MD-102 Manage endpoint security

En esta ruta de aprendizaje, los alumnos obtendrán información sobre

la protección de datos y la protección de puntos de conexión frente a
amenazas. Esta ruta de acceso también abarcará las principales
funcionalidades de las soluciones de Microsoft Defender.

 Requisitos previos

Los alumnos deben tener:

 Sólidos conocimientos técnicos para instalar, mantener y

solucionar problemas del sistema operativo Windows 10 o
posterior.

 Conocimiento sólido de los conceptos de redes informáticas, la

seguridad de los cliente y los conceptos de aplicaciones

 Experiencia en el uso de Active Directory Domain Services.

Introducción

Completado100 XP

 1 minuto

Microsoft Defender para punto de conexión, anteriormente Windows

Defender Advanced Threat Protection, es un sofisticado servicio
basado en la nube diseñado para ayudar a las organizaciones a
identificar e investigar amenazas persistentes avanzadas y responder
a ellas. Esta solución de vanguardia ofrece detección de ataques
basados en el comportamiento, una escala de tiempo forense
completa y una base de conocimientos de inteligencia sobre amenazas
sin precedentes. Al aplicar estas características avanzadas, las
organizaciones pueden combatir proactivamente las amenazas
cibernéticas en constante evolución y mejorar la seguridad.

Después de este módulo, podrá hacer lo siguiente:

  Describir Microsoft Defender para punto de conexión.

 Describir las funcionalidades clave de Microsoft Defender para

punto de conexión.

 Describir Protección de aplicaciones de Microsoft Defender.

 Describir Protección contra vulnerabilidades de seguridad de

Microsoft Defender.

 Describir Protección del sistema de Windows Defender.

Explorar Microsoft Defender para punto de conexión

Completado100 XP

 3 minutos

Microsoft Defender para punto de conexión es una plataforma

diseñada para ayudar a redes de empresas a evitar, detectar,
investigar y responder a amenazas avanzadas. A diferencia de
Microsoft Defender, que está disponible en todos los equipos Windows
y administrado por directiva de grupo o Intune, Microsoft Defender
para punto de conexión es una plataforma completamente nueva que
ayuda a los administradores a mejorar la seguridad y a establecer un
control de seguridad centralizado sobre los recursos locales y en la
nube. Aunque Microsoft Defender para punto de conexión comparte el
mismo nombre que Microsoft Defender en Windows, no son el mismo
producto. Los administradores pueden usar Microsoft Defender para
punto de conexión para supervisar las funcionalidades de Microsoft
Defender en clientes locales de Windows para mantener una
configuración coherente y un nivel de seguridad aceptable. Sin
embargo, además de esto, Microsoft Defender para punto de conexión
también se puede integrar con inteligencia sobre amenazas de
Microsoft 365, Cloud App Security, Azure ATP e Intune. También
puede detectar contenido potencialmente dañino en comunicaciones
de Skype Empresarial.
Microsoft Defender para punto de conexión usa la siguiente
combinación de tecnologías integradas en Windows y el servicio de
nube de Microsoft:

 Sensores de comportamiento de punto de conexión: incrustados

en Windows, estos sensores recopilan y procesan señales de
comportamiento del sistema operativo y envían estos datos del
sensor a su instancia en la nube privada y aislada de Microsoft
Defender para punto de conexión.

 Análisis de seguridad en la nube: mediante los macrodatos, el

aprendizaje automático y la óptica única de Microsoft en el
ecosistema de Windows, los productos de nube empresariales
(como Microsoft 365) y los recursos en línea, las señales de
comportamiento se convierten en conclusiones, detecciones y
respuestas recomendadas a amenazas avanzadas.

 Inteligencia de amenazas: generada por buscadores de

Microsoft, equipos de seguridad y ampliada por la que
proporcionan los asociados, la inteligencia de amenazas permite
que Microsoft Defender para punto de conexión identifique las
herramientas, las técnicas y los procedimientos de los
atacantes, y genere alertas cuando se observen estas
actividades en los datos de sensor recopilados.

Estas tecnologías cuando se combinan proporcionan una supervisión

proactiva y eficaz de lo que sucede en las máquinas, los servidores y
la red del cliente. Realizan investigaciones automatizadas sobre
incidentes conocidos y proporcionan algunas acciones incluso antes
de que se avise a un administrador.

La consola principal de Microsoft Defender para punto de conexión es

el Centro de seguridad de Microsoft 365. Los equipos de seguridad de
la empresa pueden utilizar el Centro de seguridad de Microsoft 365
para supervisar y ayudar a responder a las alertas de posible
actividad de amenazas permanentes avanzadas (APT) o infracciones
de datos.
Puede usar el Centro de seguridad de Microsoft 365 para:

 Ver, ordenar y clasificar alertas de los puntos de conexión.

 Buscar más información sobre los indicadores observados como

archivos y direcciones IP.

 Cambie la configuración de Microsoft Defender para punto de

conexión, incluida la zona horaria y revise la información de
licencias.

 Siguiente unidad: Examen de las funcionalidades clave de

Microsoft Defender para punto de conexión

Examen de las funcionalidades clave de Microsoft Defender para

punto de conexión

Completado100 XP

 9 minutos

Las siguientes funcionalidades están disponibles en varios productos

que componen la plataforma de Microsoft Defender para punto de
conexión.

Reducción de la superficie expuesta a ataques

el conjunto de capacidades de reducción de la superficie expuesta a
ataques constituye la primera línea de defensa de la pila. Al
garantizar que las opciones de configuración se establecen
correctamente y que se aplican técnicas de mitigación de
vulnerabilidades, este conjunto de funcionalidades resistirán los
ataques y explotaciones.

Las funcionalidades de reducción de la superficie expuesta a ataques

de Microsoft Defender para punto de conexión ayudan a proteger los
dispositivos y las aplicaciones de su organización frente a amenazas
nuevas y emergentes.

 Aislamiento basado en hardware: protege y mantiene la

integridad del sistema a medida que se inicia y mientras se
ejecuta, y valida la integridad del sistema a través de la
atestación local y remota. Además, el aislamiento de
contenedores de Microsoft Edge ayuda a proteger el sistema
operativo host frente a sitios web malintencionados.

 Control de aplicaciones: se aleja del modelo de confianza de

aplicaciones tradicional, en el que se supone que todas las
aplicaciones son de confianza de forma predeterminada, y
establece una opción en la que las aplicaciones deben ganar
confianza para ejecutarse.

 Protección contra vulnerabilidades de seguridad: aplica técnicas

de mitigación de vulnerabilidades a las aplicaciones que usa la
organización, tanto a nivel individual como en todas las
aplicaciones. Funciona con soluciones antivirus de terceros y el
Antivirus de Microsoft Defender (AV de Microsoft Defender).

 Protección de red: amplía la protección contra malware e

ingeniería social que ofrece SmartScreen de Microsoft Defender
en Microsoft Edge para atender el tráfico de red y la
conectividad en los dispositivos de la organización. Requiere
Antivirus de Microsoft Defender.
  Acceso controlado a carpetas: ayuda a proteger los archivos en
carpetas de sistema clave de los cambios realizados por
aplicaciones malintencionadas y sospechosas, incluido el
malware de ransomware de cifrado de archivos. Requiere
Antivirus de Microsoft Defender.

 Reducción de la superficie expuesta a ataques: puede reducir la

superficie expuesta a ataques de las aplicaciones con reglas
inteligentes que detienen los vectores usados por el malware
basado en Office, scripts y correo electrónico. Requiere Antivirus
de Microsoft Defender.

 Firewall de red: al proveer un filtrado del tráfico de red

bidireccional basado en host que bloquea el tráfico de red no
autorizado que entra y sale del dispositivo local.

Protección de próxima generación

Para reforzar aún más el perímetro de seguridad de la red,

Microsoft Defender para punto de conexión usa la protección de
próxima generación diseñada para detectar todos los tipos de
amenazas emergentes. El Antivirus de Microsoft Defender es una
solución antimalware integrada que proporciona protección de
próxima generación para escritorios, equipos portátiles y servidores.

El Antivirus de Microsoft Defender incluye lo siguiente:

 Protección proporcionada en la nube para la detección casi

instantánea y el bloqueo de amenazas nuevas y emergentes.
Junto con el aprendizaje automático e Intelligent Security Graph,
la protección proporcionada en la nube forma parte de las
tecnologías de próxima generación en las que se basa el
Antivirus de Microsoft Defender.

 Examen siempre activo, mediante la supervisión avanzada del

comportamiento de archivos y procesos y otra heurística
(también conocida como "protección en tiempo real").
  Actualizaciones de protección dedicadas basadas en el
aprendizaje automático, el análisis de macrodatos humano y
automatizado y la investigación minuciosa de la resistencia a
amenazas.

Detección de puntos de conexión y respuesta

Las funcionalidades de detección y respuesta de puntos de conexión

se implementan para detectar, investigar y responder a amenazas
avanzadas que pueden haber superado los dos primeros pilares de
seguridad. Microsoft Defender para punto de conexión ofrece
funcionalidades de detección y respuesta de puntos de conexión que
detectan ataques avanzados casi en tiempo real. Esta característica
permite a los analistas de seguridad priorizar las alertas de forma
eficaz, descubrir la extensión de una infracción y tomar las medidas
de respuesta necesarias para corregir la amenaza.

Cuando se detecta una amenaza, se crean alertas en el sistema para

que un analista las investigue. Las alertas con las mismas técnicas de
ataque o atribuidas al mismo atacante se agregan a una entidad
denominada incidente. La agregación de alertas de este modo facilita
a los analistas la investigación y la respuesta colectiva a las
amenazas.

Adoptando la filosofía de "asumir la vulneración de seguridad",

Microsoft Defender para punto de conexión recopila persistentemente
una amplia gama de datos de telemetría cibernética de
comportamiento. Esto abarca detalles del proceso, actividades de red,
información detallada sobre el kernel y el administrador de memoria,
actividades de inicio de sesión de usuario y modificaciones del
registro y del sistema de archivos. Estos datos se conservan durante
seis meses, lo cual permite a los analistas realizar un seguimiento del
origen de un ataque y explorar diversas perspectivas durante una
investigación, combinando distintas visiones y examinando diversos
vectores potenciales.
Las capacidades de respuesta le ofrecen la capacidad de corregir
rápidamente las amenazas actuando en las entidades afectadas.

Investigación y corrección automáticas

Con la capacidad de responder rápidamente a ataques avanzados,

Microsoft Defender para punto de conexión ofrece funcionalidades de
investigación y corrección automáticas que ayudan a reducir el
volumen de alertas a gran escala en cuestión de minutos. El servicio
Microsoft Defender para punto de conexión ofrece una amplia
visibilidad de varias máquinas. Con esta perspectiva, el servicio
genera multitud de alertas. Puede ser complicado que un equipo de
operaciones de seguridad típico solucione individualmente el volumen
de alertas generadas.

Para abordar este desafío, Microsoft Defender para punto de conexión

usa investigaciones automatizadas para reducir significativamente el
volumen de alertas que deben investigarse individualmente. La
característica de investigación automatizada aplica varios algoritmos
de inspección y procesos que usan los analistas (como los cuadernos
de estrategias) para examinar las alertas y tomar medidas de
corrección inmediatas para resolver las infracciones.

En la lista Investigaciones automatizadas se muestran todas las

investigaciones que se han iniciado automáticamente, aparte de otros
detalles, como el estado, el origen de detección y la fecha de inicio de
la investigación.

Puntuación segura

Microsoft Defender para punto de conexión ofrece una funcionalidad

de la posición de seguridad para ayudar a evaluar de forma dinámica
el estado de seguridad de la red de su empresa, a identificar sistemas
sin protección y a tomar medidas recomendadas para mejorar el
estado de seguridad general de la red. El panel Puntuación de
seguridad amplía la visibilidad de la posición de seguridad general de
la organización. En este panel, puede evaluar la posición de seguridad
de la organización, ver las máquinas que requieren atención y
recomendaciones para las acciones para reducir aún más la superficie
expuesta a ataques de su organización. Desde ahí puede realizar
acciones en función de las líneas base de configuración
recomendadas.

Esta característica está disponible para máquinas en Windows 10,

versión 1703 o posteriores.

El panel Puntuación de seguridad muestra una instantánea de:

 Puntuación de seguridad de Microsoft

 Puntuación de seguridad a lo largo del tiempo

 Recomendaciones principales

 Oportunidades de mejora

El icono de puntuación seguridad de Microsoft refleja la suma de

todos los controles de seguridad de Microsoft Defender configurados
según la línea de base recomendada y los controles de Microsoft 365.
Permite explorar en profundidad cada portal para un análisis más
exhaustivo. También puede mejorar esta puntuación realizando los
pasos necesarios para configurar cada uno de los controles de
seguridad de manera óptima.

Búsqueda avanzada

La búsqueda avanzada le permite buscar posibles amenazas en toda

la organización mediante una herramienta de búsqueda y consulta.
También puede crear reglas de detección personalizadas basadas en
las consultas que creó y exponer alertas en el Centro de seguridad de
Microsoft 365.

Con la búsqueda avanzada, puede hacer lo siguiente:

 Usar el lenguaje de consulta con IntelliSense: se basa en un

lenguaje de consulta que proporciona la flexibilidad necesaria
para realizar búsquedas más avanzadas con mejores resultados.
  Consultar la telemetría almacenada: se puede acceder a los
datos de telemetría en tablas para consultarlos. Así, por
ejemplo, se puede consultar la creación de procesos, la
comunicación de red y otros tipos de eventos.

 Usar vínculos al portal: algunos resultados de la consulta, como

los nombres de equipo y los nombres de archivo, son vínculos
directos al portal.

 Usar ejemplos de consulta: en una página principal se

proporcionan ejemplos para empezar a trabajar con las tablas y
el lenguaje de consulta.

Administración y API

Integre Microsoft Defender para punto de conexión en los flujos de

trabajo existentes. Microsoft Defender para punto de conexión admite
una amplia variedad de opciones para garantizar que los clientes
puedan adoptar fácilmente la plataforma. Microsoft Defender para
punto de conexión tiene un control granular para ajustarse a distintos
entornos y requisitos.

La incorporación de máquinas está totalmente integrada en

Configuration Manager y Microsoft Intune para máquinas cliente y
Azure Security Center para máquinas de servidor, lo que proporciona
una experiencia completa de configuración, implementación y
supervisión. Microsoft Defender para punto de conexión admite
directivas de grupo y otras herramientas de terceros usadas para la
administración de máquinas.

Microsoft Defender para punto de conexión proporciona un control

específico sobre lo que los usuarios con acceso al portal pueden ver y
hacer con la flexibilidad del control de acceso basado en rol (RBAC). El
modelo RBAC admite una amplia variedad de estructuras de equipos
de seguridad:

 Equipos de seguridad y organizaciones distribuidos globalmente

  Equipos de operaciones de seguridad de modelos en capas

 Divisiones totalmente segregadas con equipos de operaciones

de seguridad globales únicos

 Siguiente unidad: Exploración del Control de aplicaciones y

Device Guard de Microsoft Defender

Exploración del Control de aplicaciones y Device Guard de

Microsoft Defender

Completado100 XP

 3 minutos

Teniendo en cuenta que cada día se crean miles de archivos

malintencionados nuevos, el uso de métodos tradicionales, como las
soluciones antivirus (la detección basada en firmas para luchar contra
el malware), proporciona una defensa inadecuada ante ataques
nuevos. El Control de aplicaciones y Device Guard proporcionan una
capa adicional de protección contra amenazas desconocidas.

Control de aplicaciones de Windows Defender

Normalmente, un proceso iniciado por el usuario tiene el mismo nivel

de acceso a los datos que el usuario, lo que pone la información
confidencial en riesgo de ser borrada o filtrada si el usuario ejecuta un
software malicioso de forma intencionada o inadvertida. El control de
las aplicaciones se aleja del modelo de confianza tradicional, en el que
todas las aplicaciones se consideran fiables por defecto, y se acerca a
otro en el que las aplicaciones deben demostrar su fiabilidad para
poder funcionar.

Para que un sistema funcione correctamente, sus ejecutables deben

comprobarse y verificarse mediante firmas de código de los editores
de software. Sin embargo, algunos ejecutables de Windows pueden
necesitar firmas adecuadas. Para solucionar esto, un administrador
puede crear una lista de todos los archivos de código sin firmar del
sistema y hacer que la organización los firme. A continuación, esta
lista se despliega en los equipos con Windows Enterprise. Una vez
habilitado el Control de aplicaciones de Windows Defender (WDAC), se
bloqueará la ejecución de cualquier ejecutable que no figure en este
archivo de política. Además, las políticas WDAC también impiden la
ejecución de scripts no firmados, MSI y Windows PowerShell.

El Control de aplicaciones es muy adecuado para dispositivos de punto

de servicio (PoS), como terminales de venta, cajeros automáticos,
dispositivos similares, escritorios basados en servidor (infraestructura
de escritorio virtual) u otros dispositivos en los que el sistema
operativo es relativamente consistente y se actualiza con poca
frecuencia. Dado que el código de Windows Update está firmado, las
instalaciones de Windows deberían seguir funcionando de forma
segura, incluso cuando el sistema operativo y las aplicaciones de
Microsoft reciban actualizaciones con nuevas correcciones y
funciones. Las organizaciones deben considerar cuidadosamente cómo
incluir aplicaciones de terceros que se actualizan con frecuencia pero
carecen de firmas.

Nota

WDAC se conocía formalmente como directivas de integridad de

código configurables en Device Guard de Windows Defender.

Device Guard de Windows Defender

Device Guard combina las características del Control de aplicaciones

con la capacidad de usar el hipervisor de Hyper-V de Windows para
proteger los procesos del modo kernel de Windows de la inyección y
ejecución de código malintencionado o no comprobado. Aunque WDAC
no requiere hardware o software específicos, habilitar la integridad de
código protegida por hipervisor (HVCI) requiere controladores y
hardware compatibles.
  Siguiente unidad: Exploración de Protección de aplicaciones de
Microsoft Defender

Exploración de Protección de aplicaciones de Microsoft Defender

Completado100 XP

 4 minutos

Protección de aplicaciones de Microsoft Defender (Protección de

aplicaciones) está diseñado para ayudar a prevenir ataques antiguos y
de reciente aparición a fin de mantener la productividad de los
empleados. Con el enfoque de aislamiento de hardware único de
Microsoft, el objetivo de Protección de aplicaciones es destruir el
cuaderno de estrategias que los atacantes usan mediante la
representación de métodos de ataque actuales obsoletos.

Diseñado para Windows y Microsoft Edge, Protección de aplicaciones

ayuda a aislar sitios que no son de confianza definidos por la empresa,
de forma que la empresa está protegida mientras los empleados
navegan por Internet. El administrador de empresa define lo que hay
entre sitios web de confianza, recursos en la nube y redes internas.
Todo lo que no está en la lista se considera que no es de confianza.

Si un empleado va a un sitio que no es de confianza mediante

Microsoft Edge o Internet Explorer, Microsoft Edge abre el sitio en un
contenedor aislado habilitado para Hyper-V, que es independiente del
sistema operativo host. Este aislamiento del contenedor significa que
si el sitio que no es de confianza resulta ser malintencionado, el
equipo host está protegido y el atacante no puede acceder a los datos
empresariales. Por ejemplo, este enfoque convierte en anónimo el
contenedor aislado, por lo que un atacante no puede acceder a las
credenciales empresariales de los empleados.
Tipos de dispositivos que deben usar Protección de aplicaciones

Protección de aplicaciones se ha creado para su uso con varios tipos

de sistemas:

 Escritorios de Enterprise: Escritorios unidos a un dominio y

administrados por la organización, con la administración de
configuración controlada principalmente a través de Microsoft
Configuration Manager o Microsoft Intune. Normalmente, los
empleados poseen privilegios de usuario estándar y usan una
red corporativa cableada de alto ancho de banda.

 Portátiles Enterprise: Equipos portátiles unidos a un dominio y

administrados por la organización, con la administración de
configuración realizada principalmente a través de Configuration
Manager o Microsoft Intune. Normalmente, los empleados
poseen privilegios de usuario estándar y usan una red
corporativa inalámbrica de alto ancho de banda.

 Lleve su propio dispositivo (BYOD) portátil: Equipos portátiles

de propiedad personal que no están unidos a un dominio, sino
administrados por su organización a través de herramientas
 como Microsoft Intune. Los empleados generalmente tienen
privilegios de administrador en el dispositivo y acceden a una
red corporativa inalámbrica de alto ancho de banda en el trabajo
y una red personal comparable en casa.

 Dispositivos personales: Equipos de escritorio o portátiles de

propiedad personal que no están unidos a un dominio ni
administrados por una organización. Los usuarios tienen
privilegios de administrador en el dispositivo y usan una red
personal inalámbrica de alto ancho de banda en casa o una red
pública comparable cuando están fuera.

Configuración de Protección de aplicaciones

Para habilitar Protección de aplicaciones en Microsoft Edge, siga estos

pasos:

1. Abra el Panel de control.

2. Seleccione Programas.

3. Seleccione el vínculo Activar o desactivar características de

Windows.

4. Active la opción Protección de aplicaciones de Microsoft

Defender. Si esa opción no está disponible para seleccionarla, es
probable que el hardware no admita esta característica.

5. Seleccione Aceptar.

6. Seleccione Reiniciar ahora.

Después de reiniciar el equipo, puede iniciar una sesión de Microsoft

Edge con Protección de aplicaciones de Microsoft Defender
seleccionando el botón de menú de la parte superior derecha y, luego,
la opción "Nueva ventana de Protección de aplicaciones".

Si quiere configurar características de Protección de aplicaciones

mediante la plataforma Microsoft Intune, puede hacerlo con la
creación de un perfil de configuración de dispositivo. Esto solo se
aplica a los sistemas operativos Windows 10 y versiones posteriores.
Cuando seleccione crear un nuevo perfil de configuración, deberá
elegir Endpoint Protection como tipo de perfil y, luego, seleccionar la
configuración de las opciones de Protección de aplicaciones de
Microsoft Defender. Esta interfaz de administrador le permite crear
más opciones que en directiva de grupo y configurar Protección de
aplicaciones no solo para Microsoft Edge, sino también para
aplicaciones de Office, como se muestra en la imagen siguiente:
  Siguiente unidad: Examen de Protección contra vulnerabilidades
de seguridad de Microsoft Defender

Examen de Protección contra vulnerabilidades de seguridad de

Microsoft Defender

Completado100 XP

 5 minutos

Protección contra vulnerabilidades de seguridad de Microsoft

Defender (anteriormente Protección contra vulnerabilidades de
seguridad de Windows Defender) es un nuevo conjunto de
funcionalidades de prevención de intrusiones de host para Windows,
lo que permite administrar y reducir la superficie expuesta a ataques
de las aplicaciones usadas por los empleados.

Características de Protección contra vulnerabilidades de seguridad de

Microsoft Defender

Existen cuatro características en Protección contra vulnerabilidades

de seguridad de Microsoft Defender:

 Protección contra vulnerabilidades de seguridad. Aplica técnicas

de mitigación de vulnerabilidades a las aplicaciones que usa la
organización, tanto a nivel individual como en todas las
aplicaciones. Funciona con soluciones antivirus de terceros y el
Antivirus de Microsoft Defender (AV de Microsoft Defender).
Para habilitar la Protección contra vulnerabilidades, abra la
aplicación Seguridad de Windows y vaya a Control de
aplicaciones y explorador. Desplácese hacia abajo
hasta Configuración de la Protección contra vulnerabilidades y
haga clic en Configuración de la Protección contra
vulnerabilidades. A continuación, puede habilitar la
característica y configurar las opciones. También puede usar la
directiva de grupo para habilitar la protección contra
vulnerabilidades. Para ello, vaya a Configuración del equipo en
el Editor de administración de directivas de grupoy, a
 continuación, a Directivas y Plantillas administrativas.
Expanda Componentes de Windows > Antivirus de Microsoft
Defender > Protección contra vulnerabilidades de seguridad de
Microsoft Defender > Protección contra vulnerabilidades.
Seleccione la opción Habilitar protección contra vulnerabilidades
de seguridad y establezca la opción en Habilitado. A
continuación, puede configurar los valores de la característica.

 Reglas de reducción de la superficie expuesta a ataques. Puede

reducir la superficie expuesta a ataques de las aplicaciones con
reglas inteligentes que detienen los vectores usados por el
malware basado en Office, scripts y correo electrónico. Requiere
AV de Microsoft Defender. Para habilitar esto, puede usar la
directiva de grupo, las claves del Registro o la administración de
dispositivos móviles. Para habilitar la reducción de la superficie
expuesta a ataques mediante directivas de grupo, vaya
a Configuración del equipo en el Editor de administración de
directivas de grupo, después Directivas y, a
continuación, Plantillas administrativas. Expanda Componentes
de Windows > Antivirus de Microsoft defender > Protección
contra vulnerabilidades de seguridad de Microsoft Defender >
Reducción de la superficie expuesta a ataques. Seleccione la
opción Configurar reglas de la reducción de la superficie
expuesta a ataques y establezca la opción en Habilitado.

 Protección de red. Amplía la protección contra malware e

ingeniería social que ofrece SmartScreen de Microsoft Defender
en Microsoft Edge para atender el tráfico de red y la
conectividad en los dispositivos de la organización. Requiere AV
de Microsoft Defender. Puede habilitar esta característica
mediante directivas de grupo. Debe ir a Componentes de
Windows > Antivirus de Microsoft Defender > Protección contra
vulnerabilidades de seguridad de Microsoft Defender >
Protección de red. Seleccione la opción Impedir que usuarios y
 aplicaciones accedan a sitios web peligrosos y establezca la
opción en Habilitado.

 Acceso controlado a carpetas. Protege los archivos en carpetas

de sistema clave de los cambios realizados por aplicaciones
malintencionadas y sospechosas, incluido el malware de
ransomware de cifrado de archivos. También puede bloquear
sectores de disco. Requiere que AV de Microsoft Defender
funcione. Para habilitar el acceso controlado a carpetas
mediante directivas de grupo, debe ir a Configuración del
equipo, expandir Directivas, Plantillas administrativas y, a
continuación, Componentes de Windows > Antivirus de
Microsoft Defender > Protección contra vulnerabilidades de
seguridad de Microsoft Defender > Acceso controlado a
carpetas . Seleccione la opción Configurar el acceso controlado a
carpetas y establezca la opción en Habilitado.

De forma predeterminada, las siguientes carpetas están habilitadas

para protección:

o C:\Users\< usuario >\Documents

o C:\Users\Public\Documents

o C:\Users\< usuario >\Pictures

o C:\Users\Public\Pictures

o C:\Users\< usuario >\Videos

o C:\Users\Public\Videos

o C:\Users\< usuario >\Music

o C:\Users\Public\Music

o C:\Users\< usuario >\Desktop

o C:\Users\Public\Desktop

o C:\Users\< usuario >\Favorites

Puede agregar manualmente más carpetas a esta lista, si lo necesita.
Si tiene una aplicación bloqueada por acceso controlado a carpetas,
puede permitir una aplicación. Para permitir una invalidación, vaya a
la misma ruta de acceso de directivas de grupo, seleccione la
opción Configurar aplicaciones permitidas y establézcala
en Habilitado. Seleccione Mostrar y escriba cada aplicación.

De forma similar a otras características de Microsoft Defender,

también puede usar Intune para implementar y administrar
funcionalidades de Protección contra vulnerabilidades de seguridad.
Puede configurar estas opciones en un perfil de configuración del
dispositivo. Se pueden configurar por separado las opciones de cada
una de las características anteriores.

Funcionalidades adicionales

 Puede habilitar el modo de auditoría para las características,

que proporciona registros de eventos básicos que indican cómo
 habría respondido la característica si se hubiera habilitado por
completo. Esto puede ser útil al evaluar el impacto de Microsoft
Defender EG y ayudar a determinar el impacto de las
características en la seguridad de la red.

 También puede visitar el sitio web de Microsoft Defender

Testground en https://demo.wd.microsoft.com para confirmar
que las características funcionan y probar cómo funcionan cada
una de ellas.

 Puede administrar e informar sobre Microsoft Defender EG en la

aplicación Seguridad de Windows como parte del conjunto de
Microsoft Defender para punto de conexión de mitigación de
amenazas, prevención, protección y tecnologías de análisis.

 Puede usar la aplicación Seguridad de Windows para obtener

informes detallados en eventos y bloques como parte de los
escenarios habituales de investigación de alertas.

 Siguiente unidad: Exploración de Protección del sistema de

Windows Defender

Exploración de Protección del sistema de Windows Defender

Completado100 XP

 6 minutos

Windows usa contenedores para aislar los datos y los servicios del
sistema confidenciales, lo que les permite permanecer seguros incluso
cuando el sistema operativo se ha puesto en riesgo. Windows usa un
tipo de contenedor denominado Protección del sistema de
Windows Defender para proteger los recursos críticos, como la pila de
autenticación de Windows, los tokens de inicio de sesión único, la pila
biométrica de Windows Hello y el Módulo de plataforma segura
virtual.
Protección del sistema de Windows Defender reorganiza las
características de integridad del sistema de Windows existentes en un
sistema y configura el siguiente conjunto de inversiones en la
seguridad de Windows. Está diseñado para:

 Ayudar a proteger y mantener la integridad del sistema

mientras se inicia.

 Ayudar a proteger y mantener la integridad del sistema después

de ejecutarse.

 Ayudar a garantizar que la integridad del sistema se ha

mantenido realmente a través de la atestación local y remota.

Conservación de la integridad del sistema mientras se inicia

En la época de Windows 7, los atacantes solían utilizar bootkits o

rootkits para persistir y evadir la detección. Ese software
malintencionado se iniciaba antes o durante el proceso de arranque
de Windows, y les concedía el nivel de privilegio más alto.

Con hardware moderno certificado para Windows 8 o una versión

posterior, una raíz de confianza basada en hardware ayuda a evitar
que el firmware o el software no autorizado, como los bootkits, se
ejecuten antes que el cargador de arranque de Windows. Esta
seguridad agregada se logra a través de la característica de arranque
seguro del dispositivo, una parte de Unified Extensible Firmware
Interface (UEFI).

Una vez verificados e iniciados el firmware del dispositivo y el

cargador de arranque de Windows, la siguiente oportunidad para que
los atacantes comprometan la integridad del sistema surge durante el
inicio del sistema operativo Windows y sus defensas. Al insertar
código malintencionado basado en rootkits en el proceso de arranque,
los atacantes pueden obtener el nivel más alto de privilegios, lo que
facilita la persistencia y la evasión.
Windows Defender System Guard interviene en este punto y garantiza
que solo los archivos y controladores de Windows seguros y
debidamente firmados, incluidos los de terceros, puedan iniciarse en
el dispositivo. Una vez que finaliza el proceso de arranque de
Windows, System Guard inicia la solución antimalware del sistema
para examinar todos los controladores de terceros. En última
instancia, Windows Defender System Guard ayuda a garantizar un
arranque seguro con integridad, lo que impide que el sistema se
ponga en peligro antes de que se inicien el resto de las defensas.

Conservación de la integridad del sistema después de su ejecución

(tiempo de ejecución)

Antes de Windows 10, si un atacante conseguía la vulneración del

sistema y obtenía privilegios de nivel SYSTEM o ponía en riesgo el
propio kernel, podía causar daños importantes en el sistema atacado.
El nivel de control que adquiriría un atacante en estas condiciones le
permitiría alterar y eludir muchas, si no todas, las defensas de su
sistema. Aunque hay una serie de prácticas y tecnologías de
desarrollo (como Protección contra vulnerabilidades de seguridad de
Windows Defender) que han hecho difícil obtener este nivel de
privilegio en Windows, la realidad es que debe haber una manera de
mantener la integridad de los servicios y datos de Windows más
confidenciales, incluso aunque un adversario proteja el nivel de
privilegio más alto.

Con Windows 10, Microsoft introdujo el concepto de seguridad basada

en virtualización (VBS), que nos permite contener los servicios y datos
de Windows más confidenciales en aislamiento basado en hardware:
el contenedor de Protección del sistema de Windows Defender. Este
entorno seguro proporciona el límite de seguridad basado en
hardware necesario para poder proteger y mantener la integridad de
los servicios críticos del sistema en tiempo de ejecución, como
Credential Guard, Device Guard, el Módulo de plataforma segura
virtual (TPM) y partes de Protección contra vulnerabilidades de
seguridad de Windows Defender, por nombrar solo algunos.

Validación de la integridad de la plataforma después de que se

ejecute Windows (tiempo de ejecución)

Aunque Protección del sistema de Windows Defender proporciona

protección avanzada que ayudará a proteger y mantener la integridad
de la plataforma durante el arranque y en tiempo de ejecución, la
realidad es que debe aplicarse una mentalidad de "asumir la
vulneración" incluso a las tecnologías de seguridad más sofisticadas.
Las organizaciones deben poder confiar en que las tecnologías están
haciendo bien su trabajo, pero también necesitan poder verificar que
han conseguido sus objetivos. En lo que respecta a la integridad de la
plataforma, no se puede simplemente confiar en que la plataforma,
que potencialmente podría estar en peligro, declare por sí misma su
estado de seguridad. Por lo tanto, la Protección del sistema de
Windows Defender incluye una serie de tecnologías que permiten el
análisis remoto de la integridad del dispositivo.

Al arrancar Windows, Protección del sistema de Windows Defender

realiza una serie de mediciones de integridad mediante el TPM 2.0 del
dispositivo. Este proceso y los datos están aislados por hardware de
Windows para ayudar a garantizar que los datos de medición no están
sujetos al tipo de alteración que podría darse si la plataforma
estuviera en peligro. A partir de aquí, pueden utilizarse las
mediciones para determinar la integridad del firmware del dispositivo,
el estado de configuración del hardware y los componentes
relacionados con el arranque de Windows, por nombrar solo algunos.
Después de arrancar el sistema, Protección del sistema de
Windows Defender firma y sella estas medidas mediante TPM. A
petición, un sistema de administración como Intune o Configuration
Manager puede adquirirlos para el análisis remoto. Si Protección del
sistema de Windows Defender indica que el dispositivo carece de
integridad, el sistema de administración puede realizar una serie de
acciones, como denegar el acceso del dispositivo a los recursos.

Resumen

Completado100 XP

 3 minutos

En este módulo, aprendió que Microsoft Defender para punto de

conexión es una plataforma completa que centraliza la administración
de seguridad de los recursos locales y en la nube. Aprovecha los
sensores de comportamiento, el análisis y la inteligencia sobre
amenazas para permitir que los administradores supervisen e
investiguen amenazas potenciales de manera proactiva. El Control de
aplicaciones de Windows Defender protege contra la ejecución de
aplicaciones no autorizadas, mientras que Device Guard de Windows
Defender protege el kernel frente a código no comprobado. Protección
de aplicaciones permite aislar el entorno para explorar sitios web que
no son de confianza, mientras que Protección contra vulnerabilidades
de seguridad de Microsoft Defender ofrece una configuración de
seguridad adicional para minimizar la superficie expuesta a ataques
de un dispositivo. Por último, Protección del sistema de Windows
Defender garantiza la integridad del sistema durante el inicio.