Restricción de acciones de respuesta en recursos de alto valor (versión preliminar)

En este artículo se proporciona información general sobre la funcionalidad Acciones de respuesta selectiva en Microsoft Defender para punto de conexión. Su audiencia de destino son los administradores de seguridad y los equipos de operaciones de TI responsables de administrar Microsoft Defender para punto de conexión en entornos que incluyen sistemas de nivel 0 y recursos de alto valor (HVA), como controladores de dominio, servidores ADFS y otra infraestructura crítica.

Información general

Acciones de respuesta selectiva es una funcionalidad Microsoft Defender para punto de conexión que permite a las organizaciones adaptar las operaciones de seguridad de alto impacto durante la incorporación. Proporciona un control preciso sobre cómo se aplican las acciones de respuesta en los sistemas de nivel 0 y en otros recursos de alto valor, lo que ayuda a mantener la estabilidad operativa y ofrece una protección sólida.

Información previa

La implementación de Microsoft Defender para punto de conexión en recursos de alto valor (HVA), como controladores de dominio, servidores ADFS y otros sistemas de nivel 0, requiere un enfoque reflexivo para equilibrar la protección sólida con la estabilidad operativa. Dadas las eficaces funcionalidades de respuesta disponibles, las organizaciones a menudo buscan un mayor control sobre cómo se aplican estas acciones en entornos confidenciales.

Muchas organizaciones, especialmente aquellas con directivas estrictas de administración de acceso con privilegios, también prefieren limitar las acciones administrativas iniciadas por la nube en sistemas de nivel 0 para alinearse con sus requisitos de seguridad y cumplimiento.

La funcionalidad Acciones de respuesta selectiva aborda estas necesidades proporcionando un enfoque más controlado y flexible. Permite a las organizaciones definir exactamente qué acciones de respuesta se permiten en los recursos críticos, lo que ayuda a mantener la continuidad operativa y, al mismo tiempo, se beneficia de la protección de Defender.

¿Cómo funciona la característica?

En primer lugar, la característica debe estar habilitada en el inquilino. Consulte Habilitar acciones de respuesta selectiva.

Una vez habilitada la característica, use la herramienta de implementación de Defender (DDT) para crear un paquete de incorporación con la configuración de operaciones de seguridad restringidas. Al configurar el paquete, elige entre la funcionalidad completa (el modo de incorporación predeterminado, donde se permiten todas las acciones de respuesta en el dispositivo incorporado) y la funcionalidad restringida (donde se pueden no permitir acciones de respuesta de alto impacto). Si elige funcionalidad restringida, puede especificar qué acciones se permiten en el dispositivo una vez que se haya incorporado.

En la tabla siguiente se describen las acciones de respuesta de alto impacto que puede permitir o no permitir.

Funcionalidad Descripción Comentarios
Respuesta básica Ejecute el examen antivirus, recopile archivos y recopile el paquete de investigación. La funcionalidad Recopilar archivo hace referencia a la recuperación de un archivo de la página Archivo en el portal, no al GetFile comando disponible en Respuesta activa.
Respuesta avanzada Aísle el dispositivo, restrinja la ejecución de la aplicación y solicite la corrección. La corrección de solicitudes permite a los administradores de seguridad iniciar acciones de corrección para las vulnerabilidades identificadas en un dispositivo específico.
Respuesta inmediata Permite sesiones de respuesta en directo al dispositivo remoto.
Protección de dispositivos Permite realizar una investigación y respuesta automatizadas (AIR) en el dispositivo. Esto se aplica tanto a AIR desencadenado automáticamente como a AIR iniciado manualmente.

Consulte Generación de un paquete de incorporación con la configuración de operaciones de seguridad restringidas para obtener más información sobre cómo configurar este tipo de paquete.

Nota:

Los dispositivos incorporados en modo restringido no admiten la ejecución de scripts de respuesta dinámica; esto está deshabilitado por diseño, incluso si live response está habilitado. El modo restringido no afecta a la detección, las alertas ni la cobertura del sensor. Todas las alertas, escalas de tiempo y detecciones de amenazas siguen funcionando según lo esperado.

Requisitos previos y sistemas operativos compatibles

  • El modo restringido se admite en las siguientes estaciones de trabajo cliente de Windows y Windows Server sistemas operativos que ejecutan sense versión 10.8798 o posterior.

    Sistema operativo KB necesario
    Windows Server 2025, todas las ediciones KB5063878
    Windows Server 2022 KB5063880
    Windows Server 2019 KB5063877
    Windows 10 22H2 KB5062649
    Windows 11 23H2 KB5062663
    Windows 11 24H2 KB5062660
    Windows 11 25H2 todas

  • Para usar el modo restringido, se debe habilitar el modificador de característica Permitir operaciones de seguridad restringidas durante la incorporación . Consulte Habilitación de la característica acciones de respuesta selectiva.

Habilitación de la característica acciones de respuesta selectiva

Para usar la funcionalidad acciones de respuesta selectiva, habilite la característica en el portal de Microsoft Defender:

  1. Inicie sesión en el portal de Microsoft Defender.
  2. Vaya a Configuración>Puntos de conexiónCaracterísticas avanzadas>.
  3. Active Permitir operaciones de seguridad restringidas durante la incorporación.

Captura de pantalla de la página Características avanzadas que muestra Permitir operaciones restringidas durante la incorporación habilitada.

Una vez habilitada, la opción de modo restringido está disponible al crear paquetes de implementación de Defender para Windows a través de la herramienta de implementación de Defender (DDT). A continuación, puede crear paquetes de implementación que especifiquen qué operaciones de seguridad permitir en los dispositivos que va a incorporar. Consulte Generación de un paquete de incorporación con la configuración de operaciones de seguridad restringidas para obtener más información. Una vez generado el paquete de implementación, úselo para incorporar el dispositivo.

Generación de un paquete de incorporación con la configuración de operaciones de seguridad restringidas

  1. En el portal de Microsoft Defender (security.microsoft.com), vaya aIncorporación depuntos> de conexiónde configuración> del sistema>.

  2. En el menú desplegable Paso 1, elija Windows.

  3. En Implementar descargando y aplicando paquetes o archivos, seleccione el botón Incorporar .

    Captura de pantalla que muestra el botón Descargar paquete en el portal de Microsoft Defender.

  4. Aparece la página Generar la herramienta de implementación de Defender con una clave de acceso .

    Captura de pantalla que muestra cómo configurar un nuevo paquete de implementación.

    • Proporcione un nombre para el paquete. Asegúrese de crear un nombre único y descriptivo.

    • Establezca una fecha de expiración para el paquete. Puede establecer la fecha de expiración para cualquier momento hasta un año. Se recomienda que el período de validez de los paquetes sea lo más corto posible para reducir el riesgo de uso de paquetes de implementación no autorizados.

    • Seleccione Restringido.

      Aparece una lista de operaciones de seguridad de alto impacto. Seleccione los cuadros situados junto a las operaciones que desea permitir en el dispositivo incorporado y anule la selección de los cuadros situados junto a las operaciones que desea no permitir.

      Captura de pantalla que muestra las opciones del modo de operaciones de seguridad en el portal de Microsoft Defender.

      Nota:

      Los dispositivos incorporados en modo restringido no admiten la ejecución de scripts de respuesta dinámica, incluso cuando live response está habilitado en esta configuración. Esta restricción se aplica por diseño para garantizar que las acciones basadas en scripts permanezcan bloqueadas, manteniendo un mayor nivel de protección para los recursos confidenciales.

      El modo restringido con todas las acciones de respuesta permitidas no es equivalente a la funcionalidad completa. Al incorporar un dispositivo mediante un paquete restringido, la ejecución de scripts está deshabilitada por diseño, mientras que la incorporación con un paquete de funcionalidad completa proporciona acceso sin restricciones a todas las acciones y funcionalidades de respuesta admitidas.

    • Cuando haya terminado de configurar el paquete, seleccione Generar.

  5. Cuando el paquete esté listo, verá una página que tiene la clave de acceso del paquete y un botón de descarga, similar a la siguiente imagen.

    Captura de pantalla que muestra la clave que se genera para el paquete de herramientas de implementación.

    Copie la clave y guárdela, ya que será necesaria con la herramienta de implementación.

    Después de copiar la clave y guardarla, seleccione Descargar herramienta de implementación. Esto descarga un archivo .zip del archivo ejecutable de la herramienta de implementación de Defender.

Incorporación de un dispositivo con acciones de respuesta restringidas

Una vez que haya generado y descargado un paquete de implementación con la configuración de operaciones de seguridad restringidas deseada, use el paquete para incorporar el dispositivo como se describe en Implementación de Microsoft Defender para punto de conexión en dispositivos Windows mediante la herramienta de implementación de Defender (versión preliminar).

Comprobación del estado de las operaciones de seguridad de los dispositivos incorporados

El estado de las operaciones de seguridad de los dispositivos se puede identificar de varias maneras:

  • En la página Inventario de dispositivos del portal de Defender, una propiedad denominada Operaciones de seguridad indica el modo de incorporación de cada dispositivo:

    • Si el dispositivo se incorpora con funcionalidad completa, el valor se mostrará como Completo.
    • Si el dispositivo se incorpora con funcionalidades restringidas, el valor se mostrará como Restringido, lo que indica al administrador que este dispositivo tiene un conjunto limitado de operaciones de seguridad remotas disponibles.

    Esta visibilidad ayuda a los equipos de seguridad a comprender rápidamente el ámbito operativo de cada dispositivo y a realizar las acciones adecuadas si es necesario.

    Captura de pantalla de la página Inventario de dispositivos que muestra el estado de las operaciones de seguridad.

  • Cuando el dispositivo está en modo restringido, se agrega automáticamente al dispositivo una etiqueta con la etiqueta Restricted security operations (Operaciones de seguridad restringidas) para ayudar a los equipos de seguridad a identificar rápidamente los recursos con funcionalidad limitada. Puede ver esta etiqueta en la página Dispositivo. La página Dispositivo también incluye un estado de operaciones de seguridad para reflejar el nivel de capacidades de seguridad remota configuradas para el dispositivo:

    • Full indica que el dispositivo está incorporado con el conjunto completo de funcionalidades de Microsoft Defender para punto de conexión. Todas las acciones de respuesta remota están disponibles.
    • Restringido indica que el dispositivo está incorporado con un conjunto limitado de acciones de respuesta disponibles.

    Captura de pantalla de la página Dispositivo que muestra el estado de las operaciones de seguridad.

    En la imagen anterior, puede ver que no se ha permitido iniciar sesiones de respuesta dinámica en el dispositivo.

    Para acceder a una lista detallada de todos los controles de seguridad y su estado actual (habilitado o deshabilitado) en el dispositivo, seleccione Ver información de operaciones de seguridad para mostrar el panel Operaciones de seguridad de dispositivos.

    Captura de pantalla de la página Dispositivo en la que se muestran los detalles de las operaciones de seguridad.

  • También puede usar la propiedad RestrictedDeviceSecurityOperations Búsqueda avanzada para comprobar qué operaciones de seguridad están restringidas en el dispositivo. Los valores representan las categorías de operaciones de seguridad específicas que están limitadas. Por ejemplo, si el valor de la RestrictedDeviceSecurityOperations propiedad es LiveResponse, significa que solo se permite la funcionalidad Live Response en el dispositivo, mientras que todas las demás operaciones están permitidas.

    Captura de pantalla de la consulta búsqueda avanzada que muestra el valor de la propiedad RestrictedDeviceSecurityOperations.

  • La respuesta selectiva también se bloquea cuando se usa la API pública. Si intenta realizar una acción restringida a través de la API, recibirá un mensaje de error que indica que la operación no está permitida en el dispositivo.

    Captura de pantalla del mensaje de error al intentar una acción de respuesta restringida a través de la API pública.

Cambio de la configuración de restricciones

Una vez que un dispositivo se incorpora con una configuración restringida, su configuración de operaciones de seguridad no se puede cambiar ni modificar. Para actualizar las funcionalidades de respuesta de un dispositivo, debe desconectar el dispositivo y volver a incorporarlo mediante un nuevo paquete de implementación con la configuración deseada. El identificador de dispositivo sigue siendo el mismo y se conservan todos los datos históricos.

Si desea restringir las acciones de respuesta en un dispositivo que ya está incorporado a Defender para punto de conexión en modo completo, primero debe desconectar el dispositivo y, a continuación, volver a incorporarlo mediante un paquete de incorporación configurado con una configuración restringida. El identificador de dispositivo sigue siendo el mismo y se conservan todos los datos históricos.

  • Last updated on