Ajustes de antivirus

Los ajustes del antivirus configuran ajustes para el software antivirus instalado en un dispositivo Windows.

En la siguiente tabla se describen las opciones del antivirus Windows Defender que se pueden configurar en un dispositivo Windows:

Tabla 1. Configuración de antivirus
Valor de política Descripción Dispositivos compatibles
Configurar valores de antivirus Configure los ajustes del antivirus en el dispositivo. La configuración se admite en la aplicación Windows Defender nativa. Habilite este ajuste para ver y configurar los ajustes de antivirus.
  • Windows 10 + Professional, Education, Enterprise
  • Windows Team
Personalizar ajustes de exploración y frecuencia Configure los ajustes de exploración y la frecuencia del antivirus para realizar la exploración.
  • Tipo de exploración: seleccione el tipo de exploración del dispositivo que prefiere, como exploración rápida o exploración completa.
  • Hora de inicio de la exploración: planifique la hora para que empiece la exploración. Nota:El sistema operativo puede sustituir la hora de exploración. La exploración normalmente se ejecuta cuando el uso de CPU es bajo en el sistema.
  • Frecuencia de exploración: seleccione la frecuencia a la que desea que se ejecute la exploración en el dispositivo, por ejemplo, cada día, un día específico o ningún día planificado.
  • Frecuencia de actualización de firmas: seleccione la frecuencia a la que desea que se actualice la firma, como por ejemplo, cada hora, cada dos horas o cada ocho horas.
  • Capturar exploración completa: Seleccione esta opción para forzar a Windows Defender a ejecutar una exploración completa después de que se haya perdido una exploración planificada.
  • Capturar exploración rápida: seleccione esta opción para forzar a Windows Defender a ejecutar una exploración rápida después de que se haya perdido una exploración planificada.
  • Prioridad de CPU baja durante la exploración: especifique que Windows Defender utiliza una prioridad de CPU baja para las exploraciones planificadas.
  • Comprobar la firma antes de ejecutar el escaneo: Seleccione que Windows Defender compruebe si hay nuevas definiciones de virus y spyware antes de ejecutar un escaneo. Esta opción se aplica a las exploraciones planificadas y a la opción de línea de mandatos mpcmdrun -SigUpdate . Esta opción no se aplica a exploraciones iniciadas manualmente desde la interfaz de usuario. Si no habilita esta opción, la exploración utiliza las definiciones existentes.
  • Orden de reserva de actualización de firma: seleccione el orden en el que Windows Defender contacta con los orígenes de actualización de definición. Establezca el orden de prioridad en el que cada una de los siguientes orígenes descarga las actualizaciones de definición:
    • Servidor de actualización de definición interna: utilice un servidor WSUS (Windows Server Update Service) para gestionar las actualizaciones de la red.
    • Microsoft Update Server: se conecta directamente a Microsoft Update. Utilice esta opción si los dispositivos no se pueden conectar a la red empresarial de forma coherente o si no utiliza el servicio de actualización de Windows Server para gestionar las actualizaciones.
    • MMPC: Entrega SHA-2 actualizaciones firmadas a través de Windows Update. Sus dispositivos deben admitir SHA-2.

      Utilice esta opción como origen de reserva final, y no como origen primario, especialmente si las actualizaciones no se pueden descargar desde Windows Server Update Service o Microsoft Update durante un número específico de días.

    • Compartición de archivos: utilice esta opción si tiene dispositivos que no están conectados a Internet. Utilice un sistema conectado a Internet para descargar actualizaciones en una unidad compartida de red a la que puedan acceder los dispositivos.

      Recursos compartidos de archivos de actualización de firmas: define el orden en el que los orígenes de la compartición de archivos de UNC (Universal Naming Convention) descargan las actualizaciones de la definición. Utilice una lista separada por comas para definir los orígenes de compartición de archivos de UNC.

Nota: Los orígenes de actualización de la definición se contactan en el orden que se ha especificado. Si las actualizaciones de la definición se descargan correctamente desde un origen específico, los orígenes restantes de la lista no se contactan.
  • Windows 10 + Professional, Education, Enterprise
  • Windows Team
Tipos de archivos incluidos para la exploración antivirus Configure los tipos de archivos que se incluyen durante la exploración de dispositivos.
  • Imponer exploración de archivos de archivado: explora los archivos de archivado como los archivos .zip.
  • Imponer la exploración de correos electrónicos: explora los correos electrónicos. Este ajuste se admite en Outlook 2003 y versiones anteriores.
  • Imponer exploración de archivos de red: cuando se accede a los archivos de red, estos archivos se exploran.
  • Imponer exploración completa en las unidades de red correlacionadas: explora los archivos de red cuando se inicia una exploración completa.
  • Permitir exploración de archivos bidireccional: especifique si se deben supervisar los archivos entrantes y saliente, solo los archivos entrantes o solo los archivos salientes durante una exploración de antivirus.
  • Imponer exploración completa en la unidad extraíble: explora las unidades extraíbles conectadas cuando se inicia una exploración completa.
  • Windows 10 + Professional, Education, Enterprise
  • Windows Team
Tipos de archivos excluidos de la exploración Configure los tipos de archivos que no están incluidos durante la exploración de dispositivos.
  • Tipos de archivo excluidos para exploración: especifique formatos de archivo separados por comas (lib, obj, cmd) que se ignoran durante una exploración de antivirus.
  • Excluir vías de acceso de archivos para la exploración: especifique vías de acceso de directorio separadas por coma (C:\example, C:\example1) que se ignoran durante una exploración de antivirus.
  • Procesos excluidos de la exploración: especifique los archivos separados por coma (C:\Example.exe, C:\Example1.exe) que abren los procesadores que se ignoran durante una exploración de antivirus.
  • Windows 10 + Professional, Education, Enterprise
  • Windows Team
Valores avanzados
  • Habilitar protección en tiempo real: la protección en tiempo real se configura en el dispositivo.
  • Imponer supervisión de comportamiento: impone la supervisión de comportamiento en el dispositivo. La supervisión del comportamiento es una característica interna que el motor de Windows Defender utiliza para recopilar datos para comportamientos sospechosos. A los usuarios no se les muestra información directamente.
  • Imponer protección en la nube: permite a Windows Defender enviar información a Microsoft.
  • Nivel de bloque de nube: especifique la agresividad del motor antivirus de Windows Defender si detecta e identifica archivos sospechosos. Se admiten los siguientes niveles de bloqueo:
    • Valor predeterminado: el nivel de bloqueo de Windows Defender predeterminado que proporciona una detección potente sin aumentar el riesgo de detectar archivos legítimos.
    • Alto: este nivel de bloqueo bloquea de forma agresiva los archivos desconocido a la vez que optimiza el rendimiento del cliente (aumenta el riesgo de falsos positivos).
    • Alto +: este nivel de bloqueo bloquea de forma agresiva los archivos desconocidos y aplica medidas de protección adicionales (puede tener impacto en el rendimiento del cliente y aumenta el riesgo de falsos positivos).
    • Tolerancia cero: este nivel de bloqueo bloquea todos los ejecutables desconocidos.
    Nota: Esta opción está soportada en Windows 10 versión 1709 y posteriores.
  • Tiempo de espera ampliado en la nube: especifica el número de segundos que el servicio de protección de la nube bloquea un archivo mientras el servicio comprueba si el archivo es malicioso. El rango es de 0 a 50 segundos. Nota: El número de segundos que selecciona para esta opción es adicional a un tiempo de espera predeterminado de 10 segundos. Por ejemplo, si especifica 0 segundos, el servicio de protección de la nube bloquea el archivo durante 10 segundos.
    Nota: Esta opción está soportada en Windows 10 versión 1709 y posteriores.
  • Solicitar el consentimiento del usuario antes de enviar información de Defender: elija las opciones de consentimiento del usuario antes de enviar la información a Windows Defender.
    • Preguntar siempre
    • Enviar ejemplos seguros automáticamente sin solicitar consentimiento del usuario
    • No enviar nunca información de Defender
    • Enviar todos los ejemplos automáticamente sin solicitar consentimiento del usuario
  • Aplicar protección IOAV: Habilita la API de IofficeAntiVirus para permitir que aplicaciones como clientes de correo electrónico o navegadores web soliciten a Windows Defender un análisis de contenido cuando dichos programas manejen un archivo.
  • Permitir prevención de intrusiones: permite la funcionalidad de prevención de intrusiones de Windows Defender. Habilite esta opción para proteger los sistemas frente a exploits de red conocidos, inspeccionando el tráfico de red y bloqueando cualquier actividad sospechosa.
  • Permitir el acceso a la interfaz de usuario de Defender: permite el acceso a la interfaz de usuario de Windows Defender.
  • Permitir en protección de acceso: permite la funcionalidad de protección de acceso de Windows Defender. Habilite esta opción para utilizar las reglas de autorización de URL y el filtrado de solicitud incorporado para proteger a los servidores web de solicitudes maliciosas y acceso no autorizado.
  • Factor de carga de CPU promedio: especifique el factor de carga de CPU para la exploración de Windows Defender (por porcentaje). El valor predeterminado es del 50%. Esta opción se aplica solo a las exploraciones planificadas y no a exploraciones en tiempo real o exploraciones iniciadas por el usuario.
  • Permitir exploración de scripts: permite la funcionalidad de exploración de scripts de Windows Defender. Habilite esta opción si desea explorar cualquier script que se ejecute en sistemas para buscar actividades sospechosas.
  • Habilitar acceso controlado a carpetas: habilite esta opción para proteger documentos y archivos de ser modificados por aplicaciones sospechosas o maliciosas. Esta opción ayuda a proteger a documentos y archivos frente al ransomware que puede intentar cifrar los archivos y retenerlos como rehenes.
  • Aplicaciones con autorización para el acceso controlado a las carpetas: especifique las aplicaciones que pueden acceder a documentos y archivos en las carpetas protegidas. Estas aplicaciones se incluyen en una lista de software de confianza. Si la aplicación no está en la lista, el acceso controlado a la carpeta bloquea que la aplicación haga cambios en los archivos de las carpetas protegidas.
  • Carpetas protegidas para el acceso controlado a carpetas: especifique las carpetas que están protegidas frente a amenazas y aplicaciones maliciosas, como ransomware. Esta característica comprueba la lista de aplicaciones conocidas y de confianza.
  • Protección frente a aplicaciones potencialmente no deseadas: Aplicaciones potencialmente no deseadas (PUA) es una clasificación de amenazas basada en la reputación e identificación dirigida por la investigación. Estas aplicaciones son paquetes de aplicaciones no deseadas o aplicaciones empaquetadas. Si habilita esta opción, las PUA no se pueden descargar e instalar en dispositivos. Puede excluir carpetas o archivos específicos para cumplir las necesidades específicas de la organización.
  • Habilitar protección de red: le permite impedir que usuarios y aplicaciones accedan a sitios web maliciosos. Establezca uno de los siguientes valores:
    • Habilitado: protege a los empleados de las estafas de phishing, los sitios de alojamiento de exploits y el contenido malicioso en Internet.
    • Inhabilitado: permite las conexiones a todos los sitios web sin protección.
    • Auditoría: no impide que los usuarios y las aplicaciones se conecten a sitios maliciosos, pero sí realiza un seguimiento de sus actividades en esos sitios.
Importante: No cambie los valores predeterminados para los parámetros siguientes en esta política:
  • Habilitar protección en tiempo real
  • Imponer supervisión de comportamiento
  • Imponer protección de IOAV
  • Permitir prevención de intrusiones
  • Permitir el acceso a la IU de Defender
  • Permitir en protección de acceso
  • Windows 10 + Professional, Education, Enterprise
  • Windows Team
Configuración de gestión de amenazas
Acción de imposición de gravedad de amenazas Configure las acciones que se imponen en función de la gravedad de la amenaza. Las gravedades que se definen son alta, baja, moderada y grave. Elija entre las acciones de imposición como acciones de limpieza, cuarentena, eliminación, permiso, acciones definidas por el usuario y acciones de bloqueo.
  • Windows 10 + Professional, Education, Enterprise
  • Windows Team
Días que se mantiene el malware limpio Especifique el periodo de tiempo (en días) en el que se almacenan los elementos en cuarentena en el sistema. El valor máximo que se admite es de 90 días.
  • Windows 10 + Professional, Education, Enterprise
  • Windows Team
Reglas de reducción de la superficie de ataque
Reglas de reducción de la superficie de ataque Los comportamientos de destino de las reglas de reducción de la superficie de ataque que utilizan las aplicaciones maliciosas y el malware para infectar sistemas con código malicioso incluyen:
  • Archivos ejecutables y scripts utilizados en aplicaciones de Office o programas de correo electrónico que intentan descargar o ejecutar archivos
  • Scripts enmascarados o sospechosos
  • Comportamientos que las aplicaciones normalmente no iniciarían durante las horas de trabajo normales
Nota: Esta opción está soportada en Windows 10 versión 1709 y 1803 o posterior.
Establezca uno de los siguientes valores para estas reglas:
  • No configurado: inhabilite la regla de reducción de superficie de ataque.
  • Bloquear: habilite la regla de reducción de superficie de ataque.
  • Auditoría: evalúe cómo afectará la regla de reducción de la superficie de ataque a su organización si se ha habilitado la regla. Ejecute todas las reglas en la modalidad de auditoría primero para entender cómo afectan estas reglas a las aplicaciones de línea de negocio. Muchas aplicaciones de línea de negocio pueden realizar tareas que son similares a los programas maliciosos. Supervisando los datos de auditoría y añadiendo exclusiones a las aplicaciones necesarias, puede desplegar reglas de reducción de superficie de ataque sin afectar a la productividad.
Reglas
  • Adobe Reader puede crear procesos hijo: esta regla impide que los ataques de programas maliciosos impidan que Adobe Reader cree procesos adicionales.

    Esta regla se introdujo en Windows 10 versión 1809.

  • Las aplicaciones de Office pueden iniciar procesos hijo: esta regla bloquea a las aplicaciones de Office (Word, Excel, PowerPoint, OneNote, Access) para que no creen procesos hijo.

    Este tipo de comportamiento de malware utiliza macros VBA y código de explotación para descargar e intentar ejecutar carga útil adicional. Algunas aplicaciones de línea de negocio legítimas también pueden utilizar comportamientos como este, incluida la generación de un indicador de mandatos o el uso de PowerShell para configurar ajustes de registro.

    Esta regla se introdujo en Windows 10 versión 1709.

  • Señalar el robo de credenciales del subsistema de autoridad de seguridad local de Windows: LSASS (Local Security Authority Subsystem Service) autentica a los usuarios que inician sesión en un sistema Windows. Esta regla bloquea el LSASS para evitar intentos maliciosos de extraer las credenciales de usuario de LSASS. Microsoft Defender Credential Guard en Windows 10 + impide estos intentos, pero es posible que las organizaciones no puedan habilitar Credential Guard en todos los equipos debido a problemas de compatibilidad con controladores de tarjetas inteligentes personalizados u otros programas que se carguen en la Autoridad de seguridad local (LSA).
    Nota: En algunas aplicaciones, el código enumera todos los procesos en ejecución e intenta abrir estos procesos con permisos exhaustivos. Esta regla deniega la acción de apertura del proceso de la aplicación y registra los detalles en el registro de sucesos de seguridad. Esta regla puede generar una cantidad excesiva de entradas de registro. Si tiene una aplicación que supera demasiado el LSASS, debe añadir la aplicación a la lista de exclusión. Esta entrada de registro de sucesos no indica necesariamente una amenaza maliciosa.

    Esta regla se introdujo en Windows 10 versión 1803.

  • El contenido ejecutable (exe, dll, ps, js, vbs, etc.) Desde el correo electrónico (cliente webmail/mail) se puede ejecutar (sin excepciones): esta regla impide que los siguientes tipos de archivo se inicien desde el correo electrónico en Microsoft Outlook o Outlook.com y otros proveedores de correo electrónico:
    • Archivos ejecutables (.exe, .dllo .scr)
    • Archivos de script (PowerShell .ps, VisualBasic .vbso JavaScript .js)

    Esta regla se introdujo en Windows 10 versión 1709.

  • Los ejecutables que no cumplen los criterios de prevalencia, antigüedad o lista de confianza se pueden ejecutar: esta regla bloquea los archivos ejecutables (.exe, .dll o .scr) para que no se inicien a menos que los archivos cumplan los criterios de prevalencia o antigüedad, o que los tipos de archivos se enumeren en una lista de confianza o una lista de exclusión.
    Nota: Debe habilitar la protección proporcionada en la nube para utilizar esta regla.
    Importante: La regla Bloquear la ejecución de los archivos ejecutables a menos que cumplan un criterio de prevalencia, antigüedad o lista de confianza con GUID 01443614-cd74-433a-b99e-2ecdc07bfc25 es propiedad de Microsoft y no puede ser modificada por los administradores. Esta regla utiliza la protección proporcionada en la nube para actualizar su lista de confianza con regularidad.

    Puede especificar carpetas o archivos individuales (utilizando vías de acceso a carpetas o nombres de recurso completos), pero no puede especificar qué reglas o exclusiones aplicar a esas carpetas o archivos individuales.

    Esta regla se introdujo en Windows 10 versión 1803.

  • El código js/vbs/ps/macro potencialmente enmascarado se puede ejecutar: esta regla detecta propiedades sospechosas en un script enmascarado.

    Esta regla se introdujo en Windows 10 versión 1709.

  • Javascript/vbs puede ejecutar la carga útil descargada de Internet (sin excepciones): esta regla impide que los scripts inicien el contenido descargado que puede contener malware e infectar a las máquinas. El programa malicioso a menudo utiliza scripts JavaScript y VBScript para iniciar otras aplicaciones maliciosas.
    Nota: Las exclusiones de archivos y carpetas no se aplican a esta regla de reducción de superficie de ataque.

    Esta regla se introdujo en Windows 10 versión 1709.

  • Las aplicaciones y macros de Office pueden crear contenido ejecutable: Esta regla impide que las aplicaciones de Office (Word, Excel, PowerPoint) creen contenido ejecutable.

    Esta regla dirige un comportamiento en el que el malware utiliza Office como vector para salir de Office y guardar los componentes maliciosos en un disco, donde persisten y sobreviven a un rearranque del sistema. Esta regla impide que el código malicioso se escriba en el disco.

    Esta regla se introdujo en Windows 10 versión 1709.

  • Las aplicaciones de Office pueden inyectar código en otros procesos (sin excepciones): esta regla bloquea los intentos de inyección de código desde las aplicaciones de Office (Word, Excel, PowerPoint) a otros procesos.

    Esta regla se introdujo en Windows 10 versión 1709.

  • Los productos de comunicación de Office pueden crear procesos hijo: esta regla impide a Outlook (y Outlook.com) crear procesos hijo. Esta regla protege contra ataques de ingeniería social e impide al código de explotación abusar de una vulnerabilidad en Outlook. Esta regla impide el inicio de una carga útil adicional a la vez que permite las funciones de Outlook legítimas. Esta regla también protege contra los exploits y las reglas de Outlook que pueden utilizar los atacantes cuando se comprometan las credenciales de un usuario.

    Esta regla se introdujo en Windows 10 versión 1809.

  • Persistencia a través de suscripción de sucesos WMI: esta regla permite a los administradores evitar las amenazas que abusan de Windows Management Instrumentation (WMI) para persistir y permanecer ocultos en el repositorio WMI. Para obtener más información sobre WMI, consulte https://docs.microsoft.com/en-us/windows/win32/wmisdk/wmi-start-page.

    Esta regla se introdujo en Windows 10 versión 1903.

  • Creaciones de procesos que se originan de los mandatos PSExec y WMI: esta regla bloquea procesos a través de mandatos de PsExec y WMI para que no se ejecuten, para impedir la ejecución de código remoto que pueda propagar ataques de malware. Para más información sobre PsExec, consulte https://docs.microsoft.com/en-us/sysinternals/downloads/psexec Para obtener más información sobre WMI, consulte https://docs.microsoft.com/en-us/windows/win32/wmisdk/wmi-start-page.
    Nota: Las exclusiones de archivos y carpetas no se aplican a esta regla de reducción de superficie de ataque.

    Esta regla se introdujo en Windows 10 versión 1803.

  • Los procesos que no son de confianza y los procesos sin firmar pueden ejecutarse desde el USB: esta regla permite a los administradores impedir que los archivos ejecutables que no son de confianza y no están firmados se ejecuten desde unidades extraíbles USB, incluidas las tarjetas SD. Los siguientes tipos de archivo están bloqueados:
    • Archivos ejecutables (.exe, .dllo .scr)
    • Archivos de script (PowerShell .ps, VisualBasic .vbso JavaScript .js)

    Esta regla se introdujo en Windows 10 versión 1803.

  • Las macros de Office pueden llamar e importar las API win32: Esta regla permite a los administradores impedir el uso de las API de Win32 en las macros VBA, lo que reduce la superficie de ataque.

    Esta regla se introdujo en Windows 10 versión 1709.

  • Protección avanzada frente al ransomware: esta regla proporciona una capa extra de protección frente a ransomware. Esta regla explora archivos ejecutables que entran en el sistema para determinar si se puede confiar en el archivo. Si los archivos se parecen mucho a ransomware, esta regla bloquea la ejecución de los archivos, a menos que los archivos se encuentren en una lista de confianza o una lista de exclusión.
    Nota: Debe habilitar la protección proporcionada en la nube para utilizar esta regla.

    Esta regla se introdujo en Windows 10 versión 1803.
  • Windows 10 + Professional, Education, Enterprise
  • Windows Team
Exclusiones de la reducción de la superficie de ataque Especifique una lista separada por comas de los archivos y carpetas que desea excluir de la evaluación por parte de las reglas de reducción de la superficie de ataque.

Las exclusiones de archivos y carpetas no se aplican a esta regla de reducción de superficie de ataque:

  • Creaciones de procesos que se originan de los mandatos PSExec y WMI
  • Javascript/vbs puede ejecutar la carga útil descargada de Internet (sin excepciones)
Nota: Puede especificar carpetas o archivos individuales (utilizando vías de acceso a carpetas o nombres de vías de acceso completos), pero no puede especificar a qué reglas se aplican las exclusiones. Una exclusión se aplica solo cuando se inicia la aplicación o el servicio excluido. Por ejemplo, si añade una exclusión a un servicio de actualización que ya se está ejecutando, el servicio de actualización continuará activando los sucesos hasta que el servicio se detenga y se reinicie.
Advertencia: si una regla de reducción de la superficie de ataque determina que un archivo o una carpeta contiene un comportamiento malicioso, la regla no bloqueará la ejecución del archivo. Esto puede permitir que los archivos se ejecuten e infecten los dispositivos.
  • Windows 10 + Professional, Education, Enterprise
  • Windows Team