MD-102 Administrador de puntos de

conexión (beta) – 06. Manage endpoint

security
Contenido
MD-102 Administrador de puntos de conexión (beta) – 06. Manage endpoint security
...................................................................................................................................................................... 1
1. IMPLEMENTACIÓN DE LA PROTECCIÓN DE DATOS DEL DISPOSITIVO .................. 3
1.1. Introducción ...................................................................................................................... 3
1.2. Exploración de Windows Information Protection................................................. 3
1.3. Planeamiento de Windows Information Protection ............................................ 5
1.4. Implementación y uso de Windows Information Protección ........................... 6
1.5. Exploración del Sistema de cifrado de archivos en el cliente Windows.....10
1.6. Exploración de BitLocker ............................................................................................. 14
1.7. Prueba de conocimiento ............................................................................................. 18
1.8. Resumen ............................................................................................................................ 19
2. ADMINISTRACIÓN DE MICROSOFT DEFENDER PARA PUNTO DE CONEXIÓN .... 20
2.1. Introducción .................................................................................................................... 20
2.2. Exploración de Microsoft Defender para punto de conexión ....................... 20
2.3. Examen de las funcionalidades clave de Microsfot Defender para punto de
conexión ........................................................................................................................................ 22
2.4. Exploración de Control de aplicaciones y Device Guard de Microsoft
Defender ....................................................................................................................................... 26
2.5. Exploración de Protección de aplicaciones de Microsoft Defender ........... 27
2.6. Examen de Protección contra vulnerabilidades de seguridad de Microsoft
Defender ....................................................................................................................................... 30
2.7. Exploración de Protección del sistema de Windows Defender .................... 33
2.8. Prueba de conocimientos .......................................................................................... 35
2.9. Resumen ........................................................................................................................... 36
3. ADMINISTRACIÓN DE MICROSOFT DEFENDER EN UN CLIENTE WINDOWS ....... 37
3.1. Introducción .................................................................................................................... 37
3.2. Exploración del Centro de seguridad de Windows .......................................... 37
3.3. Exploración de Credential Guard de Windows Defender .............................. 39
3.4. Administración del Antivirus de Microsoft Defender ......................................... 42
3.5. Administración del Firewall de Windows Defender ........................................... 46
3.6. Exploración de Firewall de Windows Defender con seguridad avanzada
50
3.7. Prueba de conocimientos .......................................................................................... 55
3.8. Resumen ........................................................................................................................... 55
4. ADMINISTRACIÓN DE MICROSOFT DEFENDER FOR CLOUD APPS........................ 56
4.1. Introducción .................................................................................................................... 56
4.2. Exploración de Microsoft Defender for Cloud Apps ......................................... 56
4.3. Planeamiento de Microsoft Defender for Cloud Apps ..................................... 58
4.4. Implementación de Microsoft Defender for Cloud Apps ................................ 59
4.5. Prueba de conocimientos .......................................................................................... 65
4.6. Resumen ........................................................................................................................... 66
1. IMPLEMENTACIÓN DE LA PROTECCIÓN DE DATOS DEL DISPOSITIVO
1.1. Introducción
Windows Information Protection (WIP) es un conjunto de tecnologías que protegen a
su organización frente a pérdidas de datos accidentales o malintencionadas, sin
cambios significativos en el entorno o las aplicaciones empresariales. Proporciona
esta protección tanto a los dispositivos propiedad de la empresa como a los
dispositivos BYOD, y lo hace sin interferir con los flujos de trabajo normales de los
empleados. En un entorno de trabajo moderno, con el crecimiento del número de
dispositivos móviles y dispositivos personales, esta protección es necesaria más que
nunca. Una de las tareas clave para el administrador de escritorio moderno es
administrar la protección de datos en todos los tipos de dispositivos. En este módulo
se describe cómo puede usar Intune para crear y administrar directivas de WIP que
administran esta protección.

Objetivos

Después de este módulo, podrá hacer lo siguiente:

• Describir Windows Information Protection

• Planear el uso de Windows Information Protection
• Implementar y usar Windows Information Protection
• Describir el Sistema de cifrado de archivos (EFS)
• Describir BitLocker

1.2. Exploración de Windows Information Protection

En las empresas modernas, el aumento de la colaboración entre usuarios internos y
externos y la proliferación de dispositivos propiedad de los empleados, conocidos
como BYOD, ha aumentado el riesgo de pérdida accidental o malintencionada de
datos. Este riesgo ha crecido con el uso ampliado de aplicaciones móviles, servicios
basados en la nube y redes sociales.

Tradicionalmente, las empresas han controlado el acceso a los datos mediante la

asignación de credenciales a los usuarios y la configuración de permisos y listas de
acceso para los recursos. Sin embargo, el control de acceso del usuario no impide
que los usuarios autorizados compartan accidentalmente archivos o envíen datos en
correos electrónicos, lo que conduce a nuevos sistemas de protección. Además, la
mayoría de las tecnologías donde la protección se basa en la autenticación y la
autorización dependen de la ubicación, lo que significa que normalmente funcionan
solo mientras los datos están en un entorno controlado por la empresa.
1.2.1. Prevención de la pérdida de datos
Para superar las limitaciones de los sistemas basados en la autenticación y la
autorización, las organizaciones usan sistemas de prevención de pérdida de datos
(DLP). Un sistema DLP detecta y controla automáticamente los datos que se deben
proteger y proporciona una manera de proteger los datos a pesar de la ubicación.
Un sistema DLP requiere:

• Reglas que identifican y clasifican los datos que necesitan protección.

• Aplicaciones de software, como Microsoft Exchange o Microsoft SharePoint,

para examinar los datos y ver si coinciden con las reglas.

• Una manera de definir qué acciones deben llevar a cabo las aplicaciones
cuando encuentren datos que coincidan con una regla.

El reto de un sistema DLP es que cuantas más reglas se creen, más probable será que
los trabajadores sientan que el sistema les impide realizar su trabajo y encuentren
formas de eludirlo. Por ejemplo, podrían compartir datos enviando por correo
electrónico vínculos a un sistema no protegido en lugar de adjuntar archivos a un
sistema de correo electrónico que contenga protección contra DLP. A pesar de las
mejoras de DLP en Microsoft SharePoint Online y Microsoft Exchange Online, como
permitir a los usuarios anular las reglas, la experiencia puede resultar extraña para
los usuarios e interrumpir su flujo de trabajo natural.

1.2.2. Information Rights Management

Como hemos dicho antes, las empresas deben proteger los datos después de salir
de la empresa. Para satisfacer esta necesidad, los sistemas basados en Information
Rights Management (IRM) se usan para hacer que la protección sea parte inherente
de los documentos. Un empleado puede crear un documento y, luego, determinar el
nivel de protección que se debe aplicar al documento, como impedir que los usuarios
no autorizados abran el documento. En algunos escenarios, también se puede aplicar
protección automáticamente, en función de las condiciones que define el
administrador.

Los sistemas IRM requieren la configuración de entornos de cliente y servidor. La

aplicación cliente que abre un documento es responsable de procesar las reglas de
protección después de comprobar con el componente servidor del sistema las
actualizaciones de autorización.

Ni IRM ni DLP son suficientes en el escenario en el que un empleado sale de la

organización con un dispositivo personal o simplemente decide que ya no quiere
permitir que la organización lo administre. La mejor opción, en este caso, es eliminar
los datos de la organización del dispositivo personal. Los sistemas de protección
implementados en la plataforma Microsoft 365 le permiten hacerlo. Estos sistemas
permiten crear reglas basadas en las aplicaciones que pueden acceder a los datos
de la organización. También le permite decidir a qué datos pueden acceder esas
aplicaciones.

Azure Rights Management (Azure RMS) amplía la protección de los datos más allá del
dispositivo de un usuario mediante un sistema IRM que se integra con WIP, una parte
clave de Azure Information Protection. Intune permite controlar las acciones de
usuario con datos protegidos, incluso fuera del entorno organizativo.
Además, las aplicaciones que pueden indicar la diferencia entre los datos personales
o de la organización, conocidas como aplicaciones habilitadas, le permiten aplicar
reglas WIP solo en datos propiedad de la organización, al tiempo que deja intactos
los datos personales. Esto significa, por ejemplo, que un empleado puede usar de
forma segura Microsoft Word en un dispositivo personal con documentos
empresariales y personales, sin miedo a perder sus datos personales cuando sale de
la organización.

1.3. Planeamiento de Windows Information Protection

El planeamiento del uso de WIP en su organización es fundamental porque no solo
ayuda a abordar las deficiencias de los sistemas DLP e IRM, sino que también le
permite explorar enfoques innovadores para la administración de datos.
WIP le ayuda a superar varios desafíos comunes al proporcionar:

• Separación entre datos personales y corporativos: los usuarios no necesitan

elegir qué aplicación usar para qué datos.

• Protección adicional para las aplicaciones de línea de negocio: puede

agregar protección sin modificar la aplicación.

• Capacidad de realizar un borrado selectivo: puede quitar datos corporativos

de un dispositivo sin quitar datos personales.

• Informes de auditoría: WIP le ofrece la capacidad de realizar un seguimiento

de los problemas de directivas y las acciones realizadas en respuesta a
infracciones de directivas e informar sobre ellos.

• Integración del sistema de administración: WIP se integra con Intune, Endpoint

Configuration Manager y otros sistemas de administración de dispositivos
móviles. Estas ventajas le ayudan a proteger los datos empresariales en varios
escenarios

• Cifrado de datos en un dispositivo: al copiar o descargar datos de la

organización desde SharePoint, Microsoft OneDrive, recursos compartidos de
red u otras ubicaciones mediante un dispositivo administrado mediante
directivas WIP, WIP cifra los datos en el dispositivo, incluso si el dispositivo es
de propiedad personal.

• Control de las aplicaciones que pueden acceder a los datos corporativos: las
aplicaciones que ha incluido en la lista Aplicaciones permitidas pueden
acceder a los datos de la organización, mientras que las aplicaciones que no
están en la lista tienen funcionalidades más limitadas. Por ejemplo, si la
directiva se establece en el modo de invalidación, cuando un usuario intenta
copiar datos de una aplicación permitida a una aplicación personal, un aviso
de advertencia pedirá confirmación para realizar una acción potencialmente
no segura.

• Las aplicaciones mejoradas permiten a los usuarios trabajar con datos

personales y corporativos: algunas aplicaciones, como Word, detectan
automáticamente cuando un archivo contiene datos corporativos y debe
estar protegido por WIP, y mantienen esa protección al guardar un archivo
 localmente o en medios extraíbles. Esta protección se mantiene incluso si el
nombre de archivo cambia o si los datos se almacenan con datos personales
sin cifrar.

• Prevención del uso de aplicaciones y servicios personales: puede evitar la

publicación accidental de datos de la organización en espacios públicos y
redes sociales evitando que los usuarios usen aplicaciones como OneDrive
personal para almacenar archivos. También puede impedir que los usuarios
copien datos de aplicaciones permitidas en Twitter o Facebook.

• Eliminación de datos corporativos de dispositivos perdidos o robados, o

dispositivos propiedad de exempleados: puede eliminar los datos de la
organización y cancelar la inscripción de cualquier dispositivo inscrito en
Intune, incluidos los dispositivos personales, en particular si el dispositivo se
pierde o lo roban. Se trata de una protección necesaria cuando los empleados
abandonan la empresa que no afecta a los datos personales.

1.4. Implementación y uso de Windows Information Protección

Cuando se usa Windows Information Protection, los datos de la organización se cifran
automáticamente cuando se descargan o se abren en un dispositivo local. El cifrado
protege los datos de los archivos y los asocia a la identidad empresarial.

A continuación, las directivas de WIP especifican qué aplicaciones de confianza

pueden usar y manipular esos datos. Las aplicaciones habilitadas, como Word o
Microsoft Excel, pueden trabajar con datos personales y de la organización. Al crear
directivas de WIP, puede establecer cuatro modos de protección de WIP, que se
enumeran en la tabla siguiente, para administrar ese acceso.
1.4.1. Creación de una directiva de WIP en Intune
Al crear directivas en Intune, puede definir qué aplicaciones están protegidas, el nivel
de protección proporcionado y cómo buscar datos de la organización en la red.
Para crear una directiva de WIP en Intune, realice lo siguiente:

1. Inicie sesión en el Centro de administración del Administrador de puntos de

conexión de Microsoft.

2. Seleccione Aplicaciones>Directivas de protección de aplicaciones.

3. Seleccione Agregar una directiva y escriba un nombre para la directiva.

4. Seleccione Windows 10 y versiones posteriores como plataforma.

5. Seleccione Con inscripción como estado de inscripción.

6. Agregue las aplicaciones protegidas.

7. Agregue las aplicaciones exentas.

8. En la hoja Configuración requerida, seleccione el modo Windows Information

Protection y, a continuación, establezca la identidad corporativa.

9. En la hoja Configuración avanzada, defina el perímetro de red agregando

límites de red que definen dónde pueden encontrar y enviar datos
corporativos las aplicaciones.

10. Cargue un certificado del Agente de recuperación de datos (DRA).

11. Establezca otros ajustes de WIP, incluido si desea permitir Azure RM con WIP.

12. Seleccione Aceptar y después Crear.

1.4.2. Aplicaciones permitidas y exentas

El proceso para agregar una regla de aplicación varía ligeramente en función del tipo
de plantilla de regla que use. Las plantillas de regla son:

• Aplicación recomendada. Las aplicaciones recomendadas son aplicaciones

habilitadas que funcionan con WIP.

• Aplicación de Store. Esto es para las aplicaciones que están disponibles en

Microsoft Store.

• Aplicación de escritorio. Esto es para aplicaciones de escritorio de Windows

firmadas.

Para obtener información detallada sobre cómo agregar cada tipo de aplicación a
la lista Aplicaciones permitidas, consulte el tema "Adición de aplicaciones a la lista de
aplicaciones permitidas" en "Creación de una directiva de Windows Information
Protection (WIP) con MDM mediante el centro de administración de Endpoint
Manager".
Después de agregar las aplicaciones que quiere proteger, deberá decidir el modo de
protección que desea usar. Al crear y comprobar las directivas con un grupo de
usuarios de prueba, tenga en cuenta el procedimiento recomendado de usar el modo
silencioso o Permitir invalidaciones antes de usar el modo Bloquear. De este modo,
puede confirmar que son las aplicaciones correctas que debe tener en la lista
Aplicaciones permitidas.

1.4.3. Identidad corporativa

La identidad corporativa identifica los datos de la organización de las aplicaciones
que protege con WIP. Por ejemplo, los correos electrónicos procedentes del dominio
organizativo se identificarían como organizativos y se aplicarían las directivas de WIP.
Por esta razón, normalmente querrá añadir todos los dominios desde los que envía
correos electrónicos.

Para agregar la identidad corporativa, escriba el nombre de dominio o varios

nombres de dominio separados por el carácter de barra vertical (|) en el campo
Identidad corporativa.

1.4.4. Red perimetral

WIP necesita saber dónde pueden encontrar y acceder las aplicaciones a los datos
organizativos de su red, lo que también se conoce como el límite de la red. No existe
un conjunto predeterminado de ubicaciones ni una forma automática de definirlas.
Debe agregarlas a las directivas de WIP, y puede agregar tantas ubicaciones como
necesite.

Cuando se agrega una definición de límite de red, se elige el tipo de límite; en función
de esa elección, se proporciona la definición en un formato específico. También
puede configurar la directiva para indicar a Windows si algunas listas de límites, como
las listas de servidores proxy o direcciones IP, son definitivas o si se permite la
búsqueda de otros servidores o direcciones IP de la red.

En la tabla siguiente se describen las distintas opciones de tipo de límite.

1.4.5. Certificado del Agente de recuperación de datos (DRA)
Como se ha descrito anteriormente, WIP cifrará los datos empresariales cuando se
encuentran en unidades locales. Si la clave de cifrado se pierde o se revoca, no puede
recuperar los datos. Al agregar un certificado DRA, se proporciona una clave pública
que cifrará los datos locales, lo que le permitirá descifrar esos datos más adelante si
es necesario.

Si aún no tiene un certificado DRA del Sistema de cifrado de archivos (EFS), deberá
crear uno y cargarlo en la directiva para poder implementarlo.
Para obtener más información, vea Creación y comprobación de un certificado del
Agente de recuperación de datos (DFA) del Sistema de cifrado de archivos (EFS).
1.4.6. Configuración opcional relacionada con WIP
También puede configurar estas otras opciones de la directiva de WIP:

• Revocar claves de cifrado al anular la inscripción. Los usuarios no pueden

acceder a los datos de la organización cifrados cuando se anula la inscripción
de un dispositivo de Intune.
• Mostrar la superposición del icono de Windows Information Protection.
Determina si el icono WIP se superpone a los archivos en el Explorador de
archivos o en la vista Guardar como.

• Usar Azure RMS para WIP. Determina si se usará el cifrado de Azure RMS para
WIP. Debe tener Azure RMS.

• Usar Windows Hello para empresas como método para iniciar sesión en
Windows. Determina si los usuarios pueden usar Windows Hello para iniciar
sesión en su dispositivo y las reglas para usar Windows Hello.

1.5. Exploración del Sistema de cifrado de archivos en el cliente Windows

El Sistema de cifrado de archivos (EFS) es una herramienta de cifrado de archivos
integrada para sistemas basados en Windows. EFS es un componente del sistema de
archivos NTFS y usa algoritmos criptográficos estándar avanzados para permitir el
cifrado y el descifrado de archivos transparentes. A través de la funcionalidad
Windows Information Protection de Windows, la funcionalidad EFS también se simula
en volúmenes que utilizan el sistema de archivos FAT32. Cualquier persona o
aplicación que no tenga acceso a un almacén de certificados que contenga una
clave criptográfica adecuada no puede leer datos cifrados. Puede proteger los
archivos cifrados incluso de aquellos que obtienen la posesión física de un equipo en
el que se almacenan los archivos. Ni siquiera las personas autorizadas a acceder a
un equipo y a su sistema de archivos pueden ver los datos cifrados.

El cifrado es una complemento eficaz para cualquier plan defensivo. Sin embargo,
debe usar estrategias defensivas adicionales, ya que el cifrado no es la
contramedida correcta para cada amenaza. Además, cada arma defensiva tiene la
posibilidad de dañar sus datos, si la usa incorrectamente. Al implementar EFS, la tarea
más importante es administrar correctamente los certificados de EFS para los
usuarios. El cifrado proporcionado por EFS se basa en los certificados de usuario y sus
claves públicas y privadas. Sin una administración adecuada de los certificados, se
puede llegar fácilmente a una situación en la que no se puede acceder a los datos
cifrados.
1.5.1. Administración de certificados EFS
EFS usa criptografía de clave pública para cifrar archivos. EFS obtiene las claves del
certificado EFS de un usuario, que también puede contener información sobre claves
privadas. Por lo tanto, debe administrarlas correctamente.

Los usuarios necesitan pares de claves asimétricas para cifrar los datos, y pueden
obtener estas claves:

• Desde una entidad de certificación (CA). Una entidad de certificación interna

o de terceros puede emitir certificados EFS. Este método proporciona una
administración centralizada y una copia de seguridad de las claves. Esta es la
forma recomendada de emitir y administrar certificados EFS, ya que permite
restaurar el certificado de usuario si se pierde.

• Generándolos. Si no hay una entidad de certificación disponible, Windows

generará un par de claves. Estas claves tienen una duración de 100 años. Este
método es más difícil que el uso de una entidad de certificación porque no
hay ninguna administración centralizada, y los usuarios pasan a ser
responsables de gestionar sus propias claves. Además, la recuperación es más
difícil de administrar. Sin embargo, sigue siendo un método popular porque no
requiere ninguna configuración.

Los usuarios pueden hacer que los archivos cifrados sean accesibles a los certificados
de EFS de otros usuarios. Si concede acceso al certificado de EFS de otro usuario, ese
usuario puede poner esos archivos a disposición de los certificados de EFS de otro
usuario.

1.5.2. Emisión de un certificado para un DRA

Antes de empezar a usar EFS en su organización, es muy importante emitir un
certificado para un Agente de recuperación de datos (DRA). Este certificado se usa
en escenarios en los que un usuario que cifró el archivo no puede o no desea
descifrarlo. Un usuario que tenga un certificado de DRA puede descifrar cualquier
archivo cifrado de la organización. Esto se aplica a todos los archivos cifrados
después de emitir un certificado de DRA.

Solo puede emitir certificados de EFS para usuarios individuales. No se pueden emitir
certificados de EFS a grupos.

1.5.3. Las entidades de certificación pueden archivar y recuperar certificados EFS emitidos
por la entidad de certificación.
Si usa una entidad de certificación para emitir certificados de EFS, puede configurar
el archivado de la clave privada del usuario. Debe configurar esto antes de empezar
a emitir certificados de EFS para los usuarios. Si no usa esta funcionalidad, los usuarios
deben hacer una copia de seguridad manual de sus certificados de EFS y claves
privadas autogenerados. Para ello, pueden exportar el certificado y la clave privada
a un archivo de intercambio personal (.pfx), que está protegido con contraseña
durante el proceso de exportación. Esta contraseña es necesaria para importar el
certificado en el almacén de certificados de un usuario. En Windows, también puede
usar la herramienta integrada para administrar los certificados de usuario usados
para EFS y realizar copias de seguridad de ellos. Se recomienda que cada usuario
que utilice EFS recurra a esta herramienta para hacer una copia de seguridad de su
certificado, con una clave privada, en una ubicación externa protegida.
1.5.4. Exportación del certificado de EFS de cliente sin la clave privada
Si solo necesita distribuir la clave pública, puede exportar el certificado de EFS del
cliente sin la clave privada a archivos de reglas de codificación canónicas (.cer). La
clave privada de un usuario se almacena en el perfil del usuario en la carpeta RSA, a
la que puede acceder expandiendo AppData>Roaming>Microsoft>Crypto. Sin
embargo, tenga en cuenta que, dado que solo hay una instancia de la clave, es
vulnerable a errores de disco duro o daños en los datos.

1.5.5. Exportación de certificados con el complemento Certificados MMC

El complemento Certificados de Microsoft Management Console (MMC) exporta
certificados y claves privadas. El almacén de certificados personales contiene los
certificados de EFS. Cuando los usuarios cifran archivos en carpetas compartidas
remotas, sus claves se almacenan en el servidor de archivos.

1.5.6. Funcionamiento de EFS

La funcionalidad básica de cifrado de EFS funciona de la siguiente manera:

• Cuando un usuario que posee la clave necesaria abre un archivo, se abre el

archivo. Si un usuario no posee la clave, el usuario recibe un mensaje de
acceso denegado.

• El cifrado de archivos usa una clave simétrica que cifra con la clave pública
de un usuario, que se almacena en el encabezado de archivo. Además,
almacena un certificado con las claves pública y privada del usuario, o claves
asimétricas, en el perfil del usuario. La clave privada del usuario debe estar
disponible para el descifrado del archivo.

• Si una clave privada genera daños o se pierde, el archivo no se puede

descifrar. Si existe un agente de recuperación de datos, el archivo se puede
recuperar. Si implementa el archivado de claves, puede recuperar la clave y
descifrar el archivo. De lo contrario, es posible que se pierda el archivo. El
sistema de certificados, en el que se basa el cifrado, se conoce como
infraestructura de clave pública (PKI).

• Puede archivar el certificado de un usuario que contenga sus claves públicas

y privadas. Por ejemplo, puede exportarlo a una unidad flash USB y, a
continuación, conservar la unidad flash USB en un lugar seguro para la
recuperación si las claves se dañan o se pierden.

• La contraseña de un usuario protege las claves públicas y privadas. Cualquier

usuario que pueda obtener el identificador de usuario y la contraseña puede
iniciar sesión como ese usuario y descifrar los archivos del usuario. Por lo tanto,
las prácticas de seguridad de una organización deben incluir una directiva de
contraseña segura y la educación de los usuarios para proteger los archivos
cifrados por EFS.

• Los archivos cifrados por EFS no permanecen cifrados al atravesar la red,

como cuando se trabaja con los archivos de una carpeta compartida. El
archivo se descifra y, a continuación, atraviesa la red en un estado sin cifrar.
EFS lo cifra localmente si lo guarda en una carpeta de la unidad local
configurada para el cifrado. Los archivos cifrados con EFS pueden permanecer
 cifrados al atravesar una red si los guarda en una carpeta web mediante el
protocolo Sistema distribuido de creación y control de versiones web
(WebDAV). También pueden permanecer cifrados si configura el tráfico de red
que se va a cifrar mediante el Protocolo de seguridad de Internet (IPsec).

• EFS admite algoritmos de cifrado estándar del sector, incluido el Estándar de

cifrado avanzado (AES). AES usa una clave de cifrado simétrica de 256 bits y
es el algoritmo de EFS predeterminado.

1.5.7. Nuevas características en Windows 10

Además, tenga en cuenta las siguientes características al implementar EFS en
Windows:

• Compatibilidad con el almacenamiento de claves privadas en tarjetas

inteligentes. Windows incluye compatibilidad completa con el
almacenamiento de claves privadas de los usuarios en tarjetas inteligentes. Si
un usuario inicia sesión en Windows con una tarjeta inteligente, EFS también
puede usar la tarjeta inteligente para el cifrado de archivos. Los
administradores pueden almacenar las claves de recuperación de su dominio
en una tarjeta inteligente. La recuperación de archivos es tan simple como
iniciar sesión en el equipo afectado, ya sea localmente o mediante Escritorio
remoto, y utilizar la tarjeta inteligente de recuperación para acceder a los
archivos.

• Asistente para volver a especificar la clave del Sistema de cifrado de archivos.

El Asistente para volver a especificar la clave del Sistema de cifrado de
archivos permite a los usuarios elegir un certificado de EFS y, a continuación,
seleccionar y migrar los archivos existentes que usarán el certificado de EFS
recién elegido. Los administradores pueden usar el Asistente para migrar
usuarios en instalaciones existentes de certificados de software a tarjetas
inteligentes. El Asistente también es útil en situaciones de recuperación porque
es más eficaz que descifrar y volver a cifrar archivos.

• Configuración de directiva de grupo para EFS. Puede usar la directiva de

grupo para controlar y configurar directivas de protección de EFS de forma
centralizada para toda una empresa. Por ejemplo, Windows permite el cifrado
de archivos de página a través de la directiva de seguridad local o la directiva
de grupo.

• Cifrado por usuario de archivos sin conexión. Puede usar EFS para cifrar copias
sin conexión de archivos desde servidores remotos. Al habilitar esta opción,
cada archivo de la caché sin conexión se cifra con una clave pública del
usuario que ha almacenado el archivo en la caché. Por lo tanto, solo ese
usuario tiene acceso al archivo, y ni siquiera los administradores locales
pueden leer el archivo sin acceso a las claves privadas del usuario.

• Borrado selectivo. Una característica de Windows en un entorno corporativo

es Borrado selectivo. Si se pierde un dispositivo o lo roban, un administrador
puede revocar la clave de EFS que se usó para proteger los archivos del
dispositivo. La revocación de una clave impide todo acceso a los archivos de
datos almacenados en el dispositivo del usuario.
1.6. Exploración de BitLocker
BitLocker proporciona protección para un sistema operativo y los datos que
almacena un volumen de sistema operativo, además de otros volúmenes del equipo.
Ayuda a garantizar que los datos almacenados en un equipo permanecen cifrados,
incluso si alguien altera el equipo cuando el sistema operativo no se está ejecutando.
BitLocker proporciona una solución estrechamente integrada en Windows para
abordar las amenazas de robo de datos o exposición de equipos extraviados,
robados o retirados de forma inapropiada.

Los datos de un equipo extraviado o robado pueden ser vulnerables al acceso no

autorizado cuando un usuario malintencionado ejecuta una herramienta de ataque
de software contra él o transfiere el disco duro del equipo a otro equipo. BitLocker
ayuda a mitigar el acceso no autorizado a datos porque mejora la protección del
sistema y los archivos. Además, BitLocker ayuda a que los datos queden inaccesibles
cuando se retiran del servicio o se reciclan los equipos protegidos por BitLocker.

BitLocker realiza dos funciones que proporcionan protección de datos sin conexión y
comprobación de integridad del sistema:

• Cifra todos los datos que se almacenan en el volumen del sistema operativo
Windows y los volúmenes de datos configurados. Esto incluye el sistema
operativo Windows, la hibernación y los archivos de paginación, las
aplicaciones y los datos de la aplicación. BitLocker también proporciona
protección paraguas para aplicaciones que no son de Microsoft, lo que
beneficia automáticamente a las aplicaciones al instalarlas en un volumen
cifrado.

• Está configurado, de forma predeterminada, para usar un chip del módulo de

plataforma segura (TPM), en una placa base del equipo, para ayudar a
garantizar la integridad de los componentes de arranque que un sistema
operativo utiliza en las primeras etapas de este proceso. BitLocker bloquea los
volúmenes protegidos por BitLocker, por lo que permanecen protegidos
incluso si alguien altera el equipo cuando el sistema operativo no se está
ejecutando.
1.6.1. Comprobación de integridad del sistema
BitLocker usa un TPM para comprobar la integridad del proceso de inicio mediante lo
siguiente:

• Proporciona un método para comprobar que se haya mantenido la integridad

del archivo de arranque inicial y para ayudar a garantizar que no haya habido
ninguna modificación malintencionada de estos archivos, como con virus o
rootkits del sector de arranque.

• Mejora la protección para mitigar los ataques basados en software sin

conexión. Cualquier software alternativo que iniciara el sistema no tendría
acceso a las claves de descifrado para el volumen del sistema operativo
Windows.

• Bloquea el sistema cuando detecta alteraciones. Si BitLocker determina que

se ha producido alteraciones con los archivos supervisados, el sistema no se
inicia. Esto alerta al usuario de una alteración, porque el sistema no se inicia
como de costumbre. Si el sistema llega a bloquearse, BitLocker ofrece un
sencillo proceso de recuperación.

Junto con un TPM, BitLocker verifica la integridad de los primeros componentes de

arranque, lo que ayuda a prevenir ataques adicionales sin conexión, como intentos
de insertar código malintencionado en esos componentes. Esta funcionalidad es
importante porque los componentes de la primera parte del proceso de inicio deben
permanecer sin cifrar para que el equipo pueda iniciarse.

Como resultado, un atacante puede cambiar el código de esos primeros

componentes de arranque y, a continuación, obtener acceso a un equipo aunque los
datos del disco estén cifrados. Después, si el atacante obtiene acceso a información
confidencial, como las claves de BitLocker o las contraseñas de usuario, el atacante
puede eludir BitLocker y otras protecciones de seguridad de Windows.
1.6.2. Comparación de BitLocker y EFS
Como se indicó anteriormente, BitLocker y EFS proporcionan funcionalidad de cifrado.
Sin embargo, estas tecnologías no son las mismas y no tienen el mismo propósito.
Aunque EFS se centra en proporcionar protección en el nivel de archivo y carpeta,
BitLocker lo hace en el nivel de volumen o disco. Una vez que proteja el archivo con
EFS, ese archivo permanece protegido hasta que usted (u otra persona con el permiso
adecuado) lo desbloquee, y esa protección no depende de la ubicación del archivo.
Por otro lado, los archivos de la unidad protegida con BitLocker están protegidos
siempre que estén en esa unidad específica. En la tabla siguiente se comparan la
funcionalidad de cifrado de BitLocker y EFS.

1.6.3. Cifrado de dispositivos

El cifrado de dispositivos es una característica integrada de Windows. De forma
predeterminada, el cifrado de dispositivos protege la unidad del sistema operativo y
las unidades de datos fijas del sistema mediante el cifrado Estándar de cifrado
avanzado (AES) de 128 bits, que usa la misma tecnología que BitLocker. Puede usar el
cifrado de dispositivos con una cuenta Microsoft o una cuenta de dominio.

El cifrado de dispositivos se activa automáticamente en todas las versiones de

Windows 10 y posteriores en los dispositivos nuevos, para que el dispositivo esté
siempre protegido. Los dispositivos compatibles que actualice a Windows 10 o con
una instalación limpia también tienen habilitado automáticamente el cifrado de
dispositivos.

1.6.4. BitLocker To Go
Cuando se extravía un portátil o lo roban, la pérdida de datos suele tener más
impacto que la pérdida del activo informático. A medida que más personas usan
dispositivos de almacenamiento extraíbles, pueden perder datos sin perder un
equipo. BitLocker To Go proporciona protección contra el robo de datos y la
exposición al ampliar la compatibilidad de BitLocker con dispositivos de
almacenamiento extraíbles, como las unidades flash USB. Puede administrar
BitLocker To Go mediante la directiva de grupo, desde Windows PowerShell y
mediante la aplicación del panel de control del Cifrado de unidad BitLocker.

En Windows, el proceso que deben seguir los usuarios para cifrar sus medios extraíbles
consiste en abrir el Explorador de archivos, hacer clic con el botón derecho en la
unidad y seleccionar Activar BitLocker. A continuación, los usuarios pueden elegir un
método con el que desbloquear la unidad, ya sea mediante una contraseña o una
tarjeta inteligente.
Después de elegir un método de desbloqueo, los usuarios deben imprimir o guardar
su clave de recuperación. Puede configurar Windows para que almacene
automáticamente esta clave de 48 dígitos en Active Directory Domain Services
(AD DS), de modo que pueda usarla si se produce un error en otros métodos de
desbloqueo, como cuando los usuarios olvidan sus contraseñas. Por último, los
usuarios deben confirmar sus selecciones de desbloqueo para comenzar el cifrado.
Al insertar una unidad protegida con BitLocker en el equipo, el sistema operativo
Windows detectará la unidad cifrada y le pedirá que la desbloquee.

1.6.5. Microsoft BitLocker Administration and Monitoring (MBAM)

Al igual que con cualquier tecnología de seguridad que implemente, se recomienda
la administración centralizada. Puede administrar BitLocker de forma centralizada
mediante una directiva de grupo, pero con funcionalidad limitada. Parte de
Microsoft Desktop Optimization Pack, MBAM, hace que sea más fácil administrar y
admitir BitLocker y BitLocker To Go con plena funcionalidad. MBAM 2.5 con Service
Pack 1, la versión más reciente, tiene las siguientes características clave:

• Los administradores pueden automatizar el proceso de cifrado de volúmenes

en los equipos cliente de toda una empresa.

• Los responsables de seguridad pueden determinar el estado de cumplimiento

de equipos individuales o incluso de la propia empresa.

• Proporciona administración de informes y hardware centralizada con Microsoft

Endpoint Configuration Manager.

• Reduce la carga de trabajo del departamento de soporte técnico que ayuda

a los usuarios finales con las solicitudes de recuperación de BitLocker.

• Los usuarios finales pueden recuperar dispositivos cifrados de forma

independiente mediante el uso del Portal de autoservicio.

• Los responsables de seguridad pueden auditar el acceso a la información

clave de recuperación.

• Los usuarios de Windows Enterprise pueden seguir trabajando desde

cualquier lugar con la garantía de que los datos de su empresa están
protegidos.

• Aplica las opciones de directiva de cifrado de BitLocker que estableces para

tu empresa.

• Se integra con herramientas de administración existentes, como Endpoint

Configuration Manager.

• Ofrece una experiencia de usuario de recuperación de TI personalizable.

1.7. Prueba de conocimiento
1. Contoso quiere implementar EFS para proporcionar un cifrado y descifrado
transparentes de los archivos. Al implementar EFS, ¿cuál es la tarea más importante
que debe realizar Contoso?

• Administrar correctamente los certificados EFS para los usuarios.

Correcto. Al implementar EFS, la tarea más importante es administrar
correctamente los certificados EFS para los usuarios. El cifrado que
proporciona EFS se basa en los certificados de usuario y sus claves públicas y
privadas. Sin una administración adecuada de los certificados, se puede
llegar fácilmente a una situación en la que no se pueda acceder a los datos
cifrados.

• Incluir una directiva de contraseña segura y educar a los usuarios para

proteger los archivos cifrados con EFS.

• Configurar el tráfico de red que se va a cifrar con IPSec (protocolo de

seguridad de Internet).
2. Quiere crear una directiva de Windows Information Protection (WIP) en Intune. En la
directiva, ha definido qué aplicaciones están protegidas y el nivel de protección
proporcionado. ¿Qué otro parámetro debe definir en la directiva de WIP?

• Revocar las claves de cifrado al cancelar la inscripción.

• Usar Azure RMS para WIP.

• Donde las aplicaciones pueden encontrar datos de la organización en la red.

Correcto. WIP necesita saber dónde pueden las aplicaciones encontrar los
datos de la organización en su red y acceder a ellos, lo que también se conoce
como el límite de la red. No hay ningún conjunto predeterminado de
ubicaciones ni una forma automática de definir estas ubicaciones. Debe
agregarlas a las directivas de WIP y puede agregar tantas ubicaciones como
necesite.

1.8. Resumen
Aunque la autenticación protege contra el acceso no autorizado a los datos, no
protege contra el uso no autorizado de los datos. Windows Information Protection
proporciona tecnologías para administrar y gobernar cómo se usan los datos. Estos
procesos pueden aplicar reglas a los datos independientemente de dónde estén,
como si un documento se compartiera o se enviara por correo electrónico. Las reglas
se pueden crear para clasificar y proteger automáticamente los datos en función de
determinados criterios. El cifrado de datos, como EFS y BitLocker, protege los datos
en el caso de que el propio dispositivo esté en peligro o si se necesita seguridad
adicional más allá de los permisos de carpeta.
2. ADMINISTRACIÓN DE MICROSOFT DEFENDER PARA PUNTO DE CONEXIÓN
2.1. Introducción
Microsoft Defender para punto de conexión, anteriormente Windows Defender
Advanced Threat Protection, es un sofisticado servicio basado en la nube diseñado
para ayudar a las organizaciones a identificar e investigar amenazas persistentes
avanzadas y responder a ellas. Esta solución de vanguardia ofrece detección de
ataques basados en el comportamiento, una escala de tiempo forense completa y
una base de conocimientos de inteligencia sobre amenazas sin precedentes. Al
aplicar estas características avanzadas, las organizaciones pueden combatir
proactivamente las amenazas cibernéticas en constante evolución y mejorar la
seguridad.

Después de este módulo, podrá hacer lo siguiente:

• Describir Microsoft Defender para punto de conexión.

• Describir las funcionalidades clave de Microsoft Defender para punto de
conexión.
• Describir Protección de aplicaciones de Microsoft Defender.
• Describir Protección contra vulnerabilidades de seguridad de Microsoft
Defender.
• Describir Protección del sistema de Windows Defender.

2.2. Exploración de Microsoft Defender para punto de conexión

Microsoft Defender para punto de conexión es una plataforma diseñada para ayudar
a redes de empresas a evitar, detectar, investigar y responder a amenazas
avanzadas. A diferencia de Microsoft Defender, que está disponible en todos los
equipos Windows y administrado por directiva de grupo o Intune, Microsoft Defender
para punto de conexión es una plataforma completamente nueva que ayuda a los
administradores a mejorar la seguridad y a establecer un control de seguridad
centralizado sobre los recursos locales y en la nube. Aunque Microsoft Defender para
punto de conexión comparte el mismo nombre que Microsoft Defender en Windows,
no son el mismo producto. Los administradores pueden usar Microsoft Defender para
punto de conexión para supervisar las funcionalidades de Microsoft Defender en
clientes locales de Windows para mantener una configuración coherente y un nivel
de seguridad aceptable. Sin embargo, además de esto, Microsoft Defender para
punto de conexión también se puede integrar con inteligencia sobre amenazas de
Microsoft 365, Cloud App Security, Azure ATP e Intune. También puede detectar
contenido potencialmente dañino en comunicaciones de Skype Empresarial.

Microsoft Defender para punto de conexión usa la siguiente combinación de

tecnologías integradas en Windows y el servicio de nube de Microsoft:

• Sensores de comportamiento de punto de conexión: incrustados en Windows,

estos sensores recopilan y procesan señales de comportamiento del sistema
operativo y envían estos datos del sensor a su instancia en la nube privada y
aislada de Microsoft Defender para punto de conexión.
 • Análisis de seguridad en la nube: mediante los macrodatos, el aprendizaje
automático y la óptica única de Microsoft en el ecosistema de Windows, los
productos de nube empresariales (como Microsoft 365) y los recursos en línea,
las señales de comportamiento se convierten en conclusiones, detecciones y
respuestas recomendadas a amenazas avanzadas.

• Inteligencia de amenazas: generada por buscadores de Microsoft, equipos de

seguridad y ampliada por la que proporcionan los asociados, la inteligencia
de amenazas permite que Microsoft Defender para punto de conexión
identifique las herramientas, las técnicas y los procedimientos de los
atacantes, y genere alertas cuando se observen estas actividades en los
datos de sensor recopilados.

Estas tecnologías cuando se combinan proporcionan una supervisión proactiva y

eficaz de lo que sucede en las máquinas, los servidores y la red del cliente. Realizan
investigaciones automatizadas sobre incidentes conocidos y proporcionan algunas
acciones incluso antes de que se avise a un administrador.

La consola principal de Microsoft Defender para punto de conexión es el Centro de

seguridad de Microsoft 365. Los equipos de seguridad de la empresa pueden utilizar
el Centro de seguridad de Microsoft 365 para supervisar y ayudar a responder a las
alertas de posible actividad de amenazas permanentes avanzadas (APT) o
infracciones de datos.

Puede usar el Centro de seguridad de Microsoft 365 para:

• Ver, ordenar y clasificar alertas de los puntos de conexión.

• Buscar más información sobre los indicadores observados como archivos y

direcciones IP.

• Cambie la configuración de Microsoft Defender para punto de conexión,

incluida la zona horaria y revise la información de licencias.
2.3. Examen de las funcionalidades clave de Microsfot Defender para punto de
conexión
Las siguientes funcionalidades están disponibles en varios productos que componen
la plataforma de Microsoft Defender para punto de conexión.

2.3.1. Reducción de la superficie expuesta a ataques

El conjunto de capacidades de reducción de la superficie expuesta a ataques
constituye la primera línea de defensa de la pila. Al garantizar que las opciones de
configuración se establecen correctamente y que se aplican técnicas de mitigación
de vulnerabilidades, este conjunto de funcionalidades resistirán los ataques y
explotaciones.

Las funcionalidades de reducción de la superficie expuesta a ataques de

Microsoft Defender para punto de conexión ayudan a proteger los dispositivos y las
aplicaciones de su organización frente a amenazas nuevas y emergentes.

• Aislamiento basado en hardware: protege y mantiene la integridad del

sistema a medida que se inicia y mientras se ejecuta, y valida la integridad del
sistema a través de la atestación local y remota. Además, el aislamiento de
contenedores de Microsoft Edge ayuda a proteger el sistema operativo host
frente a sitios web malintencionados.

• Control de aplicaciones: se aleja del modelo de confianza de aplicaciones

tradicional, en el que se supone que todas las aplicaciones son de confianza
de forma predeterminada, y establece una opción en la que las aplicaciones
deben ganar confianza para ejecutarse.

• Protección contra vulnerabilidades de seguridad: aplica técnicas de

mitigación de vulnerabilidades a las aplicaciones que usa la organización,
tanto a nivel individual como en todas las aplicaciones. Funciona con
soluciones antivirus de terceros y el Antivirus de Microsoft Defender (AV de
Microsoft Defender).

• Protección de red: amplía la protección contra malware e ingeniería social que

ofrece SmartScreen de Microsoft Defender en Microsoft Edge para atender el
tráfico de red y la conectividad en los dispositivos de la organización. Requiere
Antivirus de Microsoft Defender.

• Acceso controlado a carpetas: ayuda a proteger los archivos en carpetas de

sistema clave de los cambios realizados por aplicaciones malintencionadas y
sospechosas, incluido el malware de ransomware de cifrado de archivos.
Requiere Antivirus de Microsoft Defender.

• Reducción de la superficie expuesta a ataques: puede reducir la superficie

expuesta a ataques de las aplicaciones con reglas inteligentes que detienen
los vectores usados por el malware basado en Office, scripts y correo
electrónico. Requiere Antivirus de Microsoft Defender.

• Firewall de red: al proveer un filtrado del tráfico de red bidireccional basado

en host que bloquea el tráfico de red no autorizado que entra y sale del
dispositivo local.
2.3.2. Protección de próxima generación
Para reforzar aún más el perímetro de seguridad de la red, Microsoft Defender para
punto de conexión usa la protección de próxima generación diseñada para detectar
todos los tipos de amenazas emergentes. El Antivirus de Microsoft Defender es una
solución antimalware integrada que proporciona protección de próxima generación
para escritorios, equipos portátiles y servidores.

El Antivirus de Microsoft Defender incluye lo siguiente:

• Protección proporcionada en la nube para la detección casi instantánea y el

bloqueo de amenazas nuevas y emergentes. Junto con el aprendizaje
automático e Intelligent Security Graph, la protección proporcionada en la
nube forma parte de las tecnologías de próxima generación en las que se
basa el Antivirus de Microsoft Defender.

• Examen siempre activo, mediante la supervisión avanzada del

comportamiento de archivos y procesos y otra heurística (también conocida
como "protección en tiempo real").

• Actualizaciones de protección dedicadas basadas en el aprendizaje

automático, el análisis de macrodatos humano y automatizado y la
investigación minuciosa de la resistencia a amenazas.

2.3.3. Detección de puntos de conexión y respuesta

Las funcionalidades de detección y respuesta de puntos de conexión se ponen en
marcha para detectar, investigar y responder a amenazas avanzadas que pueden
haber vulnerado los dos primeros pilares de seguridad. Las funcionalidades de
detección y respuesta de puntos de conexión de Microsoft Defender para punto de
conexión proporcionan detecciones de ataques anticipadas casi en tiempo real,
permiten a los analistas de seguridad priorizar las alertas de forma eficaz, despliegan
el ámbito completo de una infracción y toman medidas de respuesta para corregir la
amenaza.

Cuando se detecta una amenaza, se crean alertas en el sistema para que un analista
las investigue. Las alertas con las mismas técnicas de ataque o atribuidas al mismo
atacante se agregan a una entidad denominada incidente. La agregación de alertas
de este modo facilita a los analistas la investigación y la respuesta colectiva a las
amenazas.

Inspirándose en la mentalidad de "asumir la vulneración", Microsoft Defender para

punto de conexión recopila continuamente la cibertelemetría de comportamiento.
Esto incluye información de procesos, actividades de red, óptica profunda en el kernel
y el administrador de memoria, actividades de inicio de sesión del usuario y cambios
en el registro y el sistema de archivos, entre otros. Esta información se almacena
durante seis meses, lo que permite a un analista retroceder hasta el punto inicial de
un ataque y dinamizarlo en varias vistas y abordar una investigación a través de
varios vectores posibles.

Las capacidades de respuesta le ofrecen la capacidad de corregir rápidamente las

amenazas actuando en las entidades afectadas.
2.3.4. Investigación y corrección automáticas
Con la capacidad de responder rápidamente a ataques avanzados,
Microsoft Defender para punto de conexión ofrece funcionalidades de investigación
y corrección automáticas que ayudan a reducir el volumen de alertas a gran escala
en cuestión de minutos. El servicio Microsoft Defender para punto de conexión ofrece
una amplia visibilidad de varias máquinas. Con esta perspectiva, el servicio genera
multitud de alertas. Puede ser complicado que un equipo de operaciones de
seguridad típico solucione individualmente el volumen de alertas generadas.

Para abordar este desafío, Microsoft Defender para punto de conexión usa
investigaciones automatizadas para reducir significativamente el volumen de alertas
que deben investigarse individualmente. La característica de investigación
automatizada aplica varios algoritmos de inspección y procesos que usan los
analistas (como los cuadernos de estrategias) para examinar las alertas y tomar
medidas de corrección inmediatas para resolver las infracciones.

En la lista Investigaciones automatizadas se muestran todas las investigaciones que

se han iniciado automáticamente, aparte de otros detalles, como el estado, el origen
de detección y la fecha de inicio de la investigación.

2.3.5. Puntuación segura

Microsoft Defender para punto de conexión ofrece una funcionalidad de la posición
de seguridad para ayudar a evaluar de forma dinámica el estado de seguridad de la
red de su empresa, a identificar sistemas sin protección y a tomar medidas
recomendadas para mejorar el estado de seguridad general de la red. El panel
Puntuación de seguridad amplía la visibilidad de la posición de seguridad general de
la organización. En este panel, puede evaluar la posición de seguridad de la
organización, ver las máquinas que requieren atención y recomendaciones para las
acciones para reducir aún más la superficie expuesta a ataques de su organización.
Desde ahí puede realizar acciones en función de las líneas base de configuración
recomendadas.

Esta característica está disponible para máquinas en Windows 10, versión 1703 o
posteriores.

El panel Puntuación de seguridad muestra una instantánea de:

• Puntuación de seguridad de Microsoft

• Puntuación de seguridad a lo largo del tiempo
• Recomendaciones principales
• Oportunidades de mejora

El icono de puntuación seguridad de Microsoft refleja la suma de todos los controles

de seguridad de Microsoft Defender configurados según la línea de base
recomendada y los controles de Microsoft 365. Permite explorar en profundidad cada
portal para un análisis más exhaustivo. También puede mejorar esta puntuación
realizando los pasos necesarios para configurar cada uno de los controles de
seguridad de manera óptima.
2.3.6. Búsqueda avanzada
La búsqueda avanzada le permite buscar posibles amenazas en toda la organización
mediante una herramienta de búsqueda y consulta. También puede crear reglas de
detección personalizadas basadas en las consultas que creó y exponer alertas en el
Centro de seguridad de Microsoft 365.

Con la búsqueda avanzada, puede hacer lo siguiente:

• Usar el lenguaje de consulta con IntelliSense: se basa en un lenguaje de

consulta que proporciona la flexibilidad necesaria para realizar búsquedas
más avanzadas con mejores resultados.

• Consultar la telemetría almacenada: se puede acceder a los datos de

telemetría en tablas para consultarlos. Así, por ejemplo, se puede consultar la
creación de procesos, la comunicación de red y otros tipos de eventos.

• Usar vínculos al portal: algunos resultados de la consulta, como los nombres

de equipo y los nombres de archivo, son vínculos directos al portal.

• Usar ejemplos de consulta: en una página principal se proporcionan ejemplos

para empezar a trabajar con las tablas y el lenguaje de consulta.

2.3.7. Administración y API

Integre Microsoft Defender para punto de conexión en los flujos de trabajo existentes.
Microsoft Defender para punto de conexión admite una amplia variedad de opciones
para garantizar que los clientes puedan adoptar fácilmente la plataforma.
Microsoft Defender para punto de conexión tiene un control granular para ajustarse
a distintos entornos y requisitos.

La incorporación de máquinas está totalmente integrada en Configuration Manager

y Microsoft Intune para máquinas cliente y Azure Security Center para máquinas de
servidor, lo que proporciona una experiencia completa de configuración,
implementación y supervisión. Microsoft Defender para punto de conexión admite
directivas de grupo y otras herramientas de terceros usadas para la administración
de máquinas.

Microsoft Defender para punto de conexión proporciona un control específico sobre

lo que los usuarios con acceso al portal pueden ver y hacer con la flexibilidad del
control de acceso basado en rol (RBAC). El modelo RBAC admite una amplia variedad
de estructuras de equipos de seguridad:

• Equipos de seguridad y organizaciones distribuidos globalmente

• Equipos de operaciones de seguridad de modelos en capas

• Divisiones totalmente segregadas con equipos de operaciones de seguridad

globales únicos
2.4. Exploración de Control de aplicaciones y Device Guard de Microsoft Defender

Teniendo en cuenta que cada día se crean miles de archivos malintencionados

nuevos, el uso de métodos tradicionales, como las soluciones antivirus (la detección
basada en firmas para luchar contra el malware), proporciona una defensa
inadecuada ante ataques nuevos. El Control de aplicaciones y Device Guard
proporcionan una capa adicional de protección contra amenazas desconocidas.

2.4.1. Control de aplicaciones de Windows Defender

Normalmente, cuando un usuario ejecuta un proceso, ese proceso tiene el mismo nivel
de acceso a los datos que tiene el usuario. Como resultado, se podría borrar o
transmitir información confidencial fuera de la organización si el usuario ejecuta
software malintencionado deliberadamente o sin saberlo. El control de aplicaciones
se aleja del modelo de confianza de aplicaciones tradicional, en el que se supone
que todas las aplicaciones son de confianza de forma predeterminada, y establece
una opción en la que las aplicaciones deben ganar confianza para ejecutarse.

Todos los ejecutables del sistema deben examinarse para poder ejecutarse. Esto se
hace mediante firmas de código de editores de software, pero no todos los
ejecutables de Windows están firmados correctamente. En el caso del código que no
está firmado, un administrador puede crear un manifiesto de todos los archivos del
sistema. A su vez, este manifiesto lo firma la organización y se implementa en equipos
Windows Enterprise. Los ejecutables que no se describen en este archivo de directiva
no se ejecutarán una vez que WDAC esté habilitado. Las directivas WDAC también
bloquean scripts y MSI sin firmar, y Windows PowerShell.

Es probable que el control de aplicaciones sea ideal para dispositivos de punto de

servicio (PoS), como terminales de ventas, cajeros automáticos y dispositivos
similares, así como para escritorios basados en servidor (infraestructura de escritorio
virtual) u otros dispositivos en los que el sistema operativo es relativamente coherente
entre dispositivos y se actualiza con poca frecuencia. Sin embargo, Microsoft ha
declarado que, dado que el código disponible desde Windows Update está firmado,
las instalaciones de Windows deben seguir ejecutándose de forma segura, incluso
cuando el sistema operativo y las aplicaciones de Microsoft se actualizan con nuevas
correcciones y características. Las organizaciones tendrán que considerar la mejor
manera de incluir aplicaciones de terceros que se actualicen con regularidad, pero
que no estén firmadas.

Nota
WDAC se conocía formalmente como directivas de integridad de código
configurables en Device Guard de Windows Defender.

2.4.2. Device Guard de Windows Defender

Device Guard combina las características del Control de aplicaciones con la
capacidad de usar el hipervisor de Hyper-V de Windows para proteger los procesos
del modo kernel de Windows de la inyección y ejecución de código malintencionado
o no comprobado. Aunque WDAC no requiere hardware o software específicos,
habilitar la integridad de código protegida por hipervisor (HVCI) requiere
controladores y hardware compatibles.
2.5. Exploración de Protección de aplicaciones de Microsoft Defender
Protección de aplicaciones de Microsoft Defender (Protección de aplicaciones) está
diseñado para ayudar a prevenir ataques antiguos y de reciente aparición a fin de
mantener la productividad de los empleados. Con el enfoque de aislamiento de
hardware único de Microsoft, el objetivo de Protección de aplicaciones es destruir el
cuaderno de estrategias que los atacantes usan mediante la representación de
métodos de ataque actuales obsoletos.

Diseñado para Windows y Microsoft Edge, Protección de aplicaciones ayuda a aislar

sitios que no son de confianza definidos por la empresa, de forma que la empresa
está protegida mientras los empleados navegan por Internet. El administrador de
empresa define lo que hay entre sitios web de confianza, recursos en la nube y redes
internas. Todo lo que no está en la lista se considera que no es de confianza.

Si un empleado va a un sitio que no es de confianza mediante Microsoft Edge o

Internet Explorer, Microsoft Edge abre el sitio en un contenedor aislado habilitado
para Hyper-V, que es independiente del sistema operativo host. Este aislamiento del
contenedor significa que si el sitio que no es de confianza resulta ser malintencionado,
el equipo host está protegido y el atacante no puede acceder a los datos
empresariales. Por ejemplo, este enfoque convierte en anónimo el contenedor
aislado, por lo que un atacante no puede acceder a las credenciales empresariales
de los empleados.
2.5.1. Tipos de dispositivos que deben usar Protección de aplicaciones
Protección de aplicaciones se ha creado para su uso con varios tipos de sistemas:

• Escritorios empresariales: estos escritorios están unidos a un dominio y los

administra la organización. La administración de la configuración se realiza
principalmente mediante Endpoint Configuration Manager o Microsoft Intune.
Normalmente, los empleados tienen privilegios de usuario estándar y usan una
red corporativa, cableada y de ancho de banda alto.

• Portátiles móviles empresariales: estos portátiles están unidos a un dominio y

los administra la organización. La administración de la configuración se realiza
principalmente mediante Configuration Manager o Microsoft Intune.
Normalmente, los empleados tienen privilegios de usuario estándar y usan una
red corporativa inalámbrica y de alto ancho de banda.

• Portátiles móviles propios (BYOD): estos portátiles de propiedad personal no

están unidos a un dominio, pero los administra la organización mediante
herramientas como Microsoft Intune. Normalmente, el empleado es
administrador en el dispositivo y usa una red corporativa inalámbrica de alto
ancho de banda mientras está en el trabajo y una red personal comparable
mientras está en casa.

• Dispositivos personales: estos equipos de escritorio o portátiles móviles de

propiedad personal no están unidos a un dominio ni los administra la
organización. El usuario es administrador en el dispositivo y usa una red
personal inalámbrica de alto ancho de banda mientras está en casa o una
red pública comparable mientras está fuera.

2.5.2. Configuración de Protección de aplicaciones

Para habilitar Protección de aplicaciones en Microsoft Edge, siga estos pasos:

1. Abra el Panel de control.

2. Seleccione Programas.

3. Seleccione el vínculo Activar o desactivar características de Windows.

4. Active la opción Protección de aplicaciones de Microsoft Defender. Si esa

opción no está disponible para seleccionarla, es probable que el hardware no
admita esta característica.

5. Seleccione Aceptar.

6. Seleccione Reiniciar ahora.

Después de reiniciar el equipo, puede iniciar una sesión de Microsoft Edge con
Protección de aplicaciones de Microsoft Defender seleccionando el botón de menú
de la parte superior derecha y, luego, la opción "Nueva ventana de Protección de
aplicaciones".
Si quiere configurar características de Protección de aplicaciones mediante la
plataforma Microsoft Intune, puede hacerlo con la creación de un perfil de
configuración de dispositivo. Esto solo se aplica a los sistemas operativos Windows 10
y versiones posteriores. Cuando seleccione crear un nuevo perfil de configuración,
deberá elegir Endpoint Protection como tipo de perfil y, luego, seleccionar la
configuración de las opciones de Protección de aplicaciones de Microsoft Defender.
Esta interfaz de administrador le permite crear más opciones que en directiva de
grupo y configurar Protección de aplicaciones no solo para Microsoft Edge, sino
también para aplicaciones de Office, como se muestra en la imagen siguiente:
2.6. Examen de Protección contra vulnerabilidades de seguridad de Microsoft
Defender
Protección contra vulnerabilidades de seguridad de Microsoft Defender
(anteriormente Protección contra vulnerabilidades de seguridad de Windows
Defender) es un nuevo conjunto de funcionalidades de prevención de intrusiones de
host para Windows, lo que permite administrar y reducir la superficie expuesta a
ataques de las aplicaciones usadas por los empleados.

2.6.1. Características de Protección contra vulnerabilidades de seguridad de Microsoft

Defender
Existen cuatro características en Protección contra vulnerabilidades de seguridad de
Microsoft Defender:

• Protección contra vulnerabilidades de seguridad. Aplica técnicas de

mitigación de vulnerabilidades a las aplicaciones que usa la organización,
tanto a nivel individual como en todas las aplicaciones. Funciona con
soluciones antivirus de terceros y el Antivirus de Microsoft Defender (AV de
Microsoft Defender). Para habilitar Protección contra vulnerabilidades,
abra Configuración, vaya a Actualización y seguridad, abra la
aplicación Windows Defender y, a continuación, Centro de seguridad de
Windows Defender. A continuación, vaya a Control de aplicaciones y
exploradores y desplácese hacia abajo hasta Protección contra
vulnerabilidades.

• Reglas de reducción de la superficie expuesta a ataques. Puede reducir la

superficie expuesta a ataques de las aplicaciones con reglas inteligentes que
detienen los vectores usados por el malware basado en Office, scripts y correo
electrónico. Requiere AV de Microsoft Defender. Para habilitar esto, puede usar
la directiva de grupo, las claves del Registro o la administración de dispositivos
móviles. Para habilitar la reducción de la superficie expuesta a ataques
mediante directivas de grupo, vaya a Configuración del equipo en el Editor de
administración de directivas de grupo, después Directivas y, a
continuación, Plantillas administrativas. Expanda Componentes de Windows
> Antivirus de Microsoft defender > Protección contra vulnerabilidades de
seguridad de Microsoft Defender > Reducción de la superficie expuesta a
ataques. Seleccione la opción Configurar reglas de la reducción de la
superficie expuesta a ataques y establezca la opción en Habilitado.

• Protección de red. Amplía la protección contra malware e ingeniería social que

ofrece SmartScreen de Microsoft Defender en Microsoft Edge para atender el
tráfico de red y la conectividad en los dispositivos de la organización. Requiere
AV de Microsoft Defender. Puede habilitar esta característica mediante
directivas de grupo. Debe ir a Componentes de Windows > Antivirus de
Microsoft Defender > Protección contra vulnerabilidades de seguridad de
Microsoft Defender > Protección de red. Seleccione la opción Impedir que
usuarios y aplicaciones accedan a sitios web peligrosos y establezca la
opción en Habilitado.
 • Acceso controlado a carpetas. Protege los archivos en carpetas de sistema
clave de los cambios realizados por aplicaciones malintencionadas y
sospechosas, incluido el malware de ransomware de cifrado de archivos.
También puede bloquear sectores de disco. Requiere que AV de Microsoft
Defender funcione. Para habilitar el acceso controlado a carpetas mediante
directivas de grupo, debe ir a Configuración del equipo,
expandir Directivas, Plantillas administrativas y, a continuación, Componentes
de Windows > Antivirus de Microsoft Defender > Protección contra
vulnerabilidades de seguridad de Microsoft Defender > Acceso controlado a
carpetas . Seleccione la opción Configurar el acceso controlado a carpetas y
establezca la opción en Habilitado.

De forma predeterminada, las siguientes carpetas están habilitadas para protección:

o C:\Users\< usuario >\Documents
o C:\Users\Public\Documents
o C:\Users\< usuario >\Pictures
o C:\Users\Public\Pictures
o C:\Users\< usuario >\Videos
o C:\Users\Public\Videos
o C:\Users\< usuario >\Music
o C:\Users\Public\Music
o C:\Users\< usuario >\Desktop
o C:\Users\Public\Desktop
o C:\Users\< usuario >\Favorites

Puede agregar manualmente más carpetas a esta lista, si lo necesita. Si tiene una
aplicación bloqueada por acceso controlado a carpetas, puede permitir una
aplicación. Para permitir una invalidación, debe navegar a la misma ruta de acceso
de directivas de grupo y, después, seleccionar la opción Configurar aplicaciones
permitidas y establecer la opción en Habilitado. Seleccione Mostrar y escriba cada
aplicación.

De forma similar a otras características de Microsoft Defender, también puede usar

Intune para implementar y administrar funcionalidades de Protección contra
vulnerabilidades de seguridad. Puede configurar estas opciones en un perfil de
configuración del dispositivo. Es posible configurar por separado las opciones de
cada una de las funcionalidades descritas anteriormente.
2.6.2. Funcionalidades adicionales
• Puede habilitar el modo de auditoría para las características, que proporciona
registros de eventos básicos que indican cómo habría respondido la
característica si se hubiera habilitado por completo. Esto puede ser útil al
evaluar el impacto de Microsoft Defender EG y ayudar a determinar el impacto
de las características en la seguridad de la red.

• También puede visitar el sitio web de Microsoft Defender Testground

en https://demo.wd.microsoft.com para confirmar que las características
funcionan y probar cómo funcionan cada una de ellas.

• Puede administrar e informar sobre Microsoft Defender EG en la aplicación

Seguridad de Windows como parte del conjunto de Microsoft Defender para
punto de conexión de mitigación de amenazas, prevención, protección y
tecnologías de análisis.

• Puede usar la aplicación Seguridad de Windows para obtener informes

detallados en eventos y bloques como parte de los escenarios habituales de
investigación de alertas.
2.7. Exploración de Protección del sistema de Windows Defender
Windows usa contenedores para aislar los datos y los servicios del sistema
confidenciales, lo que les permite permanecer seguros incluso cuando el sistema
operativo se ha puesto en riesgo. Windows usa un tipo de contenedor denominado
Protección del sistema de Windows Defender para proteger los recursos críticos,
como la pila de autenticación de Windows, los tokens de inicio de sesión único, la pila
biométrica de Windows Hello y el Módulo de plataforma segura virtual.

Protección del sistema de Windows Defender reorganiza las características de

integridad del sistema de Windows existentes en un sistema y configura el siguiente
conjunto de inversiones en la seguridad de Windows. Está diseñado para:

• Ayudar a proteger y mantener la integridad del sistema mientras se inicia.

• Ayudar a proteger y mantener la integridad del sistema después de

ejecutarse.

• Ayudar a garantizar que la integridad del sistema se ha mantenido realmente

a través de la atestación local y remota.

2.7.1. Conservación de la integridad del sistema mientras se inicia

Originalmente, con Windows 7, uno de los medios que los atacantes usarían para
persistir y eludir la detección era instalar lo que a menudo se conoce como bootkit o
rootkit en el sistema. Este software malintencionado se iniciaría antes que Windows o
durante el propio proceso de arranque, lo que le permite empezar con el nivel de
privilegio más alto.

Con el hardware moderno certificado para Windows 8 o superior, hay una raíz de
confianza basada en hardware que ayuda a garantizar que ningún firmware o
software no autorizado (como un bootkit) pueda iniciarse antes que el cargador de
arranque de Windows. Esta raíz de confianza basada en hardware procede de la
característica de arranque seguro del dispositivo, que forma parte de Unified
Extensible Firmware Interface (UEFI).

Después de comprobar e iniciar correctamente el firmware del dispositivo y el

cargador de arranque de Windows, la próxima oportunidad para que los atacantes
manipulen la integridad del sistema es mientras se inician el resto del sistema
operativo y las defensas de Windows. Para un atacante, la inserción de código
malintencionado mediante un rootkit dentro del proceso de arranque le permite
obtener el nivel máximo de privilegios y le ofrece la capacidad de persistir y evadir la
detección más fácilmente.

Aquí es donde comienza la protección de Protección del sistema de

Windows Defender con su capacidad para garantizar que solo los archivos y
controladores de Windows, incluidos los de terceros, debidamente firmados y seguros
puedan iniciarse en el dispositivo. Al final del proceso de arranque de Windows,
Protección del sistema inicia la solución antimalware del sistema, que examina todos
los controladores de terceros; en ese momento, se completa el proceso de arranque
del sistema. Al final, Protección del sistema de Windows Defender ayuda a garantizar
que el sistema arranque de forma segura con integridad y que no se haya puesto en
peligro antes de que se inicie el resto de las defensas del sistema.
2.7.2. Conservación de la integridad del sistema después de su ejecución (tiempo de
ejecución)
Antes de Windows 10, si un atacante conseguía la vulneración del sistema y obtenía
privilegios de nivel SYSTEM o ponía en riesgo el propio kernel, podía causar daños
importantes en el sistema atacado. El nivel de control que adquiriría un atacante en
estas condiciones le permitiría alterar y eludir muchas, si no todas, las defensas de su
sistema. Aunque hay una serie de prácticas y tecnologías de desarrollo (como
Protección contra vulnerabilidades de seguridad de Windows Defender) que han
hecho difícil obtener este nivel de privilegio en Windows, la realidad es que debe
haber una manera de mantener la integridad de los servicios y datos de Windows
más confidenciales, incluso si un adversario protege el nivel de privilegio más alto.

Con Windows 10, Microsoft introdujo el concepto de seguridad basada en

virtualización (VBS), que nos permite contener los servicios y datos de Windows más
confidenciales en aislamiento basado en hardware: el contenedor de Protección del
sistema de Windows Defender. Este entorno seguro proporciona el límite de seguridad
basado en hardware necesario para poder proteger y mantener la integridad de los
servicios críticos del sistema en tiempo de ejecución, como Credential Guard, Device
Guard, el Módulo de plataforma segura virtual (TPM) y partes de Protección contra
vulnerabilidades de seguridad de Windows Defender, por nombrar solo algunos.

2.7.3. Validación de la integridad de la plataforma después de que se ejecute Windows

(tiempo de ejecución)
Aunque Protección del sistema de Windows Defender proporciona protección
avanzada que ayudará a proteger y mantener la integridad de la plataforma durante
el arranque y en tiempo de ejecución, la realidad es que debe aplicarse una
mentalidad de "asumir la vulneración" incluso a las tecnologías de seguridad más
sofisticadas. Las organizaciones deben poder confiar en que las tecnologías están
haciendo bien su trabajo, pero también necesitan poder verificar que han conseguido
sus objetivos. En lo que respecta a la integridad de la plataforma, no se puede
simplemente confiar en que la plataforma, que potencialmente podría estar en
peligro, declare por sí misma su estado de seguridad. Por lo tanto, la Protección del
sistema de Windows Defender incluye una serie de tecnologías que permiten el
análisis remoto de la integridad del dispositivo.

Al arrancar Windows, Protección del sistema de Windows Defender realiza una serie
de mediciones de integridad mediante el TPM 2.0 del dispositivo. Este proceso y los
datos están aislados por hardware de Windows para ayudar a garantizar que los
datos de medición no están sujetos al tipo de alteración que podría darse si la
plataforma estuviera en peligro. A partir de aquí, pueden utilizarse las mediciones
para determinar la integridad del firmware del dispositivo, el estado de configuración
del hardware y los componentes relacionados con el arranque de Windows, por
nombrar solo algunos. Después de arrancar el sistema, Protección del sistema de
Windows Defender firma y sella estas medidas mediante TPM. A petición, un sistema
de administración como Intune o Configuration Manager puede adquirirlos para el
análisis remoto. Si Protección del sistema de Windows Defender indica que el
dispositivo carece de integridad, el sistema de administración puede realizar una
serie de acciones, como denegar el acceso del dispositivo a los recursos.

2.8. Prueba de conocimientos

1. Fabrikam quiere aislar los sitios que no son de confianza definidos por la empresa
para proteger la empresa mientras sus empleados navegan por Internet. ¿Qué
característica de Microsoft Defender para punto de conexión proporciona esta
funcionalidad?

• Protección contra vulnerabilidades de seguridad de Microsoft Defender

• Control de aplicaciones de Windows Defender

• Protección de aplicaciones de Microsoft Defender

Correcto. Diseñado para Windows y Microsoft Edge, Protección de
aplicaciones ayuda a aislar sitios que no son de confianza definidos por la
empresa, de forma que la empresa está protegida mientras los empleados
navegan por Internet. El administrador de empresa define lo que hay entre
sitios web de confianza, recursos en la nube y redes internas. Todo lo que no
está en la lista se considera que no es de confianza.
2. Northwind Traders quiere usar Microsoft Defender para punto de conexión para
ayudar a evitar amenazas avanzadas contra su red corporativa, poder detectarlas,
investigarlas y generar respuestas a estas. ¿Qué característica de Microsoft Defender
para punto de conexión ayudará a Northwind Traders a evaluar la posición de
seguridad de la organización, ver máquinas que requieren atención, así como
recomendaciones para acciones para reducir aún más la superficie expuesta a
ataques dentro de la empresa?

• Funcionalidades de detección y respuesta de puntos de conexión

• Panel Puntuación de seguridad

Correcto. El Panel Puntuación de seguridad amplía la visibilidad de la posición
de seguridad general de la organización. En este panel, puede evaluar la
posición de seguridad de la organización, ver las máquinas que requieren
atención y recomendaciones para las acciones para reducir aún más la
superficie expuesta a ataques de su organización. Desde ahí puede realizar
acciones en función de las líneas base de configuración recomendadas.

• Investigación y corrección automáticas

2.9. Resumen
En este módulo, aprendió que Microsoft Defender para punto de conexión es una
plataforma completa que centraliza la administración de seguridad de los recursos
locales y en la nube. Aprovecha los sensores de comportamiento, el análisis y la
inteligencia sobre amenazas para permitir que los administradores supervisen e
investiguen amenazas potenciales de manera proactiva. El Control de aplicaciones
de Windows Defender protege contra la ejecución de aplicaciones no autorizadas,
mientras que Device Guard de Windows Defender protege el kernel frente a código
no comprobado. Protección de aplicaciones permite aislar el entorno para explorar
sitios web que no son de confianza, mientras que Protección contra vulnerabilidades
de seguridad de Microsoft Defender ofrece una configuración de seguridad
adicional para minimizar la superficie expuesta a ataques de un dispositivo. Por
último, Protección del sistema de Windows Defender garantiza la integridad del
sistema durante el inicio.
3. ADMINISTRACIÓN DE MICROSOFT DEFENDER EN UN CLIENTE WINDOWS
3.1. Introducción
Los equipos Windows son más susceptibles a las amenazas de red que otros orígenes,
ya que los ataques basados en web pueden dirigirse a numerosos dispositivos y
ejecutarse de forma remota. En cambio, las formas alternativas de ataques requieren
acceso físico. Seguridad de Windows, la plataforma de seguridad integrada en
Windows, ofrece una protección completa frente a amenazas de seguridad
habituales.

A pesar de las medidas preventivas, el malware todavía puede infiltrarse en los

equipos y dispositivos de la organización, lo que requiere una investigación y
corrección inmediatas. Windows incluye componentes para ayudar a identificar y
eliminar malware de su entorno. Además, el firewall de Windows Defender ofrece
funcionalidad integrada para proteger los equipos Windows frente al acceso no
autorizado o al tráfico de red entrante y saliente no deseado.

Objetivos
Al finalizar este módulo, podrá hacer lo siguiente:

• Descripción de las funcionalidades de Seguridad de Windows

• Descripción de Credential Guard de Windows Defender
• Administración del antivirus de Microsoft Defender
• Administración del Firewall de Windows Defender
• Administración de Firewall de Windows Defender con seguridad avanzada

3.2. Exploración del Centro de seguridad de Windows

El Centro de seguridad de Windows, un componente de Windows 11 y versiones
posteriores, abarca todas las facetas de seguridad del sistema operativo, las cuentas
de usuario y las aplicaciones de un dispositivo determinado. El Centro de Seguridad
de Windows es una versión actualizada del software antimalware de Microsoft
Defender. Ofrece una variedad completa de características de seguridad que le
permiten mantener protegido el dispositivo Windows durante toda su vida útil.

El centro de seguridad de Windows está activado de forma predeterminada y

funciona desde el momento en que se instala el sistema operativo Windows. En esta
sección se tratan las siguientes áreas:

• Protección contra virus y amenazas: ayuda a controlar todas las tareas

antivirus y antimalware.

• Protección de cuentas: permite configurar las opciones de inicio de sesión de

la cuenta y opciones de inicio de sesión de Windows Hello y configuración de
bloqueo dinámico.

• Firewall y protección de red: Puede administrar Firewall de Windows,

configurar aplicaciones que deben comunicarse a través del firewall y también
configurar perfiles de dominio para el firewall.
• Control de aplicaciones y exploradores: En esta parte del Centro de seguridad
de Windows, puede configurar la característica Microsoft Defender
SmartScreen que le ayuda a proteger un dispositivo al comprobar de forma
proactiva si hay aplicaciones y archivos no reconocidos de Internet. La
característica SmartScreen también funciona para Microsoft Edge y para
aplicaciones de Microsoft Store.

• Seguridad del dispositivo: Puede encontrar información sobre el aislamiento

del núcleo del procesador, la seguridad del procesador, el TPM y las
características de arranque seguras.

• Estado y rendimiento de los dispositivos: puede comprobar si Windows está

actualizado e identificar posibles problemas que podrían afectar el estado
general del dispositivo. Esto incluye investigar problemas de capacidad de
almacenamiento, problemas de controladores de dispositivos,
complicaciones de duración de la batería y problemas de aplicaciones o
software. También puede iniciar un inicio limpio para una instalación existente
de Windows desde aquí.

• Opciones de familia: Puede revisar y configurar las opciones disponibles para

la protección familiar y los controles parentales.

• Historial de protección (Windows 11): enumera las amenazas recientes y las

acciones recomendadas. Esta opción se encuentra en Virus y protección
contra amenazas en Windows 10.
3.3. Exploración de Credential Guard de Windows Defender
Credential Guard de Windows Defender, que se introdujo por primera vez en
Windows 10 Enterprise y Windows Server 2016, emplea la seguridad basada en
virtualización para restringir el acceso a la información confidencial, lo que permite
que solo el software del sistema con privilegios pueda acceder a ella. El acceso no
autorizado a estos secretos podría generar ataques de robo de credenciales, como
ataques Pass-the-Hash o Pass-the-Ticket. Al proteger los hashes de contraseña
NTLM, los vales de concesión de vales de Kerberos y las credenciales de dominio
almacenadas por las aplicaciones, Credential Guard de Windows Defender bloquea
eficazmente estos ataques.

Al habilitar Credential Guard de Windows Defender, se obtienen las siguientes

características y soluciones:

• Características de seguridad de la plataforma para proteger las

credenciales: NTLM de seguridad de hardware, Kerberos y Credential
Manager aprovechan las características de seguridad de la plataforma,
incluidos el arranque seguro y la virtualización, para ayudar a proteger las
credenciales.

• Seguridad basada en la visibilidad: las credenciales derivadas de NTLM y de

Kerberos, y otros secretos se ejecutan en un entorno protegido aislado del
sistema operativo en ejecución.

• Mejor protección contra las amenazas persistentes avanzadas: las

herramientas y técnicas de ataque de robo de credenciales que se usan en
muchos ataques dirigidos se bloquean cuando las credenciales de dominio
de Credential Manager, NTLM y las credenciales derivadas de Kerberos están
protegidas mediante seguridad basada en la virtualización. El malware que
se ejecuta en el sistema operativo con privilegios administrativos no puede
extraer secretos protegidos mediante seguridad basada en la virtualización.
Aunque Credential Guard de Windows Defender ofrece una protección
segura, las amenazas persistentes avanzadas de todos modos se pueden
seguir adaptando a las técnicas nuevas de ataques. Para lograr una
seguridad completa, se recomienda combinar Device Guard de Windows
Defender con otras arquitecturas y estrategias de seguridad.

3.3.1. ¿Cómo funciona Credential Guard de Windows Defender?

Kerberos, NTLM y Credential Manager aíslan los secretos mediante la seguridad
basada en virtualización. Versiones anteriores de secretos almacenados de Windows
en la autoridad de seguridad local. Antes de Windows 10, la LSA almacenaba los
secretos que usaba el sistema operativo en la memoria del proceso. Con Credential
Guard de Windows Defender habilitado, el proceso de LSA en el sistema operativo se
comunica con un nuevo componente denominado proceso LSA aislado que
almacena y protege estos secretos. Los datos almacenados mediante el proceso LSA
aislado se protegen con la seguridad basada en la virtualización y no son accesibles
para el resto del sistema operativo. LSA usa llamadas a procedimiento remoto para
comunicarse con el proceso LSA aislado.
Para aumentar la seguridad, el proceso de la autoridad de seguridad local aislado
no permite ningún controlador de dispositivo y solo incluye un número restringido de
archivos binarios esenciales del sistema operativo necesarios por motivos de
seguridad. Cada uno de estos archivos binarios tiene un certificado de confianza
para la seguridad basada en virtualización y sus firmas se validan antes de la
ejecución de archivos en el entorno protegido.

Cuando se habilita Credential Guard de Windows Defender, NTLMv1, MS-CHAPv2,

Digest y CredSSP no pueden usar las credenciales de sesión iniciadas. Por lo tanto, el
inicio de sesión único no funciona con estos protocolos. Sin embargo, las aplicaciones
pueden solicitar credenciales o usar las del almacén de Windows, que no están
protegidas por Credential Guard de Windows Defender con ninguno de estos
protocolos. Se recomienda que las credenciales importantes, como las de inicio de
sesión, no se usen con ninguno de estos protocolos. Cuando los usuarios de dominio
o Azure AD requieran el uso de estos protocolos, aprovisione credenciales
secundarias específicamente para estos escenarios.

Cuando se habilita Credential Guard de Windows Defender, Kerberos no permite la

delegación Kerberos sin restricciones ni el cifrado DES para las credenciales de sesión
iniciada ni para las credenciales solicitadas o guardadas.

Aquí encontrarás una descripción general de cómo se aísla la LSA mediante la

seguridad basada en la virtualización:

Se puede habilitar Credential Guard de Windows Defender mediante Directiva de

grupo, el registro o la herramienta de preparación de hardware de Device Guard y
Credential Guard de Windows Defender. Credential Guard de Windows Defender
también protege la información confidencial en una máquina virtual de Hyper-V, tal
como lo haría en una máquina física. A las máquinas virtuales se les aplica el mismo
conjunto de procedimientos para habilitar Credential Guard de Windows Defender
que en las máquinas físicas.
3.3.2. Habilitación de Credential Guard de Windows Defender mediante Directiva de grupo
Puede usar Directiva de grupo para habilitar Credential Guard de Windows Defender.
Esto agregará y habilitará las características de seguridad basadas en la
virtualización de manera automática, si es necesario. Para habilitarlo, siga estos
pasos:

1. En la Consola de administración de directivas de grupo, vaya a Computer

Configuration - Administrative Templates - System - Device Guard.

2. Haga doble clic en Turn On Virtualization Based Security y seleccione Enabled.

3. En el cuadro Select Platform Security Level, elija Secure Boot o Secure Boot
and DMA Protection.

4. En el cuadro Credential Guard Configuration, seleccione Enabled with UEFI

lock y OK. Si quiere poder desactivar Credential Guard de Windows Defender
de forma remota, elija Enabled without lock.
Además de usar Directiva de grupo para habilitar Credential Guard, los
administradores pueden usar la plataforma Microsoft Intune para implementar esta
característica en los equipos cliente inscritos en Azure AD e Intune. Credential Guard
forma parte del perfil de configuración del dispositivo cuando se usa el tipo de perfil
de Endpoint Protection. Solo está disponible para Windows 10 y plataformas de
sistema operativo posteriores.

3.4. Administración del Antivirus de Microsoft Defender

El Antivirus de Microsoft Defender ayuda a proteger su equipo frente a spyware,
malware y virus. El Antivirus de Microsoft Defender también es compatible con Hyper-
V, lo que significa que detecta si Windows se ejecuta como máquina virtual. El
Antivirus de Microsoft Defender usa definiciones para determinar si el software que
detecta no es deseado y avisa de riesgos. Para que las definiciones estén
actualizadas, el Antivirus de Microsoft Defender instala de forma automática las
definiciones en cuanto se publican.

Puede usar el Antivirus de Microsoft Defender para ejecutar un examen rápido,

completo o personalizado. Si sospecha que algún spyware ha infectado alguna zona
concreta de su equipo, puede personalizar un análisis seleccionando solo unidades y
carpetas específicas. También puede configurar la programación que usará el
Antivirus de Microsoft Defender.

Puede elegir que el Antivirus de Microsoft Defender excluya procesos en el examen.

Esto puede hacer que un examen finalice más rápidamente, pero el equipo tendrá
menos protección. Cuando el Antivirus de Microsoft Defender detecta posibles
actividades de spyware, detiene la actividad y genera una alerta.
Los niveles de alerta determinan cómo hacer frente al spyware y al software no
deseado. Puede configurar el comportamiento del Antivirus de Microsoft Defender
cuando un examen identifica software no deseado. También recibirá una alerta si
algún software intenta cambiar la configuración importante del sistema operativo
Windows.

Para ayudar a evitar que el spyware y otro software no deseado se ejecuten en un

equipo, active la protección en tiempo real del Antivirus de Microsoft Defender.

El Antivirus de Microsoft Defender incluye opciones de examen automáticas que

proporcionan análisis normal y análisis a petición para malware. En la tabla siguiente
se identifican las opciones de examen.

Como procedimiento recomendado, debe programar un examen rápido diario. Si

sospecha que algún spyware ha infectado su equipo, lleve a cabo un análisis
completo del sistema. Al ejecutar un examen, el progreso se muestra en la página de
protección contra amenazas de virus del Centro de Seguridad de Windows. Cuando
el Antivirus de Microsoft Defender detecta un archivo potencialmente dañino, lo
mueve a un área de cuarentena y no permite que se ejecute ni que permita que otros
procesos accedan a él. Una vez completado el examen, puede abrir la página
Historial de exámenes y, en la sección Amenazas en cuarentena, elegir quitar o
restaurar cada amenaza detectada. Como alternativa, si desea quitar todos los
elementos en cuarentena, seleccione Quitar todo.

No restaure software con una clasificación de alerta grave o alta, dado que puede
poner en peligro su privacidad y la seguridad de su equipo.

Puede agregar exclusiones para impedir que el Antivirus de Microsoft Defender le

avise de amenazas; para ello, agregue archivos, carpetas, tipos de archivo o
procesos a la lista Exclusiones. Para agregar una exclusión:

1. Abra el Centro de seguridad de Windows.

2. En Protección contra amenazas de virus, seleccione Configuración de

protección contra amenazas de virus.

3. En la página Configuración de protección contra amenazas de virus,

seleccione Agregar o quitar exclusiones.

4. En la sección Exclusiones, seleccione el signo más y Archivo, Carpeta, Tipo de

archivo o Proceso en función del tipo de exclusión que quiera crear. Las
exclusiones de carpetas también se aplican a las subcarpetas.
Con el Antivirus de Microsoft Defender sin conexión, puede arrancar y ejecutar un
examen desde un entorno de confianza, en lugar de ejecutarlo desde un entorno de
Windows de arranque completo. Microsoft Defender Sin conexión se ejecuta
independiente del kernel de Windows y puede dirigirse a malware que omite el shell
de Windows, incluido el malware que pueda infectar o sobrescribir el registro de
arranque maestro (MBR) de un equipo. Los exámenes de Microsoft Defender sin
Conexión también se ejecutan desde el Centro de seguridad de Windows.

Puede configurar el Antivirus de Microsoft Defender con varias herramientas, entre las
que se incluyen:

• Microsoft Intune
• Configuration Manager
• Directiva de grupo
• Cmdlets de PowerShell
• Instrumental de administración de Windows (WMI)

Se pueden configurar las siguientes categorías generales de características:

• Protección que proporciona la nube

• Protección siempre en tiempo real, incluida la protección basada en el

comportamiento, la heurística y el aprendizaje automático

• Cómo interactúan los usuarios finales con el cliente en puntos de conexión

individuales

Si usa la plataforma de Microsoft 365, se recomienda usar Intune para administrar

Microsoft Defender. Para administrar Microsoft Defender mediante Intune, siga estos
pasos:

1. En el centro de administración de Microsoft Intune, seleccione Dispositivos,

luego la plataforma Windows y, por último, Perfiles de configuración.

2. Seleccione Crear perfil.

3. Especifique las siguientes propiedades:

• Plataforma: elija las versiones de Windows que quiere incluir.
• Tipo de perfil: seleccione Restricciones de dispositivos.

4. En la pestaña Configuración, expanda el elemento Antivirus de Microsoft

Defender y configure las opciones deseadas.
3.4.1. Características adicionales del Antivirus de Microsoft Defender
Bloquear a primera vista es una característica de la protección en la nube del
Antivirus de Microsoft Defender que permite que el Antivirus de Microsoft Defender
identifique y bloquee rápidamente el nuevo malware. Bloquear a primera vista se
habilita mediante Directiva de grupo. Al habilitar esta característica, se activará tanto
la protección basada en la nube como el envío automático de muestras.

Detectar y bloquear aplicaciones potencialmente no deseadas es otra característica

que puede usar para bloquear el software no deseado durante los tiempos de
descarga e instalación. Por ejemplo, puede bloquear el software que se incluye con
otras descargas, software de inyección de anuncios y controladores y optimizadores
del registro. La característica Detectar y bloquear aplicaciones potencialmente no
deseadas está disponible para los usuarios empresariales cuya infraestructura de
cliente se administra mediante Microsoft Configuration Manager o Intune.

3.5. Administración del Firewall de Windows Defender

Una parte muy importante de Windows Defender es un firewall. Puede acceder a la
configuración del firewall desde el centro de seguridad de Windows o puede
encontrar estas opciones en el panel de control, en los elementos Centro de redes y
recursos compartidos, y Sistema y seguridad. En Sistema y seguridad, puede
configurar las opciones básicas del firewall de Windows Defender y acceder al centro
de actividades para ver las notificaciones de las alertas de firewall. En el Centro de
redes y uso compartido, puede configurar todos los tipos de conexiones de red, como
cambiar el perfil de ubicación de red. También puede configurar las opciones básicas
del firewall de Windows Defender en el Centro de seguridad de Windows.

No puede configurar todas las opciones del firewall de Windows Defender en el

Centro de seguridad de Windows. Algunos vínculos del Centro de seguridad de
Windows abren la página del firewall de Windows Defender en el panel de control.

En el caso de los equipos Windows inscritos en Intune o unidos a Azure AD, puede usar
Microsoft Intune para administrar la configuración del firewall de Windows. Esta
configuración forma parte del perfil de configuración del dispositivo de Endpoint
Protection. Al elegir crear un nuevo perfil de configuración de dispositivo en Intune y
seleccionar Endpoint Protection, se le presentará la configuración disponible para el
firewall de Windows. Puede administrar todas las características que se describen
más adelante en esta unidad mediante Microsoft Intune. Para los equipos de
Azure AD, esta es la manera recomendada de administrar la configuración del firewall.
3.5.1. Excepciones de firewall
Cuando agrega un programa a la lista de programas permitidos o abre un puerto de
firewall, permite que ese programa envíe información a su equipo o desde este.
Permitir que un programa se comunique mediante un firewall es como realizar una
apertura en el firewall. Cada vez que se crea otra apertura, el equipo se vuelve menos
seguro.

Por lo general, es más seguro agregar un programa a la lista de programas permitidos

que abrir un puerto en el firewall. Si abre un puerto sin determinar su ámbito en una
aplicación específica, la apertura en el firewall permanece hasta que cierre el puerto,
independientemente de si un programa lo está usando. Si agrega un programa a la
lista de programas permitidos, permite que la propia aplicación cree una apertura en
el firewall, pero solo cuando sea necesario. Las aperturas solo están disponibles para
la comunicación cuando un programa o equipo permitido lo requiera.

Para agregar, cambiar o quitar los puertos y programas permitidos, debe realizar los
pasos siguientes:

1. En el panel de control, en la página del firewall de Windows Defender, en el

panel de navegación, seleccione Permitir una aplicación o característica
mediante el firewall de Windows Defender.

2. Seleccione Cambiar la configuración.

Por ejemplo, para ver los contadores de rendimiento desde un equipo remoto, debe
habilitarse la excepción de firewall Registros y alertas de rendimiento en el equipo
remoto.

Para ayudar a reducir los riesgos de seguridad al abrir las comunicaciones:

• Permita un programa o abra un puerto solo cuando sea necesario.

• Quite los programas de la lista de programas permitidos o cierre los puertos

cuando no los necesite.

• Nunca permita que un programa que no conozca se comunique mediante el

firewall.

3.5.2. Varios perfiles de firewall activos

Windows incluye varias directivas de firewall activas. Estas directivas de firewall
permiten a los equipos obtener y aplicar un perfil de firewall de dominio,
independientemente de las redes activas en los equipos. Los profesionales de la
tecnología de la información (TI) pueden mantener un único conjunto de reglas para
los clientes remotos y aquellos que se conectan físicamente a la red de una
organización. Para configurar o modificar las opciones de perfil de una ubicación de
red, seleccione Cambiar la configuración avanzada de uso compartido en el panel
de navegación del Centro de redes y uso compartido.
La primera vez que conecte un equipo a una red, debe seleccionar si confía en la red,
que establece la configuración de seguridad y firewall adecuada automáticamente.
Al conectarse a redes en diferentes ubicaciones, puede asegurarse de que el equipo
siempre esté establecido en un nivel de seguridad adecuado eligiendo una ubicación
de red.

Windows usa el reconocimiento de ubicación de red para identificar las redes a las
que está conectado solo un equipo. El reconocimiento de la ubicación de red recopila
información de las redes, incluidas las direcciones IP y los datos de la dirección para
el control de acceso multimedia (MAC) de los componentes de red importantes, como
los enrutadores y las puertas de enlace, para identificar una red específica. Si el
reconocimiento de la ubicación de red reconoce la red como una a la que el
dispositivo se ha conectado anteriormente, selecciona el perfil de ubicación de red
correspondiente. De lo contrario, es posible que se le pida al usuario que seleccione
el perfil de ubicación de red al que se va a conectar el dispositivo.

Hay tres tipos de perfil de ubicación de red:

• Redes de dominio. Normalmente son redes de área de trabajo que se

conectan a un dominio. El dispositivo Windows aparece automáticamente en
esta ubicación de red si puede comunicarse con un controlador de dominio
para el dominio al que está unido. La detección de redes está activada de
forma predeterminada y no puede crear un grupo Hogar ni unirse a él.

• Redes privadas. Estas son redes domésticas o profesionales donde conoce a

las personas y los dispositivos y confía en ellos. Al seleccionar redes
domésticas o profesionales (privadas), se activa la detección de redes. Los
equipos de una red doméstica pueden pertenecer a un grupo Hogar.

• Redes públicas o invitadas. Estas son redes de lugares públicos. Esta

ubicación evita que el equipo sea visible para otros equipos. Al seleccionar la
ubicación de red pública, Windows desactiva la detección de redes.

Puede modificar la configuración del firewall para cada tipo de ubicación de red
desde la página principal del firewall de Windows Defender. Seleccione Activar o
desactivar el firewall de Windows Defender, la ubicación de red y, a continuación, su
opción. También puede modificar las opciones siguientes:

• Bloquear todas las conexiones entrantes, incluidas las de la lista de

programas permitidos.

• Notificarme cuando el firewall de Windows Defender bloquee un nuevo

programa.

La ubicación de la red pública impide que se ejecuten determinados programas y

servicios, lo que protege al equipo del acceso no autorizado. Si está conectado a una
red pública y el firewall de Windows Defender está activado, algunos programas y
servicios pueden solicitar la comunicación mediante el firewall para funcionar
correctamente.
3.5.3. Notificaciones del firewall de Windows Defender
También puede mostrar las notificaciones del firewall en la barra de tareas mediante
los pasos siguientes. En el panel de control, en la página del firewall de Windows
Defender, en el panel de navegación, seleccione Cambiar configuración de
notificación y, para cada ubicación de red, active o desactive la casilla Notificarme
cuando el firewall de Windows Defender bloquee una nueva aplicación.

3.6. Exploración de Firewall de Windows Defender con seguridad avanzada

Aunque puede realizar una configuración típica del usuario final en el panel de control
mediante el firewall de Windows Defender, también puede realizar una configuración
avanzada en el firewall de Windows Defender con el complemento Seguridad
avanzada. Acceda a este complemento mediante el panel de control desde la
página del firewall de Windows Defender; para ello, seleccione Configuración
avanzada en el panel de navegación. El complemento proporciona una interfaz de
configuración local del firewall de Windows Defender en los equipos remotos y
mediante Directiva de grupo.

El firewall de Windows Defender con Seguridad avanzada es un ejemplo de

aplicación compatible con la red. Cree un perfil para cada tipo de ubicación de red,
cada perfil puede contener diferentes directivas de firewall. Por ejemplo, puede
permitir el tráfico entrante para una herramienta de administración de escritorio
específica cuando un equipo esté en una red de dominio, pero bloquearlo cuando el
equipo se conecte a redes públicas o privadas.

El reconocimiento de la red le permite proporcionar flexibilidad en una red interna sin

sacrificar la seguridad cuando los usuarios viajen. Los perfiles de red pública deben
tener directivas de firewall más estrictas para protegerse del acceso no autorizado.
Los perfiles de red privada pueden tener directivas de firewall menos restrictivas para
permitir el uso compartido de archivos y la impresión o la detección del mismo nivel.

3.6.1. Firewall de Windows Defender con propiedades de Seguridad avanzada

Puede configurar las propiedades básicas del firewall para los perfiles de dominio,
privado y de red pública mediante el cuadro de diálogo Firewall de Windows
Defender con propiedades de Seguridad avanzada. Un perfil de firewall es una forma
de agrupar la configuración, incluidas las reglas de firewall y las reglas de seguridad
de conexión. Use la pestaña Configuración de IPsec en el cuadro de diálogo Firewall
de Windows Defender con propiedades de Seguridad avanzada para configurar los
valores predeterminados para las opciones de configuración de IPsec.
Para acceder a la configuración del perfil global en el firewall de Windows Defender
con propiedades de Seguridad avanzada, realice uno de los procedimientos
siguientes:

• En el panel izquierdo, haga clic con el botón derecho en Firewall de Windows

con Seguridad avanzada y seleccione Propiedades.

• En el panel de navegación, seleccione Firewall de Windows Defender con

Seguridad avanzada y en la sección Información general,
seleccione Propiedades del firewall de Windows Defender.
• En el panel de navegación, seleccione Firewall de Windows Defender con
Seguridad avanzada y, en el panel Acciones, seleccione Propiedades.

Opciones que se pueden configurar para cada uno de los tres perfiles:
• Estado del firewall. Activa o desactiva cada perfil.

• Conexiones entrantes. Configuración para bloquear las conexiones que no

coincidan con ninguna regla de firewall activa, para bloquear todas las
conexiones independientemente de las especificaciones de regla de entrada
o para permitir las conexiones entrantes que no coincidan con una regla de
firewall activa.

• Conexiones salientes. Configuración para permitir las conexiones que no

coincidan con ninguna regla de firewall activa o para bloquear las conexiones
salientes que no coincidan con una regla de firewall activa.

• Conexiones de red protegidas. Configuración de los adaptadores de red que

el firewall de Windows Defender Firewall va a proteger.

• Configuración. Configuración de las notificaciones para mostrar, las

respuestas de unidifusión, las reglas de firewall locales y las reglas de
seguridad de conexión locales.

• Registro. Configure las siguientes opciones de registro:

o Nombre. Uso de un nombre diferente para el archivo de registro de
cada perfil de red.
o Límite de tamaño (KB). El tamaño predeterminado es 4,096. Se debe
ajustar si es necesario al solucionar problemas.
o No se produce ningún registro hasta que se establece una de las
opciones siguientes (o ambas) en Sí:
o Registrar paquetes descartados
o Registrar conexiones correctas
3.6.2. Firewall de Windows Defender con reglas de Seguridad avanzada
Las reglas son una colección de criterios que definen el tráfico que se permitirá,
bloqueará o protegerá con firewall. Se pueden configurar los siguientes tipos de
reglas:
• Entrada
• Salida
• Reglas de seguridad de conexión

3.6.3. Reglas de entrada

Las reglas de entrada permiten o bloquean explícitamente el tráfico que coincide con
los criterios de la regla. Por ejemplo, puede configurar una regla para permitir el tráfico
de Escritorio remoto desde el segmento de red local mediante el firewall, pero
bloquearlo si el origen es un segmento de red diferente.

Al instalar por primera vez el sistema operativo Windows, el firewall de Windows

Defender bloquea todo el tráfico entrante no solicitado. Para permitir cierto tipo de
tráfico entrante no solicitado, debe crear una regla de entrada que lo describa. Por
ejemplo, si desea ejecutar un servidor web, debe crear una regla que permita el
tráfico de red entrante no solicitado en el puerto TCP 80 para el tráfico HTTP y en el
puerto TCP 443 para el tráfico HTTPS. Puede configurar la acción predeterminada del
firewall de Windows Defender con Seguridad avanzada, que es permitir o bloquear
las conexiones cuando no procede una regla de entrada.

3.6.4. Reglas de salida

Firewall de Windows Defender permite todo el tráfico saliente, a menos que una regla
lo bloquee. Las reglas de salida permiten o bloquean explícitamente el tráfico
originado en un equipo que coincide con los criterios de una regla. Por ejemplo, puede
configurar una regla para bloquear explícitamente el tráfico saliente a un equipo por
dirección IP mediante el firewall, pero permitir el mismo tráfico para otros equipos.
3.6.5. Tipos de reglas de entrada y de salida
Hay cuatro tipos diferentes de reglas de entrada y de salida:

• Reglas de programa. Controlan las conexiones de un programa. Use este tipo

de regla de firewall para permitir una conexión basada en el programa que
intente conectarse. Estas reglas son útiles cuando no esté seguro del puerto o
de otros valores necesarios, ya que solo especifica la ruta de acceso del
archivo ejecutable del programa (.exe).

• Reglas de puerto. Controlan las conexiones de un puerto TCP o UDP. Use este
tipo de regla de firewall para permitir una conexión basada en el número de
puerto TCP o UDP a través del cual el equipo intente conectarse. Especifique
el protocolo y los puertos locales a los que se aplica la regla.

• Reglas predefinidas. Controlan las conexiones de una experiencia basada en

Windows. Use este tipo de regla de firewall para permitir una conexión; para
ello, seleccione uno de los programas o experiencias de la lista. Los programas
compatibles con la red que instala normalmente agregan sus propias
entradas a esta lista, de modo que pueda habilitarlas y deshabilitarlas en
grupo.

• Reglas personalizadas. Configure estos valores según sea necesario. Use este
tipo de regla de firewall para permitir una conexión basada en criterios que no
cubran otros tipos de reglas de firewall.

Tenga en cuenta el escenario en el que desea crear y administrar las tareas en un

equipo remoto mediante la interfaz de usuario del Programador de tareas. Antes de
conectarse al equipo remoto, debe habilitar la excepción de firewall Administración
remota de tareas programadas en el equipo remoto. Puede hacerlo mediante el tipo
de regla predefinida en una regla de entrada.

Por otra parte, quizá desee bloquear todo el tráfico web en el puerto predeterminado
del servidor web TCP 80. En este escenario, creará una regla de puerto de salida que
bloquee el puerto especificado.

3.6.6. Reglas de seguridad de conexión

Las reglas de firewall y las reglas de seguridad de conexión son complementarias y
ambas contribuyen a una estrategia de defensa en profundidad para proteger un
equipo. Las reglas de seguridad de conexión protegen el tráfico a medida que cruza
una red mediante IPsec. Use reglas de seguridad de conexión para requerir
autenticación o cifrado de las conexiones entre dos equipos. Las reglas de seguridad
de conexión especifican cómo y cuándo se produce la autenticación, pero no
permiten conexiones. Para permitir una conexión, cree una regla de entrada o de
salida. Después de que una regla de seguridad de conexión entre en vigor, puede
especificar que las reglas de entrada y de salida se apliquen solo a usuarios o
equipos específicos.
Puede crear los siguientes tipos de reglas de seguridad de conexión:

• Reglas de aislamiento. Estas aíslan los equipos mediante la restricción de las

conexiones en función de criterios de autenticación, como la pertenencia a un
dominio o el estado de mantenimiento. Las reglas de aislamiento le permiten
implementar una estrategia de aislamiento de dominio o servidor.

• Reglas de exención de autenticación. Designan las conexiones que no

requieren autenticación. Puede designar equipos por dirección IP específica,
un intervalo de direcciones IP, una subred o un grupo predefinido, como una
puerta de enlace. Normalmente, este tipo de regla se usa para conceder
acceso a equipos de infraestructura, como controladores de dominio de
Active Directory, entidades de certificación (CA) o servidores del Protocolo de
configuración dinámica de host (DHCP).

• Reglas de servidor a servidor. Protegen las conexiones entre equipos

específicos. Al crear este tipo de regla, debe especificar los puntos de
conexión de red entre los que desea proteger las comunicaciones. A
continuación, designe los requisitos y el tipo de autenticación que desea usar,
como el protocolo Kerberos, versión 5. Un escenario en el que podría usar esta
regla es si desea autenticar el tráfico entre un servidor de bases de datos y un
equipo de nivel empresarial.

• Reglas de túnel. Protegen las comunicaciones entre dos equipos mediante el

modo de túnel en IPsec en lugar del modo de transporte. El modo de túnel
inserta todo el paquete de red en uno que enrute entre dos puntos de
conexión definidos. Para cada punto de conexión, especifique un único
equipo que reciba y consuma el tráfico enviado, o especifique un equipo de
puerta de enlace que se conecte a una red privada a la que se enrute el
tráfico recibido después de extraerlo del túnel.

• Reglas personalizadas. Configure estos valores según sea necesario. Las

reglas personalizadas autentican las conexiones entre dos puntos de
conexión cuando no se pueden configurar reglas de autenticación mediante
otros tipos de reglas.

3.6.7. Supervisión
El firewall de Windows Defender usa la interfaz de supervisión para mostrar
información sobre las reglas de firewall actuales, las reglas de seguridad de conexión
y las asociaciones de seguridad. En la página Supervisión se muestran los perfiles
activos (dominio, privado o público) y la configuración de los perfiles activos.

Los eventos del firewall de Windows Defender con Seguridad avanzada también está
disponibles en el Visor de eventos. Por ejemplo, el registro de eventos operativos
ConnectionSecurity es un recurso que puede usar para ver los eventos relacionados
con IPsec. El registro operativo siempre está activado y contiene eventos para las
reglas de seguridad de conexión.
3.7. Prueba de conocimientos
1. Contoso ha implementado el Antivirus de Microsoft Defender en todos los
dispositivos de la empresa para ayudar a evitar que el spyware y otro software no
deseado se ejecuten en cualquiera de sus equipos. Como procedimiento
recomendado, Contoso programa un examen rápido diario en cada dispositivo. Si el
Antivirus de Microsoft Defender identifica un archivo potencialmente peligroso
durante un examen, ¿qué acción lleva a cabo?

• Lo marca como potencialmente infectado

• Quita el archivo.

• Mueve el archivo a un área de cuarentena.

Correcto. Cuando el Antivirus de Microsoft Defender detecta un archivo
potencialmente dañino, lo mueve a un área de cuarentena y no permite que
se ejecute ni que permita que otros procesos accedan a él. Una vez
completado el examen, puede abrir la página Historial de exámenes y, en la
sección Amenazas en cuarentena, elegir quitar o restaurar cada amenaza
detectada.

2. ¿Qué característica de Windows Defender Credential Guard bloquea las técnicas

y herramientas de ataque de robo de credenciales que se usan en muchos ataques
dirigidos?

• Seguridad de virtualización
Correcto. Las herramientas y técnicas de ataque de robo de credenciales que
se usan en muchos ataques dirigidos se bloquean cuando las credenciales de
dominio de Credential Manager, NTLM y las credenciales derivadas de
Kerberos están protegidas mediante seguridad basada en la virtualización. El
malware que se ejecuta en el sistema operativo con privilegios administrativos
no puede extraer secretos protegidos mediante seguridad basada en la
virtualización.

• Autoridad de seguridad local (LSA)

• Directiva de grupo

3.8. Resumen
En este módulo, ha obtenido información sobre el Centro de Seguridad de Windows,
que ofrece un conjunto de características de seguridad para los clientes de Windows,
como Microsoft Defender Antivirus y Firewall de Windows Defender. Para garantizar
una correcta configuración, estas características se deben administrar de forma
centralizada en las organizaciones. Aunque la configuración predeterminada ofrece
protección básica, los administradores deben emplear directivas para adaptar la
configuración de seguridad en función de las directivas de seguridad e
infraestructura de la organización. La configuración se puede lograr mediante
herramientas de administración populares como Microsoft Endpoint Manager o una
directiva de grupo, lo que proporciona a los alumnos una base sólida para administrar
la configuración de seguridad de forma eficaz.
4. ADMINISTRACIÓN DE MICROSOFT DEFENDER FOR CLOUD APPS
4.1. Introducción
El cambio a la tecnología en la nube proporciona una mayor flexibilidad tanto para
los empleados como para los equipos de TI. Sin embargo, también supone nuevos
obstáculos e complejidades para garantizar la seguridad de la organización. Para
optimizar las ventajas de las aplicaciones y los servicios en la nube, los equipos de TI
deben lograr un equilibrio entre el fácil acceso y la protección de los datos esenciales.

Este módulo está diseñado para proporcionar una visión global completa de
Microsoft Defender for Cloud Apps y su relevancia en las configuraciones de trabajo
dinámicas actuales. Con este módulo conocerá el funcionamiento de esta sólida
solución de seguridad en la nube y su rol en la protección de la información
confidencial de la organización frente a las ciberamenazas. Además, tendrá los
conocimientos y aptitudes necesarios para usar eficazmente Microsoft Defender for
Cloud Apps en escenarios de área de trabajo modernos. El uso de sus características
y funcionalidades refuerza la seguridad de las aplicaciones y los servicios en la nube,
lo que mejora su posición de seguridad general.

4.1.1. Objetivos
Al finalizar este módulo, podrá hacer lo siguiente:
• Descripción de Microsoft Defender for Cloud Apps
• Planeamiento del uso de Microsoft Defender for Cloud Apps
• Implementación y uso de Microsoft Defender for Cloud Apps

4.2. Exploración de Microsoft Defender for Cloud Apps

Microsoft Defender for Cloud Apps, agente de seguridad de acceso a la nube (CASB),
ofrece modos de implementación versátiles, como la recopilación de registros, los
conectores de API y el proxy inverso. Sus características avanzadas permiten obtener
una amplia visibilidad y control sobre el movimiento de los datos, a la vez que
proporcionan análisis sofisticados para detectar y mitigar las amenazas de
ciberseguridad en todos los servicios en la nube de Microsoft y de terceros.

Esta solución CASB está adaptada para satisfacer las necesidades de seguridad de
los profesionales, al integrarse sin problemas con otras soluciones de Microsoft para
proporcionar un proceso de implementación simplificado, una administración
centralizada y funcionalidades avanzadas de automatización.

4.2.1. ¿Qué es un CASB?

La adopción de la tecnología en la nube ofrece una mayor flexibilidad para los
equipos de TI y los empleados, pero también presenta nuevos desafíos y
complejidades en el mantenimiento de la seguridad dentro de la organización. Llegar
al máximo potencial de las aplicaciones y los servicios en la nube requiere un
equilibrio delicado entre admitir el acceso y proteger los datos confidenciales. Aquí
es donde entran en juego los agentes de seguridad de acceso a la nube (CASB). Los
CASB actúan como guardianes que exigen las directivas de seguridad de la empresa,
lo que proporciona medidas de seguridad adicionales para el uso de los servicios en
la nube de la organización. Para ello, el acceso se realiza en tiempo real entre los
usuarios empresariales y los recursos en la nube, independientemente de la ubicación
del usuario o del dispositivo. Para ello, los CASB ofrecen varias características, como
la detección y visibilidad del uso de Shadow IT y la aplicación, la supervisión de las
actividades del usuario en busca de comportamientos anómalos, el control de
acceso a los recursos, la prevención de la filtración de información confidencial, la
protección contra actores malintencionados y la evaluación del cumplimiento de los
servicios en la nube. Al proporcionar visibilidad y control granulares de las actividades
del usuario y los datos confidenciales, los CASB abordan las infracciones de
seguridad en los servicios en la nube de la organización, que abarcan SaaS, PaaS e
IaaS. En lo que se refiere a la cobertura de SaaS, los CASB suelen trabajar con las
plataformas de colaboración de contenido (CCP), los sistemas de CRM, los sistemas
de RR. HH., las soluciones de planeamiento de recursos empresariales (ERP), los
departamentos de servicios, los conjuntos de aplicaciones de productividad de
oficina y los sitios de redes sociales empresariales populares. En el caso de la
cobertura de IaaS y PaaS, son varios los CASB que rigen el uso basado en API de
proveedores de servicios en la nube (CSP) conocidos y amplían la visibilidad y la
gobernanza a las aplicaciones que se ejecutan en estas nubes.

4.2.2. ¿Por qué necesito un CASB?

Los CASB son esenciales para comprender totalmente la posición general de la nube,
que abarca las aplicaciones SaaS y los servicios en la nube. Shadow IT Discovery y la
gobernanza de las aplicaciones son casos de uso críticos para un CASB. Además,
como organización, es su responsabilidad administrar y proteger la plataforma en la
nube, incluida la administración de identidad y acceso, las máquinas virtuales, los
recursos de proceso, los datos y el almacenamiento, y los recursos de red. Por lo tanto,
si es una organización que usa o considera el uso de aplicaciones en la nube en la
cartera de servicios de red, es probable que sea necesario un CASB para abordar los
desafíos exclusivos de proteger el entorno. Los actores malintencionados pueden
usar aplicaciones en la nube para infiltrar la red empresarial y extraer datos
empresariales confidenciales, por lo que es fundamental proteger los usuarios y los
datos de diferentes métodos de ataque. Para esto, los CASB ofrecen una amplia
gama de funcionalidades que protegen el entorno en varios pilares. Estos pilares
incluyen:

• Visibilidad: donde los CASB detectan todos los servicios en la nube y les
asignan una clasificación del riesgo con la identificación de todos los usuarios
y aplicaciones de terceros que inician sesión.

• Seguridad de los datos: los CASB también proporcionan seguridad de datos

mediante la detección y el control de la información confidencial mediante la
prevención de la pérdida de datos (DLP) y la respuesta a las etiquetas de
confidencialidad en el contenido.

• Protección contra amenazas: los CASB ofrecen protección contra amenazas

con control de acceso adaptable (AAC), análisis del comportamiento de los
usuarios y las entidades (UEBA) y mitigación de malware.

• Cumplimiento: los CASB ayudan con los esfuerzos de cumplimiento

proporcionando informes y paneles que muestran la gobernanza de la nube y
ayudan con la conformidad con los requisitos de cumplimiento normativo y de
residencia de datos.
4.3. Planeamiento de Microsoft Defender for Cloud Apps
Esta unidad le guiará para usar Microsoft Defender for Cloud Apps. Mediante
Microsoft Defender for Cloud Apps, disfrute de las ventajas de las aplicaciones en la
nube al tiempo que conserva el control sobre los recursos corporativos. La
herramienta mejora la visibilidad de las actividades en la nube y aumenta la
protección de los datos corporativos. Esta unidad le guiará por la configuración y el
uso de Microsoft Defender for Cloud Apps.

Nota
Microsoft Defender for Cloud Apps (anteriormente conocido como Microsoft Cloud
App Security) forma parte de Microsoft 365 Defender. El portal de Microsoft 365
Defender permite a los administradores de seguridad realizar sus tareas de seguridad
en una ubicación. Esto simplifica los flujos de trabajo y agrega la funcionalidad de los
demás servicios Microsoft 365 Defender. Microsoft 365 Defender será el nuevo hogar
de la supervisión y la administración de la seguridad de todas las identidades, los
datos, los dispositivos, las aplicaciones y la infraestructura de Microsoft. Para más
información sobre estos cambios, consulte Microsoft Defender for Cloud Apps en
Microsoft 365 Defender.

4.3.1. Requisitos previos

Nota
Microsoft Defender for Cloud Apps es una herramienta de seguridad y, por tanto, no
requiere licencias del conjunto de productividad de Office 365.

• Para que su organización cumpla con los requisitos para la licencia de

Microsoft Defender for Cloud Apps, debe obtener una licencia para cada
usuario protegido por Microsoft Defender for Cloud Apps.

• Cuando ya tenga una licencia para Defender for Cloud Apps, recibirá un
correo electrónico con la información de activación y un vínculo al portal de
Defender for Cloud Apps.

• Para configurar Defender for Cloud Apps, debe ser administrador global o
administrador de seguridad de Azure Active Directory u Office 365. Es
importante comprender que un usuario que tenga asignado un rol de
administrador tendrá los mismos permisos en todas las aplicaciones en la
nube a las que se haya suscrito la organización. Esto es así
independientemente de si se asigna el rol en el centro de administración de
Microsoft 365, en el portal de Azure clásico o mediante el módulo de Azure AD
para Windows PowerShell.

• Para ejecutar el portal de Defender for Cloud Apps, use Microsoft Edge (la
versión más reciente), Google Chrome (la versión más reciente), Mozilla Firefox
(la versión más reciente) o Apple Safari (la versión más reciente).
4.4. Implementación de Microsoft Defender for Cloud Apps
En este módulo aprenderá los siete pasos para empezar a usar Microsoft Defender for
Cloud Apps.

Antes de continuar con cualquier otra acción, es esencial comprender cómo acceder
al portal de Microsoft Defender for Cloud Apps. El acceso al portal es necesario para
aprovechar las diversas características y funcionalidades que ofrece la herramienta.
Por lo tanto, es imprescindible seguir los pasos adecuados para poder sacar el
máximo partido de Microsoft Defender for Cloud Apps.

4.4.1. Acceso al portal

Para acceder al portal de Defender for Cloud Apps, vaya
a https://portal.cloudappsecurity.com. También puede acceder al portal mediante
el Centro de administración de Microsoft 365, como se indica a continuación:

• En el portal de Microsoft 365 Defender, seleccione Más recursos y Defender for

Cloud Apps.
4.4.2. Paso 1. Establecimiento de las acciones instantáneas de gobernanza, protección y
visibilidad para las aplicaciones
Página de procedimiento: Establecimiento de las acciones instantáneas de
gobernanza, protección y visibilidad para las aplicaciones

Tarea necesaria: Conectar aplicaciones

1. En el engranaje de configuración, seleccione Conectores de aplicaciones.

2. Seleccione el signo más (+) para agregar una aplicación y seleccione una
aplicación.

3. Siga los pasos de configuración para conectar la aplicación.

¿Por qué conectar una aplicación? Después de conectar una aplicación, puede
obtener una mayor visibilidad para poder investigar las actividades, los archivos y las
cuentas de las aplicaciones en su entorno de nube.

4.4.3. Paso 2. Protección de la información confidencial con directivas DLP

Página de procedimiento: Protección de la información confidencial con directivas
DLP Tarea recomendada: habilitación de la supervisión de archivos y creación de
directivas de archivos

1. Vaya a Configuración y, en Information Protection, seleccione Archivos.

2. Seleccione Habilitar supervisión de archivos y Guardar.

3. Si usa etiquetas de confidencialidad de Microsoft Purview Information

Protection, en Information Protection, seleccione Microsoft Information
Protection.

4. Seleccione la configuración necesaria y Guardar.

5. En el paso 3, cree directivas de archivo que cumplan los requisitos de la

organización.

Sugerencia
Puede ver los archivos de las aplicaciones conectadas en Investigar>Archivos.

4.4.4. Recomendación de migración

Se recomienda usar la protección de la información confidencial de Defender for
Cloud Apps en paralelo con su solución de agente de seguridad de acceso a la nube
(CASB) actual. Empiece por conectar las aplicaciones que desee proteger a Microsoft
Defender for Cloud Apps. Dado que los conectores de API usan conectividad fuera
de banda, no se producirá ningún conflicto. A continuación, migre progresivamente
las directivas de la solución CASB actual a Defender for Cloud Apps.

Nota
En el caso de las aplicaciones de terceros, compruebe que la carga actual no supera
el número máximo de llamadas API permitidas de la aplicación.
4.4.5. Paso 3. Control de aplicaciones en la nube con directivas
Página de procedimiento: Control de aplicaciones en la nube con directivas

Tarea necesaria: Crear directivas

4.4.6. Creación de directivas

1. Vaya a Control>Plantillas.

2. Seleccione una plantilla de directiva de la lista y haga clic en Crear directiva.

3. Personalice la directiva (seleccione filtros, acciones y otras opciones) y, luego,

elija Crear.

4. En la pestaña Directivas, elija la directiva para ver las coincidencias

pertinentes (actividades, archivos y alertas).

Sugerencia
A fin de cubrir todos los escenarios de seguridad del entorno de la nube, cree una
política para cada categoría de riesgo.

4.4.7. ¿Cómo pueden las directivas ayudar a su organización?

Las directivas permiten realizar un seguimiento de las tendencias, identificar
amenazas de seguridad, y generar informes y alertas personalizados. Mediante la
implementación de directivas, puede establecer acciones de gobernanza y
configurar medidas de prevención de pérdida de datos y controles de uso
compartido de archivos.

4.4.8. Paso 4. Configuración de Cloud Discovery

Página de procedimiento: Configuración de Cloud Discovery

Tarea necesaria: habilitación de Defender for Cloud Apps para ver el uso de la
aplicación en la nube.

1. Realice la integración con Microsoft Defender para punto de conexión para

habilitar automáticamente Defender for Cloud Apps y supervisar los
dispositivos con Windows 10 y Windows 11 desde dentro y fuera de la empresa.

2. Si usa Zscaler, intégrelo con Defender for Cloud Apps.

3. Para una cobertura completa, cree un informe de Cloud Discovery continuo.

a. En el engranaje de configuración, seleccione Configuración.
b. En Cloud Discovery, elija Carga automática del registro.
c. En la pestaña Orígenes de datos, agregue los orígenes.
d. En la pestaña Recopiladores de registros, configure el recopilador de
registros.
4.4.9. Recomendación de migración
Se recomienda usar la detección de Defender for Cloud Apps en paralelo con la
solución CASB actual. Para empezar, configure la carga de registros del firewall
automática para los recopiladores de registros de Defender for Cloud Apps. Si usa
Defender para punto de conexión, en Microsoft 365 Defender, asegúrese de activar la
opción para reenviar las señales a Defender for Cloud Apps. La configuración de
Cloud Discovery no entrará en conflicto con la recopilación de registros de la solución
CASB actual.

4.4.10. Para crear un informe de instantáneas de Cloud Discovery

Vaya a Discover>Create snapshot report y siga los pasos que se muestran.

4.4.11. ¿Por qué es importante configurar los informes de Cloud Discovery?

Es muy importante tener visibilidad sobre Shadow IT en la organización. Después de
analizar los registros, puede encontrar fácilmente qué aplicaciones en la nube se
usan, por qué personas y en qué dispositivos.

4.4.12. Paso 5. Implementación del Control de aplicaciones de acceso condicional para las
aplicaciones del catálogo
Página de procedimiento: Implementación del Control de aplicaciones de acceso
condicional para las aplicaciones del catálogo

Tarea recomendada: implementación del Control de aplicaciones de acceso

condicional para las aplicaciones del catálogo

1. Configure el IdP para que funcione con Defender for Cloud Apps. Si tiene
Azure AD, use los controles insertados como Solo supervisar y Bloquear
descargas, que funcionan de serie para cualquier aplicación del catálogo.

2. Incorpore aplicaciones a los controles de sesión y acceso.

a. Incorpore aplicaciones a los controles de sesión y acceso.
b. Inicie sesión en cada aplicación con un usuario cubierto por la
directiva.
c. Actualice la página Control de aplicaciones de acceso condicional
para ver la aplicación.

3. Compruebe que las aplicaciones estén configuradas para usar controles de

acceso y de sesión.

Para configurar controles de sesión para aplicaciones de línea de negocio

personalizadas, aplicaciones SaaS no destacadas y aplicaciones locales,
consulte Implementación del Control de aplicaciones de acceso condicional para las
aplicaciones personalizadas mediante Azure Active Directory.
4.4.13. Recomendación de migración
Es posible que el uso del Control de aplicaciones de acceso condicional en paralelo
con otra solución CASB haga que una aplicación tenga proxy dos veces, dando lugar
a latencia u otros errores. Por lo tanto, se recomienda migrar las aplicaciones y las
directivas al Control de aplicaciones de acceso condicional progresivamente,
creando las directivas de sesión o acceso pertinentes en Defender for Cloud Apps
según vaya avanzando.

4.4.14. Paso 6. Personalizar la experiencia

Página de procedimiento: Personalización de la experiencia

Tarea recomendada: Agregar los datos de la organización

4.4.15. Para especificar la configuración del correo electrónico

1. En el engranaje de configuración, seleccione Configuración de correo.

2. En Identidad del emisor de correo electrónico, escriba la dirección de correo

electrónico y el nombre para mostrar de la organización.

3. En Diseño del correo electrónico, cargue la plantilla de correo electrónico de

su organización.

4.4.16. Para establecer notificaciones de administrador

1. En la barra de navegación, elija su nombre de usuario y vaya a Configuración
de usuario.

2. En Notificaciones, configure el método de notificación que desee recibir.

3. Elija Guardar.

4.4.17. Para personalizar las métricas de puntuación

1. En el engranaje de configuración, seleccione Configuración.

2. En Cloud Discovery, seleccione Métricas de puntuación.

3. Configure la importancia de los distintos valores de riesgo.

4. Elija Guardar.

Ahora, las puntuaciones de riesgo asignadas a las aplicaciones detectadas se

configuran de forma precisa según las necesidades y las prioridades de la
organización.

4.4.18. ¿Por qué debe personalizar su entorno?

Algunas características funcionan mejor si se personalizan según sus necesidades.
Ofrezca una mejor experiencia a los usuarios con sus propias plantillas de correo
electrónico. Decida qué notificaciones recibe y personalice la métrica de puntuación
de riesgo para ajustarse a las preferencias de la organización.
4.4.19. Paso 7. Organizar los datos de acuerdo a sus necesidades
Página de procedimiento: Trabajo con intervalos IP y etiquetas

Tarea recomendada: Configurar los valores importantes

4.4.20. Para crear etiquetas de direcciones IP

1. En el engranaje de configuración, seleccione Configuración.

2. En Cloud Discovery, elija Informes continuos.

3. Elija Crear informe.

4. Siga los pasos de configuración.

5. Elija Crear.

Ahora puede ver los datos detectados según sus propias preferencias, como las
unidades de negocio o los intervalos IP.

4.4.21. Para agregar dominios

1. En el engranaje de configuración, seleccione Configuración.

2. En Sistema, elija Detalles de las organizaciones.

3. Agregue los dominios de la organización.

4. Elija Guardar.

4.4.22. ¿Por qué es importante configurar estos parámetros?

Estas opciones de configuración le proporcionan un mayor control de las
características de la consola. Con etiquetas IP, es más fácil crear directivas que se
adapten a sus necesidades, filtrar datos de forma precisa y mucho más. Use vistas
de datos para agrupar los datos en categorías lógicas.
4.5. Prueba de conocimientos
1. Es miembro del equipo de TI responsable de garantizar la seguridad de los servicios
y las aplicaciones en la nube de su organización. El equipo planea implementar
Microsoft Defender for Cloud Apps. ¿Cuál es la relevancia de esta solución en las
configuraciones de trabajo dinámicas actuales?

• Microsoft Defender for Cloud Apps es una solución sólida de seguridad en la

nube que ayuda a lograr un equilibrio entre facilitar el acceso y proteger los
datos cruciales en las configuraciones de trabajo dinámicas actuales.
Correcto. Microsoft Defender for Cloud Apps está diseñado para optimizar las
ventajas de los servicios y las aplicaciones en la nube, a la vez que garantiza
la seguridad de la información confidencial de la organización. Ayuda a lograr
un equilibrio entre facilitar el acceso y proteger los datos cruciales en las
configuraciones de trabajo dinámicas actuales.

• Microsoft Defender for Cloud Apps no es relevante en las configuraciones de

trabajo dinámicas actuales.

• Microsoft Defender for Cloud Apps solo es relevante para grandes

organizaciones con entornos de nube complejos.

2. ¿Por qué se necesita un agente de seguridad de acceso a la nube (CASB) para las
organizaciones que utilizan aplicaciones en la nube?

• Los CASB solo son necesarios para las organizaciones que tienen pocos
usuarios que acceden a los servicios en la nube.

• Los CASB solo son necesarios para las organizaciones que usan servicios en la
nube IaaS y PaaS.

• Los CASB son necesarios para abordar los desafíos únicos de proteger los
entornos en la nube, como IAM, máquinas virtuales, recursos de proceso, datos
y almacenamiento, y recursos de red.
Correcto. Los CASB proporcionan una amplia variedad de funcionalidades
que protegen los entornos en la nube en varios pilares, incluida la visibilidad,
la seguridad de los datos, la protección contra amenazas y el cumplimiento.

3. Como administrador de seguridad, ¿cuál es el requisito previo para configurar

Microsoft Defender for Cloud Apps?

• Una licencia del conjunto de productividad de Office 365

• Una licencia para cada usuario protegido por Microsoft Defender for Cloud
Apps
Correcto. Para que su organización cumpla con los requisitos para la licencia
de Microsoft Defender for Cloud Apps, debe obtener una licencia para cada
usuario protegido por Microsoft Defender for Cloud Apps.

• Una licencia para cada usuario de la organización

4. ¿Cuál es el propósito de conectar una aplicación en Microsoft Defender for Cloud
Apps?

• Para disminuir la visibilidad, puede investigar las actividades, los archivos y las
cuentas de las aplicaciones en el entorno de nube

• Para obtener una visibilidad más profunda de modo que pueda investigar las
actividades, los archivos y las cuentas de las aplicaciones en el entorno de
nube
Correcto. Conectar una aplicación permite obtener una visibilidad más
profunda, de modo que pueda investigar las actividades, los archivos y las
cuentas de las aplicaciones en el entorno de nube.

• Para aumentar el número de aplicaciones en el entorno de nube

4.6. Resumen
En este módulo ha aprendido los desafíos y las complejidades de garantizar la
seguridad en las organizaciones a medida que cambian a la tecnología en la nube.
Ha aprendido que el equilibrio del acceso y la protección de datos es fundamental
para optimizar las ventajas de los servicios y las aplicaciones en la nube. En este
módulo se ha ofrecido una visión global de Microsoft Defender for Cloud Apps, su
relevancia en entornos de trabajo dinámicos y su papel en la protección de los datos
confidenciales frente a las ciberamenazas. Hemos obtenido información sobre el
funcionamiento de esta sólida solución de seguridad en la nube y la eficacia de usarla
en escenarios modernos del área de trabajo.

Ahora puede describir Microsoft Defender for Cloud Apps, planear su uso e
implementarlo dentro de la organización. Este conocimiento le permite reforzar la
seguridad de las aplicaciones y los servicios en la nube, mejorando en última instancia
la posición de seguridad general de la organización.