Configuración de Microsoft Defender directiva antivirus en Microsoft Intune para dispositivos Windows

Vea los detalles sobre la configuración de directiva de antivirus de seguridad de punto de conexión que puede configurar para el perfil de antivirus de Microsoft Defender para Windows 10 y versiones posteriores en Microsoft Intune.

Nota:

En este artículo se detalla la configuración que puede encontrar en Microsoft Defender antivirus y Microsoft Defender perfiles de exclusiones de antivirus creados antes del 5 de abril de 2022 para la Windows 10 y la plataforma posterior para la directiva antivirus de seguridad de puntos de conexión. El 5 de abril de 2022, la plataforma Windows 10 y posterior fue reemplazada por la plataforma Windows 10, Windows 11 y Windows Server. Los perfiles creados después de esa fecha usan un nuevo formato de configuración tal como se encuentra en el Catálogo de configuración. Con este cambio ya no se pueden crear nuevas versiones del perfil anterior y ya no se están desarrollando. Aunque ya no puede crear nuevas instancias del perfil anterior, puede seguir editando y usando instancias del mismo que creó anteriormente.

En el caso de los perfiles que usan el nuevo formato de configuración, Intune ya no mantiene una lista de cada configuración por nombre. En su lugar, el nombre de cada configuración, sus opciones de configuración y su texto explicativo que se ve en el centro de administración de Microsoft Intune se toman directamente del contenido autoritativo de la configuración. Ese contenido puede proporcionar más información sobre el uso de la configuración en su contexto adecuado. Al ver un texto de información de configuración, puede usar su vínculo Más información para abrir ese contenido.

Los siguientes detalles de configuración de los perfiles de Windows se aplican a esos perfiles en desuso.

Protección en la nube

  • Activar la protección proporcionada en la nube
    CSP: AllowCloudProtection

    De forma predeterminada, Defender en dispositivos de escritorio Windows 10/11 envía información a Microsoft sobre los problemas que encuentre. Microsoft analiza esa información para obtener más información sobre los problemas que le afectan a usted y a otros clientes, para ofrecer soluciones mejoradas.

    • No configurado (valor predeterminado): la configuración se restaura al valor predeterminado del sistema.
    • No : la configuración está deshabilitada. Los usuarios del dispositivo no pueden cambiar esta configuración.
    • : la protección entregada en la nube está activada. Los usuarios del dispositivo no pueden cambiar esta configuración.
  • Nivel de protección entregado en la nube
    CSP: CloudBlockLevel

    Configure la agresividad del Antivirus de Defender al bloquear y examinar archivos sospechosos.

    • No configurado (valor predeterminado): nivel de bloqueo de Defender predeterminado.
    • Alto : bloquea de forma agresiva las incógnitas al tiempo que optimiza el rendimiento del cliente, lo que incluye una mayor probabilidad de falsos positivos.
    • Plus alto : bloquea de forma agresiva las incógnitas y aplica medidas de protección adicionales que podrían afectar al rendimiento del cliente.
    • Tolerancia cero : bloquee todos los archivos ejecutables desconocidos.
  • Tiempo de espera extendido en la nube de Defender en segundos
    CSP: CloudExtendedTimeout

    Antivirus de Defender bloquea automáticamente los archivos sospechosos durante 10 segundos mientras los examina en la nube para asegurarse de que están seguros. Puede agregar hasta 50 segundos adicionales a este tiempo de espera.

exclusiones de antivirus de Microsoft Defender

Advertencia

La definición de exclusiones reduce la protección que ofrece Microsoft Defender Antivirus. Evalúe siempre los riesgos asociados a la implementación de exclusiones. Solo excluya los archivos que sabe que no son malintencionados.

Para obtener más información, consulte Información general sobre exclusiones en la documentación de Microsoft Defender.

La siguiente configuración está disponible en el perfil Microsoft Defender Antivirus:

  • Combinación de administración local de Defender
    CSP: Configuración/DisableLocalAdminMerge

    Esta configuración controla si la configuración de la lista de exclusión configurada por un administrador local se combina con la configuración administrada de Intune directiva. Esta configuración se aplica a listas como amenazas y exclusiones.

    • No configurado(valor predeterminado): elementos únicos definidos en la configuración de preferencias configuradas por una combinación de administrador local en la directiva efectiva resultante. Si hay conflictos, la configuración de administración de Intune directiva invalida la configuración de preferencias locales.
    • No : el comportamiento es el mismo que no configurado.
    • : solo se usan los elementos definidos por la administración en la directiva efectiva resultante. La configuración administrada invalida la configuración de preferencias configurada por el administrador local.

La siguiente configuración está disponible en los perfiles siguientes:

  • Antivirus de Microsoft Defender
  • exclusiones de antivirus de Microsoft Defender

Para cada configuración de este grupo, puede expandir la configuración, seleccionar Agregar y, a continuación, especificar un valor para la exclusión.

  • Procesos de Defender que se van a excluir
    CSP: ExcludedProcesses

    Especifique una lista de archivos abiertos por procesos que se omitirán durante un examen. El propio proceso no se excluye del examen.

  • Extensiones de archivo para excluir de exámenes y protección en tiempo real
    CSP: ExcludedExtensions

    Especifique una lista de extensiones de tipo de archivo que se omitirán durante un examen.

  • Archivos y carpetas de Defender que se van a excluir
    CSP: ExcludedPaths

    Especifique una lista de archivos y rutas de acceso de directorio que se omitirán durante un examen.

Protección en tiempo real

Esta configuración está disponible en los perfiles siguientes:

  • Antivirus de Microsoft Defender

Configuración:

  • Activar la protección en tiempo real
    CSP: AllowRealtimeMonitoring

    Requerir que Defender en dispositivos de escritorio Windows 10/11 use la funcionalidad de supervisión en tiempo real.

    • No configurado (valor predeterminado): la configuración se restaura al valor predeterminado del sistema.
    • No : la configuración está deshabilitada. Los usuarios del dispositivo no pueden cambiar esta configuración.
    • : aplique el uso de la supervisión en tiempo real. Los usuarios del dispositivo no pueden cambiar esta configuración.
  • Habilitar en la protección de acceso
    CSP: AllowOnAccessProtection Configure la protección antivirus que está activa continuamente, en lugar de a petición.

    • No configurado (valor predeterminado): la configuración se restaura al valor predeterminado del sistema.
    • No : bloquear la protección de acceso en los dispositivos. Los usuarios del dispositivo no pueden cambiar esta configuración.
    • : la protección de acceso está activa en los dispositivos.
  • Supervisión de archivos entrantes y salientes
    CSP: Defender/RealTimeScanDirection

    Configure esta opción para determinar qué archivo NTFS y actividad de programa se supervisan.

    • Supervisión de todos los archivos (valor predeterminado)
    • Supervisar solo los archivos entrantes
    • Supervisar solo los archivos salientes
  • Activar la supervisión del comportamiento
    CSP: AllowBehaviorMonitoring

    De forma predeterminada, Defender en dispositivos de escritorio Windows 10/11 usa la funcionalidad de supervisión del comportamiento.

    • No configurado (valor predeterminado): la configuración se restaura al valor predeterminado del sistema.
    • No : la configuración está deshabilitada. Los usuarios del dispositivo no pueden cambiar esta configuración.
    • : aplique el uso de la supervisión del comportamiento en tiempo real. Los usuarios del dispositivo no pueden cambiar esta configuración.
  • Habilitar protección de red
    CSP: EnableNetworkProtection

    Proteja a los usuarios de dispositivos que usan cualquier aplicación para que no accedan a estafas de suplantación de identidad (phishing), sitios de hospedaje de vulnerabilidades de seguridad y contenido malintencionado en Internet. La protección incluye impedir que los exploradores de terceros se conecten a sitios peligrosos.

    • No configurado (valor predeterminado): la configuración se restaura al valor predeterminado del sistema.
    • No : la configuración está deshabilitada. Los usuarios del dispositivo no pueden cambiar esta configuración.
    • : la protección de red está activada. Los usuarios del dispositivo no pueden cambiar esta configuración.
  • Examinar todos los archivos y datos adjuntos descargados
    CSP: AllowIOAVProtection

    Configure Defender para examinar todos los archivos y datos adjuntos descargados.

    • No configurado (valor predeterminado): la configuración se restaura al valor predeterminado del sistema.
    • No : la configuración está deshabilitada. Los usuarios del dispositivo no pueden cambiar esta configuración.
    • : Defender examina todos los archivos y datos adjuntos descargados. Los usuarios del dispositivo no pueden cambiar esta configuración.
  • Examen de scripts que se usan en exploradores de Microsoft
    CSP: AllowScriptScanning

    Configure Defender para examinar scripts.

    • No configurado (valor predeterminado): la configuración se restaura al valor predeterminado del sistema.
    • No : la configuración está deshabilitada. Los usuarios del dispositivo no pueden cambiar esta configuración.
    • : Defender examina los scripts. Los usuarios del dispositivo no pueden cambiar esta configuración.
  • Examen de archivos de red
    CSP: AllowScanningNetworkFiles

    Configure Defender para examinar los archivos de red.

    • No configurado (valor predeterminado): la configuración se restaura al valor predeterminado del sistema.
    • No : la configuración está deshabilitada. Los usuarios del dispositivo no pueden cambiar esta configuración.
    • : active el examen de archivos de red. Los usuarios del dispositivo no pueden cambiar esta configuración.
  • Examinar correos electrónicos
    CSP: AllowEmailScanning

    Configure Defender para examinar el correo electrónico entrante.

    • No configurado (valor predeterminado): la configuración se restaura al valor predeterminado del sistema.
    • No : la configuración está deshabilitada. Los usuarios del dispositivo no pueden cambiar esta configuración.
    • : active el examen de correo electrónico. Los usuarios del dispositivo no pueden cambiar esta configuración.

Remediación

Esta configuración está disponible en los perfiles siguientes:

  • Antivirus de Microsoft Defender

Configuración:

  • Número de días (0-90) para mantener el malware en cuarentena
    CSP: DaysToRetainCleanedMalware

    Especifique el número de días de cero a 90 que el sistema almacena los elementos en cuarentena antes de que se quiten automáticamente. Un valor de cero mantiene los elementos en cuarentena y no los quita automáticamente.

  • Enviar el consentimiento de ejemplos

    • No configurado (valor predeterminado)
    • Enviar muestras seguras automáticamente
    • Preguntar siempre
    • Nunca enviar
    • Enviar todos los ejemplos automáticamente
  • Acción para realizar aplicaciones potencialmente no deseadas
    CSP: PUAProtection

    Especifique el nivel de detección de aplicaciones potencialmente no deseadas (PUA). Defender alerta a los usuarios cuando se descarga software potencialmente no deseado o intenta instalarlo en un dispositivo.

    • No configurado (valor predeterminado): la configuración se restaura al valor predeterminado del sistema, que es PUA Protection OFF.
    • Disable
    • Habilitar : los elementos detectados se bloquean y se muestran en el historial junto con otras amenazas.
    • Modo de auditoría : Defender detecta aplicaciones potencialmente no deseadas, pero no realiza ninguna acción. Puede revisar la información sobre las aplicaciones en las que Defender habría tomado medidas mediante la búsqueda de eventos creados por Defender en el Visor de eventos.
  • Acciones para amenazas detectadas
    CSP: ThreatSeverityDefaultAction

    Especifique la acción que realiza Defender para el malware detectado en función del nivel de amenaza del malware.

    Defender clasifica el malware que detecta como uno de los siguientes niveles de gravedad:

    • Gravedad baja
    • Gravedad moderada
    • Gravedad alta
    • Gravedad grave

    Para cada nivel, especifique la acción que se va a realizar. El valor predeterminado para cada nivel de gravedad es No configurado.

    • Sin configurar
    • Limpiar : el servicio intenta recuperar archivos e intentar desinfectar.
    • Cuarentena : mueve los archivos a la cuarentena.
    • Quitar : quita archivos del dispositivo.
    • Permitir : permite el archivo y no realiza otras acciones.
    • Definido por el usuario : el usuario del dispositivo toma la decisión sobre qué acción realizar.
    • Bloquear : bloquea la ejecución de archivos.

Examinar

Esta configuración está disponible en los perfiles siguientes:

  • Antivirus de Microsoft Defender

Configuración:

  • Examen de archivos de archivo
    CSP: AllowArchiveScanning

    Configure Defender para examinar archivos de archivo, como archivos ZIP o CAB.

    • No configurado (valor predeterminado): la configuración vuelve al valor predeterminado del cliente, que es examinar los archivos archivados, pero el usuario puede deshabilitar la configuración. Más información
    • No : los archivos de archivo no se examinan. Los usuarios del dispositivo no pueden cambiar esta configuración.
    • : habilite los exámenes de archivos de archivo. Los usuarios del dispositivo no pueden cambiar esta configuración.
  • Uso de prioridad de CPU baja para exámenes programados
    CSP: EnableLowCPUPriority

    Configuración de la prioridad de CPU para los exámenes programados.

    • No configurado (valor predeterminado): la configuración vuelve al valor predeterminado del sistema, en el que no se realiza ningún cambio en la prioridad de CPU.
    • No : la configuración está deshabilitada. Los usuarios del dispositivo no pueden cambiar esta configuración.
    • : la prioridad de CPU baja se usará durante los exámenes programados. Los usuarios del dispositivo no pueden cambiar esta configuración.
  • Deshabilitación del examen completo de puesta al día
    CSP: DisableCatchupFullScan

    Configure los exámenes de puesta al día para los exámenes completos programados. Un examen de puesta al día es un examen que se ejecuta porque se ha perdido un examen programado periódicamente. Normalmente, estos exámenes programados se pierden porque el equipo se ha apagado a la hora programada.

    • No configurado (valor predeterminado): la configuración se devuelve al valor predeterminado del cliente, que es deshabilitar los exámenes de puesta al día para los exámenes completos.
    • No : la configuración está deshabilitada. Los usuarios del dispositivo no pueden cambiar esta configuración.
    • : se aplican los exámenes de puesta al día de los exámenes completos programados y el usuario no puede deshabilitarlos. Si un equipo está sin conexión durante dos exámenes programados consecutivos, se inicia un examen de puesta al día la próxima vez que alguien inicia sesión en el equipo. Si no hay ningún examen programado configurado, no habrá ninguna ejecución de examen al día. Los usuarios del dispositivo no pueden cambiar esta configuración.
  • Deshabilitación del examen rápido de catchup
    CSP: DisableCatchupQuickScan

    Configure los exámenes de puesta al día para los exámenes rápidos programados. Un examen de puesta al día es un examen que se ejecuta porque se ha perdido un examen programado periódicamente. Normalmente, estos exámenes programados se pierden porque el equipo se ha apagado a la hora programada.

    • No configurado (valor predeterminado): la configuración se devuelve al valor predeterminado del cliente, que es deshabilitar los exámenes de puesta al día para los exámenes completos.
    • No : la configuración está deshabilitada. Los usuarios del dispositivo no pueden cambiar esta configuración.
    • : se aplican los exámenes de puesta al día de los exámenes rápidos programados y el usuario no puede deshabilitarlos. Si un equipo está sin conexión durante dos exámenes programados consecutivos, se inicia un examen de puesta al día la próxima vez que alguien inicia sesión en el equipo. Si no hay ningún examen programado configurado, no habrá ninguna ejecución de examen al día. Los usuarios del dispositivo no pueden cambiar esta configuración.
  • Límite de uso de CPU por examen
    CSP: AvgCPULoadFactor

    Especifique como porcentaje de cero a 100, el factor de carga promedio de CPU para el examen de Defender.

  • Examen de las unidades de red asignadas durante el examen completo
    CSP: AllowFullScanOnMappedNetworkDrives

    Configure Defender para examinar las unidades de red asignadas.

    • No configurado (valor predeterminado): la configuración se restaura al valor predeterminado del sistema, lo que deshabilita el examen en las unidades de red asignadas.
    • No : la configuración está deshabilitada. Los usuarios del dispositivo no pueden cambiar la configuración.
    • : habilite los exámenes de las unidades de red asignadas. Los usuarios del dispositivo no pueden cambiar esta configuración.
  • Ejecución de un examen rápido diario en
    CSP: ScheduleQuickScanTime

    Seleccione la hora del día en que se ejecutan los exámenes rápidos de Defender. Esta configuración solo se aplica cuando un dispositivo ejecuta un examen rápido y no interactúa con los tres valores siguientes:

    • Tipo de examen
    • Día de la semana para ejecutar un examen programado
    • Hora del día para ejecutar un examen programado

    De forma predeterminada, Ejecutar examen rápido diario en está establecido en No configurado.

  • Tipo de examen
    CSP: ScanParameter

    Seleccione el tipo de examen que ejecuta Defender. Esta configuración interactúa con la configuración Día de la semana para ejecutar un examen programado y la hora del día para ejecutar un examen programado.

    • No configurado (valor predeterminado)
    • Examen rápido
    • Examen completo
  • Día de la semana para ejecutar un examen programado

    • No configurado (valor predeterminado)
  • Hora del día para ejecutar un examen programado

    • No configurado (valor predeterminado)
  • Comprobación de actualizaciones de firmas antes de ejecutar el examen

    • No configurado (valor predeterminado)
    • No

Actualizaciones

Esta configuración está disponible en los perfiles siguientes:

  • Antivirus de Microsoft Defender

Configuración:

  • Escriba la frecuencia (0-24 horas) para comprobar si hay actualizaciones de inteligencia de seguridad.
    CSP: SignatureUpdateInterval

    Especifique el intervalo de cero a 24 (en horas) que se usa para comprobar si hay firmas. Un valor de cero no da como resultado ninguna comprobación de nuevas firmas. Un valor de 2 se comprobará cada dos horas, etc.

  • Definición de recursos compartidos de archivos para descargar actualizaciones de definiciones
    CSP: SignatureUpdateFallbackOrder

    Administre ubicaciones, como un recurso compartido de archivos UNC, como una ubicación de origen de descarga para obtener actualizaciones de definiciones. Después de que las actualizaciones de definición se descarguen correctamente desde un origen especificado, no se contactará con los orígenes restantes de la lista.

    Puede agregar ubicaciones individuales o importar una lista de ubicaciones como un archivo .csv.

  • Definir el orden de los orígenes para descargar las actualizaciones de definiciones
    CSP: SignatureUpdateFileSharesSources

    Especifique en qué orden ponerse en contacto con las ubicaciones de origen que ha especificado para obtener actualizaciones de definición. Después de que las actualizaciones de definiciones se hayan descargado correctamente de un origen especificado, no se contactará con los orígenes restantes de la lista.

Experiencia del usuario

Esta configuración está disponible en los perfiles siguientes:

  • Antivirus de Microsoft Defender

Configuración:

  • Permitir el acceso del usuario a Microsoft Defender aplicación
    CSP: AllowUserUIAccess

  • No configurado (valor predeterminado): la configuración vuelve al valor predeterminado del cliente en el que se permiten la interfaz de usuario y las notificaciones.

  • No : no se puede acceder a la interfaz de usuario (UI) de Defender y se suprimen las notificaciones.