Evaluación de Microsoft Defender Antivirus mediante Microsoft Defender Endpoint Security Settings Management (Directivas de seguridad de puntos de conexión)
En Windows 10 o posterior, y en Windows Server 2016 o versiones posteriores, puede usar las características de protección de próxima generación que ofrece Microsoft Defender Antivirus (MDAV) y Microsoft Defender Exploit Guard (Microsoft Defender EG).
En este artículo se describen las opciones de configuración disponibles en Windows 10 y versiones posteriores, así como en Windows Server 2016 y versiones posteriores. Proporciona instrucciones paso a paso sobre cómo activar y probar las características de protección de claves en Microsoft Defender Antivirus (MDAV) y Microsoft Defender para punto de conexión (EG).
Si tiene alguna pregunta sobre una detección que MDAV realiza o detecta una detección perdida, puede enviarnos un archivo en nuestro sitio de ayuda de envío de ejemplo.
Use Microsoft Defender Endpoint Security Settings Management (Directivas de seguridad de puntos de conexión) para habilitar las características.
En esta sección se describen los Microsoft Defender para punto de conexión Security Settings Management (Directivas de seguridad de punto de conexión) que configuran las características que debe usar para evaluar nuestra protección.
MDAV indica una detección mediante notificaciones estándar de Windows. También puede revisar las detecciones en la aplicación MDAV. Para ello, consulte Revisar Microsoft Defender los resultados del examen del Antivirus.
El registro de eventos de Windows también registra los eventos de detección y motor. Consulte el artículo eventos Microsoft Defender Antivirus para obtener una lista de los identificadores de evento y sus acciones correspondientes. Para obtener información sobre la lista de identificadores de eventos y sus acciones correspondientes, consulte Revisión de registros de eventos y códigos de error para solucionar problemas con Microsoft Defender Antivirus.
Para configurar las opciones que debe usar para probar las características de protección, siga estos pasos:
Inicie sesión en Microsoft Defender XDR.
Vaya a Directivas de seguridad de punto de conexión > de administración > de puntos de conexión Directivas > de > Windows Crear nueva directiva.
Seleccione Windows 10, Windows 11 y Windows Server en la lista desplegable Seleccionar plataforma.
Seleccione Microsoft Defender Antivirus en la lista desplegable Seleccionar plantilla.
Seleccione Crear directiva. Aparece la página Crear una nueva directiva .
En la página Aspectos básicos , escriba un nombre y una descripción para el perfil en los campos Nombre y Descripción , respectivamente.
Seleccione Siguiente.
En la página Configuración , expanda los grupos de valores.
En estos grupos de configuraciones, seleccione la configuración que quiera administrar con este perfil.
Establezca las directivas para los grupos de opciones elegidos mediante la configuración de la configuración tal como se describe en las tablas siguientes:
Protección en tiempo real (protección always-on, examen en tiempo real):
Descripción Configuración Permitir supervisión en tiempo real Permitido Dirección del examen en tiempo real Supervisión de todos los archivos (bidireccional) Permitir supervisión del comportamiento Permitido Permitir la protección de acceso Permitido Protección de PUA Protección de PUA activada Características de protección en la nube:
Descripción Configuración Permitir protección en la nube Permitido Nivel de bloque de nube Alto Tiempo de espera extendido en la nube Configurado, 50 Enviar consentimiento de ejemplos Enviar todos los ejemplos automáticamente
Standard actualizaciones de inteligencia de seguridad pueden tardar horas en prepararse y entregarse; nuestro servicio de protección entregado en la nube puede ofrecer esta protección en segundos. Para obtener más información, consulte Uso de tecnologías de última generación en Microsoft Defender Antivirus a través de la protección proporcionada en la nube.
Exámenes:
| Descripción | Configuración |
|---|---|
| Permitir el examen de Email | Permitido |
| Permitir el examen de todos los archivos y datos adjuntos descargados | Permitido |
| Permitir el examen de scripts | Permitido |
| Permitir el examen de Archivo | Permitido |
| Permitir el examen de archivos de red | Permitido |
| Permitir examen completo de la unidad extraíble | Permitido |
Protección de red:
| Descripción | Configuración |
|---|---|
| Habilitación de la protección de red | Habilitado (modo de bloque) |
| Permitir la protección de red en el nivel inferior | La protección de red está habilitada en el nivel inferior. |
| Permitir el procesamiento de datagramas en Win Server | El procesamiento de datagramas en Windows Server está habilitado. |
| Deshabilitación del análisis de DNS a través de TCP | El análisis de DNS a través de TCP está habilitado. |
| Deshabilitar el análisis HTTP | El análisis HTTP está habilitado. |
| Deshabilitación del análisis de SSH | El análisis ssh está habilitado. |
| Deshabilitación del análisis de TLS | El análisis de TLS está habilitado. |
| Habilitación de DNS Sinkhole | Dns Sinkhole está habilitado. |
Actualizaciones de Inteligencia de seguridad:
| Descripción | Configuración |
|---|---|
| Intervalo de actualización de firma | Configurado, 4 |
Descripción: Configuración del pedido de reserva de actualización de firma: active la casilla de reserva de actualización de firma.
InternalDefinitionUpdateServer|MicrosoftUpdateServer|MMPC, donde "InternalDefinitionUpdateServer" es WSUS con Microsoft Defender actualizaciones del Antivirus permitidas; 'MicrosoftUpdateServer' = Microsoft Update (anteriormente Windows Update); y MMPC = https://www.microsoft.com/en-us/wdsi/definitions.
AV de administrador local:
Deshabilite la configuración del antivirus del administrador local, como las exclusiones, y establezca las directivas de Microsoft Defender para punto de conexión Security Settings Management como se describe en la tabla siguiente:
| Descripción | Configuración |
|---|---|
| Deshabilitar combinación de Administración local | Deshabilitar combinación de Administración local |
Acción predeterminada de gravedad de amenaza:
| Descripción | Configuración |
|---|---|
| Acción de corrección para amenazas de gravedad alta | Cuarentena |
| Acción de corrección para amenazas graves | Cuarentena |
| Acción de corrección para amenazas de gravedad baja | Cuarentena |
| Acción de corrección para amenazas de gravedad moderada | Cuarentena |
| Descripción | Configuración |
|---|---|
| Días para conservar limpios | Configurado, 60 |
| Permitir el acceso a la interfaz de usuario de usuario | Permitido. Permitir que los usuarios accedan a la interfaz de usuario. |
- Cuando haya finalizado la configuración, seleccione Siguiente.
- En la pestaña Asignaciones , seleccione Grupo de dispositivos o Grupo de usuarios o Todos los dispositivos o Todos los usuarios.
- Seleccione Siguiente.
- En la pestaña Revisar y crear , revise la configuración de la directiva y, a continuación, seleccione Guardar.
Reglas de reducción de superficie expuesta a ataques
Para habilitar las reglas de reducción de superficie expuesta a ataques (ASR) mediante las directivas de seguridad del punto de conexión, realice los pasos siguientes:
Inicie sesión en Microsoft Defender XDR.
Vaya a Directivas de seguridad de punto de conexión > de administración > de puntos de conexión Directivas > de > Windows Crear nueva directiva.
Seleccione Windows 10, Windows 11 y Windows Server en la lista desplegable Seleccionar plataforma.
Seleccione Reglas de reducción de superficie expuesta a ataques en la lista desplegable Seleccionar plantilla .
Seleccione Crear directiva.
En la página Aspectos básicos , escriba un nombre y una descripción para el perfil; a continuación, elija Siguiente.
En la página Configuración , expanda los grupos de opciones y configure las opciones que desea administrar con este perfil.
Establezca las directivas en función de la siguiente configuración recomendada:
Descripción Configuración Bloquear el contenido ejecutable del cliente de correo electrónico y el correo web Bloquear Impedir que Adobe Reader cree procesos secundarios Bloquear Bloquear la ejecución de scripts potencialmente ofuscados Bloquear Bloquear el abuso de controladores firmados vulnerables explotados (dispositivo) Bloquear Bloquear llamadas API de Win32 desde macros de Office Bloquear Impedir que los archivos ejecutables se ejecuten a menos que cumplan un criterio de prevalencia, edad o lista de confianza Bloquear Impedir que la aplicación de comunicación de Office cree procesos secundarios Bloquear Impedir que todas las aplicaciones de Office creen procesos secundarios Bloquear [VISTA PREVIA] Bloquear el uso de herramientas del sistema copiadas o suplantadas Bloquear Impedir que JavaScript o VBScript inicien contenido ejecutable descargado Bloquear Bloquear el robo de credenciales del subsistema de autoridad de seguridad local de Windows Bloquear Bloquear la creación de shell web para servidores Bloquear Impedir que las aplicaciones de Office creen contenido ejecutable Bloquear Bloquear procesos que no son de confianza y no firmados que se ejecutan desde USB Bloquear Impedir que las aplicaciones de Office inserten código en otros procesos Bloquear Bloquear la persistencia a través de la suscripción de eventos WMI Bloquear Uso de protección avanzada contra ransomware Bloquear Bloquear las creaciones de procesos que se originen a partir de comandos PSExec y WMI Bloquear (si tiene Configuration Manager (anteriormente SCCM) u otras herramientas de administración que usan WMI, es posible que tenga que establecerlo en Auditar en lugar de Bloquear). [VISTA PREVIA] Bloquear el reinicio de la máquina en modo seguro Bloquear Habilitación del acceso controlado a carpetas Habilitado
Sugerencia
Cualquiera de las reglas podría bloquear el comportamiento que considere aceptable en su organización. En estos casos, agregue las exclusiones por regla denominadas "Exclusiones de solo reducción de superficie expuesta a ataques". Además, cambie la regla de Habilitado a Auditoría para evitar bloques no deseados.
- Seleccione Siguiente.
- En la pestaña Asignaciones , seleccione Grupo de dispositivos o Grupo de usuarios o Todos los dispositivos o Todos los usuarios.
- Seleccione Siguiente.
- En la pestaña Revisar y crear , revise la configuración de la directiva y, a continuación, seleccione Guardar.
Habilitación de la protección contra alteraciones
Inicie sesión en Microsoft Defender XDR.
Vaya a Directivas de seguridad de punto de conexión > de administración > de puntos de conexión Directivas > de > Windows Crear nueva directiva.
Seleccione Windows 10, Windows 11 y Windows Server en la lista desplegable Seleccionar plataforma.
Seleccione Experiencia de seguridad en la lista desplegable Seleccionar plantilla .
Seleccione Crear directiva. Aparece la página Crear una nueva directiva .
En la página Aspectos básicos , escriba un nombre y una descripción para el perfil en los campos Nombre y Descripción , respectivamente.
Seleccione Siguiente.
En la página Configuración , expanda los grupos de valores.
En estos grupos, seleccione la configuración que desea administrar con este perfil.
Establezca las directivas de los grupos de configuración elegidos configurándolas como se describe en la tabla siguiente:
Descripción Configuración TamperProtection (dispositivo) Activado
Comprobación de la conectividad de red de Cloud Protection
Es importante comprobar que la conectividad de red de Cloud Protection funciona durante las pruebas de penetración.
CMD (ejecutar como administrador)
cd "C:\Program Files\Windows Defender"
MpCmdRun.exe -ValidateMapsConnection
Para obtener más información , use la herramienta cmdline para validar la protección entregada en la nube.
Comprobación de la versión de actualización de la plataforma
La versión más reciente de "Actualización de plataforma" Canal de producción (GA) está disponible en el catálogo de Microsoft Update.
Para comprobar qué versión de "Actualización de plataforma" ha instalado, ejecute el siguiente comando en PowerShell con los privilegios de un administrador:
Get-MPComputerStatus | Format-Table AMProductVersion
Comprobación de la versión de Security Intelligence Update
La última versión de "Actualización de inteligencia de seguridad" está disponible en Las últimas actualizaciones de inteligencia de seguridad para Microsoft Defender Antivirus y otros antimalware de Microsoft: Inteligencia de seguridad de Microsoft.
Para comprobar qué versión de "Security Intelligence Update" ha instalado, ejecute el siguiente comando en PowerShell con los privilegios de un administrador:
Get-MPComputerStatus | Format-Table AntivirusSignatureVersion
Comprobación de la versión de la actualización del motor
La versión más reciente de la "actualización del motor" del examen está disponible en Las últimas actualizaciones de inteligencia de seguridad para Microsoft Defender Antivirus y otros antimalware de Microsoft Inteligencia de seguridad de Microsoft.
Para comprobar qué versión de "Actualización del motor" ha instalado, ejecute el siguiente comando en PowerShell con los privilegios de un administrador:
Get-MPComputerStatus | Format-Table AMEngineVersion
Si ve que la configuración no surte efecto, puede que tenga un conflicto. Para obtener información sobre cómo resolver conflictos, consulte Solución de problemas Microsoft Defender configuración del Antivirus.
Para envíos de falsos negativos (FN)
Para obtener información sobre cómo realizar envíos de falsos negativos (FN), consulte:
- Envíe archivos en Microsoft Defender para punto de conexión si tiene Microsoft XDR, Microsoft Defender para punto de conexión P2/P1 o Microsoft Defender para Empresas.
- Envíe archivos para su análisis si tiene Microsoft Defender Antivirus.