Configurar los controles de seguridad en calificación segura

Se aplica a:

Nota

La puntuación segura ahora forma parte de Threat & la administración de vulnerabilidades como la puntuación de la configuración. La página de puntuación segura estará disponible durante algunas semanas. Ver la página de puntuación segura .

Cada control de seguridad muestra recomendaciones que puede tomar para aumentar la postura de seguridad de su organización.

Optimización de detección de puntos de conexión y respuestas (EDR)

Un equipo bien configurado cumple con la configuración de línea base mínima. Este mosaico muestra una lista de acciones que se aplican en los extremos para cumplir con la configuración de línea base mínima de la herramienta de detección y respuesta de puntos de conexión.

Importante

Esta característica está disponible para equipos con Windows 10, versión 1607 o posterior.

Configuración de línea base mínima para EDR

  • El sensor ATP de Microsoft defender está activado
  • Recopilación de datos funciona correctamente
  • La comunicación con el servicio ATP de Microsoft defender no se ha deteriorado
Las acciones recomendadas

Puedes realizar las siguientes acciones para aumentar la puntuación de seguridad general de la organización:

  • Activar el sensor
  • Corregir la recopilación de datos del sensor
  • Corregir comunicaciones deficientes

Para obtener más información, consulta Corregir sensores con estado incorrecto.

Optimización del Antivirus de Windows Defender (Windows Defender AV)

Un equipo bien configurado cumple con la configuración de línea base mínima. Este icono muestra una lista de las acciones que se deben aplicar en los extremos para cumplir con la configuración de línea base mínima para Windows Defender AV.

Importante

Esta característica está disponible para equipos con Windows 10, versión 1607 o posterior.

Opción de configuración de base de referencia mínima para Antivirus de Windows Defender:

Un equipo bien configurado para Windows Defender AV cumple los siguientes requisitos:

  • Antivirus de Windows Defender está informando correctamente
  • Antivirus de Windows Defender está activado
  • La inteligencia de seguridad está actualizada
  • La protección en tiempo real está activada
  • La protección frente a aplicaciones potencialmente no deseadas (PUA) está habilitada

Puedes realizar las siguientes acciones para aumentar la puntuación de seguridad general de la organización:

Nota

Para que se muestren las propiedades del antivirus de Windows Defender, tendrá que asegurarse de que la protección basada en la nube de Windows Defender está correctamente configurada en el equipo.

  • Corregir los informes de antivirus
    • Esta recomendación se muestra cuando el Antivirus de Windows Defender no está configurado correctamente para notificar su estado de mantenimiento. Para obtener más información sobre cómo corregir los informes, consulta Configurar y validar las conexiones de red.
  • Activar antivirus
  • Actualizar la inteligencia de seguridad de antivirus
  • Activar protección en tiempo real
  • Activar la protección de PUA

Para obtener más información, consulta Configurar el Antivirus de Windows Defender.

Optimización de las actualizaciones de seguridad del sistema operativo

Este icono muestra el número de equipos que requieren las actualizaciones de seguridad más recientes. También muestra las máquinas que se ejecutan en la versión más reciente de Windows Insider Preview y actúa como aviso para garantizar que los usuarios deben ejecutar las compilaciones más recientes.

Importante

Esta característica está disponible para equipos con Windows 10, versión 1607 o posterior.

Puede realizar las siguientes acciones para aumentar la puntuación de seguridad general de la organización:

  • Instalar las actualizaciones de seguridad más recientes
  • Corregir la recopilación de datos del sensor
    • El servicio ATP de Microsoft defender se basa en la recopilación de datos de los sensores para determinar el estado de seguridad de un equipo. El servicio no será capaz de determinar el estado de seguridad de equipos que no estén informando adecuadamente de los datos del sensor. Es importante asegurarse de que la recopilación de datos de los sensores está funcionando correctamente. Para obtener más información, consulta Corregir sensores con estado incorrecto.

Para obtener más información, consulta Asistente para solución de problemas de Windows Update.

Optimización de Protección contra vulnerabilidades de seguridad de Windows Defender (Windows Defender EG)

Un equipo bien configurado cumple con la configuración de línea base mínima. Este mosaico muestra una lista de las acciones que se deben aplicar en las máquinas para cumplir con la configuración de línea base mínima de Microsoft defender por ejemplo. Cuando los puntos de conexión se configuran según la línea base, los eventos de Microsoft defender EG se muestran en la escala de tiempo del equipo ATP de Microsoft defender.

Importante

Este control de seguridad solo es aplicable para equipos con Windows 10, versión 1709 o posterior.

Configuración de línea base mínima para Windows Defender P.ej.

Las máquinas se consideran "bien configuradas" para Microsoft defender, por ejemplo, si se cumplen los siguientes requisitos:

  • La configuración de protección a nivel del sistema está configurada correctamente
  • Las reglas de Reducción de superficie expuesta a ataques están configuradas correctamente
  • La configuración de Acceso controlado a carpetas está correctamente configurada
Protección de nivel de sistema

Las siguientes opciones de configuración a nivel del sistema deben establecerse en Activado o Forzar activado:

  1. Protección de flujo de control
  2. Prevención de ejecución de datos (DEP)
  3. Aleatorizar las asignaciones de memoria (ASLR de abajo a arriba)
  4. Validar cadenas de excepciones (SEHOP)
  5. Validar integridad de montón

Nota

La configuración Forzar aleatorización de imágenes (ASLR obligatorio) está actualmente excluida de la base de referencia. Considera la posibilidad de configurar Forzar aleatorización de imágenes (ASLR obligatorio) en Activado o Forzar activado para una mejor protección.

Reglas de reducción de superficie de ataque (ASR)

Las siguientes reglas ASR deben configurarse para modo bloqueo:

Descripción de regla GUID
Bloquear contenido ejecutable del cliente de correo electrónico y el correo web BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550
Bloquear la creación de procesos secundarios por parte de las aplicaciones de Office D4F940AB-401B-4EFC-AADC-AD5F3C50688A
Bloquear la creación de contenido ejecutable por parte de las aplicaciones de Office 3B576869-A4EC-4529-8536-B80A7769E899
Impedir que JavaScript y VBScript inicien archivos ejecutables D3E037E1-3EB8-44C8-A917-57927947596D
Bloquear la ejecución de scripts potencialmente cifrados 5BEB7EFE-FD9A-4556-801D-275E5FFC04CC
Bloquear importaciones de Win32 desde código de macros de Office 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B

Nota

La configuración Bloquear aplicaciones de Office para que no inyecten en otros procesos con GUID 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 está excluida de la base de referencia. Considera la posibilidad de habilitar esta regla en Auditoría o Modo bloqueo para una mejor protección.

Acceso controlado a carpetas

La configuración de Acceso controlado a carpetas debe estar configurada en Modo auditoría o Habilitado.

Nota

El modo auditoría le permite ver los eventos de auditoría en la escala de tiempo de la máquina de Microsoft defender ATP sin embargo, no bloquea las aplicaciones sospechosas. Considera la posibilidad de habilitar Acceso controlado a carpetas para una mejor protección.

Las acciones recomendadas

Puedes realizar las siguientes acciones para aumentar la puntuación de seguridad general de la organización:

  • Activar todas las configuraciones de Protección contra vulnerabilidades a nivel del sistema
  • Habilitar las reglas de ASR en modo habilitado o de auditoría
  • Activar Acceso controlado a carpetas
  • Activar Antivirus de Windows Defender en máquinas compatibles

Optimización de Windows Defender Application Guard (Windows Defender AG)

Un equipo bien configurado cumple con la configuración de línea base mínima. Este mosaico muestra una lista de las acciones que se deben aplicar en los extremos para cumplir con la configuración de línea base mínima de Windows Defender AG. Cuando los puntos de conexión se configuran de acuerdo con la línea base, los eventos de Windows Defender AG se muestran en la escala de tiempo del equipo ATP de Microsoft defender.

Un equipo bien configurado cumple con la configuración de línea base mínima. Este mosaico muestra una lista de las acciones que se deben aplicar en los extremos para cumplir con la configuración de línea base mínima de Microsoft defender AG. Cuando los puntos de conexión se configuran de acuerdo con la línea base, los eventos de Microsoft defender AG se muestran en la escala de tiempo del equipo ATP de Microsoft defender.

Importante

Este control de seguridad solo es aplicable para equipos con Windows 10, versión 1709 o posterior.

Opción de configuración de base de referencia mínima para AG de Windows Defender:

Un equipo bien configurado para Windows Defender AG cumple los siguientes requisitos:

  • Se satisfacen los requisitos previos de hardware y software
  • AG de Windows Defender está activado en máquinas compatibles
  • El modo administrado está activado

Puedes realizar las siguientes acciones para aumentar la puntuación de seguridad general de la organización:

  • Asegurarse de que se satisfacen los requisitos previos de hardware y software

    Nota

    Este elemento de mejora no contribuye a la puntuación de seguridad en sí porque no es un requisito previo para Microsoft defender AG. Proporciona una indicación de un motivo potencial por el que Microsoft defender AG no está activado.

  • Activar Microsoft defender AG en máquinas compatibles

  • Activar modo gestionado

Para obtener más información, vea información general de protección de aplicaciones de Microsoft defender.

Optimización de SmartScreen de Windows Defender

Un equipo bien configurado cumple con la configuración de línea base mínima. Este mosaico muestra una lista de las acciones que se deben aplicar en los extremos para cumplir con la configuración de línea base mínima para SmartScreen de Microsoft defender.

Advertencia

Los datos recopilados por SmartScreen de Microsoft defender se pueden almacenar y procesar fuera de la ubicación de almacenamiento seleccionada para los datos de ATP de Microsoft defender.

Importante

Este control de seguridad solo es aplicable para equipos con Windows 10, versión 1709 o posterior.

Opción de configuración de base de referencia mínima para SmartScreen de Windows Defender:

La siguiente configuración debe estar configurada con los siguientes ajustes:

  • Comprobar aplicaciones y archivos: Advertir o Bloquear
  • SmartScreen para Microsoft Edge: Advertir o Bloquear
  • SmartScreen para aplicaciones de Microsoft store: Advertir o Desactivado

Puedes realizar las siguientes acciones para aumentar la puntuación de seguridad general de la organización:

  • Configurar Comprobar aplicaciones y archivos en Advertir o Bloquear
  • Configurar SmartScreen para Microsoft Edge en Advertir o Bloquear
  • Configurar SmartScreen para aplicaciones de Microsoft Store en Advertir o Desactivado

Para obtener más información, consulta SmartScreen de Windows Defender.

  • Configurar Comprobar aplicaciones y archivos en Advertir o Bloquear
  • Configurar SmartScreen para Microsoft Edge en Advertir o Bloquear
  • Configurar SmartScreen para aplicaciones de Microsoft Store en Advertir o Desactivado

Para obtener más información, consulte SmartScreen de Microsoft defender.

Optimización de Firewall de Windows Defender

Un equipo bien configurado debe tener Firewall de Microsoft defender activado y habilitado para todos los perfiles, de modo que las conexiones entrantes estén bloqueadas de forma predeterminada. Este icono muestra una lista de las acciones que se deben aplicar en los extremos para cumplir con la configuración de línea base mínima de Firewall de Microsoft defender.

Importante

Este control de seguridad solo es aplicable para equipos con Windows 10, versión 1709 o posterior.

Configuración de línea base mínima para Firewall de Windows Defender

  • El Firewall de Microsoft defender está activado para todas las conexiones de red
  • Proteger el perfil de dominio al habilitar el Firewall de Microsoft defender y garantizar que las conexiones entrantes se establezcan en bloqueada
  • Proteger el perfil privado habilitando el Firewall de Microsoft defender y asegúrate de que las conexiones entrantes estén establecidas en bloqueada
  • El perfil público seguro se configura al habilitar el Firewall de Microsoft defender y garantizar que las conexiones entrantes se establezcan en bloqueada

Para obtener más información sobre la configuración del firewall de Windows Defender, consulte configuración de planeación de una directiva de Firewall básica.

Nota

Si el Firewall de Windows Defender no es su firewall principal, considere la posibilidad de excluirlo de los cálculos de puntuación de seguridad y asegurarse de que el Firewall de terceros esté configurado de manera segura.

Las acciones recomendadas

Puedes realizar las siguientes acciones para aumentar la puntuación de seguridad general de la organización:

  • Activar el Firewall
  • Proteger Perfil de dominio
  • Perfil privado seguro
  • Perfil público seguro
  • Comprobar la configuración segura del firewall de terceros
  • Corregir la recopilación de datos del sensor
    • El servicio ATP de Microsoft defender se basa en la recopilación de datos de los sensores para determinar el estado de seguridad de un equipo. El servicio no será capaz de determinar el estado de seguridad de equipos que no estén informando adecuadamente de los datos del sensor. Es importante asegurarse de que la recopilación de datos de los sensores está funcionando correctamente. Para obtener más información, consulta Corregir sensores con estado incorrecto.

Para obtener más información, consulte firewall de Windows Defender con seguridad avanzada.

Optimización de BitLocker

Un equipo bien configurado cumple con la configuración de línea base mínima. En este mosaico se muestra una lista de las acciones que se deben aplicar en los extremos para cumplir con la configuración de línea base mínima para BitLocker.

Importante

Este control de seguridad solo es aplicable para equipos con Windows 10, versión 1803 o posterior.

Configuración de línea base mínima para BitLocker

  • Asegurarse de que todas las unidades compatibles estén cifradas
  • Asegurarse de que toda la protección suspendida en las unidades reanude la protección
  • Asegurarse de que las unidades sean compatibles
Las acciones recomendadas

Puedes realizar las siguientes acciones para aumentar la puntuación de seguridad general de la organización:

  • Cifrar todas las unidades compatibles
  • Reanudar la protección en todas las unidades
  • Garantizar la compatibilidad de unidades
  • Corregir la recopilación de datos del sensor
    • El servicio ATP de Microsoft defender se basa en la recopilación de datos de los sensores para determinar el estado de seguridad de un equipo. El servicio no será capaz de determinar el estado de seguridad de equipos que no estén informando adecuadamente de los datos del sensor. Es importante asegurarse de que la recopilación de datos de los sensores está funcionando correctamente. Para obtener más información, consulta Corregir sensores con estado incorrecto.

Para obtener más información, consulte BitLocker.

Optimización de Credential Guard de Windows Defender

Un equipo bien configurado cumple con la configuración de línea base mínima. Este icono muestra una lista de las acciones que se deben aplicar en los extremos para cumplir con la configuración de línea base mínima de la protección de credenciales de Windows Defender.

Importante

Este control de seguridad solo es aplicable para equipos con Windows 10, versión 1709 o posterior.

Configuración de línea base mínima para la protección de credenciales de Windows Defender:

Las máquinas bien configuradas para la protección de credenciales de Windows Defender cumplen los siguientes requisitos:

  • Se satisfacen los requisitos previos de hardware y software
  • La protección de credenciales de Windows Defender está activada en las máquinas compatibles
Las acciones recomendadas

Puedes realizar las siguientes acciones para aumentar la puntuación de seguridad general de la organización:

  • Asegurarse de que se satisfacen los requisitos previos de hardware y software
  • Activar Credential Guard
  • Corregir la recopilación de datos del sensor
    • El servicio ATP de Microsoft defender se basa en la recopilación de datos de los sensores para determinar el estado de seguridad de un equipo. El servicio no será capaz de determinar el estado de seguridad de equipos que no estén informando adecuadamente de los datos del sensor. Es importante asegurarse de que la recopilación de datos de los sensores está funcionando correctamente. Para obtener más información, consulta Corregir sensores con estado incorrecto.

Para obtener más información, vea administrar la protección de credenciales de Windows Defender.

¿Quiere experimentar ATP de Microsoft defender? Regístrate para obtener una evaluación gratuita.

Temas relacionados