Evaluación del Antivirus de Microsoft Defender mediante PowerShell
Se aplica a:
- Antivirus de Microsoft Defender
- Microsoft Defender para punto de conexión Plan 1
- Microsoft Defender para punto de conexión Plan 2
En Windows 10 o versiones posteriores y Windows Server 2016 o versiones posteriores, puedes usar características de protección de última generación ofrecidas por Antivirus de Microsoft Defender (MDAV) y Protección contra vulnerabilidades de seguridad de Microsoft Defender (Microsoft Defender EG).
En este tema se explica cómo habilitar y probar las características de protección clave en El antivirus de Microsoft Defender y Microsoft Defender EG, y se proporcionan instrucciones y vínculos a más información.
Se recomienda usar este script de PowerShell de evaluación para configurar estas características, pero puede habilitar individualmente cada característica con los cmdlets descritos en el resto de este documento.
Consulte las siguientes bibliotecas de documentación de productos para obtener más información sobre nuestros productos de EPP:
- Antivirus de Microsoft Defender
- Protección contra vulnerabilidades de seguridad de Microsoft Defender
En este artículo se describen las opciones de configuración de Windows 10 o posterior y Windows Server 2016 o posterior.
Si tiene alguna pregunta sobre una detección que realiza El antivirus de Microsoft Defender o detecta una detección perdida, puede enviarnos un archivo en nuestro sitio de ayuda de envío de ejemplo.
Uso de PowerShell para habilitar las características
En esta guía se proporcionan los cmdlets del Antivirus de Microsoft Defender que configuran las características que debe usar para evaluar nuestra protección.
Para usar estos cmdlets:
1. Abra una instancia con privilegios elevados de PowerShell (elija Ejecutar como administrador).
2. Escriba el comando que aparece en esta guía y presione Entrar.
Puede comprobar el estado de todas las configuraciones antes de comenzar, o durante la evaluación, mediante el cmdlet Get-MpPreference de PowerShell.
Antivirus de Microsoft Defender indica una detección a través de notificaciones estándar de Windows. También puede revisar las detecciones en la aplicación antivirus de Microsoft Defender.
El registro de eventos de Windows también registra los eventos de detección y motor. Consulte el artículo Eventos del Antivirus de Microsoft Defender para obtener una lista de los identificadores de evento y sus acciones correspondientes.
Características de protección en la nube
Las actualizaciones de definiciones estándar pueden tardar horas en prepararse y entregarse; nuestro servicio de protección entregado en la nube puede ofrecer esta protección en cuestión de segundos.
Hay más detalles disponibles en Uso de tecnologías de última generación en Antivirus de Microsoft Defender a través de la protección proporcionada en la nube.
| Descripción | Comando de PowerShell |
|---|---|
| Habilitación de la nube de Microsoft Defender para una protección casi instantánea y una mayor protección | Set-MpPreference -MAPSReporting Advanced |
| Envío automático de ejemplos para aumentar la protección de grupos | Set-MpPreference -SubmitSamplesConsent Always |
| Usar siempre la nube para bloquear el nuevo malware en cuestión de segundos | Set-MpPreference -DisableBlockAtFirstSeen 0 |
| Examinar todos los archivos y datos adjuntos descargados | Set-MpPreference -DisableIOAVProtection 0 |
| Establecer el nivel de bloque en la nube en "Alto" | Set-MpPreference -CloudBlockLevel High |
| Tiempo de espera del bloque de nube de alta configuración en 1 minuto | Set-MpPreference -CloudExtendedTimeout 50 |
Protección always-on (examen en tiempo real)
Antivirus de Microsoft Defender examina los archivos en cuanto Windows los ve y supervisará los procesos en ejecución para detectar comportamientos malintencionados conocidos o sospechosos. Si el motor antivirus detecta modificaciones malintencionadas, bloqueará inmediatamente la ejecución del proceso o archivo.
Consulte Configuración del comportamiento, la heurística y la protección en tiempo real para obtener más información sobre estas opciones.
| Descripción | Comando de PowerShell |
|---|---|
| Supervisión constante de archivos y procesos para las modificaciones de malware conocidas | Set-MpPreference -DisableRealtimeMonitoring 0 |
| Supervisión constante de comportamientos de malware conocidos, incluso en archivos "limpios" y programas en ejecución | Set-MpPreference -DisableBehaviorMonitoring 0 |
| Examinar scripts tan pronto como se vean o ejecuten | Set-MpPreference -DisableScriptScanning 0 |
| Examinar las unidades extraíbles en cuanto se insertan o montan | Set-MpPreference -DisableRemovableDriveScanning 0 |
Protección de aplicaciones potencialmente no deseadas
Las aplicaciones potencialmente no deseadas son archivos y aplicaciones que tradicionalmente no se clasifican como malintencionados. Estos incluyen instaladores de terceros para software común, inserción de anuncios y ciertos tipos de barras de herramientas en el explorador.
| Descripción | Comando de PowerShell |
|---|---|
| Impedir que grayware, adware y otras aplicaciones potencialmente no deseadas instalen | Set-MpPreference -PUAProtection habilitado |
Examen de correo electrónico y archivo
Puede establecer Antivirus de Microsoft Defender para que examine automáticamente determinados tipos de archivos de correo electrónico y archivos de archivo (como .zip archivos) cuando Windows los vea. Puede encontrar más información sobre esta característica en el artículo Administrar exámenes de correo electrónico en Microsoft Defender .
| Descripción | Comando de PowerShell |
|---|---|
| Examen de archivos y archivos de correo electrónico | Set-MpPreference -DisableArchiveScanning 0 Set-MpPreference -DisableEmailScanning 0 |
Administración de actualizaciones de productos y protección
Normalmente, recibe actualizaciones de Antivirus de Microsoft Defender de Windows Update una vez al día. Sin embargo, puede aumentar la frecuencia de esas actualizaciones estableciendo las siguientes opciones y asegurándose de que las actualizaciones se administran en System Center Configuration Manager, con la directiva de grupo o en Intune.
| Descripción | Comando de PowerShell |
|---|---|
| Actualización de firmas todos los días | Set-MpPreference -SignatureUpdateInterval |
| Comprobación de la actualización de firmas antes de ejecutar un examen programado | Set-MpPreference -CheckForSignaturesBeforeRunningScan 1 |
Mitigación avanzada de amenazas y vulnerabilidades de seguridad y prevención Acceso controlado a carpetas
Protección contra vulnerabilidades de seguridad de Microsoft Defender proporciona características que ayudan a proteger los dispositivos frente a comportamientos malintencionados conocidos y ataques a tecnologías vulnerables.
| Descripción | Comando de PowerShell |
|---|---|
| Impedir que aplicaciones malintencionadas y sospechosas (como ransomware) realicen cambios en carpetas protegidas con acceso controlado a carpetas | Set-MpPreference -EnableControlledFolderAccess Habilitado |
| Bloquear conexiones a direcciones IP incorrectas conocidas y otras conexiones de red con protección de red | Set-MpPreference -EnableNetworkProtection habilitado |
| Aplicación de un conjunto estándar de mitigaciones con protección contra vulnerabilidades de seguridad |
https://demo.wd.microsoft.com/Content/ProcessMitigation.xml Invoke-WebRequest -OutFile ProcessMitigation.xml Set-ProcessMitigation -PolicyFilePath ProcessMitigation.xml |
| Bloquear vectores de ataque malintencionados conocidos con reducción de superficie expuesta a ataques | Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADCAD5F3C50688A -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-4CDC-84E5- 9B1EE46550 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-CD74-433A-B99E2ECDC07BFC25 -AttackSurfaceReductionRules_Actions Habilitado Add-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556801D275E5FFC04CC -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A917- 57927947596D -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536- B80A7769E899 -AttackSurfaceReductionRules_Actions Habilitado Add-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93- 3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49e8-8b27-eb1d0a1ce869 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions Habilitado Add-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA993A6D77406C -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 33ddedf1-c6e0-47cb-833e-de6133960387 -AttackSurfaceReductionRules_Actions Habilitado Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7- 1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Habilitado Add-MpPreference -AttackSurfaceReductionRules_Ids c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids a8f5898e-1dc8-49a9-9878-85004b8a61e6 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6- 9DD0B4DDDDC7B -AttackSurfaceReductionRules_Actions Habilitado Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3FA12568109D35 -AttackSurfaceReductionRules_Actions Habilitado |
Algunas reglas pueden bloquear el comportamiento que considere aceptable en su organización. En estos casos, cambie la regla de Habilitado a Auditoría para evitar bloques no deseados.
Examen sin conexión de Microsoft Defender con un solo clic
Examen sin conexión de Microsoft Defender es una herramienta especializada que viene con Windows 10 o una versión más reciente y le permite arrancar una máquina en un entorno dedicado fuera del sistema operativo normal. Es especialmente útil para malware potente, como rootkits.
Consulte Microsoft Defender Sin conexión para obtener más información sobre cómo funciona esta característica.
| Descripción | Comando de PowerShell |
|---|---|
| Asegúrese de que las notificaciones le permiten arrancar el equipo en un entorno de eliminación de malware especializado | Set-MpPreference -UILockdown 0 |
Recursos
En esta sección se enumeran muchos recursos que pueden ayudarle a evaluar antivirus de Microsoft Defender.
- Microsoft Defender en la biblioteca de Windows 10
- Biblioteca de Microsoft Defender para Windows Server 2016
- Biblioteca de seguridad de Windows 10
- Introducción a la seguridad de Windows 10
- Sitio web de Inteligencia de seguridad de Microsoft Defender (Centro de protección contra malware de Microsoft (MMPC): investigación y respuesta sobre amenazas
- Sitio web de seguridad de Microsoft
- Blog de Seguridad de Microsoft