiva los archivos desconocidos mientras optimiza el rendimiento del cliente, lo que incluye una mayor posibilidad de falsos positivos.
    • Más elevado: bloquea de forma agresiva los archivos desconocidos y aplica medidas de protección adicionales, lo cual podría afectar al rendimiento del cliente.
    • Tolerancia cero: bloquea todos los archivos ejecutables desconocidos.
  • Examinar unidades extraíbles durante examen completo
    CSP: Defender/AllowFullScanRemovableDriveScanning

    • (valor predeterminado): durante un examen completo, se analizan las unidades extraíbles (como las unidades flash USB).
    • No configurado: la opción vuelve al valor predeterminado del cliente, que examina las unidades extraíbles, pero el usuario puede deshabilitar este examen.
  • Defender potentially unwanted app action (Acción frente a aplicaciones potencialmente no deseadas de Windows Defender)
    CSP: Defender/PUAProtection

    Especifique el nivel de detección de aplicaciones potencialmente no deseadas (PUA). Defender alerta a los usuarios cuando se está descargando o intentando instalar software potencialmente no deseado en un dispositivo.

    • Valor predeterminado de dispositivo
    • Bloquear (valor predeterminado): los elementos detectados se bloquean y se muestran en el historial junto con otras amenazas.
    • Auditar: Microsoft Defender detecta aplicaciones potencialmente no deseadas, pero no toma ninguna medida. Puede revisar la información sobre las aplicaciones para las que Defender habría tomado medidas buscando eventos creados por Defender en el Visor de eventos.
  • Activar la protección que proporciona la nube
    CSP: AllowCloudProtection

    De forma predeterminada, Defender en dispositivos de escritorio de Windows 10 envía información a Microsoft sobre los problemas que encuentre. Microsoft analiza esa información para obtener detalles sobre los problemas que le afectan a usted y a otros clientes a fin de ofrecer soluciones mejoradas.

    • (valor predeterminado): la protección que proporciona la nube está activa. Los usuarios de los dispositivos no pueden cambiar esta opción.
    • No configurado: la opción se restaura al valor predeterminado del sistema.
  • Ejecutar un análisis rápido diario a las
    CSP: Defender/ScheduleQuickScanTime

    Configure cuándo se ejecuta el examen rápido diario. De forma predeterminada, la ejecución del examen está establecida para realizarse a las 2:00.

  • Hora de inicio del examen programada

    De forma predeterminada, la hora de inicio se establece en las 2:00.

  • Configurar la prioridad baja de CPU para los exámenes programados
    CSP: Defender/EnableLowCPUPriority

    - (valor predeterminado)

    • No configurado.
  • Impedir que las aplicaciones de comunicación de Office creen procesos secundarios
    Proteger los dispositivos frente a vulnerabilidades

    Esta regla de ASR se controla a través del siguiente GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869.

    • No configurado: se restaura el valor predeterminado de Windows, que es no bloquear la creación de procesos secundarios.
    • Definido por el usuario
    • Habilitar (valor predeterminado): impide que las aplicaciones de comunicación de Office creen procesos secundarios.
    • Modo de auditoría: se generan eventos de Windows en lugar de bloquear los procesos secundarios.
  • Impedir que Adobe Reader cree procesos secundarios
    Reducir las superficies de ataque con reglas de reducción de la superficie expuesta a ataques

    • No configurado: se restaura el valor predeterminado de Windows, que es no bloquear la creación de procesos secundarios.
    • Definido por el usuario
    • Habilitar (valor predeterminado): impide que Adobe Reader cree procesos secundarios.
    • Modo de auditoría: se generan eventos de Windows en lugar de bloquear los procesos secundarios.
  • Examinar mensajes de correo entrante
    CSP: Defender/AllowEmailScanning

    • (valor predeterminado): se analizan los archivos de correo y buzón del correo electrónico tales como PST, DBX, MNX, MIME y BINHEX.
    • No configurado: la opción vuelve al valor predeterminado del cliente de archivos de correo electrónico que no se examinan.
  • Activar la protección en tiempo real
    CSP: Defender/AllowRealtimeMonitoring

    • (valor predeterminado): se aplica la supervisión en tiempo real y el usuario no puede deshabilitarla.
    • No configurado: la opción vuelve al valor predeterminado del cliente, que es activado, pero el usuario puede cambiarlo. Para deshabilitar la supervisión en tiempo real, use un URI personalizado.
  • Número de días (0-90) para mantener el malware en cuarentena
    CSP: Defender/DaysToRetainCleanedMalware

    Configure el número de días que se deben conservar los elementos en la carpeta de cuarentena antes de eliminarse. El valor predeterminado es cero (0), lo que hace que los archivos en cuarentena no se quiten nunca.

  • Programación de exámenes de sistema de Defender
    CSP: Defender/ScheduleScanDay

    Programe el día en que Defender examina los dispositivos. De forma predeterminada, el examen está definido por el usuario, pero se puede establecer en Todos los días, cualquier día de la semana o No hay ningún examen programado.

  • Cantidad de tiempo adicional (0-50 segundos) para ampliar el tiempo de espera de protección en la nube
    CSP: Defender/CloudExtendedTimeout

    El antivirus de Defender bloquea automáticamente los archivos sospechosos durante 10 segundos, de manera que puede examinarlos en la nube para asegurarse de que son seguros. Con esta opción, puede agregar hasta 50 segundos adicionales a este tiempo de espera. De forma predeterminada, el tiempo de espera se establece en cero (0).

  • Examinar unidades de red asignadas durante un examen completo
    CSP: Defender/AllowFullScanOnMappedNetworkDrives

    • (valor predeterminado): durante un examen completo, se incluyen las unidades de red asignadas.
    • No configurado: el cliente vuelve a su valor predeterminado, que deshabilita el examen en unidades de red asignadas.
  • Activar la protección de red
    CSP: Defender/EnableNetworkProtection

    • (valor predeterminado): bloquea el tráfico malintencionado detectado por las firmas del Sistema de inspección de red (NIS).
    • No configurado.
  • Examinar todos los archivos y datos adjuntos descargados
    CSP: Defender/AllowIOAVProtection

    • (valor predeterminado): se examinan todos los archivos y datos adjuntos descargados. La opción vuelve al valor predeterminado del cliente, que es activado, pero el usuario puede cambiarlo. Para deshabilitar esta opción, use un URI personalizado.
    • No configurado: la opción vuelve al valor predeterminado del cliente, que es activado, pero el usuario puede cambiarlo. Para deshabilitar esta opción, use un URI personalizado.
  • Examinar los scripts del explorador
    CSP: Defender/AllowScriptScanning

    • (valor predeterminado): se aplica la funcionalidad de examen de scripts de Microsoft Defender y el usuario no puede desactivarla.
    • No configurado: la opción vuelve al valor predeterminado del cliente, que es habilitar el examen de scripts, pero el usuario puede desactivarlo.
  • Bloquear el acceso de usuarios a la aplicación de Microsoft Defender
    CSP: Defender/AllowUserUIAccess

    • No (valor predeterminado): no se puede acceder a la interfaz de usuario de Defender y se suprimen las notificaciones.
    • No configurado: si se establece en Sí, no se podrá acceder a la interfaz de usuario de Windows Defender y se suprimirán las notificaciones. Si se establece en No configurado, la opción vuelve al valor predeterminado del cliente en el que se permiten la interfaz de usuario y las notificaciones.
  • Uso de CPU máximo permitido (0-100 por ciento) por examen
    CSP: Defender/AvgCPULoadFactor

    Especifique como porcentaje la cantidad máxima de CPU que se va a usar para un examen. El valor predeterminado es 50.

  • Tipo de examen
    CSP: Defender/ScanParameter

    • Definido por el usuario
    • Deshabilitado
    • Examen rápido (valor predeterminado)
    • Examen completo
  • Escriba la frecuencia (0-24 horas) para comprobar las actualizaciones de inteligencia de seguridad
    CSP: Defender/SignatureUpdateInterval

    Especifique la frecuencia de comprobación de firmas actualizadas, en horas. Por ejemplo, un valor de 1 realizará la comprobación cada hora. Un valor de 2 comprobará cada dos horas, etc.

    Si no se define ningún valor, los dispositivos usan el valor predeterminado del cliente de 8 horas.

  • Consentimiento de envío de muestra de Microsoft Defender
    CSP: Defender/SubmitSamplesConsent

    Comprueba el nivel de consentimiento del usuario en Microsoft Defender para enviar datos. Si ya se ha concedido el consentimiento requerido, Microsoft Defender los envía. En caso contrario (y si el usuario ha especificado que no se pida nunca) se inicia la interfaz de usuario para solicitar el consentimiento del usuario (cuando Protección que proporciona la nube está configurado en ) antes de enviar los datos.

    • Enviar muestras seguras automáticamente (valor predeterminado)
    • Preguntar siempre
    • No enviar nunca
    • Enviar todas las muestras automáticamente
  • Nivel de protección que proporciona la nube
    CSP: CloudBlockLevel

    Configure el modo en que el antivirus de Defender bloquea y examina archivos sospechosos.

    • No configurado (opción predeterminada): nivel de bloqueo de Defender predeterminado.
    • Alto: bloquea de forma agresiva los archivos desconocidos mientras efectúa una optimización del rendimiento, lo que incluye una mayor posibilidad de falsos positivos.
    • Más elevado: bloquea de forma agresiva los archivos desconocidos y aplica medidas de protección adicionales, lo cual podría afectar al rendimiento del cliente.
    • Tolerancia cero: bloquea todos los archivos ejecutables desconocidos.
  • Examinar archivos de almacenamiento
    CSP: Defender/AllowArchiveScanning

    • (valor predeterminado): se aplica el análisis de archivos de almacenamiento tales como archivos ZIP o CAB.
    • No configurado: la opción vuelve al valor predeterminado del cliente, que es examinar los archivos archivados, aunque el usuario puede deshabilitar el examen.
  • Activar la supervisión de comportamiento
    CSP: Defender/AllowBehaviorMonitoring

    • (valor predeterminado): se aplica la supervisión del comportamiento y el usuario no puede deshabilitarla.
    • No configurado: la opción vuelve al valor predeterminado del cliente, que es activado, pero el usuario puede cambiarlo. Para deshabilitar la supervisión en tiempo real, use un URI personalizado.
  • Examinar unidades extraíbles durante examen completo
    CSP: Defender/AllowFullScanRemovableDriveScanning

    • (valor predeterminado): durante un examen completo, se analizan las unidades extraíbles (como las unidades flash USB).
    • No configurado: la opción vuelve al valor predeterminado del cliente, que examina las unidades extraíbles, pero el usuario puede deshabilitar este examen.
  • Examinar archivos de red
    CSP: Defender/AllowScanningNetworkFiles

    • (valor predeterminado): Microsoft Defender examina los archivos de red.
    • No configurado: el cliente vuelve a su valor predeterminado, que deshabilita el examen de los archivos de red.
  • Defender potentially unwanted app action (Acción frente a aplicaciones potencialmente no deseadas de Windows Defender)
    CSP: Defender/PUAProtection

    Especifique el nivel de detección de aplicaciones potencialmente no deseadas (PUA). Defender alerta a los usuarios cuando se está descargando o intentando instalar software potencialmente no deseado en un dispositivo.

    • Valor predeterminado de dispositivo
    • Bloquear (valor predeterminado): los elementos detectados se bloquean y se muestran en el historial junto con otras amenazas.
    • Auditar: Microsoft Defender detecta aplicaciones potencialmente no deseadas, pero no toma ninguna medida. Puede revisar la información sobre las aplicaciones para las que Defender habría tomado medidas buscando eventos creados por Defender en el Visor de eventos.
  • Activar la protección que proporciona la nube
    CSP: AllowCloudProtection

    De forma predeterminada, Defender en dispositivos de escritorio de Windows 10 envía información a Microsoft sobre los problemas que encuentre. Microsoft analiza esa información para obtener detalles sobre los problemas que le afectan a usted y a otros clientes a fin de ofrecer soluciones mejoradas.

    • (valor predeterminado): la protección que proporciona la nube está activa. Los usuarios de los dispositivos no pueden cambiar esta opción.
    • No configurado: la opción se restaura al valor predeterminado del sistema.
  • Impedir que las aplicaciones de Office inserten código en otros procesos
    Proteger los dispositivos frente a vulnerabilidades

    Esta regla de ASR se controla a través del siguiente GUID: 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84

    • No configurado: la opción vuelve al valor predeterminado de Windows, que es desactivado.
    • Bloquear (valor predeterminado): impide que las aplicaciones de Office inserten código en otros procesos.
    • Modo de auditoría: se generan eventos de Windows en lugar de bloquearse.
  • Impedir que las aplicaciones de Office creen contenido ejecutable
    Proteger los dispositivos frente a vulnerabilidades

    Esta regla de ASR se controla a través del siguiente GUID: 3B576869-A4EC-4529-8536-B80A7769E899

    • No configurado: la opción vuelve al valor predeterminado de Windows, que es desactivado.
    • Bloquear (valor predeterminado): impide que las aplicaciones de Office creen contenido ejecutable.
    • Modo de auditoría: se generan eventos de Windows en lugar de bloquearse.
  • Impedir que JavaScript o VBScript inicien el contenido ejecutable descargado
    Proteger los dispositivos frente a vulnerabilidades

    Esta regla de ASR se controla a través del siguiente GUID: D3E037E1-3EB8-44C8-A917-57927947596D

    • No configurado: la opción vuelve al valor predeterminado de Windows, que es desactivado.
    • Bloquear (valor predeterminado): Defender impide que se ejecuten los archivos JavaScript o VBScript que se han descargado de Internet.
    • Modo de auditoría: se generan eventos de Windows en lugar de bloquearse.
  • Habilitar la protección de red
    CSP: Defender/EnableNetworkProtection

    • No configurado: la opción vuelve al valor predeterminado de Windows, que está deshabilitado.
    • Definido por el usuario
    • Habilitar: la protección de red está habilitada para todos los usuarios del sistema.
    • Modo de auditoría (valor predeterminado): no se bloquean los usuarios de dominios peligrosos y se generan eventos de Windows en su lugar.
  • Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar
    Proteger los dispositivos frente a vulnerabilidades

    Esta regla de ASR se controla a través del siguiente GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4

    • No configurado: la opción vuelve al valor predeterminado de Windows, que es desactivado.
    • Bloquear (valor predeterminado): impide que los procesos que no sean de confianza y estén sin firmar se ejecuten en una unidad USB.
    • Modo de auditoría: se generan eventos de Windows en lugar de bloquearse.
  • Marcar el robo de credenciales desde el subsistema de autoridad de seguridad local de Windows (lsass.exe)
    Proteger los dispositivos frente a vulnerabilidades

    Esta regla de ASR se controla a través del siguiente GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2

    • No configurado: la opción vuelve al valor predeterminado de Windows, que está desactivado.
    • Definido por el usuario
    • Habilitar (valor predeterminado): se bloquean los intentos de robo de credenciales a través de lsass.exe.
    • Modo de auditoría: no se bloquean los usuarios de dominios peligrosos y se generan eventos de Windows en su lugar.
  • Bloquear contenido ejecutable del cliente de correo electrónico y el correo web
    Proteger los dispositivos frente a vulnerabilidades

    • No configurado: la opción vuelve al valor predeterminado de Windows, que es desactivado.
    • Bloquear (valor predeterminado): se bloquea el contenido ejecutable descargado desde clientes de correo electrónico y correo electrónico basado en web.
    • Modo de auditoría: se generan eventos de Windows en lugar de bloquearse.
  • Impedir que todas las aplicaciones de Office creen procesos secundarios
    Proteger los dispositivos frente a vulnerabilidades

    Esta regla de ASR se controla a través del siguiente GUID: D4F940AB-401B-4EFC-AADC-AD5F3C50688A

    • No configurado: la opción vuelve al valor predeterminado de Windows, que es desactivado.
    • Bloquear (valor predeterminado)
    • Modo de auditoría: se generan eventos de Windows en lugar de bloquearse.
  • Bloquear la ejecución de scripts potencialmente alterados (js/vbs/ps)
    Proteger los dispositivos frente a vulnerabilidades

    Esta regla de ASR se controla a través del siguiente GUID: 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC

    • No configurado: la opción vuelve al valor predeterminado de Windows, que es desactivado.
    • Bloquear (valor predeterminado): Defender impedirá la ejecución de scripts alterados.
    • Modo de auditoría: se generan eventos de Windows en lugar de bloquearse.
  • Impedir llamadas API de Win32 desde macros de Office
    Proteger los dispositivos frente a vulnerabilidades

    Esta regla de ASR se controla a través del siguiente GUID: 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B

    • No configurado: la opción vuelve al valor predeterminado de Windows, que es desactivado.
    • Bloquear (valor predeterminado): impide que las macros de Office usen llamadas API de Win32.
    • Modo de auditoría: se generan eventos de Windows en lugar de bloquearse.

Centro de seguridad de Microsoft Defender

  • Bloquear a los usuarios para que no editen la interfaz de Protección contra vulnerabilidades de seguridad
    CSP: WindowsDefenderSecurityCenter/DisallowExploitProtectionOverride

    • (valor predeterminado): impide que los usuarios realicen cambios en el área de configuración de protección contra vulnerabilidades del Centro de seguridad de Microsoft Defender.
    • No configurado: los usuarios locales pueden realizar cambios en el área de configuración de Protección contra vulnerabilidades.

SmartScreen

  • Impedir que los usuarios descarten advertencias de SmartScreen
    CSP: SmartScreen/PreventOverrideForFilesInShell

    Esta configuración requiere que la opción "Activar Windows SmartScreen" esté establecida en "Sí".

    • (predeterminado): SmartScreen está habilitado y los usuarios no pueden ignorar las advertencias sobre archivos o aplicaciones malintencionados.
    • No configurado: los usuarios pueden ignorar las advertencias de SmartScreen sobre archivos y aplicaciones malintencionados.
  • Activar Windows SmartScreen
    CSP: SmartScreen/EnableSmartScreenInShell

    • (valor predeterminado): se aplica el uso de SmartScreen para todos los usuarios.
    • No configurado: devuelve la opción al valor predeterminado de Windows, que es habilitar SmartScreen, pero los usuarios pueden cambiar este valor. Para deshabilitar SmartScreen, use un URI personalizado.
  • Require SmartScreen for Microsoft Edge (Requerir SmartScreen para Microsoft Edge)
    CSP: Browser/AllowSmartScreen

    • (valor predeterminado): permite a SmartScreen de Microsoft Edge acceder al sitio y las descargas de archivos.
    • No configurado.
  • Block malicious site access (Bloquear el acceso a sitios malintencionados)
    CSP: Browser/PreventSmartScreenPromptOverride

    • (valor predeterminado): impide que los usuarios omitan las advertencias del filtro SmartScreen de Microsoft Defender y no les permite que vayan al sitio.
    • No configurado.
  • Block unverified file download (Bloquear la descarga de archivos no comprobados)
    CSP: Browser/PreventSmartScreenPromptOverrideForFiles

    • (valor predeterminado): impide que los usuarios omitan las advertencias del filtro SmartScreen de Microsoft Defender y no les permite que descarguen archivos no comprobados.
    • No configurado.
  • Configuración de SmartScreen de Microsoft Defender
    Esta directiva solo está disponible en las instancias de Windows unidas a un dominio de Microsoft Active Directory, o bien en instancias de Windows 10 Pro o Enterprise inscritas para la administración de dispositivos.

    SmartScreen de Microsoft Defender proporciona mensajes de advertencia para ayudar a proteger a los usuarios de software malintencionado y posibles estafas de suplantación de identidad. De forma predeterminada, SmartScreen de Microsoft Defender está activado.

    • Habilitado (valor predeterminado): SmartScreen de Microsoft Defender está activado y los usuarios no pueden desactivarlo.
    • Deshabilitado: SmartScreen de Microsoft Defender estará desactivado y los usuarios no podrán activarlo.
    • No configurado: los usuarios pueden elegir si quieren usar SmartScreen de Microsoft Defender.
  • Impedir la omisión de los avisos de SmartScreen de Windows Defender para sitios
    Esta configuración de directiva le permite decidir si los usuarios pueden invalidar las advertencias de SmartScreen de Microsoft Defender sobre sitios web potencialmente malintencionados.

    • Habilitado (valor predeterminado) : si habilita esta opción, los usuarios no podrán omitir las advertencias de SmartScreen de Microsoft Defender y no podrán continuar al sitio.
    • Deshabilitado: los usuarios podrán omitir las advertencias de SmartScreen de Microsoft Defender y continuar al sitio.
    • No configurado: el mismo comportamiento que para Deshabilitado.
  • Impedir la omisión de las advertencias de SmartScreen de Microsoft Defender sobre descargas
    Esta directiva le permite determinar si los usuarios pueden invalidar las advertencias de SmartScreen de Microsoft Defender sobre las descargas no comprobadas.

    • Habilitado (valor predeterminado) : los usuarios de la organización no podrán omitir las advertencias de SmartScreen de Microsoft Defender y se les impedirá que completen las descargas no comprobadas.
    • Deshabilitado: los usuarios podrán omitir las advertencias de SmartScreen de Microsoft Defender y completar descargas no comprobadas.
    • No configurado: el mismo comportamiento que para Deshabilitado.
  • Configuración de SmartScreen de Microsoft Defender para bloquear aplicaciones potencialmente no deseadas
    Esta directiva solo está disponible en las instancias de Windows unidas a un dominio de Microsoft Active Directory, o bien en instancias de Windows 10 Pro o Enterprise inscritas para la administración de dispositivos.

    Esta configuración de directiva permite establecer si se va a activar el bloqueo de las aplicaciones potencialmente no deseadas en SmartScreen de Microsoft Defender. Dicho bloqueo proporciona mensajes de advertencia para ayudar a proteger a los usuarios frente a programas de adware, de obtención de monedas, bundleware y otras aplicaciones sospechosas que se hospedan en los sitios web. El bloqueo de aplicaciones potencialmente no deseadas en SmartScreen de Microsoft Defender está desactivado de forma predeterminada.

    • Habilitado (valor predeterminado) : se activa el bloqueo de aplicaciones potencialmente no deseadas en SmartScreen de Microsoft Defender.
    • Deshabilitado: se desactiva el bloqueo de aplicaciones potencialmente no deseadas en SmartScreen de Microsoft Defender.
    • No configurado: si no configura esta opción, los usuarios pueden elegir si quieren usar el bloqueo de aplicaciones potencialmente no deseadas en SmartScreen de Microsoft Defender.
  • Impedir que los usuarios descarten advertencias de SmartScreen
    CSP: SmartScreen/PreventOverrideForFilesInShell

    Esta configuración requiere que la opción "Activar Windows SmartScreen" esté establecida en "Sí".

    • (predeterminado): SmartScreen está habilitado y los usuarios no pueden ignorar las advertencias sobre archivos o aplicaciones malintencionados.
    • No configurado: los usuarios pueden ignorar las advertencias de SmartScreen sobre archivos y aplicaciones malintencionados.
  • Requerir solo aplicaciones de la tienda

    • (valor predeterminado)
    • No configurado.
  • Activar Windows SmartScreen
    CSP: SmartScreen/EnableSmartScreenInShell

    • (valor predeterminado): se aplica el uso de SmartScreen para todos los usuarios.
    • No configurado: devuelve la opción al valor predeterminado de Windows, que es habilitar SmartScreen, pero los usuarios pueden cambiar este valor. Para deshabilitar SmartScreen, use un URI personalizado.

Windows Hello para empresas

Para más información, vea PassportForWork CSP (CSP de PassportForWork) en la documentación de Windows.

  • Bloquear Windows Hello para empresas

    Windows Hello para empresas es un método alternativo para iniciar sesión en dispositivos Windows mediante la sustitución de contraseñas, tarjetas inteligentes y tarjetas inteligentes virtuales.

    • No configurado: los dispositivos aprovisionan Windows Hello para empresas, que es el valor predeterminado de Windows.
    • Deshabilitado (valor predeterminado): los dispositivos aprovisionan Windows Hello para empresas.
    • Habilitado: los dispositivos no aprovisionan Windows Hello para empresas para ningún usuario.

    Si se establece en Deshabilitar, se pueden configurar las siguientes opciones:

    • Letras minúsculas en el PIN

      • No permitido
      • Requerido
      • Permitido (valor predeterminado)
    • Caracteres especiales en el PIN

      • No permitido
      • Requerido
      • Permitido (valor predeterminado)
    • Letras mayúsculas en el PIN

      • No permitido
      • Requerido
      • Permitido (valor predeterminado)

Pasos siguientes