Compartir a través de


Evaluación de Microsoft Defender Antivirus mediante PowerShell

Se aplica a:

En Windows 10 o más reciente y Windows Server 2016 o más reciente puede usar las características de protección de próxima generación que ofrece Microsoft Defender Antivirus (MDAV) y Microsoft Defender Exploit Guard (Microsoft Defender EG).

En este artículo se explica cómo habilitar y probar las características de protección de claves en Microsoft Defender AV y Microsoft Defender EG, y se proporcionan instrucciones y vínculos a más información.

Se recomienda usar este script de PowerShell de evaluación para configurar estas características, pero puede habilitar individualmente cada característica con los cmdlets descritos en el resto de este documento.

Para obtener más información sobre nuestros productos EPP, consulte las siguientes bibliotecas de documentación de productos:

En este artículo se describen las opciones de configuración en Windows 10 o versiones posteriores y Windows Server 2016 o posterior.

Si tiene alguna pregunta sobre una detección que Microsoft Defender antivirus realiza o detecta una detección perdida, puede enviarnos un archivo en nuestro sitio de ayuda de envío de ejemplo.

Uso de PowerShell para habilitar las características

En esta guía se proporcionan los cmdlets Microsoft Defender Antivirus que configuran las características que debe usar para evaluar nuestra protección.

Para usar estos cmdlets:

  1. Abra una instancia con privilegios elevados de PowerShell (elija Ejecutar como administrador).
  2. Escriba el comando que aparece en esta guía y presione Entrar.

Puede comprobar el estado de todas las configuraciones antes de comenzar, o durante la evaluación, mediante el cmdlet Get-MpPreference de PowerShell.

Microsoft Defender AV indica una detección mediante notificaciones estándar de Windows. También puede revisar las detecciones en la aplicación Microsoft Defender AV.

El registro de eventos de Windows también registra los eventos de detección y motor. Consulte el artículo eventos Microsoft Defender Antivirus para obtener una lista de los identificadores de evento y sus acciones correspondientes.

Características de protección en la nube

Standard actualizaciones de definiciones pueden tardar horas en prepararse y entregarse; nuestro servicio de protección entregado en la nube puede ofrecer esta protección en segundos.

Hay más detalles disponibles en Uso de tecnologías de última generación en Microsoft Defender Antivirus a través de la protección proporcionada en la nube.

Descripción Comando de PowerShell
Habilitación de Microsoft Defender Cloud para una protección casi instantánea y una mayor protección Set-MpPreference -MAPSReporting Advanced
Envío automático de ejemplos para aumentar la protección de grupos Set-MpPreference -SubmitSamplesConsent Always
Usar siempre la nube para bloquear el nuevo malware en cuestión de segundos Set-MpPreference -DisableBlockAtFirstSeen 0
Examinar todos los archivos y datos adjuntos descargados Set-MpPreference -DisableIOAVProtection 0
Establecer el nivel de bloque en la nube en "Alto" Set-MpPreference -CloudBlockLevel High
Tiempo de espera de bloqueo de nube de alta configuración en 1 minuto Set-MpPreference -CloudExtendedTimeout 50

Protección always-on (examen en tiempo real)

Microsoft Defender ANTIVIRUS examina los archivos en cuanto Windows los ve y supervisará los procesos en ejecución para detectar comportamientos malintencionados conocidos o sospechosos. Si el motor antivirus detecta modificaciones malintencionadas, bloqueará inmediatamente la ejecución del proceso o archivo.

Para obtener más información sobre estas opciones, consulte Configuración del comportamiento, la heurística y la protección en tiempo real.

Descripción Comando de PowerShell
Supervisión constante de archivos y procesos para las modificaciones de malware conocidas Set-MpPreference -DisableRealtimeMonitoring 0
Supervisión constante de comportamientos de malware conocidos, incluso en archivos "limpios" y programas en ejecución Set-MpPreference -DisableBehaviorMonitoring 0
Examinar los scripts tan pronto como se vean o ejecuten Set-MpPreference -DisableScriptScanning 0
Examinar las unidades extraíbles en cuanto se insertan o montan Set-MpPreference -DisableRemovableDriveScanning 0

Protección de aplicaciones potencialmente no deseadas

Las aplicaciones potencialmente no deseadas son archivos y aplicaciones que tradicionalmente no se clasifican como malintencionadas. Estos incluyen instaladores que no son de Microsoft para software común, inserción de anuncios y ciertos tipos de barras de herramientas en el explorador.

Descripción Comando de PowerShell
Impedir que grayware, adware y otras aplicaciones potencialmente no deseadas instalen Set-MpPreference -PUAProtection habilitado

examen de Email y archivo

Puede establecer Microsoft Defender Antivirus para examinar automáticamente determinados tipos de archivos de correo electrónico y archivos de archivo (como .zip archivos) cuando Windows los vea. Puede encontrar más información sobre esta característica en el artículo Exámenes de correo electrónico administrado en Microsoft Defender.

Descripción Comando de PowerShell
Examen de archivos y archivos de correo electrónico Set-MpPreference -DisableArchiveScanning 0
Set-MpPreference -DisableEmailScanning 0

Administración de actualizaciones de productos y protección

Normalmente, recibe Microsoft Defender actualizaciones de ANTIVIRUS de Windows Update una vez al día. Sin embargo, puede aumentar la frecuencia de esas actualizaciones estableciendo las siguientes opciones y asegurándose de que las actualizaciones se administran en System Center Configuration Manager, con directiva de grupo o en Intune.

Descripción Comando de PowerShell
Actualización de firmas todos los días Set-MpPreference -SignatureUpdateInterval
Comprobación de la actualización de firmas antes de ejecutar un examen programado Set-MpPreference -CheckForSignaturesBeforeRunningScan 1

Mitigación avanzada de amenazas y vulnerabilidades de seguridad y prevención Acceso controlado a carpetas

Microsoft Defender Exploit Guard proporciona características que ayudan a proteger los dispositivos frente a comportamientos malintencionados conocidos y ataques a tecnologías vulnerables.

Descripción Comando de PowerShell
Impedir que aplicaciones malintencionadas y sospechosas (como ransomware) realicen cambios en carpetas protegidas con acceso controlado a carpetas Set-MpPreference -EnableControlledFolderAccess Habilitado
Bloquear conexiones a direcciones IP incorrectas conocidas y otras conexiones de red con protección de red Set-MpPreference -EnableNetworkProtection habilitado
Aplicación de un conjunto estándar de mitigaciones con protección contra vulnerabilidades de seguridad
https://demo.wd.microsoft.com/Content/ProcessMitigation.xml Invoke-WebRequest -OutFile ProcessMitigation.xml
Set-ProcessMitigation -PolicyFilePath ProcessMitigation.xml
Bloquear vectores de ataque malintencionados conocidos con reducción de superficie expuesta a ataques Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADCAD5F3C50688A -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-4CDC-84E5- 9B1EE46550 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-CD74-433A-B99E2ECDC07BFC25 -AttackSurfaceReductionRules_Actions Habilitado
Add-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556801D275E5FFC04CC -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A917- 57927947596D -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536- B80A7769E899 -AttackSurfaceReductionRules_Actions Habilitado
Add-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93- 3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49e8-8b27-eb1d0a1ce869 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions Habilitado
Add-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA993A6D77406C -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 33ddedf1-c6e0-47cb-833e-de6133960387 -AttackSurfaceReductionRules_Actions Habilitado
Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7- 1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Habilitado
Add-MpPreference -AttackSurfaceReductionRules_Ids c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids a8f5898e-1dc8-49a9-9878-85004b8a61e6 -AttackSurfaceReductionRules_Actions Enabled
Add-MpPreference -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6- 9DD0B4DDDDC7B -AttackSurfaceReductionRules_Actions Habilitado
Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3FA12568109D35 -AttackSurfaceReductionRules_Actions Habilitado

Algunas reglas pueden bloquear el comportamiento que considere aceptable en su organización. En estos casos, cambie la regla de Habilitado a Auditoría para evitar bloques no deseados.

Habilitación de la protección contra alteraciones

En el portal de Microsoft XDR (security.microsoft.com), vaya a Configuración>Puntos de conexiónCaracterísticas> avanzadasProtección> contra alteraciones > activada.

Para obtener más información, consulte Cómo configurar o administrar la protección contra alteraciones.

Comprobación de la conectividad de red de Cloud Protection

Es importante comprobar que la conectividad de red de Cloud Protection funciona durante las pruebas de lápiz.

CMD (ejecutar como administrador)

cd "C:\Program Files\Windows Defender"
MpCmdRun.exe -ValidateMapsConnection

Para obtener más información, consulte Uso de la herramienta cmdline para validar la protección entregada en la nube.

Selección única Microsoft Defender examen sin conexión

Microsoft Defender Examen sin conexión es una herramienta especializada que viene con Windows 10 o una versión más reciente, y le permite arrancar una máquina en un entorno dedicado fuera del sistema operativo normal. Es especialmente útil para malware potente, como rootkits.

Consulte Microsoft Defender sin conexión para obtener más información sobre cómo funciona esta característica.

Descripción Comando de PowerShell
Asegúrese de que las notificaciones le permiten arrancar el equipo en un entorno de eliminación de malware especializado Set-MpPreference -UILockdown 0

Recursos

En esta sección se enumeran muchos recursos que pueden ayudarle a evaluar Microsoft Defender Antivirus.