Corregir la detección de correcciones para el Antivirus de Windows Defender

  • Se aplica a: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2, Microsoft Defender Antivirus

Cuando Microsoft Defender Antivirus ejecuta un examen, intenta corregir o quitar las amenazas detectadas. Las acciones de corrección pueden incluir quitar un archivo, enviarlo a cuarentena o permitir que permanezca. En este artículo se incluye información y vínculos a recursos sobre cómo especificar qué acciones se deben realizar cuando se detectan amenazas en los dispositivos. Puede elegir entre varios métodos, como:

Importante

Microsoft Defender Antivirus detecta y corrige los archivos en función de muchos factores. A veces, completar una corrección requiere un reinicio. Incluso si más adelante se determina que la detección es un falso positivo, el reinicio debe completarse para asegurarse de que se han completado todos los pasos de corrección adicionales.

Si está seguro Microsoft Defender Antivirus pone en cuarentena un archivo en función de un falso positivo, puede restaurar el archivo de la cuarentena después de reiniciar el dispositivo. Consulte Restauración de archivos en cuarentena en Microsoft Defender Antivirus. Para evitar este problema en el futuro, puede excluir archivos de los exámenes. Consulte Configure and validate exclusions for Microsoft Defender Antivirus scans (Configurar y validar exclusiones para los exámenes de antivirus de Microsoft Defender).

Consulte también Acerca de los exámenes rápidos y completos normales con Microsoft Defender Antivirus para obtener más configuraciones relacionadas con la corrección.

Requisitos previos

Sistemas operativos admitidos

  • Windows

Configuración de opciones de corrección mediante Intune

Para configurar acciones de corrección mediante una directiva Microsoft Intune Antivirus de seguridad de punto de conexión, consulte Creación de una directiva de seguridad de punto de conexión (se abre en una pestaña nueva en la documentación de Intune). Al crear la directiva, use esta configuración:

  • Tipo de directiva: reducción de la superficie expuesta a ataques

  • Plataforma: Windows

  • Perfil: Microsoft Defender Antivirus

  • Configuración: en la sección Acción predeterminada de seguridad contra amenazas , configure los valores disponibles:

    • Acción de corrección para amenazas de gravedad alta
    • Acción de corrección para amenazas graves
    • Acción de corrección para amenazas de gravedad baja
    • Acción de corrección para amenazas de gravedad moderada

    con un valor de acción disponible:

    • No configurado (valor predeterminado)
    • Clean
    • Cuarentena
    • Remove
    • Permitir
    • Definido por el usuario
    • Bloquear

    Advertencia

    Permitir no corrige las amenazas detectadas y suprime los eventos de detección en curso. No configure esta acción cuando esté habilitada la protección contra alteraciones . Use Permitir solo en entornos especializados (por ejemplo, sistemas de control industrial o infraestructura crítica) donde:

    • La corrección automática no es práctica para las operaciones.
    • Existen otros procedimientos para responder a las amenazas detectadas.
    • Se implementan los controles de seguridad de compensación.

    Use acciones de corrección estándar (limpiar, poner en cuarentena, quitar o bloquear) en todos los demás entornos.

Para obtener más información sobre las directivas antivirus en Intune, consulte Directiva de antivirus para la seguridad de los puntos de conexión en Intune.

Configuración de opciones de corrección mediante Administrador de configuración

Si usa Administrador de configuración, consulte los artículos siguientes:

Configuración de opciones de corrección mediante directiva de grupo

  1. En el equipo de administración de directiva de grupo, abra la consola de administración de directiva de grupo y edite el objeto directiva de grupo que desea configurar.

  2. En el Editor de administración de directiva de grupo, vaya a Configuración del equipo y, a continuación, seleccione Plantillas administrativas.

  3. Expanda el árbol a componentes>de Windows Microsoft Defender Antivirus.

  4. Con la tabla siguiente, edite la directiva según sea necesario.

    Configuración Descripción Configuración predeterminada (si no está configurada)
    Examinar
    Cree un punto de restauración del sistema.    		 Cada día se crea un punto de restauración del sistema antes de que se intente limpiar o escanear. Deshabilitada
    Examinar
    Active la eliminación de elementos de la carpeta del historial de exámenes.    		 Especifique cuántos días deben conservarse los elementos en el historial de exámenes. 30 días
    Root
    Desactive la corrección rutinaria.    		 Especifique si Microsoft Defender Antivirus corrige automáticamente las amenazas o si debe preguntar al usuario. Deshabilitado. Las amenazas se corrigen automáticamente.
    Cuarentena
    Configure la eliminación de elementos de la carpeta Cuarentena.    		 Especifique cuántos días deben mantenerse los elementos en cuarentena antes de quitarlos. 90 días
    > Amenazas Especifique las amenazas sobre las que no se debe realizar una acción predeterminada cuando se detecte. Especifique cómo deben corregirse amenazas específicas (con su identificador de amenaza). Puede especificar si la amenaza específica se debe poner en cuarentena, quitar o omitir. No aplicable
    > Amenazas Especifique los niveles de alerta de amenaza en los que no se debe realizar una acción predeterminada cuando se detecte. A cada amenaza detectada por Microsoft Defender Antivirus se le asigna un nivel de amenaza:
    • 1:Bajo
    • 2: medio
    • 4:Alto
    • 5: grave
    Use esta configuración para especificar cómo se corrigen las amenazas para cada nivel. Los valores admitidos son:
    • 2: cuarentena
    • 3:Eliminar
    • 6: omitir
    • 11: ninguno
    Advertencia: Las acciones Omitir (6) y Ninguno (11) no corrigen las amenazas detectadas. Omitir (6) suprime los eventos de detección en curso, mientras que Ninguno (11) continúa generando alertas y entradas del Historial de protección. No configure ninguna de las acciones cuando la protección contra alteraciones esté habilitada. Use estas acciones solo en entornos especializados (por ejemplo, sistemas de control industrial o infraestructura crítica) donde la corrección automática no es práctica para las operaciones, existen otros procedimientos para responder a las amenazas detectadas o se implementan controles de seguridad compensadores. Use acciones de corrección estándar (cuarentena (2) o quitar (3)) en todos los demás entornos.    		 No aplicable

  5. Seleccione Aceptar.

Configuración de opciones de corrección mediante PowerShell o WMI

También puede usar el cmdlet de PowerShell o laSet-MpPreference clase WMI para configurar estas opciones.MSFT_MpPreference

Vea también

  • Last updated on