Configuración del antivirus Microsoft Defender en entornos corporativos

Configuración del antivirus Microsoft Defender en entornos corporativos

08/09/2024

Este artículo técnico y educativo tiene como objetivo guiar a los analistas de seguridad, administradores de TI e ingenieros de sistemas en la configuración y administración efectiva de Microsoft Defender Antivirus (MDAV) en entornos empresariales. MDAV, que es una parte integral del sistema operativo Windows, ha evolucionado desde una solución básica hasta un componente sólido y fundamental de la estrategia de seguridad de Microsoft, ofreciendo protección de endpoints de próxima generación contra una amplia gama de amenazas, incluyendo malware, ransomware y ataques sin archivos [1].

Introducción

En un panorama de amenazas cibernéticas en constante evolución, contar con una solución antivirus confiable y bien configurada es la primera línea de defensa para cualquier organización. Microsoft Defender Antivirus, cuando se administra de forma centralizada, ofrece una potente protección que se integra perfectamente con el ecosistema de Microsoft, proporcionando visibilidad y control unificados. Esta guía cubrirá los métodos más comunes para configurar Defender AV en entornos empresariales, garantizando que su organización esté protegida de manera consistente y efectiva.

Herramientas de gestión

Hay varias formas de administrar Microsoft Defender AV en un entorno empresarial. Los más comunes son:

  • Microsoft Intune (recomendado): para organizaciones que utilizan una administración moderna basada en la nube. Proporciona una interfaz centralizada en el portal de Microsoft Endpoint Manager para crear e implementar políticas de seguridad.
  • Política de grupo (GPO): para organizaciones con una infraestructura de Active Directory local. Permite la configuración a través de Objetos de Política de Grupo.
  • Microsoft Endpoint Configuration Manager (MECM/SCCM): para administración a gran escala, a menudo en entornos híbridos.
  • PowerShell: para configuraciones y automatización granular o masiva.

Esta guía se centrará en los dos métodos más populares: Intune y GPO.

Requisitos previos

  • Sistema operativo: Windows 10, Windows 11 o Windows Server 2016 y posteriores.
  • Acceso administrativo: permisos de administrador de Intune (para Intune) o administrador de dominio (para GPO).
  • Licencia: Defender AV se incluye con Windows. Las funciones avanzadas (como Microsoft Defender para Endpoint) requieren licencias adicionales (por ejemplo, Microsoft 365 E5).

Configuración de Defender AV con Microsoft Intune

Este es el enfoque moderno y recomendado para dispositivos administrados en la nube.

  1. Vaya al portal de Microsoft Intune: https://intune.microsoft.com.
  2. Navegue hasta Endpoint Security > Antivirus.
  3. Haga clic en Crear política.
  4. Seleccione:
    • Plataforma: Windows 10 y posteriores
    • Perfil: Microsoft Defender Antivirus
  5. Haga clic en Crear.
  6. Conceptos básicos: asigne un nombre a la política (por ejemplo, Windows - Política predeterminada de AV de Defender) y una descripción. Haga clic en Siguiente.
  7. Ajustes de configuración: Este es el paso más importante. Configure las siguientes secciones con las mejores prácticas:
    • Protección en la nube:
      • Habilitar protección proporcionada en la nube: . Esencial para la inteligencia sobre amenazas en tiempo real.
      • Nivel de protección proporcionado en la nube: Alto. Ofrece una detección más agresiva.
      • Tiempo de espera extendido de Defender Cloud: 50 segundos. Le da al servicio en la nube más tiempo para analizar archivos sospechosos.
    • Protección en tiempo real:
      • Habilitar protección en tiempo real: . El núcleo de la protección del Defensor.
      • Habilitar monitoreo de comportamiento: .
      • Escanear todos los archivos y archivos adjuntos descargados: .
    • Verificación:
      • Programar una revisión rápida diaria: establezca un horario de uso bajo (por ejemplo, 12:00).
      • Tipo de análisis programado: Análisis rápido.
    • Exclusiones: Configure las exclusiones cuidadosamente para evitar violaciones de seguridad. Utilice la política Exclusiones de antivirus de Microsoft Defender para administrar esto de forma centralizada.
  8. Asignaciones: asigne la política a un grupo de dispositivos de Azure AD.
  9. Revisar + crear: Revisar y crear la política.

Configuración de Defender AV con política de grupo (GPO)

Para entornos con Active Directory local.

  1. Abra el Editor de administración de políticas de grupo.
  2. Crea uno envo GPO o edite uno existente y vincúlelo a la OU (Unidad organizativa) deseada.
  3. Navegue hasta Configuración del equipo > Plantillas administrativas > Componentes de Windows > Antivirus de Microsoft Defender.
  4. Configure las siguientes políticas (establezca en "Habilitado" y ajuste las opciones):
    • Desactivar Microsoft Defender Antivirus: configúrelo en "Desactivado" para garantizar que esté siempre activado.
    • Protección en tiempo real:
      • Habilitar monitoreo de comportamiento
      • Escanear todos los archivos y archivos adjuntos descargados
      • Monitorear la actividad de archivos y programas en su computadora
    • MAPS (equivalente a Protección en la nube):
      • Unirse a Microsoft MAPS: seleccione MAPAS avanzados.
      • Configurar la función 'Bloquear a primera vista': Habilitado.
    • Verificación:
      • Configure las opciones de escaneo programadas como "Tipo de escaneo" y "Día de escaneo".

Validación y seguimiento

  • Localmente: en un dispositivo cliente, abra la aplicación Seguridad de Windows para verificar que la configuración de "Protección contra virus y amenazas" esté administrada por su organización.
  • A través de PowerShell: ejecute el comando Get-MpComputerStatus para ver el estado del antivirus, incluido AMRunningMode (debe ser "Normal") y las fechas de las firmas.
  • Portal de Microsoft 365 Defender: si tiene Defender para Endpoint, el portal (security.microsoft.com) ofrece informes detallados sobre el estado del antivirus en todos sus dispositivos en Informes > Estado del dispositivo.

Conclusión

Configurar correctamente Microsoft Defender Antivirus es un paso fundamental para proteger los puntos finales de una organización. Ya sea mediante una gestión moderna con Microsoft Intune o una gestión tradicional con GPO, la aplicación coherente de políticas de seguridad garantiza que la primera línea de defensa de su empresa sea sólida, resistente y esté siempre actualizada contra las últimas amenazas. La supervisión continua a través de los portales de Microsoft cierra el círculo y proporciona la visibilidad necesaria para garantizar el cumplimiento y la seguridad de su entorno.

Referencias

[1]Microsoft. (2023). Antivirus de Microsoft Defender en Windows. [2]Microsoft. (2023). Administrar Microsoft Defender Antivirus con Microsoft Intune. [3]Microsoft. (2023). Utilice la configuración de directiva de grupo para configurar y administrar Microsoft Defender Antivirus.