Evaluar Microsoft Defender Antivirus mediante directiva de grupo
Se aplica a:
- Antivirus de Microsoft Defender
- Microsoft Defender para punto de conexión Plan 1
- Microsoft Defender para punto de conexión Plan 2
Plataformas:
- Windows
En Windows 10 o más reciente y Windows Server 2016 o posterior, puede usar las características de protección de próxima generación que ofrece Microsoft Defender Antivirus (MDAV) y Microsoft Defender Exploit Guard (Microsoft Defender EG).
En este tema se explica cómo habilitar y probar las características de protección clave en Microsoft Defender AV y Microsoft Defender EG, y se proporcionan instrucciones y vínculos para obtener más información.
En este artículo se describen las opciones de configuración en Windows 10 o versiones posteriores y Windows Server 2016 o posterior.
Uso de Microsoft Defender Antivirus mediante directiva de grupo para habilitar las características
En esta guía se proporciona la directiva de grupo antivirus de Microsoft Defender que configura las características que debe usar para evaluar nuestra protección.
Obtenga la versión más reciente de "Plantillas administrativas de Windows directiva de grupo".
Para obtener más información, consulta Crear y administrar la Tienda central: cliente de Windows.
Sugerencia
El de Windows funciona con los servidores de Windows.
Incluso si ejecuta un Windows 10 o Windows Server 2016, obtenga las plantillas administrativas más recientes para Windows 11 o versiones posteriores.
Cree una "Tienda central" para hospedar las plantillas .admx y .adml más recientes.
Para obtener más información, consulta Crear y administrar la Tienda central: cliente de Windows.
Si está unido a un dominio:
Cree una nueva herencia de directiva de bloque de unidad organizativa.
Abra la consola de administración de directivas de grupo (GPMC.msc).
Vaya a objetos directiva de grupo y cree un nuevo directiva de grupo.
Haga clic con el botón derecho en la nueva directiva creada y seleccione Editar.
Vaya aDirectivas>de configuración> del equipoPlantillas> administrativasComponentes>de Windows Microsoft Defender Antivirus.
Otra posibilidad:
Si se une a un grupo de trabajo
Abra directiva de grupo Editor MMC (GPEdit.msc).
Vaya a Configuración> del equipoPlantillas> administrativasComponentes>de Windows Microsoft Defender Antivirus.
MDAV y aplicaciones potencialmente no deseadas (PUA)
Raíz:
| Descripción | Configuración |
|---|---|
| Desactivar Microsoft Defender Antivirus | Deshabilitada |
| Configuración de la detección para aplicaciones potencialmente no deseadas | Habilitado: bloquear |
Protección en tiempo real (protección siempre activa, examen en tiempo real)
\ Protección en tiempo real:
| Descripción | Configuración |
|---|---|
| Desactivar la protección en tiempo real | Deshabilitada |
| Configuración de la supervisión de la actividad de archivos y programas entrantes y salientes | Habilitado, bidireccional (full on-access) |
| Activar la supervisión del comportamiento | Habilitado |
| Supervisión de la actividad de archivos y programas en el equipo | Habilitado |
Características de protección en la nube
Standard actualizaciones de inteligencia de seguridad pueden tardar horas en prepararse y entregarse; nuestro servicio de protección entregado en la nube puede ofrecer esta protección en segundos.
Para obtener más información, consulte Uso de tecnologías de última generación en Microsoft Defender Antivirus a través de la protección proporcionada en la nube.
\ MAPAS:
| Descripción | Configuración |
|---|---|
| Unirse a Microsoft MAPS | Habilitado, Mapas avanzados |
| Configuración de la característica "Bloquear a primera vista" | Habilitado |
| Envío de ejemplos de archivos cuando se requiera un análisis adicional | Habilitado, Enviar todos los ejemplos |
\ MpEngine:
| Descripción | Configuración |
|---|---|
| Selección del nivel de protección en la nube | Habilitado, nivel de bloqueo alto |
| Configuración de la comprobación de nube extendida | Habilitado, 50 |
Escaneos
| Descripción | Configuración |
|---|---|
| Activar la heurística | Habilitado |
| Activar el examen de correo electrónico | Habilitado |
| Examinar todos los archivos y datos adjuntos descargados | Habilitado |
| Activar el examen de scripts | Habilitado |
| Examen de archivos de archivo | Habilitado |
| Examen de archivos ejecutables empaquetados | Habilitado |
| Configurar el examen de archivos de red (Examinar archivos de red) | Habilitado |
| Examen de unidades extraíbles | Habilitado |
| Activar el examen del punto de reanálisis | Habilitado |
Actualizaciones de Inteligencia de seguridad
| Descripción | Configuración |
|---|---|
| Especificar el intervalo para comprobar si hay actualizaciones de inteligencia de seguridad | Habilitado, 4 |
| Definir el orden de los orígenes para descargar las actualizaciones de inteligencia de seguridad | Habilitado, en "Definir el orden de los orígenes para descargar las actualizaciones de inteligencia de seguridad" InternalDefinitionUpdateServer | MicrosoftUpdateServer | MMPC Nota: Donde InternalDefinitionUpdateServer es WSUS con Microsoft Defender actualizaciones de Antivirus permitidas. MicrosoftUpdateServer == Microsoft Update (anteriormente Windows Update). MMPC == https://www.microsoft.com/en-us/wdsi/definitions |
Deshabilitación de la configuración del antivirus de administrador local
Deshabilite la configuración del antivirus del administrador local, como las exclusiones, y aplique las directivas de la administración de configuración de seguridad de Microsoft Defender para punto de conexión.
Raíz:
| Descripción | Configuración |
|---|---|
| Configuración del comportamiento de combinación de administrador local para listas | Deshabilitada |
| Controlar si las exclusiones son visibles para los administradores locales | Habilitado |
Acción predeterminada de gravedad de amenaza
\ Amenazas
| Descripción | Configuración | Nivel de alerta | Acción |
|---|---|---|---|
| Especificar los niveles de alerta de amenaza en los que no se debe realizar una acción predeterminada cuando se detecta | Habilitado | ||
| 5 (grave) | 2 (cuarentena) | ||
| 4 (Alto) | 2 (cuarentena) | ||
| 2 (medio) | 2 (cuarentena) | ||
| 1 (Bajo) | 2 (cuarentena) |
\ Cuarentena
| Descripción | Configuración |
|---|---|
| Configuración de la eliminación de elementos de la carpeta Cuarentena | Habilitado, 60 |
\ Interfaz de cliente
| Descripción | Configuración |
|---|---|
| Habilitación del modo de interfaz de usuario sin cabeza | Deshabilitada |
Protección de red
\ Microsoft Defender Protección contra vulnerabilidades de seguridad\Protección de red:
| Descripción | Configuración |
|---|---|
| Impedir que usuarios y aplicaciones accedan a sitios web peligrosos | Habilitado, Bloquear |
| Esta configuración controla si la protección de red puede configurarse en modo de bloque o auditoría en Windows Server | Habilitado |
Para habilitar La protección de red para servidores Windows, por ahora, use PowerShell:
| SO | Cmdlet de PowerShell |
|---|---|
| Windows Server 2012 R2Windows Server 2022 y versiones posteriores | set-MpPreference -AllowNetworkProtectionOnWinServer $true |
| Windows Server 2016 y Windows Server 2012 cliente de MDE unificado de R2 | set-MpPreference -AllowNetworkProtectionOnWinServer $true y set-MpPreference -AllowNetworkProtectionDownLevel $true |
Reglas de la reducción de la superficie expuesta a ataques
Vaya a Configuración> del equipoPlantillas> administrativasComponentes> de Windows Microsoft Defender Antivirus> Microsoft DefenderReducción de la superficie expuesta a ataques de Protección contra vulnerabilidades> de seguridad.
Seleccione Siguiente.
| Descripción | Configuración |
|---|---|
| be9ba2d9-53ea-4cdc-84e5-9b1eeee46550 Nota: (Bloquear el contenido ejecutable del cliente de correo electrónico y el correo web) |
1 (bloquear) |
| 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c Nota: (Impedir que Adobe Reader cree procesos secundarios) |
1 (bloquear) |
| 5beb7efe-fd9a-4556-801d-275e5ffc04cc Nota: (Bloquear la ejecución de scripts potencialmente ofuscados) |
1 (bloquear) |
| 56a863a9-875e-4185-98a7-b882c64b5ce5 Nota: (Bloquear el abuso de controladores firmados vulnerables explotados) |
1 (bloquear) |
| 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b Nota: (Bloquear llamadas API win32 desde macros de Office) |
1 (bloquear) |
| 01443614-cd74-433a-b99e-2ecdc07bfc25 Nota: (Impedir que los archivos ejecutables se ejecuten a menos que cumplan un criterio de prevalencia, edad o lista de confianza) |
1 (bloquear) |
| 26190899-1602-49e8-8b27-eb1d0a1ce869 Nota: (Impedir que la aplicación de comunicación de Office cree procesos secundarios) |
1 (bloquear) |
| d4f940ab-401b-4efc-aadc-ad5f3c50688a Nota: (Impedir que todas las aplicaciones de Office creen procesos secundarios) |
1 (bloquear) |
| c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb Nota: ( [PREVIEW] Bloquear el uso de herramientas del sistema copiadas o suplantadas) |
1 (bloquear) |
| d3e037e1-3eb8-44c8-a917-57927947596d Nota: (Impedir que JavaScript o VBScript inicien contenido ejecutable descargado) |
1 (bloquear) |
| 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 Nota: (Bloquear el robo de credenciales del subsistema de autoridad de seguridad local de Windows) |
1 (bloquear) |
| a8f5898e-1dc8-49a9-9878-85004b8a61e6 Nota: (Bloquear la creación de shell web para servidores) |
1 (bloquear) |
| 3b576869-a4ec-4529-8536-b80a7769e899 Nota: (Impedir que las aplicaciones de Office creen contenido ejecutable) |
1 (bloquear) |
| b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4 Nota: (Bloquear procesos que no son de confianza y no firmados que se ejecutan desde USB) |
1 (bloquear) |
| 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84 Nota: (Impedir que las aplicaciones de Office inserten código en otros procesos) |
1 (bloquear) |
| e6db77e5-3df2-4cf1-b95a-636979351e5b Nota: (Bloquear la persistencia a través de la suscripción de eventos WMI) |
1 (bloquear) |
| c1db55ab-c21a-4637-bb3f-a12568109d35 Nota: (Usar la protección avanzada contra ransomware) |
1 (bloquear) |
| d1e49aac-8f56-4280-b9ba-993a6d77406c Nota: (Bloquear las creaciones de procesos que se originen a partir de comandos PSExec y WMI) |
1 (bloquear) Nota: Si tiene Configuration Manager (anteriormente SCCM) u otras herramientas de administración que usan WMI, es posible que tenga que establecerlo en 2 ('audit') en lugar de 1('block'). |
| 33ddedf1-c6e0-47cb-833e-de6133960387 Nota: ( [PREVIEW] Bloquear la máquina de reinicio en modo seguro) |
1 (bloquear) |
Sugerencia
Algunas reglas pueden bloquear el comportamiento que considere aceptable en su organización. En estos casos, cambie la regla de "Habilitado" a "Auditar" para evitar bloques no deseados.
Acceso controlado a carpetas
Vaya a Configuración> del equipoPlantillas> administrativasComponentes> de Windows Microsoft Defender Antivirus> Microsoft DefenderReducción de la superficie expuesta a ataques de Protección contra vulnerabilidades> de seguridad.
| Descripción | Configuración |
|---|---|
| Configuración del acceso controlado a carpetas | Habilitado, Bloquear |
Asigne las directivas a la unidad organizativa donde se encuentran las máquinas de prueba.
Comprobación de la versión de Platform Update
La versión más reciente de "Actualización de plataforma" Canal de producción (GA) está disponible aquí:
Para comprobar qué versión de "Actualización de plataforma" ha instalado, use el siguiente comando de PowerShell (Ejecutar como administrador):
get-mpComputerStatus | ft AMProductVersion
Comprobación de la versión de Security Intelligence Update
La última versión de "Security Intelligence Update" está disponible aquí:
Para comprobar qué versión de "Security Intelligence Update" ha instalado, use el siguiente comando de PowerShell (Ejecutar como administrador):
get-mpComputerStatus | ft AntivirusSignatureVersion
Comprobación de la versión de la actualización del motor
La versión más reciente de la "actualización del motor" del examen está disponible aquí:
Para comprobar qué versión de "Engine Update" ha instalado, use el siguiente comando de PowerShell(Ejecutar como administrador):
get-mpComputerStatus | ft AMEngineVersion
Si encuentra que la configuración no surte efecto, es posible que tenga un conflicto. Para resolver conflictos, consulte Solución de problemas Microsoft Defender configuración del Antivirus.
Para envíos de falsos negativos (FN)
Si tiene alguna pregunta sobre una detección que Microsoft Defender AV realiza, o detecta una detección perdida, puede enviarnos un archivo.
Si tiene Microsoft XDR, Microsoft Defender para punto de conexión P2/P1 o Microsoft Defender para Empresas: consulte Envío de archivos en Microsoft Defender para punto de conexión.
Si tiene Microsoft Defender Antivirus, consulte:https://www.microsoft.com/security/portal/mmpc/help/submission-help.aspx
Microsoft Defender AV indica una detección mediante notificaciones estándar de Windows. También puede revisar las detecciones en la aplicación Microsoft Defender AV.
El registro de eventos de Windows también registra los eventos de detección y motor. Consulte el artículo eventos Microsoft Defender Antivirus para obtener una lista de los identificadores de evento y sus acciones correspondientes.
Si la configuración no se aplica correctamente, averigüe si hay directivas en conflicto habilitadas en el entorno. Para obtener más información, consulte Solución de problemas Microsoft Defender configuración del antivirus.
Si necesita abrir un caso de soporte técnico de Microsoft: póngase en contacto con el soporte técnico de Microsoft Defender para punto de conexión.