Activar el bloqueo a primera vista

Se aplica a:

• Microsoft Defender para punto de conexión Plan 1
• Microsoft Defender para punto de conexión Plan 2
• Antivirus de Microsoft Defender

Plataformas

• Windows

En este artículo se describe una característica de antivirus o antimalware conocida como "bloqueo a primera vista" y se describe cómo habilitar el bloqueo a primera vista para la organización.

Sugerencia

Este artículo está destinado a administradores empresariales y profesionales de TI que administran la configuración de seguridad para organizaciones. Si no es un administrador de empresa o un profesional de TI, pero tiene preguntas sobre el bloqueo a primera vista, consulte la sección ¿No es un administrador de empresa o un profesional de TI?

¿Qué es "bloqueo a primera vista"?

El bloqueo a primera vista es una característica de protección contra amenazas de protección de nueva generación que detecta nuevo malware y lo bloquea en pocos segundos. Bloquear a primera vista está habilitado cuando se habilitan ciertas opciones de seguridad:

• La protección en la nube está activada;
• El envío de ejemplos está configurado para que los ejemplos se envíen automáticamente; Y
• Microsoft Defender Antivirus está actualizado en los dispositivos.

En la mayoría de las organizaciones empresariales, la configuración necesaria para habilitar el bloqueo a primera vista se configura con las implementaciones de Antivirus de Microsoft Defender. Consulte Activar la protección en la nube en Microsoft Defender Antivirus.

Cómo funciona

Cuando Antivirus de Microsoft Defender encuentra un archivo sospechoso pero no detectado, consulta nuestro back-end de protección de la nube. El back-end de la nube aplica heurística, aprendizaje automático y análisis automatizado del archivo para determinar si los archivos son malintencionados o no son una amenaza.

Antivirus de Microsoft Defender usa varias tecnologías de detección y prevención para ofrecer una protección inteligente, en tiempo real y precisa.

Sugerencia

Para más información, consulte este blog: Conozca las tecnologías avanzadas en el núcleo de la protección de última generación de Microsoft Defender para punto de conexión.

Algunas cosas que debe saber sobre el bloqueo a primera vista

• Bloquear a primera vista puede bloquear archivos ejecutables no portátiles (como JS, VBS o macros) y archivos ejecutables, ejecutando la plataforma antimalware de Defender más reciente en Windows o Windows Server.

• Bloqueo a primera vista usa solo el back-end de protección en la nube para archivos ejecutables y archivos ejecutables no portátiles que se descargan de Internet o que se originan desde la zona de Internet. Se comprueba un valor hash del .exe archivo a través del back-end en la nube para determinar si el archivo es un archivo no detectado anteriormente.

• Si el back-end de la nube no consigue determinar, Antivirus de Microsoft Defender bloquea el archivo y carga una copia en la nube. La nube realiza más análisis para alcanzar una determinación antes de permitir que el archivo se ejecute o bloquearlo en todos las futuras apariciones, en función de si determina que el archivo es malintencionado o no es una amenaza.

• En muchos casos, este proceso puede reducir el tiempo de respuesta para el nuevo malware de horas a segundos.

• Puede especificar durante cuánto tiempo debe impedirse la ejecución del archivo mientras el servicio de protección basado en la nube analiza el archivo. Además, puede personalizar el mensaje que aparece en los escritorios de los usuarios cuando se bloquea un archivo. Puede cambiar el nombre de la empresa, la información de contacto y la dirección URL de mensajes.

Activar el bloqueo a primera vista con Microsoft Intune

1. En el centro de administración de Microsoft Intune (https://endpoint.microsoft.com), vaya aAntivirus de seguridad> de puntos de conexión.

2. Seleccione una directiva existente o cree una directiva con el tipo de perfil Antivirus de Microsoft Defender. En nuestro ejemplo, hemos seleccionado Windows 10, Windows 11 o Windows Server para la plataforma.

   

3. Establezca Permitir protección en la nube en Permitido. Activa Cloud Protection.

   

4. Desplácese hacia abajo hasta Enviar consentimiento de ejemplos y seleccione una de las siguientes opciones:

   • Enviar todos los ejemplos automáticamente
   • Enviar muestras seguras automáticamente

5. Aplique el perfil del Antivirus de Microsoft Defender a un grupo, como Todos los usuarios, Todos los dispositivos o Todos los usuarios y dispositivos.

Activar el bloqueo a primera vista con la directiva de grupo

Nota:

Se recomienda usar Intune o Microsoft Configuration Manager para activar el bloque a primera vista.

1. En el equipo de administración de directivas de grupo, abra la Consola de administración de directivas de grupo, haga clic con el botón secundario en el objeto de directiva de grupo que quiera configurar y seleccione Editar.

2. Con el Editor de administración de directivas de grupo vaya a Configuración del equipo>Plantillas administrativas>Componentes de Windows>Antivirus de Microsoft Defender>MAPAS.

3. En la sección MAPAS, haga doble clic en Configurar la característica "Bloquear a primera vista", establezca esta opción en Habilitado y seleccione Aceptar.

   Importante

   Establecerla en Preguntar siempre (0) reducirá el estado de protección del dispositivo. Establecerla en No enviar nunca (2) significa que el bloqueo a primera vista no funcionará.

4. En la sección MAPAS, haga doble clic en Enviar archivos de muestra cuando sea necesario realizar análisis adicionales y establézcalo en Habilitado. En Enviar archivos de muestra cuando sea necesario realizar análisis adicionales, seleccione Enviar todas las muestras y seleccione Aceptar.

5. Vuelva a implementar el objeto de directiva de grupo en la red como lo haría normalmente.

Confirmar que el bloqueo a primera vista está habilitado en dispositivos de clientes individuales

Puede confirmar que el bloqueo a primera vista está habilitado en dispositivos cliente individuales con la aplicación de Seguridad de Windows. El bloqueo a primera vista se habilita automáticamente siempre y cuando las opciones Protección basada en la nube y Envío de muestras automático estén activadas.

1. Abra la aplicación Seguridad de Windows.

2. Seleccione Protección antivirus y contra amenazas y, luego, en Configuración de antivirus y protección contra amenazas, seleccione Administrar la configuración.

   

3. Confirme que las opciones Protección basada en la nube y Envío de muestras automático estén activadas.

Nota:

• Si la configuración de requisitos previos se configura e implementa mediante la directiva de grupo, la configuración que se describe en esta sección aparecerá atenuada y su uso no estará disponible en los puntos de conexión individuales.
• Los cambios realizados a través de un objeto de directiva de grupo deben implementarse en primer lugar en los extremos individuales antes de que se actualice la configuración en la configuración de Windows.

Desactivar el bloqueo a primera vista

Precaución

Al desactivar el bloqueo a primera vista disminuirá el estado de protección de los dispositivos y de la red. No se recomienda deshabilitar la protección contra bloqueos a primera vista de forma permanente.

Desactivar el bloque a primera vista con Microsoft Intune

1. Vaya al centro de administración de Microsoft Intune (https://endpoint.microsoft.com) e inicie sesión.

2. Vaya a Seguridad de punto de conexión>Antivirus y, después, seleccione la directiva de Antivirus de Microsoft Defender.

3. En Administrar, elija Propiedades.

4. Junto a Opciones de configuración, elija Editar.

5. Establezca Permitir protección en la nube en No permitido. Desactiva Cloud Protection.

6. Revise y guarde la configuración.

Desactivar el bloqueo a primera vista con la directiva de grupo

1. En el equipo de administración de directivas de grupo, abra la Consola de administración de directivas de grupo, haga clic con el botón secundario en el objeto de directiva de grupo que quiera configurar y seleccione Editar.

2. Con el Editor de administración de directiva de grupo, vaya a Configuración del equipo y seleccione Plantillas administrativas.

3. Expanda el árbol en Componentes de Windows>Antivirus de Windows Defender>MAPAS.

4. Haz doble clic en Configurar la característica 'Bloqueo a primera vista' y establezca la opción en Deshabilitado.

   Nota:

   Si deshabilita el bloqueo a primera vista, no se deshabilitarán ni modificarán las directivas de grupo de requisitos previos.

¿No es un administrador empresarial o un profesional de TI?

Si no es un administrador empresarial o un profesional de TI pero le interesa saber sobre el bloqueo a primera vista, esta sección es para usted. El bloqueo a primera vista es una característica de protección contra amenazas que detecta y bloquea malware en pocos segundos. Aunque no existe una configuración específica denominada "Bloqueo a primera vista", la característica se habilita cuando se configuran opciones específicas en el dispositivo.

Cómo administrar el bloqueo a primera vista para activarlo o desactivarlo en su propio dispositivo

Si tiene un dispositivo personal que no está administrado por una organización, puede que se pregunte cómo activar o desactivar el bloqueo a primera vista. Puede usar la aplicación de Seguridad de Windows para administrar el bloqueo a primera vista.

1. En el equipo con Windows 10 o Windows 11, abra la aplicación de Seguridad de Windows.

2. Seleccione Protección antivirus y contra amenazas.

3. En Configuración de antivirus y protección contra amenazas, seleccione Administrar la configuración.

4. Realice uno de los pasos siguientes:

   • Para habilitar el bloqueo a primera vista, asegúrese de que Protección proporcionada en la nube y Envío de muestras automático están activados.

   • Para deshabilitar el bloqueo a primera vista, desactive la Protección proporcionada en la nube o Envío de muestras automático.

     Precaución

     Desactivar el bloque a primera vista disminuye el nivel de protección del dispositivo. No se recomienda deshabilitar permanentemente el bloqueo a primera vista.

Vea también

• Antivirus de Microsoft Defender en Windows 10
• Habilitar la protección proporcionada en la nube
• Manténgase protegido con Seguridad de Windows
• Incorporar dispositivos que no tienen Windows

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.