CSP de directiva: Defender
AllowArchiveScanning
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1607 [10.0.14393] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowArchiveScanning
Esta configuración de directiva le permite configurar exámenes de software malintencionado y software no deseado en archivos de archivo como . ZIP o . Archivos CAB.
Si habilita o no establece esta configuración, se examinarán los archivos de archivo.
Si deshabilita esta configuración, no se examinarán los archivos de archivo. Sin embargo, los archivos siempre se examinan durante los exámenes dirigidos.
Nota
Los cambios en esta configuración no se aplican cuando está habilitada la protección contra alteraciones .
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 1 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 | No permitido. Desactiva el examen en archivos archivados. |
| 1 (valor predeterminado) | Permitido. Examina los archivos de archivo. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Scan_DisableArchiveScanning |
| Nombre descriptivo | Examinar archivos de almacenamiento |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Análisis del antivirus > Microsoft Defender componentes > de Windows |
| Nombre de la clave del Registro | Software\Policies\Microsoft\Windows Defender\Scan |
| Nombre del valor de registro | DisableArchiveScanning |
| Nombre de archivo ADMX | WindowsDefender.admx |
AllowBehaviorMonitoring
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1607 [10.0.14393] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowBehaviorMonitoring
Esta configuración de directiva le permite configurar la supervisión del comportamiento.
Si habilita o no establece esta configuración, se habilitará la supervisión del comportamiento.
Si deshabilita esta configuración, se deshabilitará la supervisión del comportamiento.
Nota
Los cambios en esta configuración no se aplican cuando está habilitada la protección contra alteraciones .
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 1 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 | No permitido. Desactiva la supervisión del comportamiento. |
| 1 (valor predeterminado) | Permitido. Activa la supervisión del comportamiento en tiempo real. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | RealtimeProtection_DisableBehaviorMonitoring |
| Nombre descriptivo | Activar supervisión de comportamiento |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Componentes de > Windows Microsoft Defender Protección antivirus > en tiempo real |
| Nombre de la clave del Registro | Software\Policies\Microsoft\Windows Defender\Real-Time Protection |
| Nombre del valor de registro | DisableBehaviorMonitoring |
| Nombre de archivo ADMX | WindowsDefender.admx |
AllowCloudProtection
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1507 [10.0.10240] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowCloudProtection
Esta configuración de directiva le permite unirse a Microsoft MAPS. Microsoft MAPS es la comunidad en línea que le ayuda a elegir cómo responder ante posibles amenazas. La comunidad también ayuda a detener la propagación de nuevas infecciones de software malicioso.
Puede optar por enviar información básica o adicional sobre el software detectado. La información adicional ayuda a Microsoft a crear nueva inteligencia de seguridad y a proteger el equipo. Esta información puede incluir cosas como la ubicación de los elementos detectados en el equipo si se quitó software dañino. La información se recopilará y enviará automáticamente. En algunos casos, es posible que la información personal se envíe involuntariamente a Microsoft. Sin embargo, Microsoft no usará esta información para identificarle ni ponerse en contacto con usted.
Las opciones posibles son:
(0x0) Pertenencia avanzada deshabilitada (valor predeterminado) (0x1) Pertenencia básica (0x2).
La pertenencia básica enviará información básica a Microsoft sobre el software que se ha detectado, incluido el origen del software, las acciones que aplique o que se apliquen automáticamente y si las acciones se realizaron correctamente.
La pertenencia avanzada, además de la información básica, enviará más información a Microsoft sobre software malintencionado, spyware y software potencialmente no deseado, incluida la ubicación del software, los nombres de archivo, el funcionamiento del software y cómo ha afectado a su equipo.
Si habilita esta configuración, unirá Microsoft MAPS con la pertenencia especificada.
Si deshabilita o no configura esta configuración, no se unirá a Microsoft MAPS.
En Windows 10, la pertenencia básica ya no está disponible, por lo que establecer el valor en 1 o 2 inscribe el dispositivo en pertenencia avanzada.
Nota
Los cambios en esta configuración no se aplican cuando está habilitada la protección contra alteraciones .
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 1 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 | No permitido. Desactiva el servicio Microsoft Active Protection. |
| 1 (valor predeterminado) | Permitido. Activa el servicio Microsoft Active Protection. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | SpynetReporting |
| Nombre descriptivo | Únase a Microsoft MAPS |
| Nombre del elemento | Únase a Microsoft MAPS. |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Componentes de > Windows Microsoft Defender Antivirus > MAPS |
| Nombre de la clave del Registro | Software\Policies\Microsoft\Windows Defender\Spynet |
| Nombre de archivo ADMX | WindowsDefender.admx |
AllowEmailScanning
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1607 [10.0.14393] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowEmailScanning
Esta configuración de directiva le permite configurar el examen de correo electrónico. Cuando se habilita el examen de correo electrónico, el motor analizará los archivos de buzón y correo, según su formato específico, con el fin de analizar los cuerpos de correo y los datos adjuntos. Actualmente se admiten varios formatos de correo electrónico, por ejemplo: pst (Outlook), dbx, mbx, mime (Outlook Express), binhex (Mac). Email examen no se admite en clientes de correo electrónico modernos.
Si habilita esta configuración, se habilitará el examen de correo electrónico.
Si deshabilita o no establece esta configuración, se deshabilitará el examen de correo electrónico.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | No permitido. Desactiva el examen de correo electrónico. |
| 1 | Permitido. Activa el examen de correo electrónico. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Scan_DisableEmailScanning |
| Nombre descriptivo | Activar examen de correo electrónico |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Análisis del antivirus > Microsoft Defender componentes > de Windows |
| Nombre de la clave del Registro | Software\Policies\Microsoft\Windows Defender\Scan |
| Nombre del valor de registro | DisableEmailScanning |
| Nombre de archivo ADMX | WindowsDefender.admx |
AllowFullScanOnMappedNetworkDrives
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1607 [10.0.14393] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowFullScanOnMappedNetworkDrives
Esta configuración de directiva le permite configurar el examen de las unidades de red asignadas.
Si habilita esta configuración, se examinarán las unidades de red asignadas.
Si deshabilita o no establece esta configuración, no se examinarán las unidades de red asignadas.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | No permitido. Deshabilita el examen en unidades de red asignadas. |
| 1 | Permitido. Examina las unidades de red asignadas. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Scan_DisableScanningMappedNetworkDrivesForFullScan |
| Nombre descriptivo | Ejecutar examen completo en unidades de red asignadas |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Análisis del antivirus > Microsoft Defender componentes > de Windows |
| Nombre de la clave del Registro | Software\Policies\Microsoft\Windows Defender\Scan |
| Nombre del valor de registro | DisableScanningMappedNetworkDrivesForFullScan |
| Nombre de archivo ADMX | WindowsDefender.admx |
AllowFullScanRemovableDriveScanning
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1607 [10.0.14393] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowFullScanRemovableDriveScanning
Esta configuración de directiva le permite administrar si busca software malintencionado y software no deseado en el contenido de unidades extraíbles, como unidades flash USB, al ejecutar un examen completo.
Si habilita esta configuración, las unidades extraíbles se examinarán durante cualquier tipo de examen.
Si deshabilita o no establece esta configuración, las unidades extraíbles no se examinarán durante un examen completo. Es posible que las unidades extraíbles todavía se examinen durante el examen rápido y el examen personalizado.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | No permitido. Desactiva el examen en unidades extraíbles. |
| 1 | Permitido. Examina las unidades extraíbles. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Scan_DisableRemovableDriveScanning |
| Nombre descriptivo | Examinar unidades extraíbles |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Análisis del antivirus > Microsoft Defender componentes > de Windows |
| Nombre de la clave del Registro | Software\Policies\Microsoft\Windows Defender\Scan |
| Nombre del valor de registro | DisableRemovableDriveScanning |
| Nombre de archivo ADMX | WindowsDefender.admx |
AllowIntrusionPreventionSystem
Nota
Esta directiva está en desuso y puede quitarse en una versión futura.
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1607 [10.0.14393] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowIntrusionPreventionSystem
Permite o no permite la funcionalidad de prevención de intrusiones de Windows Defender.
Nota
Los cambios en esta configuración no se aplican cuando está habilitada la protección contra alteraciones .
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 1 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 | No permitido. |
| 1 (valor predeterminado) | Permitido. |
AllowIOAVProtection
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1607 [10.0.14393] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowIOAVProtection
Esta configuración de directiva le permite configurar el examen de todos los archivos y datos adjuntos descargados.
Si habilita o no establece esta configuración, se habilitará el examen de todos los archivos y datos adjuntos descargados.
Si deshabilita esta configuración, se deshabilitará el examen de todos los archivos y datos adjuntos descargados.
Nota
Los cambios en esta configuración no se aplican cuando está habilitada la protección contra alteraciones .
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 1 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 | No permitido. |
| 1 (valor predeterminado) | Permitido. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | RealtimeProtection_DisableIOAVProtection |
| Nombre descriptivo | Examinar todos los archivos y datos adjuntos descargados |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Componentes de > Windows Microsoft Defender Protección antivirus > en tiempo real |
| Nombre de la clave del Registro | Software\Policies\Microsoft\Windows Defender\Real-Time Protection |
| Nombre del valor de registro | DisableIOAVProtection |
| Nombre de archivo ADMX | WindowsDefender.admx |
AllowOnAccessProtection
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1607 [10.0.14393] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowOnAccessProtection
Esta configuración de directiva le permite configurar la supervisión de la actividad de archivos y programas.
Si habilita o no establece esta configuración, se habilitará la supervisión de la actividad de archivo y programa.
Si deshabilita esta configuración, se deshabilitará la supervisión de la actividad de archivo y programa.
Nota
Los cambios en esta configuración no se aplican cuando está habilitada la protección contra alteraciones .
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 1 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 | No permitido. |
| 1 (valor predeterminado) | Permitido. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | RealtimeProtection_DisableOnAccessProtection |
| Nombre descriptivo | Supervisar la actividad de archivos y programas en el equipo |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Componentes de > Windows Microsoft Defender Protección antivirus > en tiempo real |
| Nombre de la clave del Registro | Software\Policies\Microsoft\Windows Defender\Real-Time Protection |
| Nombre del valor de registro | DisableOnAccessProtection |
| Nombre de archivo ADMX | WindowsDefender.admx |
AllowRealtimeMonitoring
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1607 [10.0.14393] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowRealtimeMonitoring
Permite o no permite la funcionalidad de supervisión en tiempo real de Windows Defender.
Nota
Los cambios en esta configuración no se aplican cuando está habilitada la protección contra alteraciones .
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 1 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 | No permitido. Desactiva el servicio de supervisión en tiempo real. |
| 1 (valor predeterminado) | Permitido. Activa y ejecuta el servicio de supervisión en tiempo real. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | DisableRealtimeMonitoring |
| Nombre descriptivo | Desactivar protección en tiempo real |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Componentes de > Windows Microsoft Defender Protección antivirus > en tiempo real |
| Nombre de la clave del Registro | Software\Policies\Microsoft\Windows Defender\Real-Time Protection |
| Nombre del valor de registro | DisableRealtimeMonitoring |
| Nombre de archivo ADMX | WindowsDefender.admx |
AllowScanningNetworkFiles
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1607 [10.0.14393] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowScanningNetworkFiles
Esta configuración de directiva permite configurar exámenes programados y exámenes a petición (iniciados manualmente) en busca de archivos a los que se accede a través de la red. Se recomienda habilitar esta configuración.
Nota
El examen de protección en tiempo real (acceso) no se ve afectado por esta directiva.
- Si habilita esta configuración o no la configura, se examinarán los archivos de red.
- Si deshabilita esta configuración, no se examinarán los archivos de red.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | No permitido. Desactiva el examen de archivos de red. |
| 1 | Permitido. Examina los archivos de red. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Scan_DisableScanningNetworkFiles |
| Nombre descriptivo | Configuración del examen de archivos de red |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Análisis del antivirus > Microsoft Defender componentes > de Windows |
| Nombre de la clave del Registro | Software\Policies\Microsoft\Windows Defender\Scan |
| Nombre del valor de registro | DisableScanningNetworkFiles |
| Nombre de archivo ADMX | WindowsDefender.admx |
AllowScriptScanning
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1607 [10.0.14393] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowScriptScanning
Permite o no permite la funcionalidad de examen de scripts de Windows Defender.
Nota
Los cambios en esta configuración no se aplican cuando está habilitada la protección contra alteraciones .
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 1 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 | No permitido. |
| 1 (valor predeterminado) | Permitido. |
AllowUserUIAccess
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1507 [10.0.10240] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Defender/AllowUserUIAccess
Esta configuración de directiva permite configurar si se muestra o no la interfaz de usuario de AM a los usuarios.
Si habilita esta configuración, la interfaz de usuario de AM no estará disponible para los usuarios.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 1 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 | No permitido. Impide que los usuarios accedan a la interfaz de usuario. |
| 1 (valor predeterminado) | Permitido. Permite a los usuarios acceder a la interfaz de usuario. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | UX_Configuration_UILockdown |
| Nombre descriptivo | Habilitar el modo de interfaz de usuario desatendido |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Componentes de > Windows Microsoft Defender interfaz de cliente antivirus > |
| Nombre de la clave del Registro | Software\Policies\Microsoft\Windows Defender\UX Configuration |
| Nombre del valor de registro | UILockdown |
| Nombre de archivo ADMX | WindowsDefender.admx |
AttackSurfaceReductionOnlyExclusions
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1709 [10.0.16299] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionOnlyExclusions
Excluir archivos y rutas de acceso de las reglas de reducción de superficie expuesta a ataques (ASR).
Habilitado:
Especifique las carpetas o archivos y recursos que se deben excluir de las reglas de ASR en la sección Opciones.
Escriba cada regla en una nueva línea como un par nombre-valor:
- Columna de nombre: escriba una ruta de acceso de carpeta o un nombre de recurso completo. Por ejemplo, "C:\Windows" excluirá todos los archivos de ese directorio. "C:\Windows\App.exe" excluirá solo ese archivo específico en esa carpeta específica.
- Columna de valor: escriba "0" para cada elemento.
Deshabilitado:
No se aplicarán exclusiones a las reglas de ASR.
No configurado:
Igual que Deshabilitado.
Puede configurar las reglas de ASR en la configuración GP Configurar reglas de reducción de superficie expuesta a ataques.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato |
chr (cadena) |
| Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
| Valores permitidos | List (Delimitador: |) |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | ExploitGuard_ASR_ASROnlyExclusions |
| Nombre descriptivo | Excluir archivos y rutas de acceso de las reglas de reducción de superficie expuesta a ataques |
| Nombre del elemento | Exclusiones de reglas de ASR. |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Componentes de > Windows Microsoft Defender Antivirus > Microsoft Defender reducción de superficie expuesta a ataques de > Protección contra vulnerabilidades de seguridad |
| Nombre de la clave del Registro | Software\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR |
| Nombre de archivo ADMX | WindowsDefender.admx |
AttackSurfaceReductionRules
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1709 [10.0.16299] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules
Establece el estado de cada regla de reducción de superficie expuesta a ataques (ASR).
Después de habilitar esta configuración, puede establecer cada regla en lo siguiente en la sección Opciones:
- Bloquear: se aplicará la regla
- Modo de auditoría: si la regla normalmente provocaría un evento, se registrará (aunque la regla no se aplicará realmente).
- Desactivado: la regla no se aplicará
- No configurado: la regla está habilitada con valores predeterminados
- Advertencia: se aplicará la regla y el usuario final tendrá la opción de omitir el bloque.
A menos que se deshabilite la regla asr, se recopila una submuestra de eventos de auditoría para las reglas de ASR con el valor de no configurado.
Habilitado:
Especifique el estado de cada regla de ASR en la sección Opciones de esta configuración.
Escriba cada regla en una nueva línea como un par nombre-valor:
- Columna de nombre: escriba un identificador de regla ASR válido.
- Columna de valor: escriba el identificador de estado relacionado con el estado que desea especificar para la regla asociada.
Los siguientes identificadores de estado se permiten en la columna de valor:
- 1 (bloquear)
- 0 (desactivado)
- 2 (Auditoría)
- 5 (no configurado)
- 6 (Advertir)
Por ejemplo:
xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx 0 xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx 1 xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx 2
Deshabilitado:
No se configurarán reglas de ASR.
No configurado:
Igual que Deshabilitado.
Puede excluir carpetas o archivos en la configuración de GP "Excluir archivos y rutas de acceso de reglas de reducción de superficie expuesta a ataques".
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato |
chr (cadena) |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | ExploitGuard_ASR_Rules |
| Nombre descriptivo | Configurar reglas de reducción de superficie expuesta a ataques |
| Nombre del elemento | Establezca el estado de cada regla ASR. |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Componentes de > Windows Microsoft Defender Antivirus > Microsoft Defender reducción de superficie expuesta a ataques de > Protección contra vulnerabilidades de seguridad |
| Nombre de la clave del Registro | Software\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR |
| Nombre de archivo ADMX | WindowsDefender.admx |
AvgCPULoadFactor
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1607 [10.0.14393] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Defender/AvgCPULoadFactor
Esta configuración de directiva permite configurar el porcentaje máximo de uso de CPU permitido durante un examen. Los valores válidos para esta configuración son un porcentaje representado por los enteros de 5 a 100. Un valor de 0 indica que no debe haber ninguna limitación del uso de CPU. El valor predeterminado es 50.
Si habilita esta configuración, el uso de CPU no superará el porcentaje especificado.
Si deshabilita o no establece esta configuración, el uso de CPU no superará el valor predeterminado.
Nota
Si habilita las dos directivas siguientes, Windows omite el valor de AvgCPULoadFactor:
- ScanOnlyIfIdle: indica al producto que examine solo cuando el equipo no está en uso.
- DisableCpuThrottleOnIdleScans: indica al producto que deshabilite la limitación de CPU en los exámenes inactivos.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
| Valores permitidos | Gama: [0-100] |
| Valor predeterminado | 50 |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Scan_AvgCPULoadFactor |
| Nombre descriptivo | Especificar el porcentaje máximo de uso de CPU durante un examen |
| Nombre del elemento | Especifique el porcentaje máximo de uso de CPU durante un examen. |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Análisis del antivirus > Microsoft Defender componentes > de Windows |
| Nombre de la clave del Registro | Software\Policies\Microsoft\Windows Defender\Scan |
| Nombre de archivo ADMX | WindowsDefender.admx |
CheckForSignaturesBeforeRunningScan
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1809 [10.0.17763] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Defender/CheckForSignaturesBeforeRunningScan
Esta configuración de directiva le permite administrar si se producirá una comprobación de la inteligencia de seguridad de virus y spyware nuevos antes de ejecutar un examen.
Esta configuración se aplica a los exámenes programados, pero no tiene ningún efecto en los exámenes iniciados manualmente desde la interfaz de usuario o en los iniciados desde la línea de comandos mediante "mpcmdrun -Scan".
Si habilita esta configuración, se producirá una comprobación de la nueva inteligencia de seguridad antes de ejecutar un examen.
Si deshabilita esta configuración o no la configura, el examen comenzará a usar la inteligencia de seguridad existente.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | Deshabilitado. |
| 1 | Habilitado. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | CheckForSignaturesBeforeRunningScan |
| Nombre descriptivo | Comprobación de la información de seguridad de virus y spyware más reciente antes de ejecutar un examen programado |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Análisis del antivirus > Microsoft Defender componentes > de Windows |
| Nombre de la clave del Registro | Software\Policies\Microsoft\Windows Defender\Scan |
| Nombre de archivo ADMX | WindowsDefender.admx |
CloudBlockLevel
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1709 [10.0.16299] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Defender/CloudBlockLevel
Esta configuración de directiva determina la agresividad Microsoft Defender Antivirus al bloquear y examinar archivos sospechosos.
Si esta configuración está activada, Microsoft Defender Antivirus será más agresivo al identificar archivos sospechosos para bloquear y examinar; de lo contrario, será menos agresivo y, por lo tanto, bloqueará y examinará con menos frecuencia.
Para obtener más información sobre los valores específicos que se admiten, consulte el sitio de documentación de Microsoft Defender Antivirus.
Nota
Esta característica requiere la opción "Unirse a Microsoft MAPS" habilitada para poder funcionar.
Las opciones posibles son:
(0x0) Nivel de bloqueo predeterminado de antivirus de Microsoft Defender (0x1) Moderado Microsoft Defender nivel de bloqueo antivirus, ofrece veredicto solo para detecciones de alta confianza (0x2) Alto nivel de bloqueo: bloquea agresivamente los desconocidos al tiempo que optimiza el rendimiento del cliente (mayor probabilidad de falsos positivos) (0x4) Nivel de bloqueo superior: bloquea agresivamente los desconocidos y aplica protección adicional. medidas (pueden afectar al rendimiento del cliente) (0x6) Nivel de bloqueo de tolerancia cero: bloquear todos los ejecutables desconocidos.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | No configurado. |
| 2 | Alto. |
| 4 | HighPlus. |
| 6 | ZeroTolerance. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | MpEngine_MpCloudBlockLevel |
| Nombre descriptivo | Selecciona el nivel de protección de la nube |
| Nombre del elemento | Seleccione nivel de bloqueo de nube. |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Componentes de > Windows Microsoft Defender Antivirus > MpEngine |
| Nombre de la clave del Registro | Software\Policies\Microsoft\Windows Defender\MpEngine |
| Nombre de archivo ADMX | WindowsDefender.admx |
CloudExtendedTimeout
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1709 [10.0.16299] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Defender/CloudExtendedTimeout
Esta característica permite Microsoft Defender Antivirus bloquear un archivo sospechoso durante un máximo de 60 segundos y examinarlo en la nube para asegurarse de que es seguro.
El tiempo de espera típico de comprobación en la nube es de 10 segundos. Para habilitar la característica de comprobación de nube extendida, especifique el tiempo extendido en segundos, hasta 50 segundos adicionales.
Por ejemplo, si el tiempo de espera deseado es de 60 segundos, especifique 50 segundos en esta configuración, lo que habilitará la característica de comprobación de nube extendida y elevará el tiempo total a 60 segundos.
Nota
Esta característica depende de otras tres configuraciones de MAPS: "Configurar la característica "Bloquear a primera vista"; " Unirse a Microsoft MAPS"; Es necesario habilitar "Enviar ejemplos de archivos cuando se requiera un análisis adicional".
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
| Valores permitidos | Gama: [0-50] |
| Valor predeterminado | 0 |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | MpEngine_MpBafsExtendedTimeout |
| Nombre descriptivo | Configura la comprobación de la nube extendida |
| Nombre del elemento | Especifique el tiempo de comprobación extendida en la nube en segundos. |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Componentes de > Windows Microsoft Defender Antivirus > MpEngine |
| Nombre de la clave del Registro | Software\Policies\Microsoft\Windows Defender\MpEngine |
| Nombre de archivo ADMX | WindowsDefender.admx |
ControlledFolderAccessAllowedApplications
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1709 [10.0.16299] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Defender/ControlledFolderAccessAllowedApplications
Agregue aplicaciones adicionales que deben considerarse "de confianza" mediante el acceso controlado a carpetas.
Estas aplicaciones pueden modificar o eliminar archivos en carpetas de acceso a carpetas controladas.
Microsoft Defender Antivirus determina automáticamente qué aplicaciones deben ser de confianza. Puede configurar esta opción para agregar aplicaciones adicionales.
Habilitado:
Especifique aplicaciones permitidas adicionales en la sección Opciones.
Deshabilitado:
No se agregarán aplicaciones adicionales a la lista de confianza.
No configurado:
Igual que Deshabilitado.
Puede habilitar el acceso controlado a carpetas en la opción Configurar GP de acceso controlado a carpetas.
Las carpetas predeterminadas del sistema se protegen automáticamente, pero puede agregar carpetas en la configuración de GP configurar carpetas protegidas.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato |
chr (cadena) |
| Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
| Valores permitidos | List (Delimitador: |) |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | ExploitGuard_ControlledFolderAccess_AllowedApplications |
| Nombre descriptivo | Configuración de aplicaciones permitidas |
| Nombre del elemento | Escriba las aplicaciones de confianza. |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Componentes de > Windows Microsoft Defender Antivirus > Microsoft Defender acceso controlado a carpetas de Protección contra vulnerabilidades > de seguridad |
| Nombre de la clave del Registro | Software\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\Controlled Folder Access |
| Nombre de archivo ADMX | WindowsDefender.admx |
ControlledFolderAccessProtectedFolders
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1709 [10.0.16299] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Defender/ControlledFolderAccessProtectedFolders
Especifique carpetas adicionales que deben protegerse mediante la característica Acceso controlado a carpetas.
Las aplicaciones que no son de confianza no pueden modificar ni eliminar los archivos de estas carpetas.
Las carpetas predeterminadas del sistema se protegen automáticamente. Puede configurar esta opción para agregar carpetas adicionales.
La lista de carpetas del sistema predeterminadas que están protegidas se muestra en Seguridad de Windows.
Habilitado:
Especifique carpetas adicionales que se deben proteger en la sección Opciones.
Deshabilitado:
No se protegerán carpetas adicionales.
No configurado:
Igual que Deshabilitado.
Puede habilitar el acceso controlado a carpetas en la opción Configurar GP de acceso controlado a carpetas.
Microsoft Defender Antivirus determina automáticamente qué aplicaciones pueden ser de confianza. Puede agregar aplicaciones de confianza adicionales en la configuración Configuración de GP de aplicaciones permitidas.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato |
chr (cadena) |
| Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
| Valores permitidos | List (Delimitador: |) |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | ExploitGuard_ControlledFolderAccess_ProtectedFolders |
| Nombre descriptivo | Configuración de carpetas protegidas |
| Nombre del elemento | Escriba las carpetas que se deben proteger. |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Componentes de > Windows Microsoft Defender Antivirus > Microsoft Defender acceso controlado a carpetas de Protección contra vulnerabilidades > de seguridad |
| Nombre de la clave del Registro | Software\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\Controlled Folder Access |
| Nombre de archivo ADMX | WindowsDefender.admx |
DaysToRetainCleanedMalware
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1507 [10.0.10240] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Defender/DaysToRetainCleanedMalware
Esta configuración de directiva define el número de días que deben conservarse los elementos en la carpeta Cuarentena antes de quitarse.
Si habilita esta configuración, los elementos se quitarán de la carpeta Cuarentena después del número de días especificado.
Si deshabilita o no configura esta configuración, los elementos se conservarán en la carpeta de cuarentena indefinidamente y no se quitarán automáticamente.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
| Valores permitidos | Gama: [0-90] |
| Valor predeterminado | 0 |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Quarantine_PurgeItemsAfterDelay |
| Nombre descriptivo | Configurar eliminación de elementos de la carpeta Cuarentena |
| Nombre del elemento | Configure la eliminación de elementos de la carpeta Cuarentena. |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Componentes de > Windows Microsoft Defender cuarentena del antivirus > |
| Nombre de la clave del Registro | Software\Policies\Microsoft\Windows Defender\Quarantine |
| Nombre de archivo ADMX | WindowsDefender.admx |
DisableCatchupFullScan
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1809 [10.0.17763] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Defender/DisableCatchupFullScan
Esta configuración de directiva le permite configurar exámenes de puesta al día para los exámenes completos programados. Un examen de puesta al día es un examen que se inicia porque se ha perdido un examen programado periódicamente. Normalmente, estos exámenes programados se pierden porque el equipo se ha apagado a la hora programada.
Si deshabilita o no establece esta configuración, se activarán los exámenes de puesta al día de los exámenes completos programados. Si un equipo está sin conexión durante dos exámenes programados consecutivos, se inicia un examen de puesta al día la próxima vez que alguien inicia sesión en el equipo. Si no hay ningún examen programado configurado, no habrá ninguna ejecución de examen al día.
Si habilita esta configuración, se deshabilitarán los exámenes de puesta al día de los exámenes completos programados.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 1 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 | Habilitada. |
| 1 (valor predeterminado) | Deshabilitado. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Scan_DisableCatchupFullScan |
| Nombre descriptivo | Activar el examen completo de puesta al día |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Análisis del antivirus > Microsoft Defender componentes > de Windows |
| Nombre de la clave del Registro | Software\Policies\Microsoft\Windows Defender\Scan |
| Nombre de archivo ADMX | WindowsDefender.admx |
DisableCatchupQuickScan
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1809 [10.0.17763] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Defender/DisableCatchupQuickScan
Esta configuración de directiva le permite configurar exámenes de puesta al día para los exámenes rápidos programados. Un examen de puesta al día es un examen que se inicia porque se ha perdido un examen programado periódicamente. Normalmente, estos exámenes programados se pierden porque el equipo se ha apagado a la hora programada.
Si deshabilita o no establece esta configuración, se activarán los exámenes de puesta al día de los exámenes rápidos programados. Si un equipo está sin conexión durante dos exámenes programados consecutivos, se inicia un examen de puesta al día la próxima vez que alguien inicia sesión en el equipo. Si no hay ningún examen programado configurado, no habrá ninguna ejecución de examen al día.
Si habilita esta configuración, se deshabilitarán los exámenes de puesta al día de los exámenes rápidos programados.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 1 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 | Habilitada. |
| 1 (valor predeterminado) | Deshabilitado. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Scan_DisableCatchupQuickScan |
| Nombre descriptivo | Activar el examen rápido de puesta al día |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Análisis del antivirus > Microsoft Defender componentes > de Windows |
| Nombre de la clave del Registro | Software\Policies\Microsoft\Windows Defender\Scan |
| Nombre de archivo ADMX | WindowsDefender.admx |
EnableControlledFolderAccess
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1709 [10.0.16299] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Defender/EnableControlledFolderAccess
Habilite o deshabilite el acceso controlado a carpetas para aplicaciones que no son de confianza. Puede optar por bloquear, auditar o permitir intentos de aplicaciones que no son de confianza para:
- Modificar o eliminar archivos en carpetas protegidas, como la carpeta Documentos
- Escribir en sectores de disco.
También puede optar por bloquear o auditar las escrituras en sectores de disco, al tiempo que permite la modificación o eliminación de archivos en carpetas protegidas.
Microsoft Defender Antivirus determina automáticamente qué aplicaciones pueden ser de confianza. Puede agregar aplicaciones de confianza adicionales en la configuración Configuración de GP de aplicaciones permitidas.
Las carpetas predeterminadas del sistema se protegen automáticamente, pero puede agregar carpetas en la configuración Configurar carpetas protegidas gp.
Bloquear:
Se bloqueará lo siguiente:
- Intentos de las aplicaciones que no son de confianza para modificar o eliminar archivos en carpetas protegidas
- Intenta que las aplicaciones que no son de confianza escriban en sectores de disco.
El registro de eventos de Windows registrará estos bloques en Registros > de aplicaciones y servicios Id. operativo > 1123 de Microsoft > Windows > Defender>.
Deshabilitado:
No se bloqueará lo siguiente y se le permitirá ejecutar:
- Intentos de las aplicaciones que no son de confianza para modificar o eliminar archivos en carpetas protegidas
- Intenta que las aplicaciones que no son de confianza escriban en sectores de disco.
Estos intentos no se registrarán en el registro de eventos de Windows.
Modo de auditoría:
No se bloqueará lo siguiente y se le permitirá ejecutar:
- Intentos de las aplicaciones que no son de confianza para modificar o eliminar archivos en carpetas protegidas
- Intenta que las aplicaciones que no son de confianza escriban en sectores de disco.
El registro de eventos de Windows registrará estos intentos en Registros > de aplicaciones y servicios Id. operativo > 1124 de Microsoft > Windows > Defender>.
Bloquear solo la modificación del disco:
Se bloqueará lo siguiente:
- Intenta que las aplicaciones que no son de confianza escriban en sectores de disco.
El registro de eventos de Windows registrará estos intentos en Registros > de aplicaciones y servicios Id. operativo > 1123 de Microsoft > Windows > Defender>.
No se bloqueará lo siguiente y se le permitirá ejecutar:
- Intenta que las aplicaciones que no son de confianza modifiquen o eliminen archivos en carpetas protegidas.
Estos intentos no se registrarán en el registro de eventos de Windows.
Auditar solo la modificación del disco:
No se bloqueará lo siguiente y se le permitirá ejecutar:
- Intentos de las aplicaciones que no son de confianza para escribir en sectores de disco
- Intenta que las aplicaciones que no son de confianza modifiquen o eliminen archivos en carpetas protegidas.
Solo los intentos de escritura en sectores de disco protegidos se registrarán en el registro de eventos de Windows (en Registros > de aplicaciones y servicios, id. operativo > 1124 de Microsoft > Windows > Defender>).
Los intentos de modificar o eliminar archivos en carpetas protegidas no se registrarán.
No configurado:
Igual que Deshabilitado.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | Deshabilitado. |
| 1 | Habilitado. |
| 2 | Modo auditoría. |
| 3 | Bloquee solo la modificación del disco. |
| 4 | Auditar solo la modificación del disco. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | ExploitGuard_ControlledFolderAccess_EnableControlledFolderAccess |
| Nombre descriptivo | Configuración del acceso controlado a carpetas |
| Nombre del elemento | Configure la característica proteger mis carpetas. |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Componentes de > Windows Microsoft Defender Antivirus > Microsoft Defender acceso controlado a carpetas de Protección contra vulnerabilidades > de seguridad |
| Nombre de la clave del Registro | Software\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\Controlled Folder Access |
| Nombre de archivo ADMX | WindowsDefender.admx |
EnableLowCPUPriority
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1809 [10.0.17763] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Defender/EnableLowCPUPriority
Esta configuración de directiva permite habilitar o deshabilitar la prioridad baja de CPU para los exámenes programados.
Si habilita esta configuración, se usará prioridad baja de CPU durante los exámenes programados.
Si deshabilita o no configura esta configuración, no se realizarán cambios en la prioridad de CPU para los exámenes programados.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | Deshabilitado. |
| 1 | Habilitado. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Scan_LowCpuPriority |
| Nombre descriptivo | Configuración de prioridad de CPU baja para exámenes programados |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Análisis del antivirus > Microsoft Defender componentes > de Windows |
| Nombre de la clave del Registro | Software\Policies\Microsoft\Windows Defender\Scan |
| Nombre de archivo ADMX | WindowsDefender.admx |
EnableNetworkProtection
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1709 [10.0.16299] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Defender/EnableNetworkProtection
Habilite o deshabilite Microsoft Defender protección de red de Exploit Guard para evitar que los empleados usen cualquier aplicación para acceder a dominios peligrosos que puedan hospedar estafas de suplantación de identidad (phishing), sitios de hospedaje de vulnerabilidades de seguridad y otro contenido malintencionado en Internet.
Habilitado:
Especifique el modo en la sección Opciones:
-Bloquear: los usuarios y las aplicaciones no podrán acceder a dominios peligrosos -Modo de auditoría: los usuarios y las aplicaciones pueden conectarse a dominios peligrosos, pero si esta característica hubiera bloqueado el acceso si se hubiera establecido en Bloquear, un registro del evento estará en los registros de eventos.
Deshabilitado:
No se impedirá que los usuarios y las aplicaciones se conecten a dominios peligrosos.
No configurado:
Igual que Deshabilitado.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | Deshabilitado. |
| 1 | Habilitado (modo de bloque). |
| 2 | Habilitado (modo de auditoría). |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | ExploitGuard_EnableNetworkProtection |
| Nombre descriptivo | Impedir que usuarios y aplicaciones accedan a sitios web peligrosos |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Componentes de > Windows Microsoft Defender Antivirus > Microsoft Defender Protección contra vulnerabilidades de seguridad > de red |
| Nombre de la clave del Registro | Software\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\Network Protection |
| Nombre de archivo ADMX | WindowsDefender.admx |
ExcludedExtensions
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1607 [10.0.14393] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Defender/ExcludedExtensions
Permite a un administrador especificar una lista de extensiones de tipo de archivo que se omitirán durante un examen. Cada tipo de archivo de la lista debe estar separado por |. Por ejemplo, lib|obj.
Nota
Para evitar cambios no autorizados en las exclusiones, aplique la protección contra alteraciones. La protección contra alteraciones para exclusiones solo funciona cuando se cumplen ciertas condiciones .
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato |
chr (cadena) |
| Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
| Valores permitidos | List (Delimitador: |) |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Exclusions_Extensions |
| Nombre descriptivo | Exclusiones de extensión |
| Nombre del elemento | Exclusiones de extensión. |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Exclusiones de antivirus Microsoft Defender > componentes > de Windows |
| Nombre de la clave del Registro | Software\Policies\Microsoft\Windows Defender\Exclusiones |
| Nombre de archivo ADMX | WindowsDefender.admx |
ExcludedPaths
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1607 [10.0.14393] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Defender/ExcludedPaths
Permite a un administrador especificar una lista de rutas de acceso de directorio que se omitirán durante un examen. Cada ruta de acceso de la lista debe estar separada por |. Por ejemplo, C:\Example|C:\Example1.
Nota
Para evitar cambios no autorizados en las exclusiones, aplique la protección contra alteraciones. La protección contra alteraciones para exclusiones solo funciona cuando se cumplen ciertas condiciones .
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato |
chr (cadena) |
| Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
| Valores permitidos | List (Delimitador: |) |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Exclusions_Paths |
| Nombre descriptivo | Exclusiones de ruta de acceso |
| Nombre del elemento | Exclusiones de ruta de acceso. |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Exclusiones de antivirus Microsoft Defender > componentes > de Windows |
| Nombre de la clave del Registro | Software\Policies\Microsoft\Windows Defender\Exclusiones |
| Nombre de archivo ADMX | WindowsDefender.admx |
ExcludedProcesses
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1607 [10.0.14393] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Defender/ExcludedProcesses
Permite a un administrador especificar una lista de archivos abiertos por procesos que se omitirán durante un examen.
Importante
El propio proceso no se excluye del examen, pero puede ser mediante la directiva Defender/ExcludedPaths para excluir su ruta de acceso. Cada tipo de archivo debe estar separado por |. Por ejemplo, C:\Example. exe|C:\Example1.exe.
Nota
Para evitar cambios no autorizados en las exclusiones, aplique la protección contra alteraciones. La protección contra alteraciones para exclusiones solo funciona cuando se cumplen ciertas condiciones .
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato |
chr (cadena) |
| Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
| Valores permitidos | List (Delimitador: |) |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Exclusions_Processes |
| Nombre descriptivo | Exclusiones de proceso |
| Nombre del elemento | Exclusiones de procesos. |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Exclusiones de antivirus Microsoft Defender > componentes > de Windows |
| Nombre de la clave del Registro | Software\Policies\Microsoft\Windows Defender\Exclusiones |
| Nombre de archivo ADMX | WindowsDefender.admx |
PUAProtection
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1607 [10.0.14393] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Defender/PUAProtection
Habilite o deshabilite la detección para aplicaciones potencialmente no deseadas. Puede optar por bloquear, auditar o permitir cuando se descargue software potencialmente no deseado o intente instalarse en el equipo.
Habilitado:
Especifique el modo en la sección Opciones:
-Bloquear: se bloqueará el software potencialmente no deseado.
Modo de auditoría: el software potencialmente no deseado no se bloqueará, pero si esta característica hubiera bloqueado el acceso si se hubiera establecido en Bloquear, un registro del evento estará en los registros de eventos.
Deshabilitado:
No se bloqueará el software potencialmente no deseado.
No configurado:
Igual que Deshabilitado.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | Protección pua desactivada. Windows Defender no protegerá contra aplicaciones potencialmente no deseadas. |
| 1 | Protección pua activada. Los elementos detectados están bloqueados. Se mostrarán en la historia junto con otras amenazas. |
| 2 | Modo auditoría. Windows Defender detectará aplicaciones potencialmente no deseadas, pero no realizará ninguna acción. Para revisar la información sobre las aplicaciones en las que Windows Defender habría tomado medidas, busque eventos creados por Windows Defender en el Visor de eventos. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Root_PUAProtection |
| Nombre descriptivo | Configuración de la detección para aplicaciones potencialmente no deseadas |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Componentes de > Windows Microsoft Defender Antivirus |
| Nombre de la clave del Registro | Software\Policies\Microsoft\Windows Defender |
| Nombre de archivo ADMX | WindowsDefender.admx |
RealTimeScanDirection
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1507 [10.0.10240] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Defender/RealTimeScanDirection
Esta configuración de directiva permite configurar la supervisión de archivos entrantes y salientes, sin tener que desactivar completamente la supervisión. Se recomienda su uso en servidores en los que hay una gran cantidad de actividad de archivos entrantes y salientes, pero por motivos de rendimiento es necesario que el examen esté deshabilitado para una dirección de examen determinada. La configuración adecuada debe evaluarse en función del rol de servidor.
Tenga en cuenta que esta configuración solo se respeta para los volúmenes NTFS. Para cualquier otro tipo de sistema de archivos, la supervisión completa de la actividad de archivos y programas estará presente en esos volúmenes.
Las opciones de esta configuración son mutuamente excluyentes:
0 = Examinar archivos entrantes y salientes (valor predeterminado) 1 = Examinar archivos entrantes solo 2 = Examinar solo archivos salientes.
Cualquier otro valor, o si el valor no existe, se resuelve en el valor predeterminado (0).
Si habilita esta configuración, se habilitará el tipo de supervisión especificado.
Si deshabilita o no establece esta configuración, se habilitará la supervisión de los archivos entrantes y salientes.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | Supervisión de todos los archivos (bidireccional). |
| 1 | Supervisión de archivos entrantes. |
| 2 | Supervisión de archivos salientes. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | RealtimeProtection_RealtimeScanDirection |
| Nombre descriptivo | Configurar supervisión de la actividad de archivos y programas entrantes y salientes |
| Nombre del elemento | Configure la supervisión de la actividad de archivos y programas entrantes y salientes. |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Componentes de > Windows Microsoft Defender Protección antivirus > en tiempo real |
| Nombre de la clave del Registro | Software\Policies\Microsoft\Windows Defender\Real-Time Protection |
| Nombre de archivo ADMX | WindowsDefender.admx |
ScanParameter
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1507 [10.0.10240] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Defender/ScanParameter
Esta configuración de directiva permite especificar el tipo de examen que se va a usar durante un examen programado. Las opciones de tipo de examen son:
1 = Examen rápido (valor predeterminado) 2 = Examen completo.
Si habilita esta configuración, el tipo de examen se establecerá en el valor especificado.
Si deshabilita o no establece esta configuración, se usará el tipo de examen predeterminado.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 1 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 1 (valor predeterminado) | Examen rápido. |
| 2 | Examen completo. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Scan_ScanParameters |
| Nombre descriptivo | Especificar el tipo de examen que se va a usar en un examen programado |
| Nombre del elemento | Especifique el tipo de examen que se va a usar para un examen programado. |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Análisis del antivirus > Microsoft Defender componentes > de Windows |
| Nombre de la clave del Registro | Software\Policies\Microsoft\Windows Defender\Scan |
| Nombre de archivo ADMX | WindowsDefender.admx |
ScheduleQuickScanTime
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1507 [10.0.10240] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Defender/ScheduleQuickScanTime
Esta configuración de directiva le permite especificar la hora del día a la que realizar un examen rápido diario. El valor de hora se representa como el número de minutos pasados la medianoche (00:00). Por ejemplo, 120 (0x78) equivale a las 02:00 a.m. De forma predeterminada, esta configuración se establece en deshabilitada. La programación se basa en la hora local en el equipo donde se ejecuta el examen.
Si habilita esta configuración, se ejecutará un examen rápido diario a la hora del día especificada.
Si deshabilita o no establece esta configuración, no se ejecutará el examen rápido diario controlado por esta configuración.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
| Valores permitidos | Gama: [0-1380] |
| Valor predeterminado | 120 |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Scan_ScheduleQuickScantime |
| Nombre descriptivo | Especificar la hora de un examen rápido diario |
| Nombre del elemento | Especifique la hora de un examen rápido diario. |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Análisis del antivirus > Microsoft Defender componentes > de Windows |
| Nombre de la clave del Registro | Software\Policies\Microsoft\Windows Defender\Scan |
| Nombre de archivo ADMX | WindowsDefender.admx |
ScheduleScanDay
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1507 [10.0.10240] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Defender/ScheduleScanDay
Esta configuración de directiva le permite especificar el día de la semana en el que realizar un examen programado. El examen también se puede configurar para ejecutarse todos los días o para que no se ejecute nunca.
Esta configuración se puede configurar con los siguientes valores de número ordinal:
(0x0) Todos los días (0x1) Domingo (0x2) Lunes (0x3) Martes (0x4) Miércoles (0x5) Jueves (0x6) Viernes (0x7) Sábado (0x8) Nunca (valor predeterminado)
Si habilita esta configuración, se ejecutará un examen programado con la frecuencia especificada.
Si deshabilita o no establece esta configuración, se ejecutará un examen programado con una frecuencia predeterminada.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 0 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 (Predeterminado) | Todos los días. |
| 1 | Domingo. |
| 2 | Lunes. |
| 3 | Martes. |
| 4 | Miércoles. |
| 5 | Jueves. |
| 6 | Viernes. |
| 7 | Sábado. |
| 8 | Sin examen programado. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Scan_ScheduleDay |
| Nombre descriptivo | Especificar el día de la semana en el que ejecutar un examen programado |
| Nombre del elemento | Especifique el día de la semana para ejecutar un examen programado. |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Análisis del antivirus > Microsoft Defender componentes > de Windows |
| Nombre de la clave del Registro | Software\Policies\Microsoft\Windows Defender\Scan |
| Nombre de archivo ADMX | WindowsDefender.admx |
ScheduleScanTime
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1507 [10.0.10240] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Defender/ScheduleScanTime
Esta configuración de directiva le permite especificar la hora del día a la que realizar un examen programado. El valor de hora se representa como el número de minutos pasados la medianoche (00:00). Por ejemplo, 120 (0x78) equivale a las 02:00 a.m. De forma predeterminada, esta configuración se establece en un valor de hora de 2:00 AM. La programación se basa en la hora local en el equipo donde se ejecuta el examen.
Si habilita esta configuración, se ejecutará un examen programado a la hora del día especificada.
Si deshabilita o no establece esta configuración, se ejecutará un examen programado en un momento predeterminado.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
| Valores permitidos | Gama: [0-1380] |
| Valor predeterminado | 120 |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Scan_ScheduleTime |
| Nombre descriptivo | Especificar la hora del día a la que ejecutar un examen programado |
| Nombre del elemento | Especifique la hora del día para ejecutar un examen programado. |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Análisis del antivirus > Microsoft Defender componentes > de Windows |
| Nombre de la clave del Registro | Software\Policies\Microsoft\Windows Defender\Scan |
| Nombre de archivo ADMX | WindowsDefender.admx |
SecurityIntelligenceLocation
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1903 [10.0.18362] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Defender/SecurityIntelligenceLocation
Esta configuración de directiva permite definir la ubicación de inteligencia de seguridad para los equipos configurados con VDI.
Si deshabilita o no establece esta configuración, se hará referencia a la inteligencia de seguridad desde el origen local predeterminado.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato |
chr (cadena) |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | SignatureUpdate_SharedSignaturesLocation |
| Nombre descriptivo | Defina la ubicación de inteligencia de seguridad para los clientes VDI. |
| Nombre del elemento | Defina el recurso compartido de archivos para descargar actualizaciones de inteligencia de seguridad en entornos virtuales. |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Componentes de > Windows Microsoft Defender > Antivirus Security Intelligence Novedades |
| Nombre de la clave del Registro | Software\Policies\Microsoft\Windows Defender\Signature Novedades |
| Nombre de archivo ADMX | WindowsDefender.admx |
SignatureUpdateFallbackOrder
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1809 [10.0.17763] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Defender/SignatureUpdateFallbackOrder
Esta configuración de directiva le permite definir el orden en el que se deben establecer contactos con los distintos orígenes de actualización de inteligencia de seguridad. El valor de esta configuración debe especificarse como una cadena separada por canalización que enumera los orígenes de actualización de inteligencia de seguridad en orden. Los valores posibles son: "InternalDefinitionUpdateServer", "MicrosoftUpdateServer", "MMPC" y "FileShares".
Por ejemplo: { InternalDefinitionUpdateServer | MicrosoftUpdateServer | MMPC }
Si habilita esta configuración, se contactará con los orígenes de actualización de inteligencia de seguridad en el orden especificado. Una vez que las actualizaciones de inteligencia de seguridad se hayan descargado correctamente de un origen especificado, no se contactará con los orígenes restantes de la lista.
Si deshabilita o no establece esta configuración, se contactará con los orígenes de actualización de inteligencia de seguridad en un orden predeterminado.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato |
chr (cadena) |
| Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
| Valores permitidos | List (Delimitador: |) |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | SignatureUpdate_FallbackOrder |
| Nombre descriptivo | Definir el orden de los orígenes para descargar las actualizaciones de inteligencia de seguridad |
| Nombre del elemento | Defina el orden de los orígenes para descargar las actualizaciones de inteligencia de seguridad. |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Componentes de > Windows Microsoft Defender > Antivirus Security Intelligence Novedades |
| Nombre de la clave del Registro | Software\Policies\Microsoft\Windows Defender\Signature Novedades |
| Nombre de archivo ADMX | WindowsDefender.admx |
SignatureUpdateFileSharesSources
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1809 [10.0.17763] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Defender/SignatureUpdateFileSharesSources
Esta configuración de directiva le permite configurar orígenes de recursos compartidos de archivos UNC para descargar actualizaciones de inteligencia de seguridad. Los orígenes se contactarán en el orden especificado. El valor de esta configuración debe especificarse como una cadena separada por canalización que enumera los orígenes de actualización de inteligencia de seguridad. Por ejemplo: "{\\unc1 | \\unc2 }". La lista está vacía de forma predeterminada.
Si habilita esta configuración, se contactará con los orígenes especificados para obtener actualizaciones de inteligencia de seguridad. Una vez que las actualizaciones de inteligencia de seguridad se hayan descargado correctamente de un origen especificado, no se contactará con los orígenes restantes de la lista.
Si deshabilita o no establece esta configuración, la lista permanecerá vacía de forma predeterminada y no se contactará con ningún origen.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato |
chr (cadena) |
| Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
| Valores permitidos | List (Delimitador: |) |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | SignatureUpdate_DefinitionUpdateFileSharesSources |
| Nombre descriptivo | Definición de recursos compartidos de archivos para descargar actualizaciones de inteligencia de seguridad |
| Nombre del elemento | Defina recursos compartidos de archivos para descargar actualizaciones de inteligencia de seguridad. |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Componentes de > Windows Microsoft Defender > Antivirus Security Intelligence Novedades |
| Nombre de la clave del Registro | Software\Policies\Microsoft\Windows Defender\Signature Novedades |
| Nombre de archivo ADMX | WindowsDefender.admx |
SignatureUpdateInterval
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1507 [10.0.10240] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Defender/SignatureUpdateInterval
Esta configuración de directiva le permite especificar un intervalo en el que comprobar si hay actualizaciones de inteligencia de seguridad. El valor de hora se representa como el número de horas entre comprobaciones de actualización. Los valores válidos oscilan entre 1 (cada hora) y 24 (una vez al día).
Si habilita esta configuración, las comprobaciones de actualizaciones de inteligencia de seguridad se producirán en el intervalo especificado.
Si deshabilita o no establece esta configuración, las comprobaciones de actualizaciones de inteligencia de seguridad se producirán en el intervalo predeterminado.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, eliminar, obtener y reemplazar |
| Valores permitidos | Gama: [0-24] |
| Valor predeterminado | 8 |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | SignatureUpdate_SignatureUpdateInterval |
| Nombre descriptivo | Especificar el intervalo para comprobar si hay actualizaciones de inteligencia de seguridad |
| Nombre del elemento | Especifique el intervalo para comprobar si hay actualizaciones de inteligencia de seguridad. |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Componentes de > Windows Microsoft Defender > Antivirus Security Intelligence Novedades |
| Nombre de la clave del Registro | Software\Policies\Microsoft\Windows Defender\Signature Novedades |
| Nombre de archivo ADMX | WindowsDefender.admx |
SubmitSamplesConsent
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1507 [10.0.10240] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Defender/SubmitSamplesConsent
Esta configuración de directiva configura el comportamiento del envío de ejemplos cuando se establece la opción de participar en la telemetría de MAPS.
Las opciones posibles son:
(0x0) Preguntar siempre (0x1) Enviar muestras seguras automáticamente (0x2) Nunca enviar (0x3) Enviar todas las muestras automáticamente.
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato | int |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
| Valor predeterminado | 1 |
Valores permitidos:
| Valor | Descripción |
|---|---|
| 0 | Preguntar siempre. |
| 1 (valor predeterminado) | Envíe muestras seguras automáticamente. |
| 2 | No enviar nunca. |
| 3 | Enviar todas las muestras automáticamente. |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | SubmitSamplesConsent |
| Nombre descriptivo | Enviar muestras de archivos cuando se requieran más análisis |
| Nombre del elemento | Envíe ejemplos de archivos cuando sea necesario realizar un análisis adicional. |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Componentes de > Windows Microsoft Defender Antivirus > MAPS |
| Nombre de la clave del Registro | Software\Policies\Microsoft\Windows Defender\Spynet |
| Nombre de archivo ADMX | WindowsDefender.admx |
ThreatSeverityDefaultAction
| Ámbito | Ediciones | Sistema operativo aplicable |
|---|---|---|
| Dispositivo ✅ ❌ Usuario |
✅ Pro ✅ Empresa ✅ Educación ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 10, versión 1607 [10.0.14393] y versiones posteriores |
./Device/Vendor/MSFT/Policy/Config/Defender/ThreatSeverityDefaultAction
Esta configuración de directiva le permite personalizar qué acción de corrección automática se realizará para cada nivel de alerta de amenaza. Los niveles de alerta de amenaza se deben agregar en opciones para esta configuración. Cada entrada debe aparecer como un par de valores de nombre. El nombre define un nivel de alerta de amenaza. El valor contiene el identificador de acción para la acción de corrección que se debe realizar.
Los niveles de alerta de amenaza válidos son:
1 = Bajo 2 = Medio 4 = Alto 5 = Grave.
Los valores de acción de corrección válidos son:
2 = Cuarentena 3 = Quitar 6 = Omitir.
Nota
Los cambios en esta configuración no se aplican cuando está habilitada la protección contra alteraciones .
Propiedades del marco de descripción:
| Nombre de la propiedad | Valor de propiedad |
|---|---|
| Formato |
chr (cadena) |
| Tipo de acceso | Agregar, Eliminar, Obtener, Reemplazar |
Asignación de directivas de grupo:
| Nombre | Valor |
|---|---|
| Nombre | Threats_ThreatSeverityDefaultAction |
| Nombre descriptivo | Especificar niveles de alerta de amenaza en los que, al detectarse, la acción predeterminada no debe realizarse |
| Nombre del elemento | Especifique los niveles de alerta de amenaza en los que no se debe realizar una acción predeterminada cuando se detecte. |
| Ubicación | Configuración del equipo |
| Ruta de acceso | Amenazas de antivirus Microsoft Defender > componentes > de Windows |
| Nombre de la clave del Registro | Software\Policies\Microsoft\Windows Defender\Threats |
| Nombre de archivo ADMX | WindowsDefender.admx |