Configuración de Windows que puede administrar a través de un perfil de Endpoint Protection de Intune
Nota:
Intune puede admitir más opciones de configuración que las que se enumeran en este artículo. No todas las configuraciones están documentadas y no se documentarán. Para ver la configuración que puede configurar, cree una directiva de configuración de dispositivo y seleccione Catálogo de configuración. Para más información, vaya al Catálogo de configuraciones.
Microsoft Intune incluye muchas configuraciones para ayudar a proteger los dispositivos. En este artículo se describen los valores de la plantilla endpoint protection de configuración de dispositivo. Para administrar la seguridad del dispositivo, también puede usar directivas de seguridad de punto de conexión, que se centran directamente en subconjuntos de seguridad de dispositivos. Para configurar Microsoft Defender Antivirus, consulte Restricciones de dispositivos Windows o usar la directiva antivirus de seguridad de puntos de conexión.
Antes de empezar
Cree un perfil de configuración de dispositivo de Endpoint Protection.
Para obtener más información sobre los proveedores de servicios de configuración (CSP), consulte Referencia del proveedor de servicios de configuración.
Protección de aplicaciones de Microsoft Defender
En el caso de Microsoft Edge, Protección de aplicaciones de Microsoft Defender protege su entorno frente a sitios de confianza para su organización. Con Protección de aplicaciones, los sitios que no están en el límite de red aislado se abren en una sesión de exploración virtual de Hyper-V. Los sitios de confianza se definen mediante un límite de red, que se configuran en Configuración del dispositivo. Para obtener más información, consulte Creación de un límite de red en dispositivos Windows.
Protección de aplicaciones solo está disponible para dispositivos Windows de 64 bits. Con este perfil se instala un componente win32 para activar Protección de aplicaciones.
Protección de aplicaciones
Valor predeterminado: no configurado
CSP de Protección de aplicaciones: Configuración/AllowWindowsDefenderApplicationGuard- Habilitado para Edge : activa esta característica, que abre sitios que no son de confianza en un contenedor de exploración virtualizada de Hyper-V.
- No configurado : cualquier sitio (de confianza y que no sea de confianza) puede abrirse en el dispositivo.
Comportamiento del Portapapeles
Valor predeterminado: no configurado
CSP de Protección de aplicaciones: Configuración/PortapapelesConfiguraciónElija qué acciones de copiar y pegar se permiten entre el equipo local y el Protección de aplicaciones explorador virtual.
- Sin configurar
- Permitir copiar y pegar solo desde pc a explorador
- Permitir copiar y pegar solo desde el explorador al equipo
- Permitir copiar y pegar entre pc y explorador
- Bloquear copiar y pegar entre pc y explorador
Contenido del Portapapeles
Esta configuración solo está disponible cuando el comportamiento del Portapapeles se establece en una de las opciones de permitir .
Valor predeterminado: no configurado
CSP de Protección de aplicaciones: Settings/ClipboardFileTypeSeleccione el contenido del Portapapeles permitido.
- Sin configurar
- Text
- Images
- Texto e imágenes
Contenido externo en sitios empresariales
Valor predeterminado: no configurado
CSP de Protección de aplicaciones: Configuración/BlockNonEnterpriseContent- Bloquear : impedir que se cargue contenido de sitios web no aprobados.
- No configurado : los sitios no empresariales se pueden abrir en el dispositivo.
Imprimir desde el explorador virtual
Valor predeterminado: no configurado
CSP de Protección de aplicaciones: Configuración/PrintingSettings- Permitir : permite la impresión del contenido seleccionado desde el explorador virtual.
- No configurado Deshabilite todas las características de impresión.
Al permitir la impresión, puede configurar el siguiente valor:
-
Tipos de impresión Seleccione una o varias de las siguientes opciones:
- XPS
- Impresoras locales
- Impresoras de red
Recopilación de registros
Valor predeterminado: no configurado
CSP de Protección de aplicaciones: Audit/AuditApplicationGuard- Permitir: recopila registros de eventos que se producen dentro de una sesión de exploración de Protección de aplicaciones.
- No configurado : no recopile ningún registro dentro de la sesión de exploración.
Conservar los datos del explorador generados por el usuario
Valor predeterminado: no configurado
CSP de Protección de aplicaciones: Configuración/AllowPersistence- Conceder Guarde los datos de usuario (como contraseñas, favoritos y cookies) que se crean durante una sesión de exploración virtual Protección de aplicaciones.
- No configurado Descarte los archivos y datos descargados por el usuario cuando se reinicie el dispositivo o cuando un usuario cierre la sesión.
Aceleración de gráficos
Valor predeterminado: no configurado
CSP de Protección de aplicaciones: Configuración/AllowVirtualGPU- Habilitar : cargue sitios web y vídeos de uso intensivo de gráficos más rápido al obtener acceso a una unidad de procesamiento de gráficos virtual.
- No configurado Use la CPU del dispositivo para gráficos; No use la unidad de procesamiento de gráficos virtuales.
Descarga de archivos en el sistema de archivos host
Valor predeterminado: no configurado
CSP de Protección de aplicaciones: Configuración/SaveFilesToHost- Habilitar : los usuarios pueden descargar archivos del explorador virtualizado en el sistema operativo host.
- No configurado : mantiene los archivos locales en el dispositivo y no descarga archivos en el sistema de archivos host.
Firewall de Windows
Configuración global
Esta configuración se aplica a todos los tipos de red.
Protocolo de transferencia de archivos
Valor predeterminado: no configurado
CSP de firewall: MdmStore/Global/DisableStatefulFtp- Bloquear : deshabilite FTP con estado.
- No configurado : el firewall realiza el filtrado FTP con estado para permitir conexiones secundarias.
Tiempo de inactividad de la asociación de seguridad antes de la eliminación
Valor predeterminado: no configurado
CSP de firewall: MdmStore/Global/SaIdleTimeEspecifique un tiempo de inactividad en segundos, después del cual se eliminan las asociaciones de seguridad.
Codificación de clave previamente compartida
Valor predeterminado: no configurado
CSP de firewall: MdmStore/Global/PresharedKeyEncoding- Habilitar : codificación de claves escuchadas previamente mediante UTF-8.
- No configurado : codifique las claves escuchadas previamente mediante el valor de almacén local.
Exenciones de IPsec
Valor predeterminado: 0 seleccionado
CSP de firewall: MdmStore/Global/IPsecExemptSeleccione uno o varios de los siguientes tipos de tráfico para que estén exentos de IPsec:
- Los vecinos detectan códigos de tipo ICMP de IPv6
- ICMP
- El enrutador detecta códigos de tipo ICMP IPv6
- Tráfico de red DHCP de IPv4 e IPv6
Comprobación de la lista de revocación de certificados
Valor predeterminado: no configurado
CSP de firewall: MdmStore/Global/CRLcheckElija cómo comprueba el dispositivo la lista de revocación de certificados. Entre las opciones se incluyen:
- Deshabilitación de la comprobación de CRL
- Error en la comprobación de CRL solo en el certificado revocado
- Error de comprobación de CRL en cualquier error encontrado.
Coincidencia oportunista del conjunto de autenticación por módulo de claves
Valor predeterminado: no configurado
CSP de firewall: MdmStore/Global/OpportunisticallyMatchAuthSetPerKM- Habilitar Los módulos de claves solo deben omitir los conjuntos de autenticación que no admiten.
- Sin configurar, los módulos de keying deben omitir todo el conjunto de autenticación si no admiten todos los conjuntos de autenticación especificados en el conjunto.
Cola de paquetes
Valor predeterminado: no configurado
CSP de firewall: MdmStore/Global/EnablePacketQueueEspecifique cómo se habilita el escalado de software en el lado de recepción para la recepción cifrada y el reenvío de texto no cifrado para el escenario de puerta de enlace de túnel IPsec. Esta configuración confirma que se conserva el orden del paquete. Entre las opciones se incluyen:
- Sin configurar
- Deshabilitación de todas las colas de paquetes
- Cola solo de paquetes cifrados entrantes
- Paquetes de cola después de realizar el descifrado solo para el reenvío
- Configuración de paquetes entrantes y salientes
Configuración de red
Las siguientes opciones de configuración se enumeran en este artículo una sola vez, pero todas se aplican a los tres tipos de red específicos:
- Red de dominio (área de trabajo)
- Red privada (reconocible)
- Red pública (no detectable)
General
Firewall de Windows
Valor predeterminado: no configurado
CSP de firewall: EnableFirewall- Habilitar : active el firewall y la seguridad avanzada.
- No configurado Permite todo el tráfico de red, independientemente de cualquier otra configuración de directiva.
Modo sigiloso
Valor predeterminado: no configurado
CSP de firewall: DisableStealthMode- Sin configurar
- Bloquear : el firewall no funciona en modo sigiloso. Bloquear el modo sigiloso permite también bloquear la exención de paquetes protegidos por IPsec.
- Permitir : el firewall funciona en modo sigiloso, lo que ayuda a evitar respuestas a las solicitudes de sondeo.
Exención de paquetes protegidos por IPsec con modo sigiloso
Valor predeterminado: no configurado
CSP de firewall: DisableStealthModeIpsecSecuredPacketExemptionEsta opción se omite si el modo sigiloso está establecido en Bloquear.
- Sin configurar
- Bloquear : los paquetes protegidos con IPSec no reciben exenciones.
- Permitir : habilitar exenciones. El modo sigiloso del firewall NO DEBE impedir que el equipo host responda al tráfico de red no solicitado protegido por IPsec.
Apantallado
Valor predeterminado: no configurado
CSP de firewall: blindada- Sin configurar
- Bloquear : cuando firewall de Windows está activado y esta configuración está establecida en Bloquear, todo el tráfico entrante se bloquea, independientemente de la configuración de otra directiva.
- Permitir : cuando se establece en Permitir, esta configuración está desactivada y se permite el tráfico entrante en función de otras opciones de configuración de directiva.
Respuestas de unidifusión a difusiones de multidifusión
Valor predeterminado: no configurado
CSP de firewall: DisableUnicastResponsesToMulticastBroadcastNormalmente, no desea recibir respuestas de unidifusión a mensajes de multidifusión o difusión. Estas respuestas pueden indicar un ataque de denegación de servicio (DOS) o un atacante que intenta sondear un equipo en directo conocido.
- Sin configurar
- Bloquear : deshabilite las respuestas de unidifusión a las difusiones de multidifusión.
- Permitir : permitir respuestas de unidifusión a difusiones de multidifusión.
Notificaciones entrantes
Valor predeterminado: no configurado
CSP de firewall: DisableInboundNotifications- Sin configurar
- Bloquear : oculta las notificaciones que se usan cuando se bloquea la escucha de una aplicación en un puerto.
- Permitir : habilita esta configuración y puede mostrar una notificación a los usuarios cuando se impide que una aplicación escuche en un puerto.
Acción predeterminada para las conexiones salientes
Valor predeterminado: no configurado
CSP de firewall: DefaultOutboundActionConfigure el firewall de acciones predeterminado que realiza en las conexiones salientes. Esta configuración se aplicará a la versión 1809 de Windows y versiones posteriores.
- Sin configurar
- Bloquear : la acción de firewall predeterminada no se ejecuta en el tráfico saliente a menos que se especifique explícitamente que no se bloquee.
- Permitir : las acciones de firewall predeterminadas se ejecutan en las conexiones salientes.
Acción predeterminada para las conexiones entrantes
Valor predeterminado: no configurado
CSP de firewall: DefaultInboundAction- Sin configurar
- Bloquear : la acción de firewall predeterminada no se ejecuta en las conexiones entrantes.
- Permitir : las acciones de firewall predeterminadas se ejecutan en las conexiones entrantes.
Combinación de reglas
Reglas de Firewall de Windows de la aplicación autorizada desde el almacén local
Valor predeterminado: no configurado
CSP de firewall: AuthAppsAllowUserPrefMerge- Sin configurar
- Bloquear : las reglas de firewall de aplicaciones autorizadas en el almacén local se omiten y no se aplican.
- Permitir : la opción Habilitar aplica reglas de firewall en el almacén local para que se reconozcan y se apliquen.
Reglas de Firewall de Windows de puerto global desde el almacén local
Valor predeterminado: no configurado
CSP de firewall: GlobalPortsAllowUserPrefMerge- Sin configurar
- Bloquear : las reglas globales de firewall de puertos del almacén local se omiten y no se aplican.
- Permitir : aplique reglas de firewall de puerto global en el almacén local para que se reconozcan y se apliquen.
Reglas de Firewall de Windows desde el almacén local
Valor predeterminado: no configurado
CSP de firewall: AllowLocalPolicyMerge- Sin configurar
- Bloquear : las reglas de firewall del almacén local se omiten y no se aplican.
- Permitir : aplique reglas de firewall en el almacén local para que se reconozcan y se apliquen.
Reglas de IPsec desde el almacén local
Valor predeterminado: no configurado
CSP de firewall: AllowLocalIpsecPolicyMerge- Sin configurar
- Bloquear : las reglas de seguridad de conexión del almacén local se omiten y no se aplican, independientemente de la versión del esquema y la versión de la regla de seguridad de conexión.
- Permitir : aplique reglas de seguridad de conexión desde el almacén local, independientemente de las versiones de reglas de seguridad de conexión o esquema.
Reglas de firewall
Puede agregar una o varias reglas de firewall personalizadas. Para obtener más información, vea Agregar reglas de firewall personalizadas para dispositivos Windows.
Las reglas de firewall personalizadas admiten las siguientes opciones:
Configuración general
Nombre
Valor predeterminado: sin nombreEspecifique un nombre descriptivo para la regla. Este nombre aparecerá en la lista de reglas para ayudarle a identificarlo.
Descripción
Valor predeterminado: sin descripciónProporcione una descripción de la regla.
Dirección
Valor predeterminado: no configurado
CSP de firewall: FirewallRules/FirewallRuleName/DirectionEspecifique si esta regla se aplica al tráfico entrante o saliente . Cuando se establece como No configurado, la regla se aplica automáticamente al tráfico saliente.
Action
Valor predeterminado: no configurado
CSP de firewall: FirewallRules/FirewallRuleName/Action y FirewallRules/FirewallRuleName/Action/TypeSeleccione en Permitir o Bloquear. Cuando se establece como No configurado, la regla permite el tráfico de forma predeterminada.
Tipo de red
Valor predeterminado: 0 seleccionado
CSP de firewall: FirewallRules/FirewallRuleName/ProfilesSeleccione hasta tres tipos de tipos de red a los que pertenece esta regla. Las opciones incluyen Dominio, Privado y Público. Si no se selecciona ningún tipo de red, la regla se aplica a los tres tipos de red.
Configuración de aplicaciones
Aplicaciones
Valor predeterminado: TodoControlar las conexiones de una aplicación o programa. Las aplicaciones y programas se pueden especificar por ruta de acceso de archivo, nombre de familia de paquete o nombre de servicio:
Nombre de familia del paquete: especifique un nombre de familia de paquete. Para buscar el nombre de la familia del paquete, use el comando de PowerShell Get-AppxPackage.
CSP de firewall: FirewallRules/FirewallRuleName/App/PackageFamilyNameRuta de acceso de archivo: debe especificar una ruta de acceso de archivo a una aplicación en el dispositivo cliente, que puede ser una ruta de acceso absoluta o una ruta de acceso relativa. Por ejemplo: C:\Windows\System\Notepad.exe o %WINDIR%\Notepad.exe.
CSP de firewall: FirewallRules/FirewallRuleName/App/FilePathServicio de Windows : especifique el nombre corto del servicio de Windows si es un servicio y no una aplicación que envía o recibe tráfico. Para buscar el nombre corto del servicio, use el comando Get-Service de PowerShell.
CSP de firewall: FirewallRules/FirewallRuleName/App/ServiceNameTodo: no se requiere ninguna configuración
Configuración de direcciones IP
Especifique las direcciones locales y remotas a las que se aplica esta regla.
Direcciones locales
Valor predeterminado: cualquier dirección
CSP de firewall: FirewallRules/FirewallRuleName/LocalPortRangesSeleccione Cualquier dirección o Dirección especificada.
Cuando se usa la dirección especificada, se agregan una o varias direcciones como una lista separada por comas de direcciones locales que están cubiertas por la regla. Los tokens válidos incluyen:
- Use un asterisco
*
para cualquier dirección local. Si usa un asterisco, debe ser el único token que use. - Especifique una subred mediante la notación de prefijo de red o la máscara de subred. Si no se especifica una máscara de subred o un prefijo de red, el valor predeterminado de la máscara de subred es 255.255.255.255.
- Una dirección IPv6 válida.
- Intervalo de direcciones IPv4 con el formato de "dirección de inicio - dirección final" sin espacios incluidos.
- Intervalo de direcciones IPv6 con el formato "dirección de inicio - dirección final" sin espacios incluidos.
- Use un asterisco
Direcciones remotas
Valor predeterminado: cualquier dirección
CSP de firewall: FirewallRules/FirewallRuleName/RemoteAddressRangesSeleccione Cualquier dirección o Dirección especificada.
Cuando se usa la dirección especificada, se agregan una o varias direcciones como una lista separada por comas de direcciones remotas que están cubiertas por la regla. Los tokens no distinguen mayúsculas de minúsculas. Los tokens válidos incluyen:
- Use un asterisco "*" para cualquier dirección remota. Si usa un asterisco, debe ser el único token que use.
Defaultgateway
DHCP
DNS
WINS
-
Intranet
(compatible con las versiones 1809 y posteriores de Windows) -
RmtIntranet
(compatible con las versiones 1809 y posteriores de Windows) -
Internet
(compatible con las versiones 1809 y posteriores de Windows) -
Ply2Renders
(compatible con las versiones 1809 y posteriores de Windows) -
LocalSubnet
indica cualquier dirección local en la subred local. - Especifique una subred mediante la notación de prefijo de red o la máscara de subred. Si no se especifica una máscara de subred o un prefijo de red, el valor predeterminado de la máscara de subred es 255.255.255.255.
- Una dirección IPv6 válida.
- Intervalo de direcciones IPv4 con el formato de "dirección de inicio - dirección final" sin espacios incluidos.
- Intervalo de direcciones IPv6 con el formato "dirección de inicio - dirección final" sin espacios incluidos.
Configuración de puertos y protocolos
Especifique los puertos locales y remotos a los que se aplica esta regla.
-
Protocolo
Valor predeterminado: Cualquiera
CSP de firewall: FirewallRules/FirewallRuleName/Protocol
Seleccione una de las siguientes opciones y complete las configuraciones necesarias:- Todo : no hay ninguna configuración disponible.
-
TCP : configure los puertos locales y remotos. Ambas opciones admiten Todos los puertos o Puertos especificados. Escriba Puertos especificados mediante una lista separada por comas.
- Puertos locales : CSP de firewall: FirewallRules/FirewallRuleName/LocalPortRanges
- Puertos remotos : CSP de firewall: FirewallRules/FirewallRuleName/RemotePortRanges
-
UDP : configure puertos locales y remotos. Ambas opciones admiten Todos los puertos o Puertos especificados. Escriba Puertos especificados mediante una lista separada por comas.
- Puertos locales : CSP de firewall: FirewallRules/FirewallRuleName/LocalPortRanges
- Puertos remotos : CSP de firewall: FirewallRules/FirewallRuleName/RemotePortRanges
- Personalizado : especifique un número de protocolo personalizado de 0 a 255.
Configuración avanzada
Tipos de interfaz
Valor predeterminado: 0 seleccionado
CSP de firewall: FirewallRules/FirewallRuleName/InterfaceTypesSeleccione entre las opciones siguientes:
- Acceso remoto
- Inalámbrico
- Red de área local
Permitir solo conexiones de estos usuarios
Valor predeterminado: todos los usuarios (el valor predeterminado es todos los usos cuando no se especifica ninguna lista)
CSP de firewall: FirewallRules/FirewallRuleName/LocalUserAuthorizationListEspecifique una lista de usuarios locales autorizados para esta regla. No se puede especificar una lista de usuarios autorizados si esta regla se aplica a un servicio de Windows.
Microsoft Defender configuración de SmartScreen
Microsoft Edge debe estar instalado en el dispositivo.
SmartScreen para aplicaciones y archivos
Valor predeterminado: no configurado
CSP de SmartScreen: SmartScreen/EnableSmartScreenInShell- No configurado : deshabilita el uso de SmartScreen.
- Habilitar : habilite Windows SmartScreen para la ejecución de archivos y la ejecución de aplicaciones. SmartScreen es un componente anti-phishing y antimalware basado en la nube.
Ejecución de archivos no comprobados
Valor predeterminado: no configurado
CSP de SmartScreen: SmartScreen/PreventOverrideForFilesInShell- No configurado : deshabilita esta característica y permite a los usuarios finales ejecutar archivos que no se han comprobado.
- Bloquear : impedir que los usuarios finales ejecuten archivos que no hayan sido comprobados por Windows SmartScreen.
Cifrado de Windows
Configuración de Windows
Cifrar dispositivos
Valor predeterminado: no configurado
CSP de BitLocker: RequireDeviceEncryption- Requerir: pida a los usuarios que habiliten el cifrado de dispositivos. En función de la edición de Windows y la configuración del sistema, es posible que se pregunte a los usuarios:
- Para confirmar que el cifrado de otro proveedor no está habilitado.
- Debe desactivar el cifrado de unidad de BitLocker y, a continuación, volver a activar BitLocker.
- Sin configurar
Si el cifrado de Windows está activado mientras otro método de cifrado está activo, el dispositivo podría volverse inestable.
- Requerir: pida a los usuarios que habiliten el cifrado de dispositivos. En función de la edición de Windows y la configuración del sistema, es posible que se pregunte a los usuarios:
Configuración base de BitLocker
La configuración base es la configuración universal de BitLocker para todos los tipos de unidades de datos. Estas opciones administran las tareas de cifrado de unidad o las opciones de configuración que el usuario final puede modificar en todos los tipos de unidades de datos.
Advertencia para otro cifrado de disco
Valor predeterminado: no configurado
CSP de BitLocker: AllowWarningForOtherDiskEncryption- Bloquear : deshabilite el aviso de advertencia si hay otro servicio de cifrado de disco en el dispositivo.
- No configurado : permita que se muestre la advertencia para que se muestre otro cifrado de disco.
Sugerencia
Para instalar BitLocker de forma automática y silenciosa en un dispositivo que Microsoft Entra unido y ejecuta Windows 1809 o posterior, esta configuración debe establecerse en Bloquear. Para obtener más información, consulte Habilitación silenciosa de BitLocker en dispositivos.
Cuando se establece en Bloquear, puede configurar el siguiente valor:
Permitir que los usuarios estándar habiliten el cifrado durante Microsoft Entra unión
Esta configuración solo se aplica a Microsoft Entra dispositivos unidos (Azure ADJ) y depende de la configuración anterior,Warning for other disk encryption
.
Valor predeterminado: no configurado
CSP de BitLocker: AllowStandardUserEncryption- Permitir: Standard los usuarios (no administradores) pueden habilitar el cifrado de BitLocker al iniciar sesión.
- No configurado solo los administradores pueden habilitar el cifrado de BitLocker en el dispositivo.
Sugerencia
Para instalar BitLocker de forma automática y silenciosa en un dispositivo que Microsoft Entra unido y ejecuta Windows 1809 o posterior, esta configuración debe establecerse en Permitir. Para obtener más información, consulte Habilitación silenciosa de BitLocker en dispositivos.
Configuración de métodos de cifrado
Valor predeterminado: no configurado
CSP de BitLocker: EncryptionMethodByDriveType- Habilitar : configure algoritmos de cifrado para el sistema operativo, los datos y las unidades extraíbles.
- No configurado : BitLocker usa XTS-AES de 128 bits como método de cifrado predeterminado o usa el método de cifrado especificado por cualquier script de instalación.
Cuando se establece en Habilitar, puede configurar los siguientes valores:
Cifrado para unidades de sistema operativo
Valor predeterminado: XTS-AES de 128 bitsElija el método de cifrado para las unidades del sistema operativo. Se recomienda usar el algoritmo XTS-AES.
- AES-CBC de 128 bits
- AES-CBC de 256 bits
- XTS-AES de 128 bits
- XTS-AES de 256 bits
Cifrado de unidades de datos fijas
Valor predeterminado: AES-CBC de 128 bitsElija el método de cifrado para las unidades de datos fijas (integradas). Se recomienda usar el algoritmo XTS-AES.
- AES-CBC de 128 bits
- AES-CBC de 256 bits
- XTS-AES de 128 bits
- XTS-AES de 256 bits
Cifrado para unidades de datos extraíbles
Valor predeterminado: AES-CBC de 128 bitsElija el método de cifrado para las unidades de datos extraíbles. Si la unidad extraíble se usa con dispositivos que no ejecutan Windows 10/11, se recomienda usar el algoritmo AES-CBC.
- AES-CBC de 128 bits
- AES-CBC de 256 bits
- XTS-AES de 128 bits
- XTS-AES de 256 bits
Configuración de la unidad del sistema operativo BitLocker
Esta configuración se aplica específicamente a las unidades de datos del sistema operativo.
Autenticación adicional al inicio
Valor predeterminado: no configurado
CSP de BitLocker: SystemDrivesRequireStartupAuthentication- Requerir : configure los requisitos de autenticación para el inicio del equipo, incluido el uso del módulo de plataforma segura (TPM).
- No configurado : configure solo las opciones básicas en dispositivos con un TPM.
Cuando se establece en Requerir, puede configurar los siguientes valores:
BitLocker con chip TPM no compatible
Valor predeterminado: no configurado- Bloquear : deshabilita el uso de BitLocker cuando un dispositivo no tiene un chip TPM compatible.
- No configurado : los usuarios pueden usar BitLocker sin un chip TPM compatible. BitLocker puede requerir una contraseña o una clave de inicio.
Inicio de TPM compatible
Valor predeterminado: Permitir TPMConfigure si se permite tpm, se requiere o no se permite.
- Permitir TPM
- No permitir TPM
- Requerir TPM
PIN de inicio de TPM compatible
Valor predeterminado: permitir el PIN de inicio con TPMElija permitir, no permitir o requerir el uso de un PIN de inicio con el chip TPM. La habilitación de un PIN de inicio requiere la interacción del usuario final.
- Permitir el PIN de inicio con TPM
- No permitir el PIN de inicio con TPM
- Requerir PIN de inicio con TPM
Sugerencia
Para instalar BitLocker de forma automática y silenciosa en un dispositivo que Microsoft Entra unido y ejecuta Windows 1809 o posterior, esta configuración no debe establecerse en Requerir PIN de inicio con TPM. Para obtener más información, consulte Habilitación silenciosa de BitLocker en dispositivos.
Clave de inicio de TPM compatible
Valor predeterminado: permitir la clave de inicio con TPMElija permitir, no permitir o requerir el uso de una clave de inicio con el chip TPM. La habilitación de una clave de inicio requiere la interacción del usuario final.
- Permitir clave de inicio con TPM
- No permitir la clave de inicio con TPM
- Requerir clave de inicio con TPM
Sugerencia
Para instalar BitLocker de forma automática y silenciosa en un dispositivo que Microsoft Entra unido y ejecuta Windows 1809 o posterior, esta configuración no debe establecerse en Requerir clave de inicio con TPM. Para obtener más información, consulte Habilitación silenciosa de BitLocker en dispositivos.
Clave de inicio y PIN de TPM compatibles
Valor predeterminado: permitir la clave de inicio y el PIN con TPMElija permitir, no permitir o requerir el uso de una clave de inicio y un PIN con el chip TPM. La habilitación de la clave de inicio y el PIN requiere la interacción del usuario final.
- Permitir clave de inicio y PIN con TPM
- No permitir la clave de inicio y el PIN con TPM
- Requerir clave de inicio y PIN con TPM
Sugerencia
Para instalar BitLocker de forma automática y silenciosa en un dispositivo que Microsoft Entra unido y ejecuta Windows 1809 o posterior, esta configuración no debe establecerse en Requerir clave de inicio y PIN con TPM. Para obtener más información, consulte Habilitación silenciosa de BitLocker en dispositivos.
Longitud mínima del PIN
Valor predeterminado: no configurado
CSP de BitLocker: SystemDrivesMinimumPINLength- Habilitar Configure una longitud mínima para el PIN de inicio de TPM.
- No configurado : los usuarios pueden configurar un PIN de inicio de cualquier longitud entre 6 y 20 dígitos.
Cuando se establece en Habilitar, puede configurar la siguiente configuración:
Caracteres mínimos
Valor predeterminado: CSP de BitLocker no configurado : SystemDrivesMinimumPINLengthEscriba el número de caracteres necesarios para el PIN de inicio de 4-a 20.
Recuperación de unidad del sistema operativo
Valor predeterminado: no configurado
CSP de BitLocker: SystemDrivesRecoveryOptions- Habilitar : controlar cómo se recuperan las unidades del sistema operativo protegidas por BitLocker cuando la información de inicio necesaria no está disponible.
- No configurado : se admiten las opciones de recuperación predeterminadas, incluido DRA. El usuario final puede especificar opciones de recuperación. No se hace una copia de seguridad de la información de recuperación en AD DS.
Cuando se establece en Habilitar, puede configurar los siguientes valores:
Agente de recuperación de datos basado en certificados
Valor predeterminado: no configurado- Bloquear : impedir el uso del agente de recuperación de datos con unidades de sistema operativo protegidas por BitLocker.
- No configurado : permite que los agentes de recuperación de datos se usen con unidades de sistema operativo protegidas por BitLocker.
Creación por parte del usuario de la contraseña de recuperación
Valor predeterminado: permitir la contraseña de recuperación de 48 dígitosElija si se permite, requiere o no a los usuarios generar una contraseña de recuperación de 48 dígitos.
- Permitir contraseña de recuperación de 48 dígitos
- No permitir la contraseña de recuperación de 48 dígitos
- Requerir contraseña de recuperación de 48 dígitos
Creación de la clave de recuperación por parte del usuario
Valor predeterminado: permitir la clave de recuperación de 256 bitsElija si se permite, requiere o no a los usuarios generar una clave de recuperación de 256 bits.
- Permitir clave de recuperación de 256 bits
- No permitir la clave de recuperación de 256 bits
- Requerir clave de recuperación de 256 bits
Opciones de recuperación en el Asistente para la instalación de BitLocker
Valor predeterminado: no configurado- Bloquear : los usuarios no pueden ver ni cambiar las opciones de recuperación. Cuando se establece en
- No configurado : los usuarios pueden ver y cambiar las opciones de recuperación cuando activen BitLocker.
Guardar información de recuperación de BitLocker en Microsoft Entra ID
Valor predeterminado: no configurado- Habilitar: almacene la información de recuperación de BitLocker para Microsoft Entra ID.
- No configurado: la información de recuperación de BitLocker no se almacena en Microsoft Entra ID.
Información de recuperación de BitLocker almacenada en Microsoft Entra ID
Valor predeterminado: contraseñas de recuperación de copia de seguridad y paquetes de clavesConfigure qué partes de la información de recuperación de BitLocker se almacenan en Microsoft Entra ID. Elija entre:
- Contraseñas de recuperación de copia de seguridad y paquetes de claves
- Solo contraseñas de recuperación de copia de seguridad
Rotación de contraseñas de recuperación controlada por el cliente
Valor predeterminado: no configurado
CSP de BitLocker: ConfigureRecoveryPasswordRotationEsta configuración inicia una rotación de contraseñas de recuperación controlada por el cliente después de una recuperación de unidad del sistema operativo (ya sea mediante bootmgr o WinRE).
- No configurado
- Rotación de claves deshabilitada
- Rotación de claves habilitada para Microsoft Entra deices unidas
- Rotación de claves habilitada para dispositivos unidos a Microsoft Entra ID y híbridos
Almacenar información de recuperación en Microsoft Entra ID antes de habilitar BitLocker
Valor predeterminado: no configuradoImpedir que los usuarios habiliten BitLocker a menos que el equipo realice una copia de seguridad correcta de la información de recuperación de BitLocker para Microsoft Entra ID.
- Requerir: impedir que los usuarios activen BitLocker a menos que la información de recuperación de BitLocker se almacene correctamente en Microsoft Entra ID.
- No configurado: los usuarios pueden activar BitLocker, incluso si la información de recuperación no se almacena correctamente en Microsoft Entra ID.
Mensaje y dirección URL de la recuperación previa al arranque
Valor predeterminado: no configurado
CSP de BitLocker: SystemDrivesRecoveryMessage- Habilitar : configure el mensaje y la dirección URL que se muestran en la pantalla de recuperación de claves previa al arranque.
- No configurado : deshabilite esta característica.
Cuando se establece en Habilitar, puede configurar la siguiente configuración:
Mensaje de recuperación previa al arranque
Valor predeterminado: use el mensaje de recuperación y la dirección URL predeterminadosConfigure cómo se muestra el mensaje de recuperación antes del arranque a los usuarios. Elija entre:
- Usar la dirección URL y el mensaje de recuperación predeterminados
- Uso de un mensaje de recuperación vacío y una dirección URL
- Uso de un mensaje de recuperación personalizado
- Uso de la dirección URL de recuperación personalizada
Configuración fija de la unidad de datos de BitLocker
Esta configuración se aplica específicamente a las unidades de datos fijas.
Acceso de escritura a una unidad de datos fija no protegida por BitLocker
Valor predeterminado: no configurado
CSP de BitLocker: FixedDrivesRequireEncryption- Bloquear : proporcione acceso de solo lectura a las unidades de datos que no estén protegidas por BitLocker.
- No configurado : de forma predeterminada, el acceso de lectura y escritura a las unidades de datos que no están cifradas.
Recuperación de unidad fija
Valor predeterminado: no configurado
CSP de BitLocker: FixedDrivesRecoveryOptions- Habilitar : controlar cómo se recuperan las unidades fijas protegidas por BitLocker cuando la información de inicio necesaria no está disponible.
- No configurado : deshabilite esta característica.
Cuando se establece en Habilitar, puede configurar los siguientes valores:
Agente de recuperación de datos
Valor predeterminado: no configurado- Bloquear: impedir el uso del agente de recuperación de datos con la directiva de unidades fijas protegidas por BitLocker Editor.
- No configurado : permite el uso de agentes de recuperación de datos con unidades fijas protegidas por BitLocker.
Creación por parte del usuario de la contraseña de recuperación
Valor predeterminado: permitir la contraseña de recuperación de 48 dígitosElija si se permite, requiere o no a los usuarios generar una contraseña de recuperación de 48 dígitos.
- Permitir contraseña de recuperación de 48 dígitos
- No permitir la contraseña de recuperación de 48 dígitos
- Requerir contraseña de recuperación de 48 dígitos
Creación de la clave de recuperación por parte del usuario
Valor predeterminado: permitir la clave de recuperación de 256 bitsElija si se permite, requiere o no a los usuarios generar una clave de recuperación de 256 bits.
- Permitir clave de recuperación de 256 bits
- No permitir la clave de recuperación de 256 bits
- Requerir clave de recuperación de 256 bits
Opciones de recuperación en el Asistente para la instalación de BitLocker
Valor predeterminado: no configurado- Bloquear : los usuarios no pueden ver ni cambiar las opciones de recuperación. Cuando se establece en
- No configurado : los usuarios pueden ver y cambiar las opciones de recuperación cuando activen BitLocker.
Guardar información de recuperación de BitLocker en Microsoft Entra ID
Valor predeterminado: no configurado- Habilitar: almacene la información de recuperación de BitLocker para Microsoft Entra ID.
- No configurado: la información de recuperación de BitLocker no se almacena en Microsoft Entra ID.
Información de recuperación de BitLocker almacenada en Microsoft Entra ID
Valor predeterminado: contraseñas de recuperación de copia de seguridad y paquetes de clavesConfigure qué partes de la información de recuperación de BitLocker se almacenan en Microsoft Entra ID. Elija entre:
- Contraseñas de recuperación de copia de seguridad y paquetes de claves
- Solo contraseñas de recuperación de copia de seguridad
Almacenar información de recuperación en Microsoft Entra ID antes de habilitar BitLocker
Valor predeterminado: no configuradoImpedir que los usuarios habiliten BitLocker a menos que el equipo realice una copia de seguridad correcta de la información de recuperación de BitLocker para Microsoft Entra ID.
- Requerir: impedir que los usuarios activen BitLocker a menos que la información de recuperación de BitLocker se almacene correctamente en Microsoft Entra ID.
- No configurado: los usuarios pueden activar BitLocker, incluso si la información de recuperación no se almacena correctamente en Microsoft Entra ID.
Configuración de unidad de datos extraíble de BitLocker
Esta configuración se aplica específicamente a las unidades de datos extraíbles.
Acceso de escritura a una unidad de datos extraíble no protegida por BitLocker
Valor predeterminado: no configurado
CSP de BitLocker: RemovableDrivesRequireEncryption- Bloquear : proporcione acceso de solo lectura a las unidades de datos que no estén protegidas por BitLocker.
- No configurado : de forma predeterminada, el acceso de lectura y escritura a las unidades de datos que no están cifradas.
Cuando se establece en Habilitar, puede configurar la siguiente configuración:
Acceso de escritura a dispositivos configurados en otra organización
Valor predeterminado: no configurado- Bloquear : bloquee el acceso de escritura a los dispositivos configurados en otra organización.
- No configurado : denegar el acceso de escritura.
Microsoft Defender Protección contra vulnerabilidades de seguridad
Use la protección contra vulnerabilidades de seguridad para administrar y reducir la superficie expuesta a ataques de las aplicaciones usadas por los empleados.
Reducción de la superficie expuesta a ataques
Las reglas de reducción de superficie expuesta a ataques ayudan a evitar comportamientos que el malware suele usar para infectar equipos con código malintencionado.
Reglas de reducción de superficie expuesta a ataques
Para obtener más información, consulte Reglas de reducción de superficie expuesta a ataques en la documentación de Microsoft Defender para punto de conexión.
Comportamiento de combinación de las reglas de reducción de superficie expuesta a ataques en Intune:
Las reglas de reducción de superficie expuesta a ataques admiten una fusión de la configuración de diferentes directivas para crear un superconjunto de directivas para cada dispositivo. Solo se combinan los valores que no están en conflicto, mientras que los valores que están en conflicto no se agregan al superconjunto de reglas. Anteriormente, si dos directivas incluían conflictos para una sola configuración, ambas directivas se marcaban como en conflicto y no se implementaría ninguna configuración de ninguno de los perfiles.
El comportamiento de combinación de reglas de reducción de superficie expuesta a ataques es el siguiente:
- Las reglas de reducción de superficie expuesta a ataques de los perfiles siguientes se evalúan para cada dispositivo al que se aplican las reglas:
- Directiva de configuración > de dispositivos > Perfil > de Endpoint Protection Microsoft Defender Reducción de superficie expuesta a ataques de Protección contra vulnerabilidades >
- Directiva de reducción de superficie expuesta a ataques de seguridad > de puntos de conexión Reglas de reducción> de superficie expuesta a ataques
- Líneas base de seguridad > de punto de conexión Microsoft Defender para punto de conexión reglas de reducción de superficie expuesta a ataques> de línea base>.
- La configuración que no tiene conflictos se agrega a un superconjunto de directivas para el dispositivo.
- Cuando dos o más directivas tienen configuraciones en conflicto, la configuración en conflicto no se agrega a la directiva combinada. La configuración que no entra en conflicto se agrega a la directiva de superconjunto que se aplica a un dispositivo.
- Solo se retienen las configuraciones de configuración en conflicto.
Configuración de este perfil:
Marca de robo de credenciales del subsistema de autoridad de seguridad local de Windows
Valor predeterminado: no configurado
Regla: Bloquear el robo de credenciales del subsistema de autoridad de seguridad local de Windows (lsass.exe)Ayuda a evitar acciones y aplicaciones que suelen usar el malware que busca vulnerabilidades de seguridad para infectar máquinas.
- Sin configurar
- Habilitar : marca el robo de credenciales del subsistema de autoridad de seguridad local de Windows (lsass.exe).
- Solo auditoría
Creación de procesos desde Adobe Reader (beta)
Valor predeterminado: no configurado
Regla: Impedir que Adobe Reader cree procesos secundarios- Sin configurar
- Habilitar : bloquee los procesos secundarios creados a partir de Adobe Reader.
- Solo auditoría
Reglas para evitar amenazas de macro de Office
Impedir que las aplicaciones de Office realicen las siguientes acciones:
Aplicaciones de Office que se insertan en otros procesos (sin excepciones)
Valor predeterminado: no configurado
Regla: Impedir que las aplicaciones de Office inserten código en otros procesos- Sin configurar
- Bloquear : impedir que las aplicaciones de Office se inserten en otros procesos.
- Solo auditoría
Aplicaciones o macros de Office que crean contenido ejecutable
Valor predeterminado: no configurado
Regla: Impedir que las aplicaciones de Office creen contenido ejecutable- Sin configurar
- Bloquear : impedir que las aplicaciones y macros de Office creen contenido ejecutable.
- Solo auditoría
Aplicaciones de Office que inician procesos secundarios
Valor predeterminado: no configurado
Regla: Impedir que todas las aplicaciones de Office creen procesos secundarios- Sin configurar
- Bloquear : impedir que las aplicaciones de Office inicien procesos secundarios.
- Solo auditoría
Importación de Win32 desde el código de macro de Office
Valor predeterminado: no configurado
Regla: Bloquear llamadas API win32 desde macros de Office- Sin configurar
- Bloquear : bloquee las importaciones de Win32 desde el código de macro en Office.
- Solo auditoría
Creación de procesos a partir de productos de comunicación de Office
Valor predeterminado: no configurado
Regla: Impedir que la aplicación de comunicación de Office cree procesos secundarios- Sin configurar
- Habilitar : bloquear la creación de procesos secundarios desde aplicaciones de comunicaciones de Office.
- Solo auditoría
Reglas para evitar amenazas de script
Bloquee lo siguiente para evitar amenazas de script:
Código de js/vbs/ps/macro ofuscado
Valor predeterminado: no configurado
Regla: Bloquear la ejecución de scripts potencialmente ofuscados- Sin configurar
- Bloquear : bloquee cualquier código de js/vbs/ps/macro ofuscado.
- Solo auditoría
js/vbs que ejecuta la carga descargada de Internet (sin excepciones)
Valor predeterminado: no configurado
Regla: Impedir que JavaScript o VBScript inicien contenido ejecutable descargado- Sin configurar
- Bloquear : impide que js/vbs ejecute la carga descargada desde Internet.
- Solo auditoría
Creación de procesos a partir de comandos PSExec y WMI
Valor predeterminado: no configurado
Regla: Bloquear las creaciones de procesos que se originen a partir de comandos PSExec y WMI- Sin configurar
- Bloquear : bloquee las creaciones de procesos que se originen a partir de comandos PSExec y WMI.
- Solo auditoría
Se ejecuten desde una unidad USB procesos no firmados y que no sean de confianza
Valor predeterminado: no configurado
Regla: Bloquear procesos que no son de confianza y no firmados que se ejecutan desde USB- Sin configurar
- Bloquear : bloquee los procesos que no son de confianza y no firmados que se ejecutan desde USB.
- Solo auditoría
Ejecutables que no cumplen un criterio de prevalencia, edad o lista de confianza
Valor predeterminado: no configurado
Regla: Impedir que los archivos ejecutables se ejecuten a menos que cumplan un criterio de prevalencia, edad o lista de confianza- Sin configurar
- Bloquear : impedir que los archivos ejecutables se ejecuten a menos que cumplan un criterio de prevalencia, edad o lista de confianza.
- Solo auditoría
Reglas para evitar amenazas de correo electrónico
Bloquee lo siguiente para evitar amenazas por correo electrónico:
Ejecución de contenido ejecutable (exe, dll, ps, js, vbs, etc.) eliminado del correo electrónico (cliente de correo web/correo) (sin excepciones)
Valor predeterminado: no configurado
Regla: Bloquear el contenido ejecutable del cliente de correo electrónico y el correo web- Sin configurar
- Bloquear : bloquear la ejecución de contenido ejecutable (exe, dll, ps, js, vbs, etc.) eliminado del correo electrónico (webmail/mail-client).
- Solo auditoría
Reglas para protegerse contra ransomware
Protección avanzada contra ransomware
Valor predeterminado: no configurado
Regla: Uso de la protección avanzada contra ransomware- Sin configurar
- Habilitar : use una protección contra ransomware agresiva.
- Solo auditoría
Excepciones de reducción de superficie expuesta a ataques
Archivos y carpetas que se van a excluir de las reglas de reducción de superficie expuesta a ataques
CSP de Defender: AttackSurfaceReductionOnlyExclusions- Importe un archivo .csv que contenga archivos y carpetas para excluir de las reglas de reducción de la superficie expuesta a ataques.
- Agregue archivos o carpetas locales manualmente.
Importante
Para permitir la instalación y ejecución correctas de aplicaciones lob Win32, la configuración de antimalware debe excluir los siguientes directorios para que no se analicen:
En máquinas cliente X64:
C:\Archivos de programa (x86)\Microsoft Intune Extensión de administración\Contenido
C:\windows\IMECache
En máquinas cliente X86:
C:\Archivos de programa\Microsoft Intune Extensión de administración\Contenido
C:\windows\IMECache
Para obtener más información, consulte Recomendaciones de detección de virus para equipos enterprise que ejecutan versiones compatibles actualmente de Windows.
Acceso controlado a carpetas
Ayuda a proteger datos valiosos de aplicaciones y amenazas malintencionadas, como ransomware.
Protección de carpetas
Valor predeterminado: no configurado
CSP de Defender: EnableControlledFolderAccessProteja archivos y carpetas de cambios no autorizados mediante aplicaciones poco amigables.
- Sin configurar
- Enable
- Solo auditoría
- Bloquear modificación de disco
- Auditar la modificación del disco
Al seleccionar una configuración distinta de No configurada, puede configurar:
Lista de aplicaciones que tienen acceso a carpetas protegidas
CSP de Defender: ControlledFolderAccessAllowedApplications- Importe un archivo .csv que contenga una lista de aplicaciones.
- Agregue aplicaciones a esta lista manualmente.
Lista de carpetas adicionales que deben protegerse
CSP de Defender: ControlledFolderAccessProtectedFolders- Importe un archivo .csv que contenga una lista de carpetas.
- Agregue carpetas a esta lista manualmente.
Filtrado de red
Bloquee las conexiones salientes desde cualquier aplicación a direcciones IP o dominios con baja reputación. El filtrado de red se admite en los modos Audit y Block.
Protección de red
Valor predeterminado: no configurado
CSP de Defender: EnableNetworkProtectionLa intención de esta configuración es proteger a los usuarios finales de aplicaciones con acceso a estafas de phishing, sitios de hospedaje de vulnerabilidades de seguridad y contenido malintencionado en Internet. También impide que los exploradores de terceros se conecten a sitios peligrosos.
- No configurado : deshabilite esta característica. No se impide que los usuarios y las aplicaciones se conecten a dominios peligrosos. Los administradores no pueden ver esta actividad en Centro de seguridad de Microsoft Defender.
- Habilitar : active la protección de red y bloquee la conexión de usuarios y aplicaciones a dominios peligrosos. Los administradores pueden ver esta actividad en Centro de seguridad de Microsoft Defender.
- Solo auditoría: los usuarios y las aplicaciones no están bloqueados para conectarse a dominios peligrosos. Los administradores pueden ver esta actividad en Centro de seguridad de Microsoft Defender.
Protección contra vulnerabilidades de seguridad
Carga de XML
Valor predeterminado: no configuradoPara usar protección contra vulnerabilidades de seguridad para proteger los dispositivos frente a vulnerabilidades de seguridad, cree un archivo XML que incluya la configuración de mitigación del sistema y la aplicación que desee. Hay dos métodos para crear el archivo XML:
PowerShell : use uno o varios cmdlets de PowerShell Get-ProcessMitigation, Set-ProcessMitigation y ConvertTo-ProcessMitigationPolicy . Los cmdlets configuran las opciones de mitigación y exportan una representación XML de ellas.
Centro de seguridad de Microsoft Defender UI: en el Centro de seguridad de Microsoft Defender, seleccione App & browser control (Aplicación & control del explorador) y desplácese hasta la parte inferior de la pantalla resultante para buscar Protección contra vulnerabilidades. En primer lugar, use las pestañas Configuración del sistema y Configuración del programa para configurar las opciones de mitigación. A continuación, busque el vínculo Exportar configuración en la parte inferior de la pantalla para exportar una representación XML de ellos.
Edición del usuario de la interfaz de protección contra vulnerabilidades de seguridad
Valor predeterminado: no configurado
CSP de ExploitGuard: ExploitProtectionSettings- Bloquear : cargue un archivo XML que le permita configurar restricciones de directivas, flujo de control y memoria. La configuración del archivo XML se puede usar para bloquear las vulnerabilidades de seguridad de una aplicación.
- No configurado : no se usa ninguna configuración personalizada.
control de aplicación Microsoft Defender
Elija las aplicaciones que se auditarán mediante o que sean de confianza para que las ejecute Microsoft Defender Control de aplicaciones. Los componentes de Windows y todas las aplicaciones de la Tienda Windows son de confianza para ejecutarse automáticamente.
Directivas de integridad de código de control de aplicaciones
Valor predeterminado: no configurado
CSP: CSP de AppLockerAplicar : elija las directivas de integridad de código de control de aplicaciones para los dispositivos de los usuarios.
Después de habilitarse en un dispositivo, el control de aplicaciones solo se puede deshabilitar cambiando el modo de Aplicarsolo a Auditoría. Al cambiar el modo de Aplicar a No configurado , el control de aplicaciones se sigue aplicando en los dispositivos asignados.
No configurado : el control de aplicaciones no se agrega a los dispositivos. Sin embargo, la configuración que se agregó anteriormente se sigue aplicando en los dispositivos asignados.
Solo auditoría : las aplicaciones no están bloqueadas. Todos los eventos se registran en los registros del cliente local.
Nota:
Si usa esta configuración, el comportamiento de CSP de AppLocker pide actualmente al usuario final que reinicie su equipo cuando se implemente una directiva.
Microsoft Defender Credential Guard
Microsoft Defender Credential Guard protege contra ataques de robo de credenciales. Aísla los secretos para que solo el software del sistema con privilegios pueda acceder a ellos.
Credential Guard
Valor predeterminado: Deshabilitar
DeviceGuard CSPDeshabilitar : desactive Credential Guard de forma remota, si se ha activado anteriormente con la opción Habilitado sin bloqueo UEFI .
Habilitar con bloqueo UEFI : Credential Guard no se puede deshabilitar de forma remota mediante una clave del Registro o una directiva de grupo.
Nota:
Si usa esta configuración y, después, quiere deshabilitar Credential Guard, debe establecer el directiva de grupo en Deshabilitado. Además, borre físicamente la información de configuración de UEFI de cada equipo. Siempre que la configuración de UEFI persista, Credential Guard está habilitado.
Habilitar sin bloqueo UEFI: permite que Credential Guard se deshabilite de forma remota mediante directiva de grupo. Los dispositivos que usan esta configuración deben ejecutarse Windows 10 versión 1511 y posteriores o Windows 11.
Al habilitar Credential Guard, también se habilitan las siguientes características necesarias:
-
Seguridad basada en virtualización (VBS)
Se activa durante el siguiente reinicio. La seguridad basada en virtualización usa el hipervisor de Windows para proporcionar compatibilidad con los servicios de seguridad. -
Arranque seguro con acceso a memoria de directorio
Activa VBS con protección de arranque seguro y acceso directo a memoria (DMA). Las protecciones DMA requieren compatibilidad con hardware y solo están habilitadas en dispositivos configurados correctamente.
Centro de seguridad de Microsoft Defender
Centro de seguridad de Microsoft Defender funciona como una aplicación o proceso independiente de cada una de las características individuales. Muestra notificaciones a través del Centro de acciones. Actúa como recopilador o lugar único para ver el estado y ejecutar alguna configuración para cada una de las características. Obtenga más información en la documentación de Microsoft Defender.
Centro de seguridad de Microsoft Defender aplicación y notificaciones
Bloquear el acceso del usuario final a las distintas áreas de la aplicación Centro de seguridad de Microsoft Defender. Ocultar una sección también bloquea las notificaciones relacionadas.
Protección contra virus y amenazas
Valor predeterminado: no configurado
CSP de WindowsDefenderSecurityCenter: DisableVirusUIConfigure si los usuarios finales pueden ver el área de protección contra virus y amenazas en el Centro de seguridad de Microsoft Defender. Ocultar esta sección también bloqueará todas las notificaciones relacionadas con virus y protección contra amenazas.
- Sin configurar
- Hide
Protección contra ransomware
Valor predeterminado: no configurado
CSP de WindowsDefenderSecurityCenter: HideRansomwareDataRecoveryConfigure si los usuarios finales pueden ver el área de protección contra ransomware en el Centro de seguridad de Microsoft Defender. Ocultar esta sección también bloqueará todas las notificaciones relacionadas con la protección contra ransomware.
- Sin configurar
- Hide
Protección de cuentas
Valor predeterminado: no configurado
CSP de WindowsDefenderSecurityCenter: DisableAccountProtectionUIConfigure si los usuarios finales pueden ver el área Protección de la cuenta en el Centro de seguridad de Microsoft Defender. Ocultar esta sección también bloqueará todas las notificaciones relacionadas con la protección de la cuenta.
- Sin configurar
- Hide
Firewall y protección de red
Valor predeterminado: no configurado
CSP de WindowsDefenderSecurityCenter: DisableNetworkUIConfigure si los usuarios finales pueden ver el firewall y el área de protección de red en Microsoft Defender Security Center. Ocultar esta sección también bloqueará todas las notificaciones relacionadas con el firewall y la protección de red.
- Sin configurar
- Hide
Control de aplicación y explorador
Valor predeterminado: no configurado
CSP de WindowsDefenderSecurityCenter: DisableAppBrowserUIConfigure si los usuarios finales pueden ver el área de control Aplicación y explorador en Microsoft Defender Security Center. Ocultar esta sección también bloqueará todas las notificaciones relacionadas con la aplicación y el control del explorador.
- Sin configurar
- Hide
Protección de hardware
Valor predeterminado: no configurado
CSP de WindowsDefenderSecurityCenter: DisableDeviceSecurityUIConfigure si los usuarios finales pueden ver el área Protección de hardware en el Centro de seguridad de Microsoft Defender. Ocultar esta sección también bloqueará todas las notificaciones relacionadas con la protección de hardware.
- Sin configurar
- Hide
Rendimiento y estado del dispositivo
Valor predeterminado: no configurado
CSP de WindowsDefenderSecurityCenter: DisableHealthUIConfigure si los usuarios finales pueden ver el área Rendimiento y estado del dispositivo en Microsoft Defender Security Center. Ocultar esta sección también bloqueará todas las notificaciones relacionadas con el rendimiento y el estado del dispositivo.
- Sin configurar
- Hide
Opciones de familia
Valor predeterminado: no configurado
CSP de WindowsDefenderSecurityCenter: DisableFamilyUIConfigure si los usuarios finales pueden ver el área Opciones de familia en Microsoft Defender Security Center. Si oculta esta sección, también se bloquearán todas las opciones relacionadas con las notificaciones relacionadas con la familia.
- Sin configurar
- Hide
Notificaciones de las áreas mostradas de la aplicación
Valor predeterminado: no configurado
CSP de WindowsDefenderSecurityCenter: DisableNotificationsElija qué notificaciones se mostrarán a los usuarios finales. Las notificaciones no críticas incluyen resúmenes de Microsoft Defender actividad antivirus, incluidas las notificaciones cuando se han completado los exámenes. Todas las demás notificaciones se consideran críticas.
- Sin configurar
- Bloquear notificaciones no críticas
- Bloquear todas las notificaciones
icono del centro de Seguridad de Windows en la bandeja del sistema
Valor predeterminado: CSP de WindowsDefenderSecurityCenter no configurado: HideWindowsSecurityNotificationAreaControlConfigure la visualización del control de área de notificación. El usuario debe cerrar sesión e iniciar sesión o reiniciar el equipo para que esta configuración surta efecto.
- Sin configurar
- Hide
Botón Borrar TPM
Valor predeterminado: CSP de WindowsDefenderSecurityCenter no configurado: DisableClearTpmButtonConfigure la visualización del botón Borrar TPM.
- Sin configurar
- Disable
Advertencia de actualización de firmware de TPM
Valor predeterminado: CSP de WindowsDefenderSecurityCenter no configurado: DisableTpmFirmwareUpdateWarningConfigure la visualización del firmware de TPM de actualización cuando se detecte un firmware vulnerable.
- Sin configurar
- Hide
Protección contra alteraciones
Valor predeterminado: no configuradoActive o desactive la protección contra alteraciones en los dispositivos. Para usar Tamper Protection, debe integrar Microsoft Defender para punto de conexión con Intune y tener Enterprise Mobility + Security licencias E5.
- No configurado : no se realiza ningún cambio en la configuración del dispositivo.
- Habilitado : la protección contra alteraciones está activada y se aplican restricciones en los dispositivos.
- Deshabilitado : la protección contra alteraciones está desactivada y no se aplican restricciones.
Información de contacto de TI
Proporcione información de contacto de TI para que aparezca en la aplicación Centro de seguridad de Microsoft Defender y en las notificaciones de la aplicación.
Puede elegir Mostrar en la aplicación y en las notificaciones, Mostrar solo en la aplicación, Mostrar solo en notificaciones o No mostrar. Escriba el nombre de la organización de TI y al menos una de las siguientes opciones de contacto:
Información de contacto de TI
Valor predeterminado: No mostrar
CSP de WindowsDefenderSecurityCenter: EnableCustomizedToastsConfigure dónde mostrar información de contacto de TI a los usuarios finales.
- Mostrar en la aplicación y en las notificaciones
- Mostrar solo en la aplicación
- Mostrar solo en notificaciones
- No mostrar
Cuando esté configurado para mostrarse, puede configurar los siguientes valores:
Nombre de la organización de TI
Valor predeterminado: no configurado
CSP de WindowsDefenderSecurityCenter: CompanyNameNúmero de teléfono del departamento de TI o identificador de Skype
Valor predeterminado: no configurado
CSP de WindowsDefenderSecurityCenter: TeléfonoDirección de correo electrónico del departamento de TI
Valor predeterminado: no configurado
CSP de WindowsDefenderSecurityCenter: EmailDIRECCIÓN URL del sitio web de soporte técnico de TI
Valor predeterminado: no configurado
CSP de WindowsDefenderSecurityCenter: DIRECCIÓN URL
Opciones de seguridad de dispositivos locales
Use estas opciones para configurar los valores de seguridad locales en dispositivos Windows 10/11.
Cuentas
Agregar nuevas cuentas de Microsoft
Valor predeterminado: no configurado
CSP LocalPoliciesSecurityOptions: Accounts_BlockMicrosoftAccounts- Bloquear Impedir que los usuarios agreguen nuevas cuentas de Microsoft al dispositivo.
- No configurado : los usuarios pueden usar cuentas de Microsoft en el dispositivo.
Inicio de sesión remoto sin contraseña
Valor predeterminado: no configurado
CSP LocalPoliciesSecurityOptions: Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly- Bloquear : permite que solo las cuentas locales con contraseñas en blanco inicien sesión con el teclado del dispositivo.
- No configurado : permite que las cuentas locales con contraseñas en blanco inicien sesión desde ubicaciones distintas del dispositivo físico.
Admin
Cuenta de administrador local
Valor predeterminado: no configurado
CSP LocalPoliciesSecurityOptions: Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly- Bloquear Impedir el uso de una cuenta de administrador local.
- Sin configurar
Cambiar el nombre de la cuenta de administrador
Valor predeterminado: no configurado
CSP LocalPoliciesSecurityOptions: Accounts_RenameAdministratorAccountDefina un nombre de cuenta diferente que se asociará con el identificador de seguridad (SID) de la cuenta "Administrador".
Guest
Cuenta de invitado
Valor predeterminado: no configurado
CSP LocalPoliciesSecurityOptions: LocalPoliciesSecurityOptions- Bloquear : impedir el uso de una cuenta de invitado.
- Sin configurar
Cambiar el nombre de la cuenta de invitado
Valor predeterminado: no configurado
CSP LocalPoliciesSecurityOptions: Accounts_RenameGuestAccountDefina un nombre de cuenta diferente que se asociará con el identificador de seguridad (SID) de la cuenta "Invitado".
Dispositivos
Desacoplar el dispositivo sin inicio de sesión
Valor predeterminado: no configurado
CSP LocalPoliciesSecurityOptions: Devices_AllowUndockWithoutHavingToLogon- Bloquear : un usuario debe iniciar sesión en el dispositivo y recibir permiso para desacoplar el dispositivo.
- No configurado : los usuarios pueden presionar el botón de expulsión física de un dispositivo portátil acoplado para desacoplar el dispositivo de forma segura.
Instalación de controladores de impresora para impresoras compartidas
Valor predeterminado: no configurado
CSP LocalPoliciesSecurityOptions: Devices_PreventUsersFromInstallingPrinterDriversWhenConnectingToSharedPrinters- Habilitado : cualquier usuario puede instalar un controlador de impresora como parte de la conexión a una impresora compartida.
- No configurado : solo los administradores pueden instalar un controlador de impresora como parte de la conexión a una impresora compartida.
Restricción del acceso de CD-ROM al usuario activo local
Valor predeterminado: no configurado
CSP: Devices_RestrictCDROMAccessToLocallyLoggedOnUserOnly- Habilitado : solo el usuario que ha iniciado sesión interactivamente puede usar los medios de CD-ROM. Si esta directiva está habilitada y no se ha iniciado sesión de forma interactiva, se accede al CD-ROM a través de la red.
- No configurado : cualquiera tiene acceso al CD-ROM.
Formato y expulsión de medios extraíbles
Valor predeterminado: Administradores
CSP: Devices_AllowedToFormatAndEjectRemovableMediaDefina quién tiene permiso para dar formato y expulsar medios NTFS extraíbles:
- Sin configurar
- Administradores
- Administradores y usuarios avanzados
- Administradores y usuarios interactivos
Inicio de sesión interactivo
Minutos de inactividad de la pantalla de bloqueo hasta que se activa el protector de pantalla
Valor predeterminado: no configurado
CSP LocalPoliciesSecurityOptions: InteractiveLogon_MachineInactivityLimitEscriba los minutos máximos de inactividad hasta que se active el protector de pantalla. (0 - 99999)
Requerir CTRL+ALT+SUPR para iniciar sesión
Valor predeterminado: no configurado
CSP LocalPoliciesSecurityOptions: InteractiveLogon_DoNotRequireCTRLALTDEL- Habilitar : requerir a los usuarios que presionen CTRL+ALT+SUPR antes de iniciar sesión en Windows.
- No configurado : no es necesario presionar CTRL+ALT+SUPR para que los usuarios inicien sesión.
Comportamiento de eliminación de tarjeta inteligente
Valor predeterminado: No hay ninguna acción LocalPoliciesSecurityOptions CSP: InteractiveLogon_SmartCardRemovalBehaviorDetermina lo que ocurre cuando la tarjeta inteligente de un usuario que ha iniciado sesión se quita del lector de tarjetas inteligentes. Las opciones son:
- Estación de trabajo de bloqueo : la estación de trabajo está bloqueada cuando se quita la tarjeta inteligente. Esta opción permite a los usuarios salir del área, tomar su tarjeta inteligente con ellos y mantener una sesión protegida.
- Ninguna acción
- Forzar cierre de sesión : el usuario se cierra automáticamente cuando se quita la tarjeta inteligente.
- Desconectar si una sesión de Servicios de Escritorio remoto : la eliminación de la tarjeta inteligente desconecta la sesión sin cerrar la sesión del usuario. Esta opción permite al usuario insertar la tarjeta inteligente y reanudar la sesión más adelante, o en otro equipo equipado con lector de tarjetas inteligentes, sin tener que volver a iniciar sesión. Si la sesión es local, esta directiva funciona de forma idéntica a Bloquear estación de trabajo.
Visualización
Información del usuario en la pantalla de bloqueo
Valor predeterminado: no configurado
CSP LocalPoliciesSecurityOptions: InteractiveLogon_DisplayUserInformationWhenTheSessionIsLockedConfigure la información de usuario que se muestra cuando la sesión está bloqueada. Si no está configurado, se muestran el nombre para mostrar del usuario, el dominio y el nombre de usuario.
- Sin configurar
- Nombre para mostrar, dominio y nombre de usuario de usuario
- Solo nombre para mostrar de usuario
- No mostrar información del usuario
Ocultar el último usuario que inició sesión
Valor predeterminado: no configurado
CSP LocalPoliciesSecurityOptions: InteractiveLogon_DoNotDisplayLastSignedIn- Habilitar : oculte el nombre de usuario.
- No configurado : muestra el último nombre de usuario.
Ocultar el nombre de usuario en el inicio de sesiónpredeterminado: no configurado
CSP LocalPoliciesSecurityOptions: InteractiveLogon_DoNotDisplayUsernameAtSignIn- Habilitar : oculte el nombre de usuario.
- No configurado : muestra el último nombre de usuario.
Título del mensaje de inicio de sesión
Valor predeterminado: no configurado
CSP LocalPoliciesSecurityOptions: InteractiveLogon_MessageTitleForUsersAttemptingToLogOnEstablezca el título del mensaje para los usuarios que inician sesión.
Texto del mensaje de inicio de sesión
Valor predeterminado: no configurado
CSP LocalPoliciesSecurityOptions: InteractiveLogon_MessageTextForUsersAttemptingToLogOnEstablezca el texto del mensaje para los usuarios que inician sesión.
Acceso a la red y seguridad
Acceso anónimo a canalizaciones y recursos compartidos con nombre
Valor predeterminado: no configurado
CSP LocalPoliciesSecurityOptions: NetworkAccess_RestrictAnonymousAccessToNamedPipesAndShares- No configurado : restrinja el acceso anónimo a la configuración de canalización con nombre y recurso compartido. Se aplica a la configuración a la que se puede acceder de forma anónima.
- Bloquear : deshabilite esta directiva y haga que el acceso anónimo esté disponible.
Enumeración anónima de cuentas SAM
Valor predeterminado: no configurado
CSP LocalPoliciesSecurityOptions: NetworkAccess_DoNotAllowAnonymousEnumerationOfSAMAccounts- No configurado : los usuarios anónimos pueden enumerar cuentas SAM.
- Bloquear : impedir la enumeración anónima de cuentas SAM.
Enumeración anónima de cuentas y recursos compartidos sam
Valor predeterminado: no configurado
CSP LocalPoliciesSecurityOptions: NetworkAccess_DoNotAllowAnonymousEnumerationOfSamAccountsAndShares- No configurado : los usuarios anónimos pueden enumerar los nombres de las cuentas de dominio y los recursos compartidos de red.
- Bloquear : impedir la enumeración anónima de cuentas SAM y recursos compartidos.
Valor hash del administrador de LAN almacenado en el cambio de contraseña
Valor predeterminado: no configurado
CSP LocalPoliciesSecurityOptions: NetworkSecurity_DoNotStoreLANManagerHashValueOnNextPasswordChangeDetermine si el valor hash de las contraseñas se almacena la próxima vez que se cambia la contraseña.
- No configurado : el valor hash no se almacena
- Bloquear : el Administrador de LAN (LM) almacena el valor hash de la nueva contraseña.
Solicitudes de autenticación PKU2U
Valor predeterminado: no configurado
CSP LocalPoliciesSecurityOptions: NetworkSecurity_AllowPKU2UAuthenticationRequests- No configurado: permitir solicitudes PU2U.
- Bloquear : bloquee las solicitudes de autenticación PKU2U en el dispositivo.
Restricción de conexiones RPC remotas a SAM
Valor predeterminado: no configurado
CSP LocalPoliciesSecurityOptions: NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAMNo configurado : use el descriptor de seguridad predeterminado, que puede permitir a los usuarios y grupos realizar llamadas RPC remotas al SAM.
Permitir : impedir que los usuarios y grupos realicen llamadas RPC remotas al Administrador de cuentas de seguridad (SAM), que almacena las cuentas de usuario y las contraseñas. Permitir también permite cambiar la cadena predeterminada del lenguaje de definición de descriptor de seguridad (SDDL) para permitir o denegar explícitamente a los usuarios y grupos realizar estas llamadas remotas.
-
Descriptor de seguridad
Valor predeterminado: no configurado
-
Descriptor de seguridad
Seguridad mínima de sesión para clientes basados en SSP NTLM
Valor predeterminado: Ninguno
CSP LocalPoliciesSecurityOptions: NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedClientsEsta configuración de seguridad permite que un servidor requiera la negociación del cifrado de 128 bits o la seguridad de la sesión NTLMv2.
- Ninguna
- Requerir seguridad de sesión NTLMv2
- Requerir cifrado de 128 bits
- NTLMv2 y cifrado de 128 bits
Seguridad mínima de la sesión para el servidor basado en NTLM SSP
Valor predeterminado: Ninguno
CSP LocalPoliciesSecurityOptions: NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedServersEsta configuración de seguridad determina qué protocolo de autenticación de desafío/respuesta se usa para los inicios de sesión de red.
- Ninguna
- Requerir seguridad de sesión NTLMv2
- Requerir cifrado de 128 bits
- NTLMv2 y cifrado de 128 bits
Nivel de autenticación de LAN Manager
Valor predeterminado: LM y NTLM
CSP LocalPoliciesSecurityOptions: NetworkSecurity_LANManagerAuthenticationLevel- LM y NTLM
- LM, NTLM y NTLMv2
- NTLM
- NTLMv2
- NTLMv2 y no LM
- NTLMv2 y no LM o NTLM
Inicios de sesión de invitado no seguros
Valor predeterminado: no configurado
CSP de LanmanWorkstation: LanmanWorkstationSi habilita esta configuración, el cliente SMB rechazará los inicios de sesión de invitado no seguros.
- Sin configurar
- Bloquear : el cliente SMB rechaza los inicios de sesión de invitado no seguros.
Consola de recuperación y apagado
Borrar el archivo de página de memoria virtual al apagarse
Valor predeterminado: no configurado
CSP LocalPoliciesSecurityOptions: Shutdown_ClearVirtualMemoryPageFile- Habilitar : borre el archivo de página de memoria virtual cuando el dispositivo esté apagado.
- No configurado : no borra la memoria virtual.
Apagar sin iniciar sesión
Valor predeterminado: no configurado
CSP LocalPoliciesSecurityOptions: Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn- Bloquear : oculta la opción de apagado en la pantalla de inicio de sesión de Windows. Los usuarios deben iniciar sesión en el dispositivo y, a continuación, apagarse.
- No configurado : permite a los usuarios apagar el dispositivo desde la pantalla de inicio de sesión de Windows.
Control de cuentas de usuario
Integridad de UIA sin ubicación segura
Valor predeterminado: no configurado
CSP LocalPoliciesSecurityOptions: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations- Bloquear : las aplicaciones que se encuentran en una ubicación segura en el sistema de archivos solo se ejecutarán con la integridad de UIAccess.
- No configurado : permite que las aplicaciones se ejecuten con integridad de UIAccess, incluso si las aplicaciones no están en una ubicación segura en el sistema de archivos.
Virtualización de errores de escritura de archivos y registros en ubicaciones por usuario
Valor predeterminado: no configurado
CSP LocalPoliciesSecurityOptions: UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations- Habilitado : se produce un error en las aplicaciones que escriben datos en ubicaciones protegidas.
- No configurado : los errores de escritura de la aplicación se redirigen en tiempo de ejecución a ubicaciones de usuario definidas para el sistema de archivos y el registro.
Elevar solo los archivos ejecutables firmados y validados
Valor predeterminado: no configurado
CSP LocalPoliciesSecurityOptions: UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations- Habilitado : aplique la validación de la ruta de certificación PKI para un archivo ejecutable antes de que pueda ejecutarse.
- No configurado : no aplique la validación de la ruta de certificación PKI antes de que se pueda ejecutar un archivo ejecutable.
Comportamiento del símbolo del sistema de elevación de UIA
Petición de elevación para administradores
Valor predeterminado: solicitar consentimiento para archivos binarios que no son de Windows
CSP LocalPoliciesSecurityOptions: UserAccountControl_BehaviorOfTheElevationPromptForAdministratorsDefina el comportamiento del símbolo del sistema de elevación para los administradores en Administración modo de aprobación.
- Sin configurar
- Elevar sin preguntar
- Solicitud de credenciales en el escritorio seguro
- Solicitud de credenciales
- Solicitud de consentimiento
- Solicitud de consentimiento para archivos binarios que no son de Windows
Petición de elevación para usuarios estándar
Valor predeterminado: solicitud de credenciales
CSP LocalPoliciesSecurityOptions: UserAccountControl_BehaviorOfTheElevationPromptForStandardUsersDefina el comportamiento de la solicitud de elevación para los usuarios estándar.
- Sin configurar
- Denegar automáticamente solicitudes de elevación
- Solicitud de credenciales en el escritorio seguro
- Solicitud de credenciales
Enrutamiento de solicitudes de elevación al escritorio interactivo del usuario
Valor predeterminado: no configurado
CSP LocalPoliciesSecurityOptions: UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation- Habilitado : todas las solicitudes de elevación van al escritorio del usuario interactivo en lugar del escritorio seguro. Se usa cualquier configuración de directiva de comportamiento de aviso para administradores y usuarios estándar.
- No configurado : forzar que todas las solicitudes de elevación vayan al escritorio seguro, independientemente de la configuración de la directiva de comportamiento de mensajes para los administradores y los usuarios estándar.
Solicitud con privilegios elevados para instalaciones de aplicaciones
Valor predeterminado: no configurado
CSP LocalPoliciesSecurityOptions: UserAccountControl_DetectApplicationInstallationsAndPromptForElevation- Habilitado : los paquetes de instalación de la aplicación no se detectan ni se solicitan elevación.
- No configurado : se solicita a los usuarios un nombre de usuario administrativo y una contraseña cuando un paquete de instalación de la aplicación requiere privilegios elevados.
Solicitud de elevación de UIA sin escritorio seguro
Valor predeterminado: no configurado
CSP LocalPoliciesSecurityOptions: UserAccountControl_AllowUIAccessApplicationsToPromptForElevationHabilitar : permite que las aplicaciones de UIAccess soliciten elevación, sin usar el escritorio seguro.
No configurado : las solicitudes de elevación usan un escritorio seguro.
Administración modo de aprobación
Administración modo de aprobación para el administrador integrado
Valor predeterminado: no configurado
CSP LocalPoliciesSecurityOptions: UserAccountControl_UseAdminApprovalMode- Habilitado: permite que la cuenta de administrador integrada use Administración modo de aprobación. Cualquier operación que requiera la elevación de privilegios solicita al usuario que apruebe la operación.
- Sin configurar : ejecuta todas las aplicaciones con privilegios de administrador completos.
Ejecución de todos los administradores en Administración modo de aprobación
Valor predeterminado: no configurado
CSP LocalPoliciesSecurityOptions: UserAccountControl_RunAllAdministratorsInAdminApprovalMode- Habilitado: habilite Administración modo de aprobación.
- No configurado: deshabilite Administración modo de aprobación y toda la configuración de directiva de UAC relacionada.
Cliente de red de Microsoft
Firmar digitalmente las comunicaciones (si el servidor está de acuerdo)
Valor predeterminado: no configurado
CSP LocalPoliciesSecurityOptions: MicrosoftNetworkClient_DigitallySignCommunicationsIfServerAgreesDetermina si el cliente SMB negocia la firma de paquetes SMB.
- Bloquear : el cliente SMB nunca negocia la firma de paquetes SMB.
- No configurado : el cliente de red de Microsoft pide al servidor que ejecute la firma de paquetes SMB al configurar la sesión. Si la firma de paquetes está habilitada en el servidor, se negocia la firma de paquetes.
Envío de una contraseña sin cifrar a servidores SMB de terceros
Valor predeterminado: no configurado
CSP LocalPoliciesSecurityOptions: MicrosoftNetworkClient_SendUnencryptedPasswordToThirdPartySMBServers- Bloquear : el redireccionamiento del bloque de mensajes del servidor (SMB) puede enviar contraseñas de texto no cifrado a servidores SMB que no sean de Microsoft que no admiten el cifrado de contraseñas durante la autenticación.
- No configurado : bloquee el envío de contraseñas de texto no cifrado. Las contraseñas se cifran.
Firmar digitalmente las comunicaciones (siempre)
Valor predeterminado: no configurado
CSP LocalPoliciesSecurityOptions: MicrosoftNetworkClient_DigitallySignCommunicationsAlways- Habilitar : el cliente de red de Microsoft no se comunica con un servidor de red de Microsoft a menos que ese servidor acepte la firma de paquetes SMB.
- No configurado : la firma de paquetes SMB se negocia entre el cliente y el servidor.
Microsoft Network Server
Firmar digitalmente las comunicaciones (si el cliente está de acuerdo)
Valor predeterminado: no configurado
CSP: MicrosoftNetworkServer_DigitallySignCommunicationsIfClientAgrees- Habilitar : el servidor de red de Microsoft negocia la firma de paquetes SMB según lo solicitado por el cliente. Es decir, si la firma de paquetes está habilitada en el cliente, se negocia la firma de paquetes.
- No configurado : el cliente SMB nunca negocia la firma de paquetes SMB.
Firmar digitalmente las comunicaciones (siempre)
Valor predeterminado: no configurado
CSP: MicrosoftNetworkServer_DigitallySignCommunicationsAlways- Habilitar : el servidor de red de Microsoft no se comunica con un cliente de red de Microsoft a menos que ese cliente acepte la firma de paquetes SMB.
- No configurado : la firma de paquetes SMB se negocia entre el cliente y el servidor.
Servicios de Xbox
Tarea Guardar juego de Xbox
Valor predeterminado: no configurado
CSP: TaskScheduler/EnableXboxGameSaveTaskEsta configuración determina si la tarea Guardar juego de Xbox está habilitada o deshabilitada.
- Enabled
- Sin configurar
Servicio de administración de accesorios de Xbox
Valor predeterminado: manual
CSP: SystemServices/ConfigureXboxAccessoryManagementServiceStartupModeEsta configuración determina el tipo de inicio del servicio de administración de descriptores de acceso.
- Manual
- Automática
- Disabled
Servicio administrador de autenticación de Xbox Live
Valor predeterminado: manual
CSP: SystemServices/ConfigureXboxLiveAuthManagerServiceStartupModeEsta configuración determina el tipo de inicio del servicio Live Auth Manager.
- Manual
- Automática
- Disabled
Servicio de guardado de juegos de Xbox Live
Valor predeterminado: manual
CSP: SystemServices/ConfigureXboxLiveGameSaveServiceStartupModeEsta configuración determina el tipo de inicio del servicio Live Game Save.
- Manual
- Automática
- Disabled
Servicio de redes de Xbox Live
Valor predeterminado: manual
CSP: SystemServices/ConfigureXboxLiveNetworkingServiceStartupModeEsta configuración determina el tipo de inicio del servicio de redes.
- Manual
- Automática
- Disabled
Pasos siguientes
Se crea el perfil, pero aún no hace nada. A continuación, asigne el perfil y supervise su estado.
Configuración de las protecciones de puntos de conexión en dispositivos macOS .