Editar

Compartir a través de


Preguntas más frecuentes: Protección de aplicaciones de Microsoft Defender

Nota

En este artículo se enumeran las preguntas más frecuentes con respuestas para Protección de aplicaciones de Microsoft Defender (Protección de aplicaciones). Las preguntas abarcan características, integración con el sistema operativo Windows y configuración general.

Preguntas más frecuentes

¿Puedo habilitar Protección de aplicaciones en máquinas equipadas con 4 GB de RAM?

Se recomienda 8 GB de RAM para un rendimiento óptimo, pero puede usar los siguientes valores DWORD del Registro para habilitar Protección de aplicaciones en equipos que no cumplen la configuración de hardware recomendada.

HKLM\software\Microsoft\Hvsi\SpecRequiredProcessorCount (El valor predeterminado es cuatro núcleos).

HKLM\software\Microsoft\Hvsi\SpecRequiredMemoryInGB (El valor predeterminado es 8 GB).

HKLM\software\Microsoft\Hvsi\SpecRequiredFreeDiskSpaceInGB (El valor predeterminado es 5 GB).

Mi configuración de red usa un proxy y me estoy ejecutando en "No se pueden resolver direcciones URL externas desde MDAG Browser: Error: err_connection_refused". Cómo resolverlo?

El servidor manual o PAC debe ser un nombre de host (no ip) que sea neutro en la lista de sitios. Además, si el script PAC devuelve un proxy, debe cumplir esos mismos requisitos.

Para asegurarse de que los FQDN (nombres de dominio completos) para el "archivo PAC" y los "servidores proxy a los que redirige el archivo PAC" se agregan como recursos neutros en las directivas de aislamiento de red usadas por Protección de aplicaciones, puede:

  • Para comprobar esta adición, vaya a edge://application-guard-internals/#utilities y escriba el FQDN del pac/proxy en el campo "check url trust" y compruebe que dice "Neutral".
  • Debe ser un FQDN. Una dirección IP sencilla no funcionará.
  • Opcionalmente, si es posible, las direcciones IP asociadas al servidor que hospeda lo anterior deben quitarse de los intervalos IP empresariales en las directivas de aislamiento de red usadas por Protección de aplicaciones.

Cómo configurar Protección de aplicaciones de Microsoft Defender para que funcione con mi proxy de red (direcciones IP-literales)?

Protección de aplicaciones requiere que los servidores proxy tengan un nombre simbólico, no solo una dirección IP. IP-Literal configuración de proxy como 192.168.1.4:81 se puede anotar como itproxy:81 o mediante un registro como P19216810010 para un proxy con una dirección IP de 192.168.100.10. Esta anotación se aplica a Windows 10 Enterprise edición, versión 1709 o posterior. Estas anotaciones serían para las directivas de proxy en Aislamiento de red en directiva de grupo o Intune.

¿Qué editores de métodos de entrada (IME) de 19H1 no se admiten?

Los siguientes editores de métodos de entrada (IME) introducidos en Windows 10, versión 1903, no se admiten actualmente en Protección de aplicaciones de Microsoft Defender:

  • Teclado telex de Vietnam
  • Teclado basado en teclas de número de Vietnam
  • Teclado fonético hindi
  • Teclado fonético de Bangla
  • Teclado fonético Marathi
  • Teclado fonético telugu
  • Teclado fonético tamil
  • Teclado fonético kannada
  • Teclado fonético Malayalam
  • Teclado fonético gujarati
  • Odia phonetic keyboard
  • Teclado fonético punjabi

He habilitado la directiva de aceleración de hardware en mi implementación de Windows 10 Enterprise, versión 1803. ¿Por qué mis usuarios solo obtienen representación de CPU?

Esta característica es actualmente solo experimental y no funciona sin una clave del Registro adicional proporcionada por Microsoft. Si desea evaluar esta característica en una implementación de Windows 10 Enterprise, versión 1803, póngase en contacto con Microsoft y trabajaremos con usted para habilitar la característica.

¿Qué es la cuenta local WDAGUtilityAccount?

WDAGUtilityAccount forma parte de Protección de aplicaciones, a partir de Windows 10, versión 1709 (Fall Creators Update). Permanece deshabilitado de forma predeterminada, a menos que Protección de aplicaciones esté habilitado en el dispositivo. WDAGUtilityAccount se usa para iniciar sesión en el contenedor de Protección de aplicaciones como un usuario estándar con una contraseña aleatoria. No es una cuenta malintencionada. Requiere permisos de inicio de sesión como servicio para poder funcionar correctamente. Si se deniega este permiso, es posible que vea el siguiente error:

Error: 0x80070569, error ext: 0x00000001; RDP: Error: 0x00000000, error ext: 0x00000000 Ubicación: 0x00000000

Cómo confiar en un subdominio en mi lista de sitios?

Para confiar en un subdominio, debe preceder al dominio con dos puntos (..). Por ejemplo: ..contoso.com garantiza que mail.contoso.com o news.contoso.com son de confianza. El primer punto representa las cadenas del nombre del subdominio (correo o noticias) y el segundo punto reconoce el inicio del nombre de dominio (contoso.com). Estos dos puntos impiden que sitios como fakesitecontoso.com sean de confianza.

¿Hay diferencias entre el uso de Protección de aplicaciones en Windows Pro frente a Windows Enterprise?

Al usar Windows Pro o Windows Enterprise, tiene acceso al uso de Protección de aplicaciones en modo independiente. Sin embargo, al usar Enterprise, tiene acceso a Protección de aplicaciones en modo Enterprise-Managed. Este modo tiene algunas características adicionales que el modo independiente no tiene. Para obtener más información, consulte Preparación para instalar Protección de aplicaciones de Microsoft Defender.

¿Hay un límite de tamaño para las listas de dominios que necesito configurar?

Sí, tanto los dominios de recursos empresariales hospedados en la nube como los dominios que se clasifican como profesionales y personales tienen un límite de 1.6383 bytes.

¿Por qué mi controlador de cifrado interrumpe Protección de aplicaciones de Microsoft Defender?

Protección de aplicaciones de Microsoft Defender accede a los archivos desde un VHD montado en el host que debe escribirse durante la instalación. Si un controlador de cifrado impide que un VHD se monte o se escriba en, Protección de aplicaciones no funciona y genera un mensaje de error (0x80070013 ERROR_WRITE_PROTECT).

¿Por qué las directivas de aislamiento de red de directiva de grupo y CSP tienen un aspecto diferente?

No hay una asignación uno a uno entre todas las directivas de aislamiento de red entre CSP y GP. Las directivas de aislamiento de red obligatorias para implementar Protección de aplicaciones son diferentes entre CSP y GP.

  • Directiva gp de aislamiento de red obligatoria para implementar Protección de aplicaciones: DomainSubnets o CloudResources

  • Directiva CSP de aislamiento de red obligatoria para implementar Protección de aplicaciones: EnterpriseCloudResources o (EnterpriseIpRange y EnterpriseNetworkDomainNames)

  • Para EnterpriseNetworkDomainNames, no hay ninguna directiva CSP asignada.

Protección de aplicaciones accede a los archivos desde un VHD montado en el host que debe escribirse durante la instalación. Si un controlador de cifrado impide que un VHD se monte o se escriba en, Protección de aplicaciones no funciona y genera un mensaje de error (0x80070013 ERROR_WRITE_PROTECT).

¿Por qué Protección de aplicaciones dejar de funcionar después de desactivar el hiperthreading?

Si el hiperthreading está deshabilitado (debido a una actualización aplicada a través de un artículo de KB o a través de la configuración del BIOS), existe la posibilidad de que Protección de aplicaciones ya no cumpla los requisitos mínimos.

¿Por qué recibo el mensaje de error "ERROR_VIRTUAL_DISK_LIMITATION"?

Protección de aplicaciones podría no funcionar correctamente en volúmenes comprimidos NTFS. Si este problema persiste, intente descomprimir el volumen.

¿Por qué recibo el mensaje de error "ERR_NAME_NOT_RESOLVED" después de no poder acceder al archivo PAC?

Este problema es conocido. Para mitigar este problema, debe crear dos reglas de firewall. Para obtener información sobre cómo crear una regla de firewall con directiva de grupo, consulte Configuración de reglas de Firewall de Windows con directiva de grupo.

Primera regla (servidor DHCP)

  • Ruta de acceso del programa: %SystemRoot%\System32\svchost.exe

  • Servicio local: Sid: S-1-5-80-2009329905-444645132-2728249442-922493431-93864177 (Internet Connection Service (SharedAccess))

  • Protocolo UDP

  • Puerto 67

Segunda regla (cliente DHCP)

Esta regla es la misma que la primera, pero se limita al puerto local 68. En la interfaz de usuario Microsoft Defender Firewall, siga estos pasos:

  1. Haga clic con el botón derecho en las reglas de entrada y, a continuación, cree una nueva regla.

  2. Elija una regla personalizada.

  3. Especifique la siguiente ruta de acceso del programa: %SystemRoot%\System32\svchost.exe.

  4. Especifique la siguiente configuración:

    • Tipo de protocolo: UDP
    • Puertos específicos: 67
    • Puerto remoto: cualquiera
  5. Especifique las direcciones IP.

  6. Permitir la conexión.

  7. Especifique para usar todos los perfiles.

  8. La nueva regla debe aparecer en la interfaz de usuario. Haga clic con el botón derecho en laspropiedades de la regla>.

  9. En la pestaña Programas y servicios , en la sección Servicios , seleccione Configuración.

  10. Elija Apply to this Service (Aplicar a este servicio) y seleccione Acceso compartido de Internet Connection Sharing (ICS).

¿Cómo puedo deshabilitar partes del servicio de conexión a Internet (ICS) sin interrumpir Protección de aplicaciones?

ICS está habilitado de forma predeterminada en Windows y ICS debe estar habilitado para que Protección de aplicaciones funcione correctamente. No se recomienda deshabilitar ICS; sin embargo, puede deshabilitar ICS en parte mediante un directiva de grupo y la edición de claves del Registro.

  1. En la configuración de directiva de grupo, prohibir el uso compartido de conexiones a Internet en la red de dominio DNS, establézcalo en Deshabilitado.

  2. Deshabilite IpNat.sys de la carga de ICS como se indica a continuación:
    System\CurrentControlSet\Services\SharedAccess\Parameters\DisableIpNat = 1

  3. Configure ICS (SharedAccess) para que se habilite de la siguiente manera:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Start = 3

  4. (Este paso es opcional) Deshabilite IPNAT como se indica a continuación:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPNat\Start = 4

  5. Reinicia el dispositivo.

¿Por qué el contenedor no se carga completamente cuando se habilitan las directivas de control de dispositivos?

Los elementos que aparecen en la lista de permitidos deben configurarse como "permitidos" en el objeto directiva de grupo para asegurarse de que AppGuard funciona correctamente.

Directiva: permitir la instalación de dispositivos que coincidan con cualquiera de los siguientes identificadores de dispositivo:

  • SCSI\DiskMsft____Virtual_Disk____
  • {8e7bd593-6e6c-4c52-86a6-77175494dd8e}\msvhdhba
  • VMS_VSF
  • root\Vpcivsp
  • root\VMBus
  • vms_mp
  • VMS_VSP
  • ROOT\VKRNLINTVSP
  • ROOT\VID
  • root\storvsp
  • vms_vsmp
  • VMS_PP

Directiva: permitir la instalación de dispositivos mediante controladores que coincidan con estas clases de configuración de dispositivos

  • {71a27cdd-812a-11d0-bec7-08002be2092f}

Estoy experimentando problemas de fragmentación de TCP y no puedo habilitar mi conexión VPN. Cómo solucionar este problema?

WinNAT quita los mensajes ICMP/UDP con paquetes mayores que MTU cuando se usa el conmutador predeterminado o la red NAT de Docker. Se ha agregado compatibilidad con esta solución en KB4571744. Para corregir el problema, instale la actualización y habilite la corrección siguiendo estos pasos:

  1. Asegúrese de que el valor de FragmentAware DWORD esté establecido en 1 en esta configuración del Registro: \Registry\Machine\SYSTEM\CurrentControlSet\Services\Winnat.

  2. Reinicia el dispositivo.

¿Qué hace el _Allow a los usuarios para que confíen en los archivos que se abren en Microsoft Defender opción Guard_ aplicación de la directiva de grupo?

Esta directiva estaba presente en Windows 10 anterior a la versión 2004. Se quitó de las versiones posteriores de Windows, ya que no aplica nada para Microsoft Edge o Office.

Cómo abrir una incidencia de soporte técnico para Protección de aplicaciones de Microsoft Defender?

  • Visite Creación de una nueva solicitud de soporte técnico.
  • En Familia de productos, seleccione Windows. Seleccione el producto y la versión del producto con la que necesita ayuda. En la categoría que mejor describe el problema, seleccione, Seguridad de Windows Tecnologías. En la opción final, seleccione Windows Defender Protección de aplicaciones.

¿Hay alguna manera de habilitar o deshabilitar el comportamiento en el que se cierra automáticamente la pestaña host de Microsoft Edge al navegar a un sitio que no es de confianza?

Sí. Use esta marca de Microsoft Edge para habilitar o deshabilitar este comportamiento: --disable-features="msWdagAutoCloseNavigatedTabs"