El Validador de mantenimiento de seguridad de Windows (WSHV) incluye parámetros que puede configurar en función de los requisitos de la implementación.

Configuración de WSHV

Puede configurar los siguientes parámetros de WSHV para la directiva.

Firewall

Para usar la opción Firewall habilitado para todas las conexiones de red, el software de firewall que se ejecuta en el equipo cliente debe ser Firewall de Windows u otro software de firewall compatible con el Centro de seguridad de Windows.

El Agente de mantenimiento de seguridad de Windows (WSHA) no puede administrar ni detectar software de firewall que no sea compatible con el Centro de seguridad de Windows en el equipo cliente.

Si selecciona Firewall habilitado para todas las conexiones de red, el WSHA del equipo cliente comprueba si se está ejecutando software de firewall en el equipo cliente y, a continuación, realiza las acciones siguientes.

  • Si no se está ejecutando software de firewall en el equipo cliente, éste se restringe a una red de actualizaciones hasta que se instala y se ejecuta software de firewall.

  • Si el único software de firewall que se ejecuta en el equipo cliente es un firewall que no es compatible con el Centro de seguridad de Windows, WSHA informa al servicio de Protección de acceso a redes (NAP) de que no hay ningún firewall habilitado y el equipo cliente se restringe a una red de actualizaciones.

Importante

Si selecciona Firewall habilitado para todas las conexiones de red y en los equipos cliente no se está ejecutando Firewall de Windows u otro software de firewall compatible con el Centro de seguridad de Windows, los equipos cliente no se pueden conectar a la red.

Si no selecciona Firewall habilitado para todas las conexiones de red, WSHA en el equipo cliente no realiza comprobaciones y a los equipos cliente que no ejecutan firewall de software no se les impide conectarse a su red.

Corrección automática

Si selecciona Firewall habilitado para todas las conexiones de red, habilita la corrección automática del servicio NAP y el WSHA del equipo cliente informa de que no se ha habilitado ningún firewall, WSHV solicita al WSHA del equipo cliente que active Firewall de Windows.

Importante

Si la corrección automática está habilitada y en los equipos cliente se está ejecutando software de firewall que no es compatible con el Centro de seguridad de Windows y el WSHA no lo detecta, el WSHA del equipo cliente activa Firewall de Windows en el equipo cliente, lo que ocasiona que en el equipo cliente se ejecuten dos firewalls simultáneamente. Las excepciones configuradas en el firewall no compatible que no se configuran en Firewall de Windows pueden provocar una pérdida de funcionalidad en el equipo cliente, Por esta razón, no se recomienda la ejecución de dos firewalls diferentes a la vez en equipos cliente.

Protección antivirus

Si selecciona Aplicación antivirus activada, el WSHA del equipo cliente comprueba si se está ejecutando software antivirus en el equipo cliente. Si no se está ejecutando software antivirus en el equipo cliente, éste se restringe a una red de actualizaciones hasta que se instala y se ejecuta software antivirus.

El software antivirus que se ejecuta en el equipo cliente debe ser compatible con el Centro de seguridad de Windows. El Agente de mantenimiento de seguridad de Windows (WSHA) no puede administrar ni detectar software antivirus que no sea compatible con el Centro de seguridad de Windows en el equipo cliente. Si el único software antivirus que se ejecuta en el equipo cliente es una aplicación antivirus que no es compatible con el Centro de seguridad de Windows, WSHA informa a WSHV de que no hay ningún antivirus habilitado y el equipo cliente se restringe a una red de actualizaciones.

Si selecciona Antivirus actualizado, el WSHA del equipo cliente comprueba que las definiciones de antivirus de las aplicaciones antivirus corresponden a las versiones más actuales y están actualizadas.

Para comprobar que el software antivirus se está ejecutando y que las definiciones de antivirus corresponden a las actualizaciones más recientes disponibles, debe seleccionar Aplicación antivirus activada y Antivirus actualizado.

Si no selecciona Aplicación antivirus activada, WSHA en el equipo cliente no realiza comprobaciones y a los equipos cliente que no ejecutan software antivirus no se les impide conectarse a su red.

Si no selecciona Aplicación antivirus activada y Antivirus actualizado, WSHA en el equipo cliente no realiza ninguna comprobación, y a los equipos cliente en los que no se ejecuta software antivirus o se ejecuta software antivirus con definiciones antivirus no actualizadas no se les impide conectarse a la red.

Protección contra spyware

Si selecciona Aplicación anti spyware activada, el WSHA del equipo cliente comprueba si se está ejecutando software anti spyware en el equipo cliente. Si no se está ejecutando software anti spyware en el equipo cliente, éste se restringe a una red de actualizaciones hasta que se instala y se ejecuta software anti spyware.

El software anti spyware que se ejecuta en el equipo cliente debe ser Windows Defender u otro software anti spyware compatible con el Centro de seguridad de Windows.

El Agente de mantenimiento de seguridad de Windows (WSHA) no puede administrar ni detectar software anti spyware que no sea compatible con el Centro de seguridad de Windows en el equipo cliente. Si el único software anti spyware que se ejecuta en el equipo cliente es una aplicación anti spyware que no es compatible con el Centro de seguridad de Windows, WSHA informa a WSHV de que no hay ningún anti spyware habilitado y el equipo cliente se restringe a una red de actualizaciones.

Si selecciona Anti spyware actualizado, el WSHA del equipo cliente comprueba que las definiciones de anti spyware de las aplicaciones anti spyware corresponden a las versiones más actuales y están actualizadas.

Para comprobar que el software anti spyware se está ejecutando y que las definiciones de anti spyware corresponden a las actualizaciones más recientes disponibles, debe seleccionar Aplicación anti spyware activada y Anti spyware actualizado.

Si no selecciona Aplicación anti spyware activada, WSHA en el equipo cliente no realiza comprobaciones y a los equipos cliente que no ejecutan software anti spyware no se les impide conectarse a su red.

Si no selecciona Aplicación anti spyware activada y Anti spyware actualizado, WSHA en el equipo cliente no realiza ninguna comprobación, y a los equipos cliente en los que no se ejecuta software anti spyware o se ejecuta software anti spyware con definiciones anti spyware no actualizadas no se les impide conectarse a la red.

Corrección automática

Si selecciona Aplicación anti spyware activada, habilita la corrección automática del servicio NAP y el WSHA del equipo cliente informa de que no se ha habilitado ningún anti spyware, WSHV solicita al WSHA del equipo cliente que active Windows Defender.

Importante

Si la corrección automática está habilitada y en los equipos cliente se está ejecutando software anti spyware que no es compatible con el Centro de seguridad de Windows y WSHA no lo detecta, WSHA del equipo cliente activa Windows Defender en el equipo cliente, lo que ocasiona que en el equipo cliente se ejecuten dos aplicaciones anti spyware simultáneamente.

Nota

Puede configurar la corrección automática mediante el complemento de Microsoft Management Console (MMC) Administración del cliente de NAP.

Actualizaciones automáticas

Si selecciona Actualizaciones automáticas habilitadas y el servicio Microsoft Update no se habilita en el equipo cliente, el WSHA restringe el equipo cliente a una red de actualizaciones hasta que se habilita el servicio Microsoft Update.

El servicio Microsoft Update se habilita cuando se selecciona una de las siguientes opciones en el equipo cliente:

  • Instalar actualizaciones automáticamente (recomendado)

  • Descargar actualizaciones, pero permitirme elegir si deseo instalarlas

  • Buscar actualizaciones, pero permitirme elegir si deseo descargarlas e instalarlas

Corrección automática

Si selecciona Actualizaciones automáticas habilitadas, habilita la corrección automática de NAP y el WSHA del equipo cliente informa de que el servicio Microsoft Update no está habilitado; a continuación, WSHV ordena a WSHA en el equipo cliente que active el servicio Microsoft Update y lo configure para descargar e instalar actualizaciones automáticamente.

Nota

Puede configurar la corrección automática mediante el complemento MMC Administración del cliente de NAP.

Protección de actualizaciones de seguridad

No configure Protección de actualizaciones de seguridad en la directiva de WSHV a menos que en los equipos cliente de la red se esté ejecutando el Agente de Windows Update. Además, los equipos cliente en que se ejecuta el Agente de Windows Update se deben registrar con un servidor que ejecute Windows Server Update Services (WSUS).

Importante

Si no se cumplen estas condiciones y configura Protección de actualizaciones de seguridad en la directiva de WSHV, el WSHA del equipo cliente no puede cumplir la directiva, restringe los equipos cliente a una red de actualizaciones y no se pueden conectar a la red.

Si el Agente de Windows Update se ejecuta en los equipos cliente y éstos se registran con un servidor WSUS, puede configurar Protección de actualizaciones de seguridad para la directiva de WSHV.

En este caso, si selecciona la opción para aplicar cuarentena a las actualizaciones de seguridad que faltan y las actualizaciones de seguridad más recientes no están instaladas, WSHA restringe el equipo cliente a una red de actualizaciones hasta que se instalan las actualizaciones de seguridad más recientes.

Puede configurar Protección de actualizaciones de seguridad con varios valores posibles que se corresponden con índices de gravedad de seguridad del Centro de respuestas de seguridad de Microsoft (MSRC). Estos valores son:

  • Sólo crítico. Si se selecciona, los equipos cliente deben tener todas las actualizaciones de seguridad con el índice de gravedad del MSRC Crítico. Si un equipo cliente no tiene estas actualizaciones, se restringen a una red de actualizaciones hasta que se descarguen e instalen las actualizaciones necesarias.

  • Importante. Éste es el valor predeterminado. Si se selecciona, los equipos cliente deben tener todas las actualizaciones de seguridad con el índice de gravedad del MSRC Importante o Crítico. Si un equipo cliente no tiene estas actualizaciones, se restringen a una red de actualizaciones hasta que se descarguen e instalen las actualizaciones necesarias.

  • Moderado. Si se selecciona, los equipos cliente deben tener todas las actualizaciones de seguridad con el índice de gravedad del MSRC Moderado, Importante o Crítico. Si un equipo cliente no tiene estas actualizaciones, se restringen a una red de actualizaciones hasta que se descarguen e instalen las actualizaciones necesarias.

  • Poco. Si se selecciona, los equipos cliente deben tener todas las actualizaciones de seguridad con el índice de gravedad del MSRC Poco, Moderado, Importante o Crítico. Si un equipo cliente no tiene estas actualizaciones, se restringen a una red de actualizaciones hasta que se descarguen e instalen las actualizaciones necesarias.

  • Todo. Si se selecciona, los equipos cliente deben tener todas las actualizaciones de seguridad, independientemente de su índice de gravedad del MSRC. Si un equipo cliente no tiene las actualizaciones más recientes, se restringen a una red de actualizaciones hasta que se descarguen e instalen las actualizaciones necesarias.

Después de configurar el nivel de gravedad de las actualizaciones de seguridad, puede especificar el número mínimo de horas permitidas desde que el cliente buscó nuevas actualizaciones de seguridad en el servidor WSUS. El valor predeterminado para el tiempo de sincronización mínimo es 22 horas.

Cuando un equipo cliente intenta conectar con una red compatible con NAP y se configura Protección de actualizaciones de seguridad en la directiva de WSHV, el WSHA determina si se restringe el equipo cliente a una red de actualizaciones en función de la hora más reciente en que el equipo cliente buscó actualizaciones de seguridad en el servidor WSUS. WSHA determina si se restringe el cliente a una red de actualizaciones de la siguiente forma:

  • Si el cliente busca actualizaciones realizadas en un intervalo superior al número mínimo de horas configuradas por WSHV que se permiten entre comprobaciones, el equipo cliente se restringe a una red de actualizaciones. Una vez que el cliente comprueba las actualizaciones y descargas, e instala las actualizaciones más recientes, se le permite el acceso total a red.

  • Si el cliente busca actualizaciones realizadas en un intervalo igual o inferior al número mínimo de horas configuradas por WSHV que se permiten entre comprobaciones, el equipo cliente no se restringe a una red de actualizaciones.

Nota

El WSHA del equipo cliente sólo realiza esta comprobación en el momento en que el equipo cliente se conecta a la red. Si el equipo cliente permanece conectado a la red durante un tiempo superior al tiempo mínimo de sincronización configurado, el WSHA no desencadena una búsqueda de actualizaciones de seguridad, no desencadena la descarga de actualizaciones y no restringe el equipo cliente a una red de actualizaciones.

Corrección automática

Para que la corrección automática funcione con la Protección de actualizaciones de seguridad habilitada y configurada en la directiva de WSHV, deben darse las condiciones siguientes:

  • El Agente de Windows Update se está ejecutando en los equipos cliente de la red.

  • Los equipos cliente en que se ejecuta el Agente de Windows Update están registrados con un servidor WSUS.

  • La corrección automática está configurada y habilitada.

Si se cumplen estas condiciones, el WSHA del equipo cliente busca en el servidor WSUS las actualizaciones de seguridad más recientes. Si el WSHA detecta que las actualizaciones de seguridad más recientes del índice de gravedad del MSRC configurado no están instaladas en el equipo cliente, el WSHA descarga e instala las actualizaciones de seguridad más recientes.


Tabla de contenido