Preguntas más frecuentes sobre la protección contra alteraciones

¿Cuáles son los requisitos de dispositivo para que la protección contra alteraciones llegue a los dispositivos cuando la protección contra alteraciones está habilitada en el portal de Microsoft Defender?

Los dispositivos deben cumplir todos los requisitos siguientes:

Para administrar la protección contra alteraciones en el portal de Microsoft Defender (https://security.microsoft.com), debe tener los permisos adecuados asignados a través de roles, como administrador de seguridad. (Consulte Control de acceso basado en rol (RBAC) de Microsoft Defender XDR).

¿En qué versiones de Windows puedo configurar la protección contra alteraciones?

Si usa Configuration Manager, versión 2006, con asociación de inquilinos, la protección contra alteraciones se puede ampliar a Windows Server 2012 R2, Windows Server 2016, Windows Server 2019 y Windows Server 2022. Consulte Asociación de inquilinos: Creación e implementación de la directiva antivirus de seguridad de puntos de conexión desde el Centro de administración (versión preliminar).

¿Afecta la protección contra alteraciones al registro de Antivirus que no es de Microsoft en la aplicación de seguridad de Windows?

No. Las ofertas de Antivirus que no son de Microsoft siguen registrándose con la aplicación Seguridad de Windows.

¿Qué ocurre si antivirus de Microsoft Defender no está activo en un dispositivo?

Si el software antivirus o antimalware que no es de Microsoft está instalado en un dispositivo, cuando ese dispositivo se incorpora a Microsoft Defender para punto de conexión, antivirus de Microsoft Defender se ejecuta en modo pasivo de forma predeterminada. La protección contra alteraciones protege el servicio y sus características.

Si se desinstala el software antivirus o antimalware que no es de Microsoft, el Antivirus de Microsoft Defender cambia al modo activo automáticamente. La protección contra alteraciones sigue protegiendo el servicio y sus características.

¿Cómo se activa o desactiva la protección contra alteraciones?

Se recomienda usar Microsoft Intune para administrar la configuración del Antivirus de Microsoft Defender para su organización. Con Intune, puede controlar dónde está habilitada (o deshabilitada) la protección contra alteraciones mediante directivas. También puede proteger las exclusiones del Antivirus de Microsoft Defender. Consulte Protección contra alteraciones: exclusiones del Antivirus de Microsoft Defender.

También puede usar el portal de Microsoft Defender o Configuration Manager.

Si es un usuario principal, consulte Administración de la protección contra alteraciones en un dispositivo individual.

La protección contra alteraciones forma parte de la protección integrada y debe habilitarse.

¿Se aplica la protección contra alteraciones a las exclusiones del Antivirus de Microsoft Defender?

Sí. Para proteger las exclusiones del Antivirus de Microsoft Defender en los dispositivos, se deben cumplir ciertas condiciones. Por ejemplo, solo debe usar Intune o Configuration Manager solo para administrar dispositivos y debe tener Sense habilitado. Consulte Protección de exclusiones del Antivirus de Microsoft Defender.

¿Cómo afecta la configuración de la protección contra alteraciones en Intune cómo se administra el Antivirus de Microsoft Defender con la directiva de grupo?

Si actualmente usa Intune para configurar y administrar la protección contra alteraciones, debe seguir usando Intune. Cuando se activa la protección contra alteraciones y se usa la directiva de grupo para realizar cambios en la configuración del Antivirus de Microsoft Defender, se omite cualquier configuración protegida por la protección contra alteraciones.

  • Si debe realizar cambios en un dispositivo y esos cambios están bloqueados por la protección contra alteraciones, puede usar el modo de solución de problemas para deshabilitar temporalmente la protección contra alteraciones en el dispositivo. Una vez finalizado el modo de solución de problemas, los cambios realizados en la configuración protegida contra alteraciones se revierten a su estado configurado.
  • Puede usar Intune o Configuration Manager para excluir dispositivos de la protección contra alteraciones.
  • Si administra la protección contra alteraciones a través de Intune y se cumplen otras condiciones, puede administrar exclusiones de antivirus protegidas contra alteraciones.

Si usamos Microsoft Intune para configurar la protección contra alteraciones, ¿se aplica solo a toda la organización?

Si usa Intune para configurar y administrar la protección contra alteraciones, no tiene que aplicar necesariamente la protección contra alteraciones a toda la organización. Con Intune, puede optar por aplicar la protección contra alteraciones a toda la organización, o puede seleccionar dispositivos o grupos de usuarios específicos para recibir protección contra alteraciones. También puede excluir dispositivos específicos de la protección contra alteraciones.

¿Qué configuración no se puede cambiar cuando se activa la protección contra alteraciones?

Cuando se activa la protección contra alteraciones, se protegen los siguientes valores de seguridad para que no se cambien:

  • La protección contra virus y amenazas permanece habilitada.
  • La protección en tiempo real permanece activada.
  • La supervisión del comportamiento permanece activada.
  • La protección antivirus, incluido IOfficeAntivirus (IOAV) permanece habilitada.
  • La protección en la nube permanece habilitada.
  • Las actualizaciones de inteligencia de seguridad siguen ocurriendo.
  • Las acciones automáticas se realizan en las amenazas detectadas.
  • Las notificaciones están visibles en la aplicación Seguridad de Windows en dispositivos Windows.
  • Los archivos archivados se examinan.

Para obtener más información, consulte ¿Qué ocurre cuando está activada la protección contra alteraciones?

Si la protección contra alteraciones está activada en Microsoft Defender XDR, ¿la configuración de Intune o Configuration Manager puede invalidarla?

Cuando la protección contra alteraciones está activada en el portal de Microsoft Defender (https://security.microsoft.com), la protección contra alteraciones está activada, en todo el inquilino. Sin embargo, las directivas definidas en Intune o Configuration Manager pueden invalidar la configuración en el portal de Microsoft Defender. Por ejemplo, puede definir una directiva en Intune o Configuration Manager que excluya determinados dispositivos de la protección contra alteraciones.

¿Cómo se implementa DisableLocalAdminMerge?

Use Intune para implementar DisableLocalAdminMerge.

¿Cómo puedo confirmar si las exclusiones están protegidas contra alteraciones en un dispositivo Windows?

Si la protección contra alteraciones está activada para exclusiones, ¿tengo que deshabilitarla para aplicar la nueva configuración de directiva de exclusiones de Intune o Configuration Manager?

No. Cuando se habilita la protección contra alteraciones para exclusiones, no es necesario deshabilitarla para aplicar nuevas exclusiones.

¿Puedo configurar la protección contra alteraciones con Configuration Manager?

Soy un cliente empresarial. ¿Pueden los administradores locales cambiar la protección contra alteraciones en sus dispositivos?

En general, la protección contra alteraciones ayuda a proteger contra que los usuarios puedan cambiar la configuración de seguridad directamente en los dispositivos. La protección contra alteraciones forma parte de las funcionalidades contra alteraciones que incluyen reglas estándar de reducción de la superficie expuesta a ataques de protección. Para evitar que el malware se ejecute en el kernel, considere la posibilidad de usar reglas de bloque de controladores con Application Control para Windows.

¿Qué ocurre si mi dispositivo se incorpora con Microsoft Defender para punto de conexión y, a continuación, entra en un estado fuera de la placa?

Si un dispositivo está desconectado de Microsoft Defender para punto de conexión, se activa la protección contra alteraciones, que es el estado predeterminado para los dispositivos no administrados.

Si cambia el estado de la protección contra alteraciones, ¿se muestran alertas en el portal de Microsoft Defender?

Las alertas deben aparecer en el portal de Microsoft Defender en Alertas. El equipo de operaciones de seguridad también puede usar consultas de búsqueda, como el ejemplo siguiente:

AlertInfo|where Title == "Tamper Protection bypass"

¿Cuáles son todas las opciones para configurar la protección contra alteraciones?

Puede usar cualquiera de los métodos siguientes para configurar la protección contra alteraciones:

  • El portal de Microsoft Defender (activar o desactivar la protección contra alteraciones, en todo el inquilino)
  • Intune (activar o desactivar la protección contra alteraciones y/o configurar la protección contra alteraciones para algunos o todos los usuarios)
  • Configuration Manager (con la asociación de inquilinos, puede configurar la protección contra alteraciones para algunos o todos los dispositivos mediante el perfil de experiencia de seguridad de Windows).
  • Aplicación de seguridad de Windows (para un dispositivo individual que se usa en casa o en situaciones en las que un equipo de seguridad no administra el dispositivo)

Nota:

Se recomienda mantener activada la protección contra alteraciones para toda la organización. Si la protección contra alteraciones impide que el equipo de TI o seguridad realice una tarea necesaria en un dispositivo, considere la posibilidad de usar el modo de solución de problemas en lugar de deshabilitar la protección contra alteraciones.