Evaluación de Microsoft Defender Antivirus mediante Microsoft Defender Endpoint Security Settings Management (Directivas de seguridad de puntos de conexión)

En Windows 10 o posterior, y en Windows Server 2016 o versiones posteriores, puede usar las características de protección de próxima generación que ofrece Microsoft Defender Antivirus (MDAV) y Microsoft Defender Exploit Guard (Microsoft Defender EG).

En este artículo se describen las opciones de configuración disponibles en Windows 10 y versiones posteriores, así como en Windows Server 2016 y versiones posteriores. Proporciona instrucciones paso a paso sobre cómo activar y probar las características de protección de claves en Microsoft Defender Antivirus (MDAV) y Microsoft Defender para punto de conexión (EG).

Si tiene alguna pregunta sobre una detección que MDAV realiza o detecta una detección perdida, puede enviarnos un archivo en nuestro sitio de ayuda de envío de ejemplo.

Use Microsoft Defender Endpoint Security Settings Management (Directivas de seguridad de puntos de conexión) para habilitar las características.

En esta sección se describen los Microsoft Defender para punto de conexión Security Settings Management (Directivas de seguridad de punto de conexión) que configuran las características que debe usar para evaluar nuestra protección.

MDAV indica una detección mediante notificaciones estándar de Windows. También puede revisar las detecciones en la aplicación MDAV. Para ello, consulte Revisar Microsoft Defender los resultados del examen del Antivirus.

El registro de eventos de Windows también registra los eventos de detección y motor. Consulte el artículo eventos Microsoft Defender Antivirus para obtener una lista de los identificadores de evento y sus acciones correspondientes. Para obtener información sobre la lista de identificadores de eventos y sus acciones correspondientes, consulte Revisión de registros de eventos y códigos de error para solucionar problemas con Microsoft Defender Antivirus.

Para configurar las opciones que debe usar para probar las características de protección, siga estos pasos:

  1. En el portal de Microsoft Defender en https://security.microsoft.com, vaya a Directivas> deseguridad de punto de conexiónde administración de> configuración de puntos de conexión. O bien, para ir directamente a la página Directivas de seguridad de punto de conexión , use https://security.microsoft.com/policy-inventory directivas de Windows.

  2. En la página Directivas de seguridad de punto de conexión , compruebe que la pestaña Directivas de Windows está seleccionada y, a continuación, seleccione Crear nueva directiva.

  3. En el control flotante Crear una nueva directiva que se abre, configure los siguientes valores:

    • Seleccione una plataforma: seleccione Windows.
    • Seleccionar plantilla: seleccione Microsoft Defender Antivirus.

    Seleccione Crear directiva.

  4. Se abre el asistente para crear una directiva. En la página Aspectos básicos, configure las siguientes opciones:

    • Nombre: escriba un nombre único para la directiva.
    • Descripción: escriba una descripción opcional.

    Seleccione Siguiente

  5. En la página Configuración , configure los valores de la sección Defender como se describe en las tablas siguientes:

    • Protección en tiempo real:

      Configuración Valor
      Permitir supervisión en tiempo real Permitido. Activa y ejecuta el servicio de supervisión en tiempo real. (Predeterminado)
      Dirección del examen en tiempo real Supervisión de todos los archivos (bidireccional). (Predeterminado)
      Permitir supervisión del comportamiento Permitido. Activa la supervisión del comportamiento en tiempo real (valor predeterminado).
      Permitir la protección de acceso Permitido. (Predeterminado)
      Protección de PUA Protección pua activada. Los elementos detectados están bloqueados. Se mostrarán en la historia junto con otras amenazas.

    • Características de protección en la nube:

      Configuración Valor
      Permitir protección en la nube Permitido. Activa Cloud Protection. (Predeterminado)
      Nivel de bloque de nube Alto
      Tiempo de espera extendido en la nube Configurado, 50
      Enviar consentimiento de ejemplos Enviar todos los ejemplos automáticamente

      Standard las actualizaciones de inteligencia de seguridad pueden tardar horas en prepararse y entregarse. Nuestro servicio de protección entregado en la nube puede ofrecer esta protección en segundos. Para obtener más información, consulte Uso de tecnologías de última generación en Microsoft Defender Antivirus a través de la protección proporcionada en la nube.

    • Exámenes:

      Configuración Valor
      Permitir el examen de Email Permitido. Activa el examen de correo electrónico.
      Permitir el examen de todos los archivos y datos adjuntos descargados Permitido. (Predeterminado)
      Permitir el examen de scripts Permitido. (Predeterminado)
      Permitir el examen de Archivo Permitido. Examina los archivos de archivo. (Predeterminado)
      Permitir Files de red de examen Permitido. Examina los archivos de red. (Predeterminado)
      Permitir examen completo de la unidad extraíble Permitido. Examina las unidades extraíbles.

    • Protección de red:

      Configuración Valor
      Habilitación de la protección de red Habilitado (modo de bloque)
      Permitir la protección de red en el nivel inferior La protección de red se habilitará en el nivel inferior.
      Permitir el procesamiento de datagramas en Win Server El procesamiento de datagramas en Windows Server está habilitado.
      Deshabilitación del análisis de DNS a través de TCP El análisis de DNS a través de TCP está habilitado (valor predeterminado)
      Deshabilitar el análisis HTTP El análisis HTTP está habilitado (valor predeterminado)
      Deshabilitación del análisis de SSH El análisis ssh está habilitado (valor predeterminado)
      Deshabilitación del análisis de TLS El análisis está habilitado (valor predeterminado)

    • Actualizaciones de Inteligencia de seguridad:

      Configuración Valor
      Intervalo de actualización de firma Configurado, 4
      Pedido de reserva de actualización de firma
      1. Seleccione Agregar para tantos orígenes de reserva como desee especificar.
      2. Escriba uno de los siguientes valores en cada cuadro en el orden que desee:
        • InternalDefinitionUpdateServer: su propio servidor WSUS con Microsoft Defender actualizaciones de Antivirus permitidas.
        • MicrosoftUpdateServer: Microsoft Update.
        • MMPC: https://www.microsoft.com/wdsi/definitions

      Para quitar un origen de reserva (rellenado o vacío), active la casilla situada junto a la casilla y, a continuación, seleccione Quitar.

    • AV de administrador local:

      Deshabilite la configuración del antivirus del administrador local, como las exclusiones, y establezca las directivas de Microsoft Defender para punto de conexión Security Settings Management como se describe en la tabla siguiente:

      Configuración Valor
      Deshabilitar combinación de Administración local Deshabilitar combinación de Administración local

    • Acción predeterminada de gravedad de amenaza:

      Configuración Valor
      Acción de corrección para amenazas de gravedad alta Cuarentena. Mueva los archivos a la cuarentena.
      Acción de corrección para amenazas graves Cuarentena. Mueva los archivos a la cuarentena.
      Acción de corrección para amenazas de gravedad baja Cuarentena. Mueva los archivos a la cuarentena.
      Acción de corrección para amenazas de gravedad moderada Cuarentena. Mueva los archivos a la cuarentena.

    • Opciones de cuarentena

      Configuración Valor
      Días para conservar malware limpio Configurado, 60
      Permitir el acceso a la interfaz de usuario de usuario Permitido. Permitir que los usuarios accedan a la interfaz de usuario. (Predeterminado)

    Cuando haya terminado en la página Configuración , seleccione Siguiente.

  6. En la página Asignaciones , haga clic en el cuadro y seleccione entre los valores siguientes:

    • Todos los usuarios o Todos los dispositivos.
    • Al buscar y seleccionar uno o varios grupos disponibles, puede usar el valor Tipo de destino de la entrada de grupo para incluir o excluir los miembros del grupo.

    Cuando haya terminado en la página Asignaciones , seleccione Siguiente.

  7. En la página Revisar y crear , revise la configuración. Seleccione Atrás o seleccione el nombre de página para realizar cambios.

    Cuando haya terminado en la página Revisar y crear , seleccione Guardar.

Una vez completada la creación de la directiva, se le llevará a la página de detalles de la nueva directiva.

Seleccione Directivas de seguridad de punto de conexión en la parte superior de la página para volver a la página Directivas de seguridad de punto de conexión donde la nueva directiva aparece con el valor tipo de directivaMicrosoft Defender Antivirus.

Reglas de reducción de la superficie expuesta a ataques

Para habilitar las reglas de reducción de la superficie expuesta a ataques (ASR) mediante las directivas de seguridad del punto de conexión, siga estos pasos:

  1. En el portal de Microsoft Defender en https://security.microsoft.com, vaya a Directivas> deseguridad de punto de conexiónde administración de> configuración de puntos de conexión. O bien, para ir directamente a la página Directivas de seguridad de punto de conexión , use https://security.microsoft.com/policy-inventory directivas de Windows.

  2. En la página Directivas de seguridad de punto de conexión , compruebe que la pestaña Directivas de Windows está seleccionada y, a continuación, seleccione Crear nueva directiva.

  3. En el control flotante Crear una nueva directiva que se abre, configure los siguientes valores:

    • Seleccione una plataforma: seleccione Windows.
    • Seleccionar plantilla: seleccione Reglas de reducción de superficie expuesta a ataques.

    Seleccione Crear directiva.

  4. Se abre el asistente para crear una directiva. En la página Aspectos básicos, configure las siguientes opciones:

    • Nombre: escriba un nombre único para la directiva.
    • Descripción: escriba una descripción opcional.

    Seleccione Siguiente

  5. En la página Configuración , configure los valores en función de las siguientes recomendaciones:

    Configuración Valor
    Bloquear el contenido ejecutable del cliente de correo electrónico y el correo web Bloquear
    Impedir que Adobe Reader cree procesos secundarios Bloquear
    Bloquear la ejecución de scripts potencialmente ofuscados Bloquear
    Bloquear el abuso de controladores firmados vulnerables explotados (dispositivo) Bloquear
    Bloquear llamadas API de Win32 desde macros de Office Bloquear
    Impedir que los archivos ejecutables se ejecuten a menos que cumplan un criterio de prevalencia, edad o lista de confianza Bloquear
    Impedir que la aplicación de comunicación de Office cree procesos secundarios Bloquear
    Impedir que todas las aplicaciones de Office creen procesos secundarios Bloquear
    Bloquear el uso de herramientas del sistema copiadas o suplantadas Bloquear
    Impedir que JavaScript o VBScript inicien contenido ejecutable descargado Bloquear
    Bloquear el robo de credenciales del subsistema de autoridad de seguridad local de Windows Bloquear
    Bloquear la creación de WebShell para servidores Bloquear
    Impedir que las aplicaciones de Office creen contenido ejecutable Bloquear
    Bloquear procesos que no son de confianza y no firmados que se ejecutan desde USB Bloquear
    Impedir que las aplicaciones de Office inserten código en otros procesos Bloquear
    Bloquear la persistencia a través de la suscripción de eventos WMI Bloquear
    Uso de protección avanzada contra ransomware Bloquear
    Bloquear las creaciones de procesos que se originen a partir de comandos PSExec y WMI Bloquear (si tiene Administrador de configuración (anteriormente SCCM) u otras herramientas de administración que usan WMI, es posible que tenga que establecerlo en Auditar en lugar de Bloquear).
    Bloquear el reinicio de la máquina en modo seguro Bloquear
    Habilitación del acceso controlado a carpetas Habilitado

Sugerencia

Cualquiera de las reglas podría bloquear el comportamiento que considere aceptable en su organización. En estos casos, agregue las exclusiones por regla denominadas "Exclusiones de solo reducción de superficie expuesta a ataques". Además, cambie la regla de Habilitado a Auditoría para evitar bloques no deseados.

  1. En la página Asignaciones , haga clic en el cuadro y seleccione entre los valores siguientes:

    • Todos los usuarios o Todos los dispositivos.
    • Al buscar y seleccionar uno o varios grupos disponibles, puede usar el valor Tipo de destino de la entrada de grupo para incluir o excluir los miembros del grupo.

    Cuando haya terminado en la página Asignaciones , seleccione Siguiente.

  2. En la página Revisar y crear , revise la configuración. Seleccione Atrás o seleccione el nombre de página para realizar cambios.

    Cuando haya terminado en la página Revisar y crear , seleccione Guardar.

Una vez completada la creación de la directiva, se le llevará a la página de detalles de la nueva directiva.

Seleccione Directivas de seguridad de punto de conexión en la parte superior de la página para volver a la página Directivas de seguridad de punto de conexión donde se muestra la nueva directiva con el valor Tipo de directivaReglas de reducción de superficie expuesta a ataques.

Habilitación de la protección contra alteraciones

  1. Inicie sesión en Microsoft Defender XDR.

  2. Vaya a Directivas de seguridad de punto de conexión > de administración > de puntos de conexión Directivas > de > Windows Crear nueva directiva.

  3. Seleccione Windows 10, Windows 11 y Windows Server en la lista desplegable Seleccionar plataforma.

  4. Seleccione Experiencia de seguridad en la lista desplegable Seleccionar plantilla .

  5. Seleccione Crear directiva. Aparece la página Crear una nueva directiva .

  6. En la página Aspectos básicos , escriba un nombre y una descripción para el perfil en los campos Nombre y Descripción , respectivamente.

  7. Seleccione Siguiente.

  8. En la página Configuración , expanda los grupos de valores.

  9. En estos grupos, seleccione la configuración que desea administrar con este perfil.

  10. Establezca las directivas de los grupos de configuración elegidos configurándolas como se describe en la tabla siguiente:

    Descripción Configuración
    TamperProtection (dispositivo) Activado

Comprobación de la conectividad de red de Cloud Protection

Es importante comprobar que la conectividad de red de Cloud Protection funciona durante las pruebas de penetración.

  1. Abra un símbolo del sistema con privilegios elevados (una ventana del símbolo del sistema que abrió seleccionando Ejecutar como administrador). Por ejemplo:

    1. Abra el menú Inicio y escriba cmd.
    2. Haga clic con el botón derecho en el resultado del símbolo del sistema y seleccione Ejecutar como administrador.

  2. En el símbolo del sistema con privilegios elevados, ejecute los siguientes comandos:

    Sugerencia

    El primer comando cambia el directorio a la versión más reciente de la versión> de <la plataforma antimalware en %ProgramData%\Microsoft\Windows Defender\Platform\<antimalware platform version>. Si esa ruta de acceso no existe, se dirige a %ProgramFiles%\Windows Defender.

    (set "_done=" & if exist "%ProgramData%\Microsoft\Windows Defender\Platform\" (for /f "delims=" %d in ('dir "%ProgramData%\Microsoft\Windows Defender\Platform" /ad /b /o:-n 2^>nul') do if not defined _done (cd /d "%ProgramData%\Microsoft\Windows Defender\Platform\%d" & set _done=1)) else (cd /d "%ProgramFiles%\Windows Defender")) >nul 2>&1

MpCmdRun.exe -ValidateMapsConnection

Para obtener más información, vea Configurar y administrar Microsoft Defender Antivirus con la herramienta de línea de comandos MpCmdRun.

Comprobación de la versión de actualización de la plataforma

La versión más reciente de "Actualización de plataforma" Canal de producción (GA) está disponible en el catálogo de Microsoft Update.

Para comprobar qué versión de "Actualización de plataforma" ha instalado, ejecute el siguiente comando en PowerShell con los privilegios de un administrador:

Get-MPComputerStatus | Format-Table AMProductVersion

Comprobación de la versión de Security Intelligence Update

La última versión de "Actualización de inteligencia de seguridad" está disponible en Las últimas actualizaciones de inteligencia de seguridad para Microsoft Defender Antivirus y otros antimalware de Microsoft: Inteligencia de seguridad de Microsoft.

Para comprobar qué versión de "Security Intelligence Update" ha instalado, ejecute el siguiente comando en PowerShell con los privilegios de un administrador:

Get-MPComputerStatus | Format-Table AntivirusSignatureVersion

Comprobación de la versión de la actualización del motor

La versión más reciente de la "actualización del motor" del examen está disponible en Las últimas actualizaciones de inteligencia de seguridad para Microsoft Defender Antivirus y otros antimalware de Microsoft Inteligencia de seguridad de Microsoft.

Para comprobar qué versión de "Actualización del motor" ha instalado, ejecute el siguiente comando en PowerShell con los privilegios de un administrador:

Get-MPComputerStatus | Format-Table AMEngineVersion

Si ve que la configuración no surte efecto, es posible que tenga un conflicto. Para obtener información sobre cómo resolver conflictos, consulte Solución de problemas Microsoft Defender configuración del Antivirus.

Para envíos de falsos negativos (FN)

Para obtener información sobre cómo realizar envíos de falsos negativos (FN), consulte:

  • Last updated on