Revise o edite las directivas de protección de próxima generación en Microsoft Defender para Empresas
En Defender para empresas, la protección de última generación incluye antivirus sólidos y protección antimalware para equipos y dispositivos móviles. Las directivas predeterminadas con la configuración recomendada se incluyen en Defender para empresas. Las directivas predeterminadas están diseñadas para proteger los dispositivos y los usuarios sin obstaculizar la productividad. Sin embargo, puede personalizar las directivas para satisfacer sus necesidades empresariales.
Puede elegir entre varias opciones para administrar las directivas de protección de próxima generación:
- Use el portal de Microsoft Defender en https://security.microsoft.com (se recomienda si usa la versión independiente de Defender para empresas sin Intune); o
- Use el centro de administración de Microsoft Intune en https://intune.microsoft.com (disponible si la suscripción incluye Intune).
Vaya al portal de Microsoft Defender (https://security.microsoft.com) e inicie sesión.
En el panel de navegación, vaya a Administración de configuración>Configuración del dispositivo. Las directivas se organizan por sistema operativo y tipo de directiva.
Seleccione una pestaña del sistema operativo (como Windows).
Expanda Protección de próxima generación para ver la lista de directivas. Como mínimo, se muestra una directiva predeterminada que usa la configuración recomendada. Esta directiva predeterminada se asigna a todos los dispositivos incorporados que ejecutan el sistema operativo que seleccionó en el paso anterior (por ejemplo , Windows). Puede:
- Mantenga la directiva predeterminada tal y como está configurada actualmente.
- Edite la directiva predeterminada para realizar los ajustes necesarios.
- Crear una nueva directiva.
Use uno de los procedimientos de la tabla siguiente:
Tarea Procedure Edición de la directiva predeterminada 1. En la sección Protección de próxima generación , seleccione la directiva predeterminada y, a continuación, elija Editar.
2. En el paso Información general , revise la información. Si es necesario, edite la descripción y, a continuación, seleccione Siguiente.
3. En el paso Grupos de dispositivos, use un grupo existente o configure un nuevo grupo. A continuación, elija Siguiente.
4. En el paso Configuración , revise y, si es necesario, edite la configuración de seguridad y, a continuación, elija Siguiente. Para obtener más información sobre la configuración, vea Configuración y opciones de protección de próxima generación (en este artículo).
5. En el paso Revisar la directiva , revise la configuración actual. Seleccione Editar para realizar los cambios necesarios. A continuación, seleccione Actualizar directiva.Crear una nueva directiva 1. En la sección Protección de próxima generación , seleccione Agregar.
2. En el paso Información general , especifique un nombre y una descripción para la directiva. También puede mantener o cambiar un orden de directiva (consulte Descripción del orden de la directiva en Microsoft Defender para Empresas). Después, seleccione Siguiente.
3. En el paso Grupos de dispositivos, puede usar un grupo existente o crear un nuevo grupo (consulte Grupos de dispositivos en Microsoft Defender para Empresas). A continuación, elija Siguiente.
4. En el paso Configuración , revise y edite la configuración de seguridad y, a continuación, elija Siguiente. Para obtener más información sobre la configuración, vea Configuración y opciones de protección de próxima generación (en este artículo).
5. En el paso Revisar la directiva , revise la configuración actual. Seleccione Editar para realizar los cambios necesarios. A continuación, seleccione Crear directiva.
Configuración y opciones de protección de última generación
En la tabla siguiente se enumeran la configuración y las opciones para la protección de próxima generación en Defender para empresas.
| Configuración | Descripción |
|---|---|
| Protección en tiempo real | |
| Activar la protección en tiempo real | Habilitada de forma predeterminada, la protección en tiempo real busca y evita que el malware se ejecute en los dispositivos. Se recomienda mantener activada la protección en tiempo real. Cuando se activa la protección en tiempo real, configura los siguientes valores: - La supervisión del comportamiento está activada (AllowBehaviorMonitoring). - Se examinan todos los archivos y datos adjuntos descargados (AllowIOAVProtection). - Los scripts que se usan en exploradores de Microsoft se examinan (AllowScriptScanning). |
| Bloqueo a primera vista | Habilitado de forma predeterminada, bloquear a primera vista bloquea el malware en segundos después de la detección, aumenta el tiempo (en segundos) permitido para enviar archivos de ejemplo para su análisis y establece el nivel de detección en Alto. Se recomienda mantener activado el bloqueo a primera vista. Cuando el bloqueo a primera vista está activado, configura los siguientes valores para Microsoft Defender Antivirus: - El bloqueo y el examen de archivos sospechosos se establece en el nivel de bloqueo alto (CloudBlockLevel). - El número de segundos para que un archivo se bloquee y compruebe se establece en 50 segundos (CloudExtendedTimeout). Importante Si bloquear a primera vista está desactivado, afecta y CloudBlockLevelCloudExtendedTimeout para Microsoft Defender Antivirus. |
| Habilitar protección de red | Habilitada en el modo de bloqueo de forma predeterminada, la protección de red ayuda a protegerse frente a estafas de suplantación de identidad (phishing), sitios de hospedaje de vulnerabilidades de seguridad y contenido malintencionado en Internet. También impide que los usuarios desactiven la protección de red. La protección de red se puede establecer en los modos siguientes: - El modo de bloque es la configuración predeterminada. Impide que los usuarios visiten sitios que se consideran no seguros. Se recomienda mantener la protección de red establecida en modo de bloqueo. - El modo de auditoría permite a los usuarios visitar sitios que podrían no ser seguros y realizar un seguimiento de la actividad de red hacia y desde dichos sitios. - El modo deshabilitado no impide que los usuarios visiten sitios que podrían no ser seguros ni realiza un seguimiento de la actividad de red hacia o desde dichos sitios. |
| Remediación | |
| Acción para realizar aplicaciones potencialmente no deseadas (PUA) | Habilitado de forma predeterminada, la protección pua bloquea los elementos que se detectan como PUA. PUA puede incluir software de publicidad; agrupación de software que ofrece para instalar otro software sin firmar; y el software de evasión que intenta eludir las características de seguridad. Aunque PUA no es necesariamente un virus, malware u otro tipo de amenaza, puede afectar al rendimiento del dispositivo. Puede establecer la protección pua en los modos siguientes: - Habilitado es la configuración predeterminada. Bloquea los elementos detectados como PUA en los dispositivos. Se recomienda mantener habilitada la protección de PUA. - El modo auditoría no realiza ninguna acción en los elementos detectados como PUA. - Deshabilitado no detecta ni realiza acciones en elementos que podrían ser PUA. |
| Escanear | |
| Tipo de examen programado | Habilitado en el modo de análisis rápido de forma predeterminada, puede especificar un día y una hora para ejecutar exámenes antivirus semanales. Están disponibles las siguientes opciones de tipo de examen: - Quickscan comprueba las ubicaciones, como las claves del Registro y las carpetas de inicio, donde se podría registrar malware para iniciarse junto con un dispositivo. Se recomienda usar la opción quickscan. - Fullscan comprueba todos los archivos y carpetas de un dispositivo. - Deshabilitado significa que no se realizará ningún examen programado. Los usuarios todavía pueden ejecutar exámenes en sus propios dispositivos. (En general, no se recomienda deshabilitar los exámenes programados). Obtenga más información sobre los tipos de examen. |
| Día de la semana para ejecutar un examen programado | Seleccione un día para que se ejecuten los exámenes antivirus normales y semanales. |
| Hora del día para ejecutar un examen programado | Seleccione una hora para ejecutar los exámenes antivirus programados periódicamente para ejecutarse. |
| Uso de bajo rendimiento | Esta configuración está desactivada de forma predeterminada. Se recomienda mantener esta configuración desactivada. Sin embargo, puede activar esta configuración para limitar la memoria del dispositivo y los recursos que se usan durante los exámenes programados. Importante Si activa Usar bajo rendimiento, configura los siguientes valores para Microsoft Defender Antivirus: - Los archivos de archivo no se examinan (AllowArchiveScanning). - A los exámenes se les asigna una prioridad de CPU baja (EnableLowCPUPriority). - Si se pierde un examen antivirus completo, no se ejecutará ningún examen de puesta al día (DisableCatchupFullScan). - Si se pierde un examen rápido del antivirus, no se ejecutará ningún examen de puesta al día (DisableCatchupQuickScan). - Reduce el factor de carga promedio de CPU durante un examen antivirus del 50 al 20 por ciento (AvgCPULoadFactor). |
| Experiencia del usuario | |
| Permitir que los usuarios accedan a la aplicación Seguridad de Windows | Active esta configuración para permitir que los usuarios abran la aplicación Seguridad de Windows en sus dispositivos. Los usuarios no podrán invalidar la configuración que configure en Defender for Business, pero podrán ejecutar un examen rápido o ver las amenazas detectadas. |
| Exclusiones de antivirus | Las exclusiones son procesos, archivos o carpetas omitidos por Microsoft Defender exámenes del Antivirus. En general, no es necesario definir exclusiones. Microsoft Defender Antivirus incluye muchas exclusiones automáticas basadas en el comportamiento conocido del sistema operativo y los archivos de administración típicos. Cada exclusión reduce el nivel de protección, por lo que es importante tener en cuenta detenidamente las exclusiones que se deben definir. Antes de agregar exclusiones, consulte Administrar exclusiones para Microsoft Defender para punto de conexión y Microsoft Defender Antivirus. |
| Exclusiones de procesos | Las exclusiones de procesos impiden que Microsoft Defender Antivirus analice los archivos abiertos por procesos específicos. Al agregar un proceso a la lista de exclusión de procesos, Microsoft Defender Antivirus no examinará los archivos abiertos por ese proceso, independientemente de dónde se encuentren los archivos. El propio proceso se examina a menos que se agregue a la lista de exclusión de archivos. Consulte Configuración de exclusiones para archivos abiertos por procesos. |
| Exclusiones de extensiones de archivo | Las exclusiones de extensiones de archivo impiden que Microsoft Defender Antivirus analice los archivos con extensiones específicas. Consulte Configuración y validación de exclusiones basadas en la extensión de archivo y la ubicación de la carpeta. |
| Exclusiones de archivos y carpetas | Las exclusiones de archivos y carpetas impiden que Microsoft Defender Antivirus analice los archivos que se encuentran en carpetas específicas. Consulte Exclusiones de archivos y carpetas contextuales. |
Otras configuraciones preconfiguradas en Defender para empresas
La siguiente configuración de seguridad está preconfigurada en Defender para empresas:
- El examen de unidades extraíbles está activado (AllowFullScanRemovableDriveScanning).
- Los exámenes rápidos diarios no tienen una hora preestablecida (ScheduleQuickScanTime).
- Las actualizaciones de inteligencia de seguridad se comprueban antes de que se ejecute un examen antivirus (CheckForSignaturesBeforeRunningScan).
- Las comprobaciones de inteligencia de seguridad se producen cada cuatro horas (SignatureUpdateInterval).
¿Cómo se corresponde la configuración predeterminada de Defender para empresas con la configuración de Microsoft Intune
En la tabla siguiente se describen los valores preconfigurados para Defender para empresas y cómo se corresponden con lo que podría ver en Intune. Si usa el proceso de configuración simplificado en Defender for Business, no es necesario editar esta configuración.
| Configuración | Descripción |
|---|---|
| Protección en la nube | A veces denominada protección entregada en la nube o Servicio de protección avanzada de Microsoft (MAPS), la protección en la nube funciona con Microsoft Defender Antivirus y la nube de Microsoft para identificar nuevas amenazas, a veces incluso antes de que un único dispositivo se vea afectado. De forma predeterminada, AllowCloudProtection está activado. Más información sobre la protección en la nube. |
| Supervisión de archivos entrantes y salientes | Para supervisar los archivos entrantes y salientes, RealTimeScanDirection está establecido para supervisar todos los archivos. |
| Examen de archivos de red | De forma predeterminada, AllowScanningNetworkFiles no está habilitado y los archivos de red no se examinan. |
| Examen de mensajes de correo electrónico | De forma predeterminada, AllowEmailScanning no está habilitado y los mensajes de correo electrónico no se examinan. |
| Número de días (0-90) para mantener el malware en cuarentena | De forma predeterminada, la configuración DaysToRetainCleanedMalware se establece en cero (0) días. Los artefactos que están en cuarentena no se quitan automáticamente. |
| Enviar el consentimiento de ejemplos | De forma predeterminada, SubmitSamplesConsent está establecido para enviar muestras seguras automáticamente. Algunos ejemplos de ejemplos seguros son .bat, .scr, .dlly .exe archivos que no contienen información de identificación personal (PII). Si un archivo contiene PII, el usuario recibe una solicitud para permitir que continúe el envío de ejemplo. Obtenga más información sobre la protección en la nube y el envío de ejemplos. |
| Examen de unidades extraíbles | De forma predeterminada, AllowFullScanRemovableDriveScanning está configurado para examinar unidades extraíbles, como unidades usb en dispositivos. Obtenga más información sobre la configuración de directivas antimalware. |
| Ejecución del tiempo de examen rápido diario | De forma predeterminada, ScheduleQuickScanTime se establece en 2:00 AM. Obtenga más información sobre la configuración del examen. |
| Comprobación de actualizaciones de firmas antes de ejecutar el examen | De forma predeterminada, CheckForSignaturesBeforeRunningScan está configurado para comprobar si hay actualizaciones de inteligencia de seguridad antes de ejecutar exámenes antivirus o antimalware. Obtenga más información sobre la configuración de examen y las actualizaciones de inteligencia de seguridad. |
| Frecuencia (0-24 horas) para comprobar si hay actualizaciones de inteligencia de seguridad | De forma predeterminada, SignatureUpdateInterval está configurado para comprobar si hay actualizaciones de inteligencia de seguridad cada cuatro horas. Obtenga más información sobre la configuración de examen y las actualizaciones de inteligencia de seguridad. |
Siguientes pasos
- Configure las directivas de firewall y las reglas personalizadas para las directivas de firewall.
- Configure la directiva de filtrado de contenido web y habilite la protección web automáticamente.
- Configure la directiva de acceso a carpetas controladas para la protección contra ransomware.
- Habilita las reglas de reducción de la superficie expuesta a ataques.
- Revise la configuración de las características avanzadas y el portal de Microsoft Defender.
- Use el panel de administración de vulnerabilidades en Microsoft Defender para Empresas
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de