Configuración de Microsoft Defender directiva antivirus para dispositivos conectados a inquilinos en Microsoft Intune

  • Artículo

Vea la configuración Microsoft Defender Antivirus que puede administrar con el perfil de Microsoft Defender Directiva antivirus (ConfigMgr) desde Intune. El perfil está disponible al configurar Intune directiva antivirus de seguridad de punto de conexión y la directiva se implementa en los dispositivos que administra con Configuration Manager cuando ha configurado el escenario de asociación de inquilinos. (Ruta de acceso en el centro de administración de Microsoft Intune:Antivirus> de seguridad> de puntos de conexión+ Crear plataforma de directivas> = Perfil de Windows (ConfigMgr)> = Microsoft Defender Antivirus).

Protección en la nube

  • Activar la protección proporcionada en la nube
    CSP: AllowCloudProtection

    De forma predeterminada, Defender en dispositivos de escritorio Windows 10/11 envía información a Microsoft sobre los problemas que encuentre. Microsoft analiza esa información para obtener más información sobre los problemas que le afectan a usted y a otros clientes, para ofrecer soluciones mejoradas.

    • No configurado (valor predeterminado): la configuración se restaura al valor predeterminado del sistema.
    • No Desactiva el servicio Microsoft Active Protection.
    • Activa el servicio Microsoft Active Protection.

  • Nivel de protección entregado en la nube
    CSP: CloudBlockLevel

    Configure la agresividad del Antivirus de Defender al bloquear y examinar archivos sospechosos.

    • No configurado (valor predeterminado): nivel de bloqueo de Defender predeterminado.
    • Alto : bloquea de forma agresiva las incógnitas al tiempo que optimiza el rendimiento del cliente, lo que incluye una mayor probabilidad de falsos positivos.
    • High Plus : bloquea de forma agresiva las incógnitas y aplica medidas de protección adicionales que podrían afectar al rendimiento del cliente.
    • Tolerancia cero : bloquee todos los archivos ejecutables desconocidos.

  • Tiempo de espera extendido en la nube de Defender en segundos
    CSP: CloudExtendedTimeout

    Antivirus de Defender bloquea automáticamente los archivos sospechosos durante 10 segundos para que pueda examinar los archivos en la nube para asegurarse de que están seguros. Con esta configuración, puede agregar hasta 50 segundos más a este tiempo de espera.

exclusiones de antivirus de Microsoft Defender

Advertencia

La definición de exclusiones reduce la protección que ofrece Microsoft Defender Antivirus. Evalúe siempre los riesgos asociados a la implementación de exclusiones. Solo excluya los archivos que sabe que no son malintencionados.

Para obtener más información, consulte Información general sobre exclusiones en la documentación de Microsoft Defender.

Para cada configuración de este grupo, puede expandir la configuración, seleccionar Agregar y, a continuación, especificar un valor para la exclusión.

  • Procesos de Defender que se van a excluir
    CSP: ExcludedProcesses

    Especifique una lista de archivos abiertos por procesos que se omitirán durante un examen. El propio proceso no se excluye del examen.

  • Extensiones de archivo para excluir de exámenes y protección en tiempo real
    CSP: ExcludedExtensions

    Especifique una lista de extensiones de tipo de archivo que se omitirán durante un examen.

  • Archivos y carpetas de Defender que se van a excluir
    CSP: ExcludedPaths

    Especifique una lista de archivos y rutas de acceso de directorio que se omitirán durante un examen.

Protección en tiempo real

  • Activar la protección en tiempo real
    CSP: AllowRealtimeMonitoring

    Requerir que Defender en dispositivos de escritorio Windows 10/11 use la funcionalidad de supervisión en tiempo real.

    • No configurado (valor predeterminado): la configuración se restaura al valor predeterminado del sistema.
    • No Desactiva el servicio de supervisión en tiempo real.
    • Activa y ejecuta el servicio de supervisión en tiempo real.

  • Habilitar en la protección de acceso
    CSP: AllowOnAccessProtection

    Configure la protección antivirus que esté activa continuamente, en lugar de a petición.

    • No configurado (valor predeterminado): esta directiva no modifica el estado de esta configuración en un dispositivo. El estado existente en el dispositivo permanece sin cambios.
    • No Desactiva el servicio de supervisión en tiempo real.

  • Supervisión de archivos entrantes y salientes
    CSP: Defender/RealTimeScanDirection

    Configure esta opción para determinar qué archivo NTFS y actividad de programa se supervisan.

    • Supervisión de todos los archivos (bidireccional) (valor predeterminado)
    • Supervisión de archivos entrantes
    • Supervisión de archivos salientes

  • Activar la supervisión del comportamiento
    CSP: AllowBehaviorMonitoring

    De forma predeterminada, Defender en dispositivos de escritorio Windows 10/11 usa la funcionalidad de supervisión del comportamiento.

    • No configurado (valor predeterminado): la configuración se restaura al valor predeterminado del sistema.
    • No Desactiva la supervisión del comportamiento.
    • Activa la supervisión del comportamiento en tiempo real.

  • Permitir sistema de prevención de intrusiones

    Configure Defender para permitir o no permitir la funcionalidad de prevención de intrusiones.

    • No configurado (valor predeterminado): la configuración se restaura al valor predeterminado del sistema.
    • No : no se permite el sistema de prevención de intrusiones.
    • : se permite el sistema de prevención de intrusiones.

  • Examinar todos los archivos y datos adjuntos descargados
    CSP: EnableNetworkProtection

    Configure Defender para examinar todos los archivos y datos adjuntos descargados.

    • No configurado (valor predeterminado): la configuración se restaura al valor predeterminado del sistema.
    • No

  • Examen de scripts que se usan en exploradores de Microsoft
    CSP: AllowScriptScanning

    Configure Defender para examinar scripts.

    • No configurado (valor predeterminado): la configuración se restaura al valor predeterminado del sistema.
    • No

  • Examen de archivos de red
    CSP: AllowScanningNetworkFiles

    Configure Defender para examinar los archivos de red.

    • No configurado (valor predeterminado): la configuración se restaura al valor predeterminado del sistema.
    • No Desactiva el examen de archivos de red.
    • Examina los archivos de red.

  • Examinar correos electrónicos
    CSP: AllowEmailScanning

    Configure Defender para examinar el correo electrónico entrante.

    • No configurado (valor predeterminado): la configuración se restaura al valor predeterminado del sistema.
    • No Desactiva el examen de correo electrónico.
    • Activa el examen de correo electrónico.

Remediación

  • Número de días (0-90) para mantener el malware en cuarentena
    CSP: DaysToRetainCleanedMalware

    Especifique un número de días de cero a 90 que el sistema almacene los elementos en cuarentena antes de que se quiten automáticamente. Un valor de cero mantiene los elementos en cuarentena y no los quita automáticamente.

  • Enviar consentimiento de ejemplos

    • No configurado (valor predeterminado)
    • Preguntar siempre
    • Enviar muestras seguras automáticamente
    • Nunca enviar
    • Enviar todos los ejemplos automáticamente

  • Acción para realizar aplicaciones potencialmente no deseadas
    CSP: PUAProtection

    Especifique el nivel de detección de aplicaciones potencialmente no deseadas (PUA). Defender alerta a los usuarios cuando se descarga software potencialmente no deseado o intenta instalarlo en un dispositivo.

    • No configurado (valor predeterminado): la configuración se restaura al valor predeterminado del sistema, que es PROTECCIÓN CONTRA PUA DESACTIVADA.
    • Deshabilitado : Windows Defender no protegerá contra aplicaciones potencialmente no deseadas.
    • Habilitado : se bloquean los elementos detectados. Se mostrarán en la historia junto con otras amenazas.
    • Modo de auditoría : Defender detecta aplicaciones potencialmente no deseadas, pero no realiza ninguna acción. Puede revisar la información sobre las aplicaciones en las que Defender habría tomado medidas mediante la búsqueda de eventos creados por Defender en el Visor de eventos.

  • Creación de un punto de restauración del sistema antes de limpiar los equipos

    • No configurado (valor predeterminado)
    • No

  • Acciones para amenazas detectadas
    CSP: ThreatSeverityDefaultAction

    Especifique la acción que realiza Defender para el malware detectado en función del nivel de amenaza del malware.

    Defender clasifica el malware que detecta como uno de los siguientes niveles de gravedad:

    • Amenaza baja
    • Amenaza moderada
    • Alta amenaza
    • Amenaza grave

    Para cada nivel, especifique la acción que se va a realizar. El valor predeterminado para cada nivel de gravedad es No configurado.

    • No configurado (valor predeterminado)
    • Limpiar : el servicio intenta recuperar archivos e intentar desinfectar.
    • Cuarentena : mueve los archivos a la cuarentena.
    • Quitar : quita archivos del dispositivo.
    • Permitir : permite el archivo y no realiza otras acciones.
    • Definido por el usuario : el usuario del dispositivo toma la decisión sobre qué acción realizar.
    • Bloquear : bloquea la ejecución de archivos.

Examinar

  • Examen de archivos de archivo
    CSP: AllowArchiveScanning

    Configure Defender para examinar archivos de archivo, como archivos ZIP o CAB.

    • No configurado (valor predeterminado): la configuración vuelve al valor predeterminado del cliente, que es examinar los archivos archivados, pero el usuario puede deshabilitar el examen. Más información
    • No Desactiva el examen en archivos archivados.
    • Examina los archivos de archivo.

  • Habilitación de la prioridad de CPU baja para los exámenes programados
    CSP: EnableLowCPUPriority

    Configuración de la prioridad de CPU para los exámenes programados.

    • No configurado (valor predeterminado): la configuración vuelve al valor predeterminado del sistema, en el que no se realiza ningún cambio en la prioridad de CPU.
    • No

  • Deshabilitación del examen completo de catch-up
    CSP: DisableCatchupFullScan

    Configure los exámenes de puesta al día para los exámenes completos programados. Un examen de puesta al día es un examen que se inicia porque se perdió un examen programado periódicamente. Normalmente, estos exámenes programados se pierden porque el equipo se ha apagado a la hora programada.

    • No configurado (valor predeterminado): la configuración se devuelve al valor predeterminado del cliente, que es habilitar los exámenes de puesta al día para los exámenes completos, pero el usuario puede desactivarlos.
    • No

  • Deshabilitación del examen rápido de catchup
    CSP: DisableCatchupQuickScan

    Configure los exámenes de puesta al día para los exámenes rápidos programados. Un examen de puesta al día es un examen que se inicia porque se perdió un examen programado periódicamente. Normalmente, estos exámenes programados se pierden porque el equipo se ha apagado a la hora programada.

    • No configurado (valor predeterminado): la configuración se devuelve al valor predeterminado del cliente, que es habilitar los exámenes rápidos de puesta al día, pero el usuario puede desactivarlos.
    • No

  • Límite de uso de CPU (0-100 %) por examen
    CSP: AvgCPULoadFactor

    Especifique como porcentaje de cero a 100, el factor de carga promedio de CPU para el examen de Defender.

  • Habilitación de que las unidades de red asignadas se analicen durante un examen completo
    CSP: AllowFullScanOnMappedNetworkDrives

    Configure Defender para examinar las unidades de red asignadas.

    • No configurado (valor predeterminado): la configuración se restaura al valor predeterminado del sistema, lo que deshabilita el examen en las unidades de red asignadas.
    • No permitido Deshabilita el examen en unidades de red asignadas.
    • Permitido Examina las unidades de red asignadas.

  • Ejecución de un examen rápido diario en
    CSP: ScheduleQuickScanTime

    Seleccione la hora del día en que se ejecutan los exámenes rápidos de Defender. De forma predeterminada, esta opción no está configurada

  • Tipo de examen
    CSP: ScanParameter

    Seleccione el tipo de examen que ejecuta Defender.

    • No configurado (valor predeterminado)
    • Examen rápido
    • Examen completo

  • Día de la semana para ejecutar un examen programado

    • No configurado (valor predeterminado)

  • Hora del día para ejecutar un examen programado

    • No configurado (valor predeterminado)

  • Comprobar si hay Novedades de firma antes de ejecutar el examen (dispositivo)

    • No configurado (valor predeterminado)
    • No

  • Aleatorizar las horas de inicio de las actualizaciones de inteligencia de seguridad y análisis programados
    - No configurado (valor predeterminado): -no

  • Examen de unidades extraíbles durante el examen completo

    • No configurado (valor predeterminado)
    • No Desactiva el examen en unidades extraíbles.
    • Examina las unidades extraíbles.

Actualizaciones

  • Escriba la frecuencia (0-24 horas) para comprobar si hay actualizaciones de inteligencia de seguridad.
    CSP: SignatureUpdateInterval

    Especifique el intervalo de cero a 24 (en horas) que se usa para comprobar si hay firmas. Un valor de cero no da como resultado ninguna comprobación de nuevas firmas. Un valor de 2 se comprobará cada dos horas, etc.

    • Pedido de reserva de actualización de firma (dispositivo)

    • Orígenes de recursos compartidos de archivos de actualización de firma (dispositivo)

  • Ubicación de inteligencia de seguridad (dispositivo)

Experiencia del usuario

  • Bloquear el acceso del usuario a Microsoft Defender aplicación

    • No configurado (valor predeterminado)
    • No permitido Impide que los usuarios accedan a la interfaz de usuario.
    • Permitido Permite a los usuarios acceder a la interfaz de usuario.

  • Permitir a los usuarios ver los resultados completos del historial

    • No configurado (valor predeterminado)
    • No