Evaluación de Microsoft Defender Antivirus mediante PowerShell
Se aplica a:
- Antivirus de Microsoft Defender
- Microsoft Defender para punto de conexión, plan 1 y plan 2
En Windows 10 o más reciente y Windows Server 2016 o más reciente puede usar las características de protección de próxima generación que ofrece Microsoft Defender Antivirus (MDAV) y Microsoft Defender Exploit Guard (Microsoft Defender EG).
En este artículo se explica cómo habilitar y probar las características de protección de claves en Microsoft Defender AV y Microsoft Defender EG, y se proporcionan instrucciones y vínculos a más información.
Se recomienda usar este script de PowerShell de evaluación para configurar estas características, pero puede habilitar individualmente cada característica con los cmdlets descritos en el resto de este documento.
Para obtener más información sobre nuestros productos EPP, consulte las siguientes bibliotecas de documentación de productos:
En este artículo se describen las opciones de configuración en Windows 10 o versiones posteriores y Windows Server 2016 o posterior.
Si tiene alguna pregunta sobre una detección que Microsoft Defender antivirus realiza o detecta una detección perdida, puede enviarnos un archivo en nuestro sitio de ayuda de envío de ejemplo.
Uso de PowerShell para habilitar las características
En esta guía se proporcionan los cmdlets Microsoft Defender Antivirus que configuran las características que debe usar para evaluar nuestra protección.
Para usar estos cmdlets:
- Abra una instancia con privilegios elevados de PowerShell (elija Ejecutar como administrador).
- Escriba el comando que aparece en esta guía y presione Entrar.
Puede comprobar el estado de todas las configuraciones antes de comenzar, o durante la evaluación, mediante el cmdlet Get-MpPreference de PowerShell.
Microsoft Defender AV indica una detección mediante notificaciones estándar de Windows. También puede revisar las detecciones en la aplicación Microsoft Defender AV.
El registro de eventos de Windows también registra los eventos de detección y motor. Consulte el artículo eventos Microsoft Defender Antivirus para obtener una lista de los identificadores de evento y sus acciones correspondientes.
Características de protección en la nube
Standard actualizaciones de definiciones pueden tardar horas en prepararse y entregarse; nuestro servicio de protección entregado en la nube puede ofrecer esta protección en segundos.
Hay más detalles disponibles en Uso de tecnologías de última generación en Microsoft Defender Antivirus a través de la protección proporcionada en la nube.
| Descripción | Comando de PowerShell |
|---|---|
| Habilitación de Microsoft Defender Cloud para una protección casi instantánea y una mayor protección | Set-MpPreference -MAPSReporting Advanced |
| Envío automático de ejemplos para aumentar la protección de grupos | Set-MpPreference -SubmitSamplesConsent Always |
| Usar siempre la nube para bloquear el nuevo malware en cuestión de segundos | Set-MpPreference -DisableBlockAtFirstSeen 0 |
| Examinar todos los archivos y datos adjuntos descargados | Set-MpPreference -DisableIOAVProtection 0 |
| Establecer el nivel de bloque en la nube en "Alto" | Set-MpPreference -CloudBlockLevel High |
| Tiempo de espera de bloqueo de nube de alta configuración en 1 minuto | Set-MpPreference -CloudExtendedTimeout 50 |
Protección always-on (examen en tiempo real)
Microsoft Defender ANTIVIRUS examina los archivos en cuanto Windows los ve y supervisará los procesos en ejecución para detectar comportamientos malintencionados conocidos o sospechosos. Si el motor antivirus detecta modificaciones malintencionadas, bloqueará inmediatamente la ejecución del proceso o archivo.
Para obtener más información sobre estas opciones, consulte Configuración del comportamiento, la heurística y la protección en tiempo real.
| Descripción | Comando de PowerShell |
|---|---|
| Supervisión constante de archivos y procesos para las modificaciones de malware conocidas | Set-MpPreference -DisableRealtimeMonitoring 0 |
| Supervisión constante de comportamientos de malware conocidos, incluso en archivos "limpios" y programas en ejecución | Set-MpPreference -DisableBehaviorMonitoring 0 |
| Examinar los scripts tan pronto como se vean o ejecuten | Set-MpPreference -DisableScriptScanning 0 |
| Examinar las unidades extraíbles en cuanto se insertan o montan | Set-MpPreference -DisableRemovableDriveScanning 0 |
Protección de aplicaciones potencialmente no deseadas
Las aplicaciones potencialmente no deseadas son archivos y aplicaciones que tradicionalmente no se clasifican como malintencionadas. Estos incluyen instaladores que no son de Microsoft para software común, inserción de anuncios y ciertos tipos de barras de herramientas en el explorador.
| Descripción | Comando de PowerShell |
|---|---|
| Impedir que grayware, adware y otras aplicaciones potencialmente no deseadas instalen | Set-MpPreference -PUAProtection habilitado |
examen de Email y archivo
Puede establecer Microsoft Defender Antivirus para examinar automáticamente determinados tipos de archivos de correo electrónico y archivos de archivo (como .zip archivos) cuando Windows los vea. Puede encontrar más información sobre esta característica en el artículo Exámenes de correo electrónico administrado en Microsoft Defender.
| Descripción | Comando de PowerShell |
|---|---|
| Examen de archivos y archivos de correo electrónico | Set-MpPreference -DisableArchiveScanning 0 Set-MpPreference -DisableEmailScanning 0 |
Administración de actualizaciones de productos y protección
Normalmente, recibe Microsoft Defender actualizaciones de ANTIVIRUS de Windows Update una vez al día. Sin embargo, puede aumentar la frecuencia de esas actualizaciones estableciendo las siguientes opciones y asegurándose de que las actualizaciones se administran en System Center Configuration Manager, con directiva de grupo o en Intune.
| Descripción | Comando de PowerShell |
|---|---|
| Actualización de firmas todos los días | Set-MpPreference -SignatureUpdateInterval |
| Comprobación de la actualización de firmas antes de ejecutar un examen programado | Set-MpPreference -CheckForSignaturesBeforeRunningScan 1 |
Mitigación avanzada de amenazas y vulnerabilidades de seguridad y prevención Acceso controlado a carpetas
Microsoft Defender Exploit Guard proporciona características que ayudan a proteger los dispositivos frente a comportamientos malintencionados conocidos y ataques a tecnologías vulnerables.
| Descripción | Comando de PowerShell |
|---|---|
| Impedir que aplicaciones malintencionadas y sospechosas (como ransomware) realicen cambios en carpetas protegidas con acceso controlado a carpetas | Set-MpPreference -EnableControlledFolderAccess Habilitado |
| Bloquear conexiones a direcciones IP incorrectas conocidas y otras conexiones de red con protección de red | Set-MpPreference -EnableNetworkProtection habilitado |
| Aplicación de un conjunto estándar de mitigaciones con protección contra vulnerabilidades de seguridad |
https://demo.wd.microsoft.com/Content/ProcessMitigation.xml Invoke-WebRequest -OutFile ProcessMitigation.xml Set-ProcessMitigation -PolicyFilePath ProcessMitigation.xml |
| Bloquear vectores de ataque malintencionados conocidos con reducción de superficie expuesta a ataques | Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EfC-AADCAD5F3C50688A -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-53EA-4CDC-84E5- 9B1EE46550 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-CD74-433A-B99E2ECDC07BFC25 -AttackSurfaceReductionRules_Actions Habilitado Add-MpPreference -AttackSurfaceReductionRules_Ids 5BEB7EFE-FD9A-4556801D275E5FFC04CC -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids D3E037E1-3EB8-44C8-A917- 57927947596D -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 3B576869-A4EC-4529-8536- B80A7769E899 -AttackSurfaceReductionRules_Actions Habilitado Add-MpPreference -AttackSurfaceReductionRules_Ids 75668C1F-73B5-4CF0-BB93- 3ECF5CB7CC84 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 26190899-1602-49e8-8b27-eb1d0a1ce869 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids e6db77e5-3df2-4cf1-b95a-636979351e5b -AttackSurfaceReductionRules_Actions Habilitado Add-MpPreference -AttackSurfaceReductionRules_Ids D1E49AAC-8F56-4280-B9BA993A6D77406C -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 33ddedf1-c6e0-47cb-833e-de6133960387 -AttackSurfaceReductionRules_Actions Habilitado Add-MpPreference -AttackSurfaceReductionRules_Ids B2B3F03D-6A65-4F7B-A9C7- 1C7EF74A9BA4 -AttackSurfaceReductionRules_Actions Habilitado Add-MpPreference -AttackSurfaceReductionRules_Ids c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids a8f5898e-1dc8-49a9-9878-85004b8a61e6 -AttackSurfaceReductionRules_Actions Enabled Add-MpPreference -AttackSurfaceReductionRules_Ids 92E97FA1-2EDF-4476-BDD6- 9DD0B4DDDDC7B -AttackSurfaceReductionRules_Actions Habilitado Add-MpPreference -AttackSurfaceReductionRules_Ids C1DB55AB-C21A-4637-BB3FA12568109D35 -AttackSurfaceReductionRules_Actions Habilitado |
Algunas reglas pueden bloquear el comportamiento que considere aceptable en su organización. En estos casos, cambie la regla de Habilitado a Auditoría para evitar bloques no deseados.
Habilitación de la protección contra alteraciones
En el portal de Microsoft XDR (security.microsoft.com), vaya a Configuración>Puntos de conexiónCaracterísticas> avanzadasProtección> contra alteraciones > activada.
Para obtener más información, consulte Cómo configurar o administrar la protección contra alteraciones.
Comprobación de la conectividad de red de Cloud Protection
Es importante comprobar que la conectividad de red de Cloud Protection funciona durante las pruebas de lápiz.
CMD (ejecutar como administrador)
cd "C:\Program Files\Windows Defender"
MpCmdRun.exe -ValidateMapsConnection
Para obtener más información, consulte Uso de la herramienta cmdline para validar la protección entregada en la nube.
Selección única Microsoft Defender examen sin conexión
Microsoft Defender Examen sin conexión es una herramienta especializada que viene con Windows 10 o una versión más reciente, y le permite arrancar una máquina en un entorno dedicado fuera del sistema operativo normal. Es especialmente útil para malware potente, como rootkits.
Consulte Microsoft Defender sin conexión para obtener más información sobre cómo funciona esta característica.
| Descripción | Comando de PowerShell |
|---|---|
| Asegúrese de que las notificaciones le permiten arrancar el equipo en un entorno de eliminación de malware especializado | Set-MpPreference -UILockdown 0 |
Recursos
En esta sección se enumeran muchos recursos que pueden ayudarle a evaluar Microsoft Defender Antivirus.
- Microsoft Defender en Windows 10 biblioteca
- Microsoft Defender para la biblioteca de Windows Server 2016
- biblioteca de seguridad de Windows 10
- introducción a la seguridad de Windows 10
- Microsoft Defender sitio web de inteligencia de seguridad (Centro de protección contra malware de Microsoft (MMPC)): investigación y respuesta a amenazas
- Sitio web de seguridad de Microsoft
- Blog de Seguridad de Microsoft