Configuración de Microsoft Defender Antivirus en un entorno de infraestructura de escritorio remoto o de escritorio virtual

Se aplica a:

• Antivirus de Microsoft Defender
• Plan 1 de Defender para punto de conexión
• Plan 2 de Defender para punto de conexión

Plataformas

• Windows

Este artículo está diseñado para clientes que usan solo funcionalidades de antivirus de Microsoft Defender. Si tiene Microsoft Defender para punto de conexión (que incluye Microsoft Defender Antivirus junto con otras funcionalidades de protección de dispositivos), consulte Incorporación de dispositivos de infraestructura de escritorio virtual (VDI) no persistente en Microsoft Defender XDR.

Puede usar Microsoft Defender Antivirus en un entorno de escritorio remoto (RDS) o de infraestructura de escritorio virtual (VDI) no persistente. Con las instrucciones de este artículo, puede configurar actualizaciones para descargarlas directamente en los entornos RDS o VDI cada vez que un usuario inicie sesión.

En esta guía se describe cómo configurar Microsoft Defender Antivirus en las máquinas virtuales para una protección y un rendimiento óptimos, incluido cómo:

• Configuración de un recurso compartido de archivos VDI dedicado para las actualizaciones de inteligencia de seguridad
• Descarga y despaquetado de las actualizaciones más recientes
• Configuración de Microsoft Defender Antivirus
• Ejecución de la tarea programada mantenimiento de caché de Windows Defender

Importante

Aunque una VDI se puede hospedar en Windows Server 2012 o Windows Server 2016, las máquinas virtuales (VM) deben ejecutarse Windows 10, versión 1607 como mínimo, debido al aumento de las tecnologías y características de protección que no están disponibles en versiones anteriores de Windows.

Configuración de un recurso compartido de archivos VDI dedicado para la inteligencia de seguridad

En Windows 10, versión 1903, Microsoft introdujo la característica de inteligencia de seguridad compartida, que descarga el desempaquetado de las actualizaciones de inteligencia de seguridad descargadas en un equipo host. Este método reduce el uso de recursos de CPU, disco y memoria en máquinas individuales. La inteligencia de seguridad compartida funciona ahora en Windows 10, versión 1703 y posteriores. Puede configurar esta funcionalidad mediante directiva de grupo o PowerShell.

Directiva de grupo

1. En el equipo de administración de directiva de grupo, abra la consola de administración de directiva de grupo, haga clic con el botón derecho en el objeto de directiva de grupo que desea configurar y, a continuación, seleccione Editar.

2. En el Editor administración de directiva de grupo, vaya a Configuración del equipo.

3. Seleccione Plantillas administrativas. Expanda el árbol a Componentes> de Windows Microsoft Defender Antivirus>Security Intelligence Novedades.

4. Haga doble clic en Definir ubicación de inteligencia de seguridad para clientes VDI y, a continuación, establezca la opción en Habilitado. Aparece automáticamente un campo.

5. En el campo , escriba \\<File Server shared location\>\wdav-update. (Para obtener ayuda con este valor, consulte Descarga y despampaquete).

6. Seleccione Aceptar e implemente el objeto directiva de grupo en las máquinas virtuales que desea probar.

PowerShell

1. En cada dispositivo RDS o VDI, use el siguiente cmdlet para habilitar la característica:

   Set-MpPreference -SharedSignaturesPath \\<File Server shared location>\wdav-update

2. Inserte la actualización, ya que normalmente insertaría directivas de configuración basadas en PowerShell en las máquinas virtuales. (Consulte la sección Descarga y despampaquete de este artículo. Busque la entrada de ubicación compartida ).

Descarga y despaquetado de las actualizaciones más recientes

Ahora puede empezar a descargar e instalar nuevas actualizaciones. Esta sección contiene un script de PowerShell de ejemplo que puede usar. Este script es la manera más sencilla de descargar nuevas actualizaciones y prepararlas para las máquinas virtuales. A continuación, debe establecer el script para que se ejecute en un momento determinado en la máquina de administración mediante una tarea programada. O bien, si está familiarizado con el uso de scripts de PowerShell en Azure, Intune o Configuration Manager, podría usar esos scripts en su lugar.

$vdmpathbase = "$env:systemdrive\wdav-update\{00000000-0000-0000-0000-"
$vdmpathtime = Get-Date -format "yMMddHHmmss"
$vdmpath = $vdmpathbase + $vdmpathtime + '}'
$vdmpackage = $vdmpath + '\mpam-fe.exe'

New-Item -ItemType Directory -Force -Path $vdmpath | Out-Null

Invoke-WebRequest -Uri 'https://go.microsoft.com/fwlink/?LinkID=121721&arch=x64' -OutFile $vdmpackage

Start-Process -FilePath $vdmpackage -WorkingDirectory $vdmpath -ArgumentList "/x"

Puede establecer que una tarea programada se ejecute una vez al día para que cada vez que se descargue y desempaquete el paquete, las máquinas virtuales reciban la nueva actualización. Se recomienda comenzar con una vez al día, pero debe experimentar con aumentar o disminuir la frecuencia para comprender el impacto.

Normalmente, los paquetes de inteligencia de seguridad se publican una vez cada tres o cuatro horas. No es aconsejable establecer una frecuencia inferior a cuatro horas porque aumenta la sobrecarga de red en la máquina de administración sin ninguna ventaja.

También puede configurar el único servidor o equipo para capturar las actualizaciones en nombre de las máquinas virtuales a intervalos y colocarlas en el recurso compartido de archivos para su consumo. Esta configuración es posible cuando los dispositivos tienen acceso compartido y de lectura (permisos NTFS) al recurso compartido para que puedan tomar las actualizaciones. Para configurar esta configuración, siga estos pasos:

1. Cree un recurso compartido de archivos SMB/CIFS.

2. Use el ejemplo siguiente para crear un recurso compartido de archivos con los siguientes permisos de recurso compartido.

   
   PS c:\> Get-SmbShareAccess -Name mdatp$
   
   Name   ScopeName AccountName AccessControlType AccessRight
   ----   --------- ----------- ----------------- -----------
   mdatp$ *         Everyone    Allow             Read
   
   

   Nota:

   Se agrega un permiso NTFS para usuarios autenticados:Read:.

   En este ejemplo, el recurso compartido de archivos es \\FileServer.fqdn\mdatp$\wdav-update.

Establecer una tarea programada para ejecutar el script de PowerShell

1. En la máquina de administración, abra el menú Inicio y escriba Task Scheduler. En los resultados, seleccione Programador de tareas y, a continuación, seleccione Crear tarea... en el panel lateral.

2. Especifique el nombre como Security intelligence unpacker.

3. En la pestaña Desencadenador , seleccione Nuevo...>Todos los días y seleccione Aceptar.

4. En la pestaña Acciones , seleccione Nuevo....

5. Especifique PowerShell en el campo Programa o script .

6. En el campo Agregar argumentos , escriba -ExecutionPolicy Bypass c:\wdav-update\vdmdlunpack.ps1y, a continuación, seleccione Aceptar.

7. Configure cualquier otra configuración según corresponda.

8. Seleccione Aceptar para guardar la tarea programada.

Para iniciar la actualización manualmente, haga clic con el botón derecho en la tarea y, a continuación, seleccione Ejecutar.

Descargar y desempaquetar manualmente

Si prefiere hacer todo manualmente, esto es lo que debe hacer para replicar el comportamiento del script:

1. Cree una nueva carpeta en la raíz del sistema llamada wdav_update para almacenar las actualizaciones de inteligencia. Por ejemplo, cree la carpeta c:\wdav_update.

2. Cree una subcarpeta en wdav_update con un nombre GUID, como {00000000-0000-0000-0000-000000000000}

   Este es un ejemplo: c:\wdav_update\{00000000-0000-0000-0000-000000000000}

   Nota:

   Establecemos el script para que los últimos 12 dígitos del GUID sean el año, el mes, el día y la hora en que se descargó el archivo para que se cree una nueva carpeta cada vez. Puede cambiar esto para que el archivo se descargue en la misma carpeta cada vez.

3. Descargue un paquete de inteligencia de seguridad desde https://www.microsoft.com/wdsi/definitions en la carpeta GUID. El archivo debe llamarse mpam-fe.exe.

4. Abra una ventana del símbolo del sistema y vaya a la carpeta GUID que ha creado. Use el /X comando de extracción para extraer los archivos. Por ejemplo, mpam-fe.exe /X.

   Nota:

   Las máquinas virtuales recogerán el paquete actualizado cada vez que se cree una nueva carpeta GUID con un paquete de actualización extraído o siempre que se actualice una carpeta existente con un nuevo paquete extraído.

configuración de Microsoft Defender Antivirus

Es importante aprovechar las funcionalidades de protección contra amenazas incluidas al habilitarlas con las siguientes opciones de configuración recomendadas.  Está optimizado para entornos VDI.

Sugerencia

Las plantillas administrativas de directiva de grupo de Windows más recientes están disponibles en Crear y administrar la Tienda central.

Raíz

• Configurar la detección para aplicaciones potencialmente no deseadas: Enabled - Block

• Configuración del comportamiento de combinación de administrador local para listas: Disabled

• Controle si las exclusiones son visibles para los administradores locales: Enabled

• Desactivar la corrección rutinaria: Disabled

• Aleatorizar exámenes programados: Enabled

Interfaz de cliente

• Habilitar el modo de interfaz de usuario sin cabeza: Enabled

  Nota:

  Esta directiva oculta toda la interfaz de usuario Microsoft Defender Antivirus a los usuarios finales de la organización.

• Suprima todas las notificaciones: Enabled

Nota:

A veces, Microsoft Defender notificaciones antivirus se envían a varias sesiones o se conservan en ellas. Para ayudar a evitar la confusión del usuario, puede bloquear la interfaz de usuario Microsoft Defender Antivirus. La supresión de notificaciones impide que las notificaciones de Microsoft Defender Antivirus aparezcan cuando se realizan exámenes o se realizan acciones de corrección. Sin embargo, el equipo de operaciones de seguridad ve los resultados de un examen si se detecta y detiene un ataque. Se generan alertas, como una alerta de acceso inicial, que aparecen en el portal de Microsoft Defender.

MAPAS

• Unirse a Microsoft MAPS (activar la protección proporcionada en la nube): Enabled - Advanced MAPS

• Enviar ejemplos de archivos cuando se requiera un análisis adicional: Send all samples (more secure) o Send safe sample (less secure)

MPEngine

• Configuración de la comprobación extendida de la nube: 20

• Seleccione el nivel de protección en la nube: Enabled - High

• Habilitar la característica de cálculo hash de archivos: Enabled

Nota:

"Habilitar la característica de cálculo hash de archivos" solo es necesaria si se usa Indicadores: hash de archivo.  Puede provocar una mayor cantidad de uso de CPU, ya que tiene que analizar cada binario en el disco para obtener el hash de archivo.

Protección en tiempo real

• Configure la supervisión de la actividad de archivos y programas entrantes y salientes: Enabled – bi-directional (full on-access)

• Supervise la actividad de archivos y programas en el equipo: Enabled

• Examine todos los archivos y datos adjuntos descargados: Enabled

• Activar la supervisión del comportamiento: Enabled

• Active el examen de procesos siempre que se habilite la protección en tiempo real: Enabled

• Active las notificaciones de escritura de volumen sin procesar: Enabled

Escaneos

• Compruebe la información de seguridad de virus y spyware más reciente antes de ejecutar un examen programado: Enabled

• Examinar archivos de archivo: Enabled

• Examinar archivos de red: Not configured

• Examinar archivos ejecutables empaquetados: Enabled

• Examinar unidades extraíbles: Enabled

• Activar el examen completo de puesta al día (Deshabilitar el examen completo de puesta al día): Not configured

• Active el examen rápido de puesta al día (Deshabilitar examen rápido de puesta al día): Not configured

  Nota:

  Si desea proteger, puede cambiar "Activar el examen rápido de puesta al día" a habilitado, lo que le ayudará cuando las máquinas virtuales se hayan desconectado y hayan perdido dos o más exámenes programados consecutivos.  Pero como está ejecutando un examen programado, usará cpu adicional.

• Active el examen de correo electrónico: Enabled

• Activar la heurística: Enabled

• Active el examen del punto de reanálisis: Enabled

Configuración general del examen programado

• Configure la prioridad de CPU baja para los exámenes programados (use prioridad de CPU baja para los exámenes programados): Not configured

• Especifique el porcentaje máximo de uso de CPU durante un examen (límite de uso de CPU por examen): 50

• Inicie el examen programado solo cuando el equipo esté encendido pero no en uso (ScanOnlyIfIdle): Not configured

• Use el siguiente cmdlet para detener un examen rápido o programado cada vez que el dispositivo esté inactivo si está en modo pasivo.

  
  Set-MpPreference -ScanOnlyIfIdleEnabled $false
  
  

Sugerencia

La configuración "Iniciar el examen programado solo cuando el equipo está encendido pero no en uso" evita una contención significativa de la CPU en entornos de alta densidad.

Examen rápido diario

• Especifique el intervalo para ejecutar exámenes rápidos al día: Not configured

• Especifique el tiempo de un examen rápido diario (Ejecutar examen rápido diario en): 12 PM

Ejecución de un examen programado semanal (rápido o completo)

• Especifique el tipo de examen que se va a usar para un examen programado (tipo de examen): Not configured

• Especifique la hora del día para ejecutar un examen programado (día de la semana para ejecutar el examen programado): Not configured

• Especifique el día de la semana para ejecutar un examen programado (hora del día para ejecutar un examen programado): Not configured

Inteligencia de seguridad Novedades

• Active el examen después de la actualización de inteligencia de seguridad (Deshabilitar exámenes después de una actualización): Disabled

  Nota:

  Deshabilitar un examen después de una actualización de inteligencia de seguridad impide que se produzca un examen después de recibir una actualización. Puede aplicar esta configuración al crear la imagen base si también ha ejecutado un examen rápido. De este modo, puede evitar que la máquina virtual recién actualizada vuelva a realizar un examen (como ya lo ha examinado al crear la imagen base).

  Importante

  La ejecución de exámenes después de una actualización ayuda a garantizar que las máquinas virtuales estén protegidas con las últimas actualizaciones de inteligencia de seguridad. Deshabilitar esta opción reduce el nivel de protección de las máquinas virtuales y solo se debe usar al crear o implementar la imagen base por primera vez.

• Especifique el intervalo para comprobar si hay actualizaciones de inteligencia de seguridad (escriba la frecuencia con la que comprobar si hay actualizaciones de inteligencia de seguridad): Enabled - 8

• Deje otras opciones de configuración en su estado predeterminado.

Amenazas

• Especifique los niveles de alerta de amenaza en los que no se debe realizar una acción predeterminada cuando se detecte: Enabled

• Establezca Severe (5), High (4), Medium (2)y Low (1) todo Quarantine (2)en , como se muestra en la tabla siguiente:

  Nombre del valor	Valor
  1 (Bajo)	2
  2 (Medio)	2
  4 (Alto)	2
  5 (Grave)	2

Reglas de reducción de la superficie expuesta a ataques

Configure todas las reglas disponibles en Audit.

Habilitación de la protección de red

Impedir que los usuarios y las aplicaciones accedan a sitios web peligrosos (habilitar la protección de red): Enabled - Audit mode.

SmartScreen para Microsoft Edge

• Requerir SmartScreen para Microsoft Edge: Yes

• Bloquear el acceso a sitios malintencionados: Yes

• Bloquear la descarga de archivos no comprobados: Yes

Ejecución de la tarea programada mantenimiento de caché de Windows Defender

Optimice la tarea programada "Mantenimiento de caché de Windows Defender" para entornos VDI no persistentes o persistentes. Ejecute esta tarea en la imagen principal antes de sellar.

1. Abra mmc del programador de tareas (taskschd.msc).

2. Expanda Biblioteca> del programador de tareasMicrosoft>Windows>Defender y, a continuación, haga clic con el botón derecho en Mantenimiento de caché de Windows Defender.

3. Seleccione Ejecutar y deje que finalice la tarea programada.

   Advertencia

   Si no lo hace, puede provocar un mayor uso de cpu mientras se ejecuta la tarea de mantenimiento de caché en cada una de las máquinas virtuales.

Habilitación de la protección contra alteraciones

Habilite la protección contra alteraciones para evitar que Microsoft Defender Antivirus se deshabilite en el portal de Microsoft Defender.

Exclusiones

Si cree que necesita agregar exclusiones, consulte Administrar exclusiones para Microsoft Defender para punto de conexión y Microsoft Defender Antivirus.

Paso siguiente

Si también va a implementar la detección y respuesta de puntos de conexión (EDR) en las máquinas virtuales VDI basadas en Windows, consulte Incorporación de dispositivos de infraestructura de escritorio virtual (VDI) no persistente en Microsoft Defender XDR.

Recursos adicionales

• Blog de tech community: Configuración de Microsoft Defender Antivirus para máquinas VDI no persistentes
• Foros de TechNet en Servicios de Escritorio remoto y VDI
• Script de PowerShell SignatureDownloadCustomTask

Si busca información sobre Defender para punto de conexión en plataformas que no son de Windows, consulte los siguientes recursos:

• Microsoft Defender para punto de conexión en Mac
• Microsoft Defender para punto de conexión en Linux
• Configurar Defender para punto de conexión en características de Android
• Configurar Microsoft Defender para punto de conexión en las características de iOS

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.