Directivas de seguridad preestablecidas en Exchange Online Protection y Microsoft Defender para Office 365

Sugerencia

¿Sabía que puede probar las características de Microsoft Defender XDR para Office 365 Plan 2 de forma gratuita? Use la prueba de Defender para Office 365 de 90 días en el centro de pruebas del portal de Microsoft Defender. Obtenga información sobre quién puede registrarse y los términos de prueba en Probar Microsoft Defender para Office 365.

Las directivas de seguridad preestablecidas le permiten aplicar características de protección a los usuarios en función de nuestra configuración recomendada. A diferencia de las directivas personalizadas que son infinitamente configurables, prácticamente toda la configuración de las directivas de seguridad preestablecidas no se puede configurar y se basa en nuestras observaciones en los centros de datos. La configuración de las directivas de seguridad preestablecidas proporciona un equilibrio entre mantener el contenido dañino alejado de los usuarios y evitar interrupciones innecesarias.

En función de la organización, las directivas de seguridad preestablecidas proporcionan muchas de las características de protección que están disponibles en Exchange Online Protection (EOP) y Microsoft Defender para Office 365.

Están disponibles las siguientes directivas de seguridad preestablecidas:

  • Directiva de seguridad preestablecida estándar
  • Directiva de seguridad preestablecida estricta
  • Directiva de seguridad preestablecida de protección integrada (directivas predeterminadas para datos adjuntos seguros y protección de vínculos seguros en Defender para Office 365)

Para obtener más información sobre estas directivas de seguridad preestablecidas, consulte la sección Apéndice al final de este artículo.

En el resto de este artículo se explica cómo configurar directivas de seguridad preestablecidas.

¿Qué necesita saber antes de empezar?

  • Abra el portal de Microsoft Defender en https://security.microsoft.com. Para ir directamente a la página Directivas de seguridad preestablecidas , use https://security.microsoft.com/presetSecurityPolicies.

  • Para conectarse al PowerShell de Exchange Online, consulte Conexión a Exchange Online PowerShell.

  • Debe tener asignados permisos para poder realizar los procedimientos de este artículo. Tiene las siguientes opciones:

    • Microsoft Defender XDR control de acceso basado en rol unificado (RBAC) (si Email & colaboración>Defender para Office 365 permisos es Activo. Afecta solo al portal de Defender, no a PowerShell: Autorización y configuración/Configuración de seguridad/Configuración de seguridad principal (administrar) o Autorización y configuración/Configuración de seguridad/Configuración de seguridad principal (lectura).

    • permisos de Exchange Online:

      • Configurar directivas de seguridad preestablecidas: pertenencia a los grupos de roles Administración de la organización o Administrador de seguridad .
      • Acceso de solo lectura a directivas de seguridad preestablecidas: pertenencia al grupo de roles Lector global .
    • Microsoft Entra permisos: la pertenencia a los roles Administrador* global, Administrador de seguridad o Lector global proporciona a los usuarios los permisos y permisos necesarios para otras características de Microsoft 365.

      Importante

      * Microsoft recomienda usar roles con los permisos más mínimos. El uso de cuentas con permisos inferiores ayuda a mejorar la seguridad de su organización. Administrador global es un rol con muchos privilegios que debe limitarse a escenarios de emergencia cuando no se puede usar un rol existente.

Uso del portal de Microsoft Defender para asignar directivas de seguridad predeterminadas estándar y estricta a los usuarios

  1. En el portal de Microsoft Defender de https://security.microsoft.com, vaya a Email & Directivas de colaboración>& Reglas>Directivas de amenazas>Directivas de seguridad preestablecidas en la sección Directivas con plantilla. O bien, para ir directamente a la página Directivas de seguridad preestablecidas , use https://security.microsoft.com/presetSecurityPolicies.

  2. Si esta es la primera vez en la página Directivas de seguridad preestablecidas , es probable que la protección estándar y la protección estricta estén desactivadas .

    Deslice el botón de alternancia del que desea configurar en y, a continuación, seleccione Administrar la configuración de protección para iniciar el asistente de configuración.

  3. En la página Aplicar Exchange Online Protection, identifique los destinatarios internos a los que se aplican las protecciones EOP (condiciones de destinatario):

    • Todos los destinatarios

    • Destinatarios específicos: configure una de las siguientes condiciones de destinatario que aparecen:

      • Usuarios: los buzones de correo, los usuarios de correo o los contactos de correo especificados.
      • Grupos:
        • Miembros de los grupos de distribución especificados o grupos de seguridad habilitados para correo (no se admiten grupos de distribución dinámicos).
        • Los Grupos de Microsoft 365 especificados.
      • Dominios: todos los destinatarios de la organización con una dirección de correo electrónico principal en el dominio aceptado especificado.

    Haga clic en el cuadro correspondiente, comience a escribir un valor y seleccione el valor que desee de los resultados. Repita este proceso tantas veces como sea necesario. Para quitar un valor existente, seleccione junto al valor.

    Para los usuarios o grupos, puede usar la mayoría de los identificadores (nombre, nombre para mostrar, alias, dirección de correo electrónico, nombre de cuenta, etc.), pero el nombre para mostrar correspondiente se muestra en los resultados. Para los usuarios o grupos, escriba un asterisco (*) por sí mismo para ver todos los valores disponibles.

    Puede usar una condición solo una vez, pero la condición puede contener varios valores:

    • Varios valores de la misma condición usan lógica OR (por ejemplo, <recipient1> o <recipient2>). Si el destinatario coincide con cualquiera de los valores especificados, se le aplica la directiva.

    • Los distintos tipos de condiciones usan lógica AND. El destinatario debe coincidir con todas las condiciones especificadas para que la directiva se aplique a ellos. Por ejemplo, configure una condición con los siguientes valores:

      • Usuarios: romain@contoso.com
      • Grupos: Ejecutivos

      La política se aplica soloromain@contoso.com si también es miembro del grupo Ejecutivos. De lo contrario, la directiva no se aplica a él.

    • Ninguna

    • Excluir estos destinatarios: si seleccionó Todos los destinatarios o Destinatarios específicos, seleccione esta opción para configurar las excepciones de destinatarios.

      Puede usar una excepción solo una vez, pero la excepción puede contener varios valores:

      • Varios valores de la misma excepción usan lógica OR (por ejemplo, <recipient1> o <recipient2>). Si el destinatario coincide con cualquiera de los valores especificados, la directiva no se aplica a ellos.
      • Los distintos tipos de excepciones usan lógica OR (por ejemplo, <recipient1> o <miembro de group1> o <miembro de domain1>). Si el destinatario coincide con cualquiera de los valores de excepción especificados, la directiva no se aplica a ellos.

    Cuando haya terminado en la página Aplicar Exchange Online Protection, seleccione Siguiente.

    Nota:

    En las organizaciones sin Defender para Office 365, al seleccionar Siguiente se le lleva a la página Revisar (paso 9).

  4. En la página Aplicar protección Defender para Office 365, identifique los destinatarios internos a los que se aplican las protecciones de Defender para Office 365 (condiciones de destinatario).

    La configuración y el comportamiento son exactamente similares a la página Aplicar Exchange Online Protection del paso anterior.

    También puede seleccionar Destinatarios seleccionados previamente para usar los mismos destinatarios que seleccionó para la protección de EOP en la página anterior.

    Cuando haya terminado en la página Aplicar protección Defender para Office 365, seleccione Siguiente.

  5. En la página Protección contra suplantación , seleccione Siguiente.

  6. En la página Agregar direcciones de correo electrónico para marcar cuando los atacantes suplantan, agregue remitentes internos y externos protegidos por la protección de suplantación de usuario.

    Nota:

    Todos los destinatarios reciben automáticamente protección de suplantación de la inteligencia del buzón de correo en directivas de seguridad preestablecidas.

    Puede especificar un máximo de 350 usuarios para la protección de suplantación de usuario en la directiva de seguridad preestablecida Estándar o Estricta.

    La protección de suplantación de usuario no funciona si el remitente y el destinatario se han comunicado previamente por correo electrónico. Si el remitente y el destinatario nunca se han comunicado por correo electrónico, el mensaje se puede identificar como un intento de suplantación.

    Cada entrada consta de un nombre para mostrar y una dirección de correo electrónico:

    • Usuarios internos: haga clic en el cuadro Agregar un correo electrónico válido o empiece a escribir la dirección de correo electrónico del usuario. Seleccione la dirección de correo electrónico en la lista desplegable Contactos sugeridos que aparece. El nombre para mostrar del usuario se agrega al cuadro Agregar un nombre (que puede cambiar). Cuando haya terminado de seleccionar el usuario, seleccione Agregar.

    • Usuarios externos: escriba la dirección de correo electrónico completa del usuario externo en el cuadro Agregar un correo electrónico válido y, a continuación, seleccione la dirección de correo electrónico en la lista desplegable Contactos sugeridos que aparece. La dirección de correo electrónico también se agrega en el cuadro Agregar un nombre (que puede cambiar a un nombre para mostrar).

    Repita estos pasos tantas veces como sea necesario.

    Los usuarios que agregó aparecen en la página por nombre para mostrar y dirección de correo electrónico del remitente. Para quitar un usuario, seleccione junto a la entrada.

    Use el cuadro Buscar para buscar entradas en la página.

    Cuando haya terminado en la página Aplicar protección Defender para Office 365, seleccione Siguiente.

  7. En la página Agregar dominios para marcar cuando los atacantes suplantan , agregue dominios internos y externos protegidos por la protección de suplantación de dominio.

    Nota:

    Todos los dominios que posee (dominios aceptados) reciben automáticamente protección de suplantación de dominio en directivas de seguridad preestablecidas.

    Puede especificar un máximo de 50 dominios personalizados para la protección de suplantación de dominio en la directiva de seguridad preestablecida Estándar o Estricta.

    Haga clic en el cuadro Agregar dominios , escriba un valor de dominio, presione la tecla ENTRAR o seleccione el valor que se muestra debajo del cuadro. Para quitar un dominio del cuadro y volver a empezar, seleccione junto al dominio. Cuando esté listo para agregar el dominio, seleccione Agregar. Repita este paso tantas veces como sea necesario.

    Los dominios que agregó aparecen en la página. Para quitar el dominio, seleccione junto al valor.

    Los dominios que agregó aparecen en la página. Para quitar un dominio, seleccione junto a la entrada.

    Para quitar una entrada existente de la lista, seleccione junto a la entrada.

    Cuando haya terminado en agregar dominios para marcar cuando los atacantes suplantan, seleccione Siguiente.

  8. En la página Agregar dominios y direcciones de correo electrónico de confianza para no marcar como suplantación , escriba las direcciones de correo electrónico del remitente y los dominios que se excluirán de la protección de suplantación. Los mensajes de estos remitentes nunca se marcan como un ataque de suplantación, pero los remitentes siguen estando sujetos a examen por otros filtros en EOP y Defender para Office 365.

    Nota:

    Las entradas de dominio de confianza no incluyen subdominios del dominio especificado. Debe agregar una entrada para cada subdominio.

    Escriba la dirección de correo electrónico o el dominio en el cuadro y, a continuación, presione la tecla ENTRAR o seleccione el valor que se muestra debajo del cuadro. Para quitar un valor del cuadro y empezar de nuevo, seleccione junto al valor. Cuando esté listo para agregar el usuario o dominio, seleccione Agregar. Repita este paso tantas veces como sea necesario.

    Los usuarios y dominios que agregó aparecen en la página por nombre y tipo. Para quitar una entrada, seleccione junto a la entrada.

    Cuando haya terminado en la página Agregar direcciones de correo electrónico y dominios de confianza para no marcar como suplantación , seleccione Siguiente.

  9. En la página Revisar y confirmar los cambios , revise la configuración. Puede seleccionar Atrás o la página específica en el asistente para modificar la configuración.

    Cuando haya terminado en la página Revisar y confirmar los cambios , seleccione Confirmar.

  10. En la página Protección estándar actualizada o Protección estricta actualizada , seleccione Listo.

Use el portal de Microsoft Defender para modificar las asignaciones de directivas de seguridad preestablecidas estándar y estricta.

Los pasos para modificar la asignación de la directiva de seguridad preestablecida protección estándar o protección estricta son los mismos que cuando se asignaron inicialmente las directivas de seguridad preestablecidas a los usuarios.

Para deshabilitar la protección estándar o las directivas de seguridad preestablecidas de protección estricta mientras conserva las condiciones y excepciones existentes, deslice el botón de alternancia a . Para habilitar las directivas, deslice el botón de alternancia a .

Use el portal de Microsoft Defender para agregar exclusiones a la directiva de seguridad preestablecida de protección integrada.

Sugerencia

La directiva de seguridad preestablecida de protección integrada se aplica a todos los usuarios de organizaciones con cualquier cantidad de licencias para Defender para Microsoft 365. Esta aplicación tiene el espíritu de proteger el conjunto más amplio de usuarios hasta que los administradores configuren específicamente Defender para Office 365 protecciones. Dado que la protección integrada está habilitada de forma predeterminada, los clientes no necesitan preocuparse por infringir los términos de licencia del producto. Sin embargo, se recomienda comprar suficientes licencias Defender para Office 365 para garantizar que la protección integrada continúe para todos los usuarios.

La directiva de seguridad preestablecida de protección integrada no afecta a los destinatarios definidos en las directivas de seguridad preestablecidas estándar o estricta , ni a las directivas personalizadas de vínculos seguros o datos adjuntos seguros. Por lo tanto, normalmente no se recomiendan excepciones a la directiva de seguridad preestablecida de protección integrada .

  1. En el portal de Microsoft Defender de https://security.microsoft.com, vaya a Email & Directivas de colaboración>& Reglas>Directivas de amenazas>Directivas de seguridad preestablecidas en la sección Directivas con plantilla. O bien, para ir directamente a la página Directivas de seguridad preestablecidas , use https://security.microsoft.com/presetSecurityPolicies.

  2. En la página Directivas de seguridad preestablecidas , seleccione Agregar exclusiones (no recomendadas) en la sección Protección integrada .

  3. En el control flotante Excluir de la protección integrada que se abre, identifique los destinatarios internos que se excluyen de la protección integrada de vínculos seguros y datos adjuntos seguros:

    • Usuarios
    • Grupos:
      • Miembros de los grupos de distribución especificados o grupos de seguridad habilitados para correo (no se admiten grupos de distribución dinámicos).
      • Los Grupos de Microsoft 365 especificados.
    • Dominios

    Haga clic en el cuadro adecuado, empiece a escribir un valor y, a continuación, seleccione el valor que se muestra debajo del cuadro. Repita este proceso tantas veces como sea necesario. Para quitar un valor existente, seleccione junto al valor.

    Para los usuarios o grupos, puede usar la mayoría de los identificadores (nombre, nombre para mostrar, alias, dirección de correo electrónico, nombre de cuenta, etc.), pero el nombre para mostrar correspondiente se muestra en los resultados. Para los usuarios, escriba un asterisco (*) para ver todos los valores disponibles.

    Puede usar una excepción solo una vez, pero la excepción puede contener varios valores:

    • Varios valores de la misma excepción usan lógica OR (por ejemplo, <recipient1> o <recipient2>). Si el destinatario coincide con cualquiera de los valores especificados, la directiva no se aplica a ellos.
    • Los distintos tipos de excepciones usan lógica OR (por ejemplo, <recipient1> o <miembro de group1> o <miembro de domain1>). Si el destinatario coincide con cualquiera de los valores de excepción especificados, la directiva no se aplica a ellos.
  4. Cuando haya terminado en el control flotante Excluir de la protección integrada , seleccione Guardar.

¿Cómo saber si estos procedimientos han funcionado?

Para comprobar que ha asignado correctamente la directiva de seguridad Protección estándar o Protección estricta a un usuario, use una configuración de protección en la que el valor predeterminado sea diferente de la configuración Protección estándar , que es diferente a la configuración Protección estricta .

Por ejemplo, en el caso del correo electrónico que se detecta como correo no deseado (no correo no deseado de alta confianza), compruebe que el mensaje se entrega a la carpeta Junk Email para los usuarios de protección estándar y en cuarentena para los usuarios de protección estricta.

O bien, en el caso del correo masivo, compruebe que el valor BCL 6 o superior entrega el mensaje a la carpeta Junk Email para los usuarios de protección estándar, y el valor BCL 5 o superior pone en cuarentena el mensaje para los usuarios de protección estricta.

Directivas de seguridad preestablecidas en Exchange Online PowerShell

En PowerShell, las directivas de seguridad preestablecidas constan de los siguientes elementos:

En las secciones siguientes se describe cómo usar estos cmdlets en escenarios admitidos.

Para conectarse al PowerShell de Exchange Online, consulte Conexión a Exchange Online PowerShell.

Uso de PowerShell para ver directivas de seguridad individuales para directivas de seguridad preestablecidas

Recuerde que, si nunca ha activado la directiva de seguridad preestablecida Estándar o la directiva de seguridad preestablecida Estricta en el portal de Microsoft Defender, las directivas de seguridad asociadas para la directiva de seguridad preestablecida no existen.

  • Directiva de seguridad preestablecida de protección integrada: las directivas asociadas se denominan Built-In Directiva de protección. El valor de la propiedad IsBuiltInProtection es True para estas directivas.

    Para ver las directivas de seguridad individuales de la directiva de seguridad preestablecida de protección integrada, ejecute el siguiente comando:

    Write-Output -InputObject ("`r`n"*3),"Built-in protection Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy -Identity "Built-In Protection Policy" | Format-List; Write-Output -InputObject ("`r`n"*3),"Built-in protection Safe Links policy",("-"*79);Get-SafeLinksPolicy -Identity "Built-In Protection Policy" | Format-List
    
  • Directiva de seguridad preestablecida estándar: las directivas asociadas se denominan Standard Preset Security Policy<13-digit number>. Por ejemplo, Standard Preset Security Policy1622650008019. El valor de la propiedad RecommendPolicyType para las directivas es Standard.

    • Para ver las directivas de seguridad individuales de la directiva de seguridad preestablecida estándar solo en organizaciones con EOP, ejecute el siguiente comando:

      Write-Output -InputObject ("`r`n"*3),"Standard anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"
      
    • Para ver las directivas de seguridad individuales de la directiva de seguridad preestablecida estándar en organizaciones con Defender para Office 365, ejecute el siguiente comando:

      Write-Output -InputObject ("`r`n"*3),"Standard anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"; Write-Output -InputObject ("`r`n"*3),"Standard Safe Links policy",("-"*79);Get-SafeLinksPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Standard"
      
  • Directiva de seguridad preestablecida estricta: las directivas asociadas se denominan Strict Preset Security Policy<13-digit number>. Por ejemplo, Strict Preset Security Policy1642034872546. El valor de la propiedad RecommendPolicyType para las directivas es Strict.

    • Para ver las directivas de seguridad individuales de la directiva de seguridad preestablecida estricta solo en organizaciones con EOP, ejecute el siguiente comando:

      Write-Output -InputObject ("`r`n"*3),"Strict anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"
      
    • Para ver las directivas de seguridad individuales de la directiva de seguridad preestablecida Estricta en organizaciones con Defender para Office 365, ejecute el siguiente comando:

      Write-Output -InputObject ("`r`n"*3),"Strict anti-malware policy",("-"*79);Get-MalwareFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-spam policy",("-"*79);Get-HostedContentFilterPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"; Write-Output -InputObject ("`r`n"*3),"Strict Safe Links policy",("-"*79);Get-SafeLinksPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Strict"
      

Uso de PowerShell para ver las reglas de las directivas de seguridad preestablecidas

Recuerde que, si nunca ha activado la directiva de seguridad preestablecida Estándar o la directiva de seguridad preestablecida Estricta en el portal de Microsoft Defender, las reglas asociadas para esas directivas no existen.

  • Directiva de seguridad preestablecida de protección integrada: solo hay una regla denominada ATP Built-In Protection Rule.

    Para ver la regla asociada a la directiva de seguridad preestablecida de protección integrada, ejecute el siguiente comando:

    Get-ATPBuiltInProtectionRule
    
  • Directiva de seguridad preestablecida estándar: las reglas asociadas se denominan Directiva de seguridad preestablecida estándar.

    Use los siguientes comandos para ver las reglas asociadas a la directiva de seguridad preestablecida Estándar:

    • Para ver la regla asociada a las protecciones EOP en la directiva de seguridad preestablecida Estándar, ejecute el siguiente comando:

      Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"
      
    • Para ver la regla asociada a Defender para Office 365 protecciones en la directiva de seguridad preestablecida Estándar, ejecute el siguiente comando:

      Get-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"
      
    • Para ver ambas reglas al mismo tiempo, ejecute el siguiente comando:

      Write-Output -InputObject ("`r`n"*3),"EOP rule - Standard preset security policy",("-"*79);Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"; Write-Output -InputObject ("`r`n"*3),"Defender for Office 365 rule - Standard preset security policy",("-"*79);Get-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"
      
  • Directiva de seguridad preestablecida estricta: las reglas asociadas se denominan Directiva de seguridad preestablecida estricta.

    Use los siguientes comandos para ver las reglas asociadas a la directiva de seguridad preestablecida Strict:

    • Para ver la regla asociada a las protecciones de EOP en la directiva de seguridad preestablecida Strict, ejecute el siguiente comando:

      Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"
      
    • Para ver la regla asociada a las protecciones de Defender para Office 365 en la directiva de seguridad preestablecida Strict, ejecute el siguiente comando:

      Get-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"
      
    • Para ver ambas reglas al mismo tiempo, ejecute el siguiente comando:

      Write-Output -InputObject ("`r`n"*3),"EOP rule - Strict preset security policy",("-"*79);Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"; Write-Output -InputObject ("`r`n"*3),"Defender for Office 365 rule - Strict preset security policy",("-"*79);Get-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"
      

Uso de PowerShell para activar o desactivar directivas de seguridad preestablecidas

Para activar o desactivar las directivas de seguridad preestablecidas Estándar o Estricta en PowerShell, habilite o deshabilite las reglas asociadas a la directiva. El valor de la propiedad State de la regla muestra si la regla es Enabled o Disabled.

Si su organización solo tiene EOP, deshabilite o habilite la regla para las protecciones EOP.

Si su organización tiene Defender para Office 365, habilitará o deshabilitará la regla para las protecciones EOP y la regla para las protecciones de Defender para Office 365 (habilite o deshabilite ambas reglas).

  • Organizaciones solo con EOP:

    • Ejecute el siguiente comando para determinar si las reglas de las directivas de seguridad preestablecidas Estándar y Estricto están habilitadas o deshabilitadas actualmente:

      Write-Output -InputObject ("`r`n"*3),"EOP protection rule",("-"*50); Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject ("`r`n"*3),"EOP protection rule",("-"*50); Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy" | Format-Table Name,State
      
    • Ejecute el siguiente comando para desactivar la directiva de seguridad preestablecida Estándar si está activada:

      Disable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"
      
    • Ejecute el siguiente comando para desactivar la directiva de seguridad preestablecida Strict si está activada:

      Disable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"
      
    • Ejecute el siguiente comando para activar la directiva de seguridad preestablecida Estándar si está desactivada:

      Enable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"
      
    • Ejecute el siguiente comando para activar la directiva de seguridad preestablecida Strict si está desactivada:

      Enable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"
      
  • Organizaciones con Defender para Office 365:

    • Ejecute el siguiente comando para determinar si las reglas de las directivas de seguridad preestablecidas Estándar y Estricto están habilitadas o deshabilitadas actualmente:

      Write-Output -InputObject ("`r`n"*3),"EOP protection rule",("-"*50);Get-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject `r`n,"Defender for Office 365 protection rule",("-"*50);Get-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject ("`r`n"*3),"EOP protection rule",("-"*50);Get-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy" | Format-Table Name,State; Write-Output -InputObject `r`n,"Defender for Office 365 protection rule",("-"*50);Get-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy" | Format-Table Name,State
      
    • Ejecute el siguiente comando para desactivar la directiva de seguridad preestablecida Estándar si está activada:

      Disable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"; Disable-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"
      
    • Ejecute el siguiente comando para desactivar la directiva de seguridad preestablecida Strict si está activada:

      Disable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"; Disable-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"
      
    • Ejecute el siguiente comando para activar la directiva de seguridad preestablecida Estándar si está desactivada:

      Enable-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy"; Enable-ATPProtectionPolicyRule -Identity "Standard Preset Security Policy"
      
    • Ejecute el siguiente comando para activar la directiva de seguridad preestablecida Strict si está desactivada:

      Enable-EOPProtectionPolicyRule -Identity "Strict Preset Security Policy"; Enable-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy"
      

Uso de PowerShell para especificar condiciones y excepciones de destinatarios para directivas de seguridad preestablecidas

Puede usar una condición de destinatario o una excepción solo una vez, pero la condición o la excepción pueden contener varios valores:

  • Varios valores de la misma condición o excepción usan lógica OR (por ejemplo, <recipient1> o <recipient2>):

    • Condiciones: si el destinatario coincide con cualquiera de los valores especificados, se le aplica la directiva.
    • Excepciones: si el destinatario coincide con cualquiera de los valores especificados, la directiva no se aplica a ellos.
  • Los distintos tipos de excepciones usan lógica OR (por ejemplo, <recipient1> o <miembro de group1> o <miembro de domain1>). Si el destinatario coincide con cualquiera de los valores de excepción especificados, la directiva no se aplica a ellos.

  • Los distintos tipos de condiciones usan lógica AND. El destinatario debe coincidir con todas las condiciones especificadas para que la directiva se aplique a ellos. Por ejemplo, configure una condición con los siguientes valores:

    • Usuarios: romain@contoso.com
    • Grupos: Ejecutivos

    La política se aplica soloromain@contoso.com si también es miembro del grupo Ejecutivos. De lo contrario, la directiva no se aplica a él.

Para la directiva de seguridad preestablecida de protección integrada, solo puede especificar excepciones de destinatario. Si todos los valores de parámetro de excepción están vacíos ($null), no hay excepciones a la directiva.

En el caso de las directivas de seguridad preestablecidas Estándar y Estricta, puede especificar las condiciones y excepciones de destinatarios para las protecciones EOP y las protecciones de Defender para Office 365. Si todas las condiciones y los valores de parámetros de excepción están vacíos ($null), no hay condiciones de destinatario ni excepciones a las directivas de seguridad preestablecidas Estándar o Estricta.

  • Directiva de seguridad preestablecida de protección integrada:

    Utilice la siguiente sintaxis:

    Set-ATPBuiltInProtectionRule -Identity "ATP Built-In Protection Rule" -ExceptIfRecipientDomainIs <"domain1","domain2",... | $null> -ExceptIfSentTo <"user1","user2",... | $null> -ExceptIfSentToMemberOf <"group1","group2",... | $null>
    

    En este ejemplo se quitan todas las excepciones de destinatarios de la directiva de seguridad preestablecida de protección integrada.

    Set-ATPBuiltInProtectionRule -Identity "ATP Built-In Protection Rule" -ExceptIfRecipientDomainIs $null -ExceptIfSentTo $null -ExceptIfSentToMemberOf $null
    

    Para obtener información detallada sobre la sintaxis y los parámetros, vea Set-ATPBuiltInProtectionRule.

  • Directivas de seguridad preestablecidas estándar o estricta

    Utilice la siguiente sintaxis:

    <Set-EOPProtectionPolicyRule | SetAtpProtectionPolicyRule> -Identity "<Standard Preset Security Policy | Strict Preset Security Policy>" -SentTo <"user1","user2",... | $null> -ExceptIfSentTo <"user1","user2",... | $null> -SentToMemberOf <"group1","group2",... | $null> -ExceptIfSentToMemberOf <"group1","group2",... | $null> -RecipientDomainIs <"domain1","domain2",... | $null> -ExceptIfRecipientDomainIs <"domain1","domain2",... | $null>
    

    En este ejemplo se configuran las excepciones de las protecciones EOP en la directiva de seguridad preestablecida Estándar para los miembros del grupo de distribución denominado Ejecutivos.

    Set-EOPProtectionPolicyRule -Identity "Standard Preset Security Policy" -ExceptIfSentToMemberOf Executives
    

    En este ejemplo se configuran las excepciones de las protecciones de Defender para Office 365 en la directiva de seguridad preestablecida Strict para los buzones de operaciones de seguridad (SecOps) especificados.

    Set-ATPProtectionPolicyRule -Identity "Strict Preset Security Policy" -ExceptIfSentTo "SecOps1","SecOps2"
    

    Para obtener información detallada sobre la sintaxis y los parámetros, vea Set-EOPProtectionPolicyRule y Set-ATPProtectionPolicyRule.

Apéndice

Las directivas de seguridad preestablecidas constan de los siguientes elementos:

Estos elementos se describen en las secciones siguientes.

Además, es importante comprender cómo encajan las directivas de seguridad preestablecidas en el orden de precedencia con otras directivas.

Perfiles en directivas de seguridad preestablecidas

El perfil determina el nivel de protección. Los perfiles siguientes están disponibles para las directivas de seguridad preestablecidas:

  • Protección estándar: perfil de línea base adecuado para la mayoría de los usuarios.
  • Protección estricta: un perfil más agresivo para los usuarios seleccionados (destinos de alto valor o usuarios prioritarios).
  • Protección integrada (solo Microsoft Defender para Office 365): proporciona de forma eficaz directivas predeterminadas solo para vínculos seguros y datos adjuntos seguros.

En general, el perfil de protección estricta tiende a poner en cuarentena un correo electrónico menos dañino (por ejemplo, masivo y correo no deseado) que el perfil de protección estándar , pero muchas de las configuraciones de ambos perfiles son las mismas (en particular, para el correo electrónico indiscutiblemente dañino, como malware o phishing). Para ver una comparación de las diferencias de configuración, consulte las tablas de la sección siguiente.

Hasta que active los perfiles y asígneles usuarios, las directivas de seguridad preestablecidas Estándar y Estricto no se asignan a nadie. Por el contrario, la directiva de seguridad preestablecida de protección integrada se asigna a todos los destinatarios de forma predeterminada, pero puede configurar excepciones.

Importante

A menos que configure excepciones a la directiva de seguridad preestablecida de protección integrada, todos los destinatarios de la organización reciben vínculos seguros y protección de datos adjuntos seguros.

Directivas en directivas de seguridad preestablecidas

Las directivas de seguridad preestablecidas usan versiones especiales de las directivas de protección individuales que están disponibles en EOP y Microsoft Defender para Office 365. Estas directivas se crean después de asignar las directivas de seguridad preestablecidas Protección estándar o Protección estricta a los usuarios.

  • Directivas de EOP: estas directivas se encuentran en todas las organizaciones de Microsoft 365 con buzones Exchange Online y organizaciones EOP independientes sin Exchange Online buzones:

    Nota:

    Las directivas de correo no deseado saliente no forman parte de las directivas de seguridad preestablecidas. La directiva de correo no deseado saliente predeterminada protege automáticamente a los miembros de las directivas de seguridad preestablecidas. O bien, puede crear directivas de correo no deseado de salida personalizadas para personalizar la protección de los miembros de las directivas de seguridad preestablecidas. Para obtener más información, consulte Configuración del filtrado de correo no deseado saliente en EOP.

  • directivas de Microsoft Defender para Office 365: estas directivas se encuentran en organizaciones con suscripciones de complementos de Microsoft 365 E5 o Defender para Office 365:

Como se describió anteriormente, puede aplicar protecciones EOP a usuarios diferentes de las protecciones de Defender para Office 365, o bien puede aplicar protecciones EOP y Defender para Office 365 a los mismos destinatarios.

Configuración de directivas en directivas de seguridad preestablecidas

Fundamentalmente, no puede modificar la configuración de directiva individual en los perfiles de protección. La personalización de la directiva predeterminada correspondiente o la creación de una nueva directiva personalizada no tiene ningún efecto debido al orden de precedencia cuando el mismo usuario (destinatario) se define en varias directivas (las directivas de seguridad preestablecidas Estándar y Estricta siempre se aplican primero ).

Sin embargo, debe configurar los usuarios individuales (remitentes) y los dominios para recibir protección de suplantación en Defender para Office 365. De lo contrario, las directivas de seguridad preestablecidas configuran automáticamente los siguientes tipos de protección de suplantación:

Las diferencias en la configuración de directiva significativa en la directiva de seguridad preestablecida Estándar y en la directiva de seguridad preestablecida Estricta se resumen en la tabla siguiente:

  Estándar Estricto
directiva antimalware Sin diferencias Sin diferencias
Directiva de correo no deseado
   Nivel de cumplimiento masivo (BCL) cumplido o superada la acción de detección (BulkSpamAction) Mover el mensaje a la carpeta de Email no deseado (MoveToJmf) Mensaje de cuarentena (Quarantine)
   Umbral de correo electrónico masivo (BulkThreshold) 6 5
  Acción de detección de correo no deseado (SpamAction) Mover el mensaje a la carpeta de Email no deseado (MoveToJmf) Mensaje de cuarentena (Quarantine)
Directiva contra phishing
   Si el mensaje se detecta como suplantación por inteligencia de suplantación de identidad (AuthenticationFailAction) Mover el mensaje a la carpeta de Email no deseado (MoveToJmf) Mensaje de cuarentena (Quarantine)
Mostrar la primera sugerencia de seguridad de contactos (EnableFirstContactSafetyTips) Seleccionado ($true) Seleccionado ($true)
   Si la inteligencia de buzones detecta un usuario suplantado (MailboxIntelligenceProtectionAction) Mover el mensaje a la carpeta de Email no deseado (MoveToJmf) Mensaje de cuarentena (Quarantine)
   Umbral de correo electrónico de suplantación de identidad (PhishThresholdLevel) 3 - Más agresivo (3) 4 - Más agresivo (4)
Directiva de datos adjuntos seguros Sin diferencias Sin diferencias
Directiva de vínculos seguros Sin diferencias Sin diferencias

En la tabla siguiente se resumen las diferencias en la configuración de directivas de datos adjuntos seguros y vínculos seguros en la directiva de seguridad preestablecida de protección integrada y en las directivas de seguridad preestablecidas estándar y estricta:

  Protección integrada Estándar y estricto
Directiva de datos adjuntos seguros Sin diferencias Sin diferencias
Directiva de vínculos seguros
   Permitir a los usuarios hacer clic en la dirección URL original (AllowClickThrough) Seleccionado ($true) No seleccionado ($false)
   No reescribir direcciones URL, realizar comprobaciones solo a través de la API de vínculos seguros (DisableURLRewrite) Seleccionado ($true) No seleccionado ($false)
   Aplicar vínculos seguros a los mensajes de correo electrónico enviados dentro de la organización (EnableForInternalSenders) No seleccionado ($false) Seleccionado ($true)

Para obtener más información sobre esta configuración, consulte las tablas de características en Configuración recomendada para EOP y Microsoft Defender para Office 365 seguridad.

Orden de precedencia de las directivas de seguridad preestablecidas y otras directivas

Cuando se define un destinatario en varias directivas, las directivas se aplican en el orden siguiente:

  1. Directiva de seguridad preestablecida estricta.
  2. Directiva de seguridad preestablecida estándar.
  3. Directivas personalizadas basadas en la prioridad de la directiva (un número inferior indica una prioridad más alta).
  4. directivas de evaluación de Defender para Office 365
  5. La directiva de seguridad preestablecida de protección integrada para vínculos seguros y datos adjuntos seguros; las directivas predeterminadas para el antimalware, el correo no deseado y la suplantación de identidad (phishing).

En otras palabras, la configuración de la directiva de seguridad preestablecida Estricta invalida la configuración de la directiva de seguridad preestablecida Estándar, que invalida la configuración de cualquier directiva personalizada, que invalida la configuración de cualquier directiva de evaluación contra phishing, vínculos seguros o datos adjuntos seguros, que invalidan la configuración de la directiva de seguridad preestablecida de protección integrada para vínculos seguros y datos adjuntos seguros, y las directivas predeterminadas para el antispam, el antimalware y la suplantación de identidad (phishing).

Este orden se muestra en las páginas de las directivas de seguridad individuales en el portal de Defender (las directivas se aplican en el orden en que se muestran en la página).

Por ejemplo, un administrador configura la directiva de seguridad preestablecida Estándar y una directiva de antispam personalizada con el mismo destinatario. La configuración de la directiva contra correo no deseado de la directiva de seguridad preestablecida Estándar se aplica al usuario en lugar de a lo que está configurado en la directiva de antispam personalizada o en la directiva de antispam predeterminada.

Considere la posibilidad de aplicar las directivas de seguridad preestablecidas Estándar o Estricta a un subconjunto de usuarios y aplicar directivas personalizadas a otros usuarios de la organización para satisfacer necesidades específicas. Para cumplir este requisito, tenga en cuenta los métodos siguientes:

  • Use grupos o listas de destinatarios inequívoca en la directiva de seguridad preestablecida Estándar, la seguridad preestablecida estricta y en las directivas personalizadas para que no se requieran excepciones. Con este método, no es necesario tener en cuenta varias directivas que se aplican a los mismos usuarios y los efectos del orden de precedencia.
  • Si no puede evitar que varias directivas se apliquen a los mismos usuarios, use las siguientes estrategias:
    • Configure los destinatarios que deben obtener la configuración de la directiva de seguridad preestablecida estándar y las directivas personalizadas como excepciones en la directiva de seguridad preestablecida Estricta .
    • Configure los destinatarios que deben obtener la configuración de las directivas personalizadas como excepciones en la directiva de seguridad preestablecida estándar .
    • Configure los destinatarios que deben obtener la configuración de la directiva de seguridad preestablecida de protección integrada o las directivas predeterminadas como excepciones a las directivas personalizadas.

La directiva de seguridad preestablecida de protección integrada no afecta a los destinatarios de las directivas de vínculos seguros o datos adjuntos seguros existentes. Si ya ha configurado protección estándar, protección estricta o vínculos seguros personalizados o directivas de datos adjuntos seguros, esas directivas siempre se aplican antes de la protección integrada, por lo que no hay ningún efecto en los destinatarios que ya están definidos en esas directivas preestablecidas o personalizadas existentes.

Para obtener más información, vea Orden y prioridad de la protección por correo electrónico.