Contents

Protección de aplicaciones de Windows Defender

Requisitos del sistema
Instalar WDAG
Configurar directivas WDAG
Escenarios de prueba
Preguntas frecuentes
 Información general de la Protección de aplicaciones
de Windows Defender
01/02/2020 • 3 minutes to read

Se aplica a: protección contra amenazas avanzada de Microsoft defender (ATP de Microsoft defender)
La protección de aplicaciones de Windows Defender (protección de aplicaciones) está diseñada para evitar ataques
antiguos y recientes para ayudar a mantener la productividad de los empleados. Usando nuestro único enfoque de
aislamiento de hardware, nuestro objetivo es destruir la guía que los atacantes usan haciendo que los métodos de
ataque actuales estén obsoletos.

¿Qué es la Protección de aplicaciones y cómo funciona?

Diseñada para Windows 10 y Microsoft Edge, la Protección de aplicaciones ayuda a aislar los sitios no de confianza
definidos por la empresa, manteniendo a la empresa protegida mientras los empleados navegan por Internet.
Como administrador de la empresa, debes definir las páginas web, los recursos de nube y las redes internas de
confianza. Todo lo que no se encuentre en la lista se considerará no de confianza.
Si un empleado accede a un sitio no de confianza a través de Microsoft Edge o Internet Explorer, Microsoft Edge
abre el sitio en un contenedor con Hyper-V habilitado aislado, que es independiente del sistema operativo del host.
Este aislamiento del contenedor implica que, si el sitio no de confianza resulta ser malintencionado, el equipo host
estará protegido y el atacante no podrá acceder a los datos empresariales. Por ejemplo, este enfoque hace que el
contenedor aislado sea anónimo, por lo que el atacante no podrá acceder a las credenciales empresariales del
empleado.

¿Qué tipos de dispositivos deben usar la Protección de aplicaciones?

Se ha creado la protección de aplicaciones para varios tipos de sistemas:
Equipos de escritorio de la empresa. Estos equipos de escritorio están unidos a un dominio y los
administra tu organización. La administración de la configuración se realiza principalmente a través de
Microsoft Endpoint Configuration Manager o Microsoft Intune. Por lo general, los empleados tienen los
 privilegios de usuario estándares y usan una red de banda ancha con cable corporativa.
Ordenadores portátiles de la empresa. Estos ordenadores portátiles están unidos a un dominio y los
administra tu organización. La administración de la configuración se realiza principalmente a través de
Microsoft Endpoint Configuration Manager o Microsoft Intune. Por lo general, los empleados tienen los
privilegios de usuario estándares y usan una red de banda ancha inalámbrica corporativa.
Ordenadores portátiles Bring your own device (BYOD ). Estos equipos portátiles con propiedad
personal no están Unidos a un dominio, pero su organización los administra a través de herramientas, como
Microsoft Intune. El empleado suele ser un administrador del dispositivo y usa una red corporativa de ancho
de banda alto inalámbrica mientras se encuentra en el trabajo, y una red personal similar mientras está en
casa.
Dispositivos personales. Estas computadoras de escritorio personalmente o portátiles móviles no están
unidas al dominio o no están administradas por una organización. El usuario es un administrador en el
dispositivo y usa una red personal inalámbrica de ancho de banda alto en tu casa o una red pública
comparable mientras está fuera.

Artículos relacionados
ARTÍCULO DESCRIPCIÓN

Requisitos del sistema para la Protección de aplicaciones de Especifica los requisitos previos necesarios para instalar y usar
Windows Defender la protección de aplicaciones.

Preparar e instalar la Protección de aplicaciones de Windows Ofrece instrucciones acerca de cómo determinar el modo que
Defender se debe emplear (independiente o administrado por la
empresa) y cómo instalar la Protección de aplicaciones en la
organización.

Establecer la configuración de la directiva de grupo para Ofrece información sobre la configuración de la directiva de
Protección de aplicaciones de Windows Defender grupo y MDM.

Escenarios de prueba con la Protección de aplicaciones de Proporciona una lista de escenarios de pruebas sugeridos que
Windows Defender en tu empresa u organización puede usar para probar la protección de aplicaciones de su
organización.

Preguntas más frecuentes: Protección de aplicaciones de Proporciona respuestas a las preguntas más frecuentes sobre
Windows Defender las características de protección de aplicaciones, la integración
con el sistema operativo Windows y la configuración general.
 Requisitos del sistema para la Protección de
aplicaciones de Windows Defender
01/02/2020 • 2 minutes to read

Se aplica a: protección contra amenazas avanzada de Microsoft defender (ATP de Microsoft defender)
El panorama de las amenazas de seguridad evoluciona continuamente. Mientras que los piratas informáticos
trabajan en el desarrollando de nuevas técnicas para quebrantar las redes de empresa, poniendo en peligro las
estaciones de trabajo, los esquemas de suplantación de identidad siguen siendo uno de los métodos principales
para atraer a los empleados y perpetrar ataques de ingeniería social. Protección de aplicaciones de Windows
Defender se ha diseñado para ayudar a prevenir ataques antiguos y los nuevos que surjan, para mantener la
productividad de los empleados.

NOTE
Protección de aplicación de Windows Defender no se admite en máquinas virtuales ni en el entorno VDI. Para realizar
pruebas y automatizaciones en máquinas que no sean de producción, pueden habilitar WDAG en una máquina virtual
habilitando la virtualización anidada de Hyper-V en el equipo host.

Requisitos de hardware
Tu entorno necesita el siguiente hardware para ejecutar Protección de aplicaciones de Windows Defender.

HARDWARE DESCRIPCIÓN

CPU de 64 bits Para el hipervisor y la seguridad basada en la virtualización

(VBS), se requiere un equipo de 64 bits con 4 núcleos como
mínimo (procesadores lógicos). Para obtener más información
acerca de Hyper-V, consulta Hyper-V en Windows Server
2016 o Introducción a Hyper-V en Windows 10. Para obtener
más información sobre el hipervisor, consulta Especificaciones
de hipervisor.

Extensiones de virtualización de CPU Tablas de página extendidas, también denominadas

Traducción de direcciones de segundo nivel (SLAT)

Una de las extensiones de virtualización siguientes para VBS:

VT-x (Intel)

O bien

AMD-V

Memoria de hardware Microsoft requiere un mínimo de 8 GB de RAM

Espacio en disco duro 5 GB, se recomienda un disco de estado sólido (SSD)

 HARDWARE DESCRIPCIÓN

Compatibilidad para IOMMU (unidad de administración de Opcional, pero muy recomendado

memoria de entrada y salida)

Requisitos de software
Su entorno necesita el siguiente software para ejecutar protección de aplicaciones de Windows Defender.

SOFTWARE DESCRIPCIÓN

Sistema operativo Windows 10 Enterprise Edition, versión 1709 o superior

Windows 10 Professional Edition versión 1803 o superior
Windows 10 Professional para Workstations Edition, versión
1803 o superior
Windows 10 Professional educación versión 1803 o superior
Windows 10 Education Edition versión 1903 o superior
Las ediciones profesionales solo se admiten para dispositivos
no administrados; Intune o cualquier otra solución de
administración de dispositivos móviles (MDM) de terceros no
es compatible con WDAG para ediciones profesionales.

Navegador Microsoft Edge e Internet Explorer

Sistema de administración Microsoft Intune

(solo para dispositivos administrados)
O bien

Administrador de configuración de Microsoft Endpoint

O bien

Directiva de grupo

O bien

La solución actual de administración de dispositivos móviles

(MDM) de terceros para toda la empresa. Consulta la
documentación que acompaña al producto para obtener
información acerca de las soluciones MDM de terceros.
 Preparar la instalación de la Protección de
aplicaciones de Windows Defender
20/11/2019 • 2 minutes to read

Aplicable a:
Protección contra amenazas avanzada de Microsoft Defender (ATP de Microsoft Defender)

Repasar los requisitos del sistema

Consulta los requisitos del sistema para la protección de aplicaciones de Windows Defender para revisar los
requisitos de instalación de hardware y software para la protección de aplicaciones de Windows Defender.

NOTE
Protección de aplicación de Windows Defender no se admite en máquinas virtuales ni en el entorno VDI. Para realizar
pruebas y automatizaciones en máquinas que no sean de producción, pueden habilitar WDAG en una máquina virtual
habilitando la virtualización anidada de Hyper-V en el equipo host.

Prepararse para la protección de aplicaciones de Windows Defender

Para poder instalar y usar la Protección de aplicaciones de Windows Defender, debes determinar de qué forma vas
a usarla en tu empresa. Puedes usar la Protección de aplicaciones en los modos Independiente o Administrado
por la empresa.
Modo independiente
Aplicable a:
Windows 10 Enterprise Edition, versión 1709 o superior
Windows 10 Pro Edition, versión 1803
Los empleados pueden usar las sesiones de exploración aisladas del hardware con cualquier configuración de
directiva de administración o de administrador. En este modo, debe instalar la protección de aplicaciones y,
después, el empleado debe iniciar manualmente Microsoft Edge en la protección de aplicaciones mientras examina
los sitios que no son de confianza. Para ver un ejemplo de cómo funciona, consulta el escenario de prueba
Protección de aplicaciones en modo independiente.
Modo administrado por la empresa
Aplicable a:
Windows 10 Enterprise Edition, versión 1709 o superior
Tanto tú como el departamento de seguridad podéis definir los límites corporativos agregando explícitamente los
dominios de confianza y personalizando la experiencia de la Protección de aplicaciones para que satisfaga las
necesidades de los dispositivos de los empleados. El modo administración empresarial también redirige
automáticamente todas las solicitudes del explorador para agregar dominios ajenos a la empresa en el contenedor.
El siguiente diagrama muestra el flujo entre el equipo host y el contenedor aislado.
Instalar la Protección de aplicaciones
La funcionalidad de Protección de aplicaciones está desactivada de manera predeterminada. Sin embargo, puedes
instalarla rápidamente en los dispositivos de los empleados mediante el Panel de control, PowerShell o la solución
de administración de dispositivos móviles (MDM ).
Para instalarla mediante el Panel de control
1. Abre el Panel de control haz clic en Programas y después haz clic en Activar o desactivar las
características de Windows.
2. Selecciona la casilla situada junto a Protección de aplicaciones de Windows Defender y haz clic en
Aceptar.
Se instala la Protección de aplicaciones y las dependencias subyacentes.
Para instalarla mediante WindowsPowerShell

NOTE
Asegúrate de que tus dispositivos cumplan con todos los requisitos del sistema antes de este paso. PowerShell instalará la
característica sin comprobar los requisitos del sistema. Si los dispositivos no cumplen los requisitos del sistema, es posible que
la protección de aplicaciones no funcione. Este paso se recomienda solo para escenarios de administración empresarial.

1. Haz clic en el icono de Buscar o Cortana en la barra de tareas de Windows 10 y escribe PowerShell.
2. Pulsa con el botón derecho en Windows PowerShell y, a continuación, haz clic en Ejecutar como
administrador.
Se abre Windows PowerShell con credenciales de administrador.
3. Escribe el comando siguiente:

Enable-WindowsOptionalFeature -online -FeatureName Windows-Defender-ApplicationGuard

4. Reinicia el dispositivo.
Se instala la Protección de aplicaciones y las dependencias subyacentes.
 Establecer la configuración de la directiva de
Protección de aplicaciones de Windows Defender
20/11/2019 • 9 minutes to read

Aplicable a:
Protección contra amenazas avanzada de Microsoft Defender (ATP de Microsoft Defender)
La Protección de aplicaciones de Windows Defender (Protección de aplicaciones) funciona con la directiva de
grupo para ayudarte a administrar la configuración de las equipos de la organización. El uso de la directiva de
grupo permite establecer una configuración de directiva una sola vez y copiar dicha configuración en varios
equipos. Por ejemplo, puedes configurar varias opciones de configuración de seguridad en un GPO que esté
vinculado a un dominio y, a continuación, aplicar todas esas configuraciones a cada equipo del dominio.
La Protección de aplicaciones usa tanto la configuración del aislamiento de red como la específica de la aplicación.

Configuración de aislamiento de red

Estas opciones de configuración, ubicadas en Configuración de equipo\Plantillas
administrativas\Red\Aislamiento de red, te ayudan a definir y administrar los límites de red de la empresa. La
Protección de aplicaciones utiliza esta información para transferir automáticamente al contenedor de la Protección
de aplicaciones las solicitudes de acceso a los recursos no corporativos.

NOTE
Debes configurar los dominios de recursos corporativos hospedados en la nube o los intervalos de redes privadas para
aplicaciones en los dispositivos de los empleados para activar correctamente la Protección de aplicaciones con el modo de
empresa. Los servidores proxy deben ser un recurso neutro que aparece en la Directiva "dominios clasificados como trabajo y
personal".

NOMBRE DE DIRECTIVA VERSIONES COMPATIBLES DESCRIPCIÓN

Intervalos de red privada para Al menos Windows Server 2012, Una lista separada por comas de los
aplicaciones Windows 8 o Windows RT intervalos de direcciones IP que se
encuentran en la red corporativa. Los
puntos de conexión incluidos o los
puntos de conexión que se integren en
un intervalo de direcciones IP específico
se representan con Microsoft Edge y no
se podrá acceder a ellos desde el
entorno de la Protección de
Aplicaciones.

Dominios de recursos de empresa Al menos Windows Server 2012, Una lista separada por tubería (\
hospedados en la nube Windows 8 o Windows RT
 NOMBRE DE DIRECTIVA VERSIONES COMPATIBLES DESCRIPCIÓN

Dominios clasificados como personales
y de trabajo
Al menos Windows Server 2012,
Windows 8 o Windows RT
Una lista separada por comas de los
nombres de dominio que se usan como
recursos personales o de trabajo. Los
puntos de conexión incluidos se
representan con Microsoft Edge y serán
accesibles desde la protección de
aplicaciones y el entorno de borde
normal. Nota: esta lista admite los
caracteres comodín que se detallan en
la tabla de caracteres comodín
configuración de aislamiento de red .

Caracteres comodín de configuración de aislamiento de red

VALOR NÚMERO DE PUNTOS A LA IZQUIERDA SIGNIFICADO

contoso.com ,0 Confiar solo en el valor literal

contoso.com de.

www.contoso.com ,0 Confiar solo en el valor literal

www.contoso.com de.

.contoso.com uno Confiar en cualquier dominio que

termine con el contoso.com texto. Los
sitios coincidentes incluyen
spearphishingcontoso.com ,
contoso.com , y www.contoso.com .

..contoso.com 1 Confiar en todos los niveles de la

jerarquía de dominios que se
encuentran a la izquierda del punto. Los
sitios coincidentes incluyen
shop.contoso.com ,
us.shop.contoso.com ,
www.us.shop.contoso.com , pero no
contoso.com en sí mismo.

Configuración específica de la aplicación

Estas opciones de configuración, ubicadas en Configuración del equipo\Plantillas
administrativas\Componentes de Windows\Protección de aplicaciones de Windows Defender, pueden
ayudarte a administrar la implementación de la Protección de aplicaciones en tu empresa.

NOMBRE VERSIONES COMPATIBLES DESCRIPCIÓN OPCIONES

NOMBRE
Establecer la configuración
del portapapeles en la
Protección de aplicaciones
de Windows Defender
Establecer la configuración
de impresión en Protección
de aplicaciones de Windows
Defender
VERSIONES COMPATIBLES DESCRIPCIÓN OPCIONES
Windows 10 Enterprise, Determina si la Protección de Habilitada. Activa la
1709 o superior aplicaciones puede usar la funcionalidad del
funcionalidad del portapapeles y te permite
Windows 10 Pro, 1803 o portapapeles. elegir si deseas además:
superior -Deshabilitar por completo la
funcionalidad del
portapapeles cuando la
seguridad de virtualización
está habilitada.
-Habilite la copia de
determinados contenidos de
la protección de aplicaciones
en Microsoft Edge.
-Habilite la copia de cierto
contenido de Microsoft Edge
en protección de
aplicaciones. Importante:
Permitir que el contenido
copiado pase de Microsoft
Edge a protección de
aplicaciones puede provocar
riesgos potenciales para la
seguridad y no es
recomendable.
Deshabilitado o sin
configurar. Desactiva
completamente la
funcionalidad del
portapapeles en la
Protección de aplicaciones.
Windows 10 Enterprise, Determina si la Protección de Habilitada. Activa la
1709 o superior aplicaciones puede usar la funcionalidad de impresión y
funcionalidad de impresión. te permite elegir si deseas
Windows 10 Pro, 1803 o además:
superior -Habilitar la protección de
aplicaciones para imprimir en
el formato XPS.
-Habilitar la protección de
aplicaciones para imprimir en
formato PDF.
-Habilitar la protección de la
aplicación para imprimir en
impresoras conectadas
localmente.
-Habilitar la protección de
aplicaciones para imprimir
desde impresoras de red
conectadas previamente. Los
empleados no pueden
buscar impresoras
adicionales.
Deshabilitado o sin
configurar. Desactiva
completamente la
funcionalidad de impresión
en la Protección de
aplicaciones.
NOMBRE
Bloquear sitios web
corporativos para cargar el
contenido no corporativo en
Internet Explorer y Microsoft
Edge
VERSIONES COMPATIBLES DESCRIPCIÓN OPCIONES
Windows 10 Enterprise, Determina si se permite el Habilitada. Impide el tráfico
1709 o superior acceso a Internet en las de red desde Internet
aplicaciones que no se Explorer y Microsoft Edge a
incluyen en la lista de sitios no corporativos que no
Aplicaciones permitidas. admiten la representación en
el contenedor de la
Protección de aplicaciones.
Nota: Esto también puede
bloquear los activos
almacenados en caché por
CDN y las referencias a sitios
de Analytics. Agrégalos a los
recursos de empresa de
confianza para evitar páginas
desfiguradas.
Deshabilitado o sin
configurar. Impide que
Microsoft Edge represente
tráfico de red a sitios no
empresariales que no se
pueden representar en la
protección de aplicaciones.
NOMBRE VERSIONES COMPATIBLES DESCRIPCIÓN OPCIONES

Admitir la persistencia Windows 10 Enterprise, Determina si los datos se Habilitada. La Protección

1709 o superior conservan entre las
diferentes sesiones en la
Windows 10 Pro, 1803 o Protección de aplicaciones de
superior Windows Defender.
de aplicaciones guarda los
archivos descargados por el
usuario y otros elementos
(por ejemplo, cookies,
favoritos, etc.) para
emplearlos en futuras
sesiones de la Protección de
aplicaciones.

Deshabilitado o sin
configurar. Todos los datos
de usuario de la Protección
de aplicaciones se
restablecen entre sesiones.

Nota
Si más adelante decides dejar
de admitir la persistencia de
los datos para los
empleados, puedes usar la
utilidad de Windows para
restablecer el contenedor y
para descartar los datos
personales.
Para restablecer el
contenedor:
1. Abra un programa de la
línea de comandos y
Windows/System32
Desplácese hasta él.
2. Escriba
wdagtool.exe cleanup el
texto. Se restablecerá el
entorno del contenedor y se
conservarán solo los datos
generados por el empleado.
3. Escriba
wdagtool.exe cleanup
RESET_PERSISTENCE_LAYER
el texto. Se restablecerá el
entorno del contenedor y se
descartarán todos los datos
generados por el empleado.
NOMBRE
Activar la protección de
aplicaciones de Windows
Defender en modo
administrado
Permitir que los archivos se
descarguen en el sistema
operativo host
VERSIONES COMPATIBLES DESCRIPCIÓN
Windows 10 Enterprise, Determina si se va a activar
1809 o superior la protección de aplicaciones
de Microsoft Edge y
Microsoft Office.
Windows 10 Enterprise, Determina si se deben
1803 o superior guardar los archivos
descargados en el sistema
operativo host desde el
contenedor de protección de
aplicaciones de Windows
Defender.
OPCIONES
Habilitada. Activa la
protección de la aplicación
de Microsoft Edge y/o
Microsoft Office, respetando
la configuración de
aislamiento de red,
representando los dominios
no empresariales en el
contenedor de protección de
aplicaciones. Ten en cuenta
que la Protección de
aplicaciones no se activará
hasta que se cumplan en el
dispositivo los requisitos
previos obligatorios y se
haya establecido la
configuración de aislamiento
de red. Opciones disponibles:
-Habilitar protección de
aplicaciones de Windows
Defender solo para Microsoft
Edge
-Habilitar protección de
aplicaciones de Windows
Defender solo para Microsoft
Office
-Habilitar protección de
aplicaciones de Windows
Defender para Microsoft
Edge y Microsoft Office
Deshabilitado. Desactiva la
protección de aplicaciones y
permite que todas las
aplicaciones se ejecuten en
Microsoft Edge y Microsoft
Office.
Habilitada. Permite que los
usuarios guarden archivos
descargados del contenedor
de protección de aplicaciones
de Windows Defender en el
sistema operativo del host.
Deshabilitado o sin
configurar. Los usuarios no
pueden guardar los archivos
descargados de la protección
de aplicaciones en el sistema
operativo del host.
NOMBRE
Permitir la representación
acelerada por hardware para
la protección de aplicaciones
de Windows Defender
VERSIONES COMPATIBLES DESCRIPCIÓN
Windows 10 Enterprise, Determina si la protección de
1803 o superior aplicaciones de Windows
Defender representa gráficos
Windows 10 Pro, 1803 o con aceleración de hardware
superior o software.
OPCIONES
Habilitada. La protección
de aplicaciones de Windows
Defender usa Hyper-V para
acceder al hardware de
gráficos (GPU) de
representación de alta
seguridad compatible. Estas
GPU mejoran el rendimiento
de la representación y la
duración de la batería al usar
la protección de aplicaciones
de Windows Defender,
especialmente para la
reproducción de vídeo y
otros casos de uso intensivo
de gráficos. Si esta
configuración está habilitada
sin conectar ningún
hardware de gráficos de
representación de alta
seguridad, la protección de
aplicaciones de Windows
Defender volverá
automáticamente a la
representación basada en
software (CPU). Importante:
Tenga en cuenta que
habilitar esta configuración
con controladores o
dispositivos de gráficos
potencialmente
comprometidos podría
suponer un riesgo para el
dispositivo de hospedaje.
Deshabilitado o sin
configurar. La protección de
aplicaciones de Windows
Defender usa la
representación basada en
software (CPU) y no cargará
ningún controlador de
gráficos de terceros ni
interactuará con ningún
hardware de gráficos
conectado.
NOMBRE
Permitir el acceso a la
cámara y el micrófono en
protección de aplicaciones
de Windows Defender
Permitir que la protección de
aplicaciones de Windows
Defender use entidades
emisoras de certificados raíz
del dispositivo de un usuario
Permitir que los usuarios
confíen en archivos que se
abren en protección de
aplicaciones de Windows
Defender
VERSIONES COMPATIBLES DESCRIPCIÓN
Windows 10 Enterprise, Determina si se permite el
1809 o superior acceso a la cámara y el
micrófono dentro de la
Windows 10 Pro, 1809 o protección de aplicaciones de
superior Windows Defender.
Windows 10 Enterprise, Determina si los certificados
1809 o superior raíz se comparten con la
protección de aplicaciones de
Windows 10 Pro, 1809 o Windows Defender.
superior
Windows 10 Enterprise, Determina si los usuarios
1809 o superior pueden confiar
manualmente en los archivos
que no son de confianza
para abrirlos en el host.
OPCIONES
Habilitada. Las aplicaciones
dentro de la protección de
aplicaciones de Windows
Defender pueden acceder a
la cámara y al micrófono del
dispositivo del usuario.
Importante: Ten en cuenta
que habilitar esta directiva
con un contenedor
potencialmente
comprometido puede eludir
los permisos de la cámara y
el micrófono, y acceder a la
cámara y al micrófono sin el
conocimiento del usuario.
Deshabilitado o sin
configurar. Las aplicaciones
dentro de la protección de
aplicaciones de Windows
Defender no pueden acceder
a la cámara y al micrófono
del dispositivo del usuario.
Habilitada. Los certificados
que coinciden con la huella
digital especificada se
transfieren al contenedor.
Use una coma para separar
varios certificados.
Deshabilitado o sin
configurar. Los certificados
no se comparten con
protección de aplicaciones de
Windows Defender.
Habilitada. Los usuarios
pueden confiar
manualmente en archivos o
confiar en archivos después
de una comprobación
antivirus.
Deshabilitado o sin
configurar. Los usuarios no
pueden confiar
manualmente en los archivos
y los archivos continúan
abriéndose en la protección
de aplicaciones de Windows
Defender.
 Escenarios de prueba de protección de aplicaciones
04/12/2019 • 7 minutes to read

Aplicable a:
Protección contra amenazas avanzada de Microsoft Defender (ATP de Microsoft Defender)
Hemos creado una lista de escenarios que puede usar para probar el aislamiento basado en hardware de su
organización.

Protección de aplicaciones en modo independiente

Puedes ver cómo el empleado usaría el modo independiente con la protección de aplicaciones.
Para probar la protección de aplicaciones en el modo independiente
1. Instale la protección de aplicaciones.
2. Reinicia el dispositivo, inicia Microsoft Edge y, a continuación, haz clic en Nueva ventana de protección
de aplicaciones desde el menú.

3. Espera a que la Protección de aplicaciones configure el entorno aislado.

NOTE
Si inicias la Protección de aplicaciones demasiado rápido tras reiniciar, el dispositivo podría tardar algo más en
cargarse. Sin embargo, los posteriores inicios se producirán sin retrasos perceptibles.

4. Ve a una dirección URL no de confianza, pero que sea segura (en este ejemplo, usamos msn.com), y
observa la nueva ventana de Microsoft Edge, asegurándote de ver las indicaciones visuales de la Protección
de aplicaciones.
Protección de aplicaciones en el modo administrado por la empresa
Cómo instalar, preparar, activar y configurar la Protección de aplicaciones para el modo administrado por la
empresa.
Instalar, preparar y activar la Protección de aplicaciones
Para poder usar Protección de aplicaciones en modo de empresa, debes instalar la edición Windows 10 Enterprise,
versión 1709, que incluye la funcionalidad. A continuación, debes usar la directiva de grupo para establecer la
configuración necesaria.
1. Instale la protección de aplicaciones.
2. Reinicia el dispositivo e inicia Microsoft Edge.
3. Establecer la configuración de aislamiento de red en la directiva de grupo:
a. Haz clic en el icono de Windows, escribe _directiva de grupo_y, a continuación, haz clic en Editar
directiva de grupo.
b. Ve a la configuración Plantillas administrativas\Red\Aislamiento de red\Dominios de recursos de
empresa hospedados en la nube.
c. En el caso de este escenario, escribe .microsoft.com en el cuadro Recursos de Enterprise Cloud.
d. Ve a la configuración Plantillas administrativas\Red\Aislamiento de red\Dominios clasificados
como personales y de trabajo.
e. En el caso de este escenario, escribe bing.com en el cuadro Recursos neutros.
4. Vaya a la configuración del Equipo\plantillas administrativas\Componentes de Windows\windows
defender de Guard\Turn en la protección de aplicaciones de Windows Defender en el modo de
empresa .
5. Haga clic en habilitado, elija la opción 1y haga clic en Aceptar.
 NOTE
Al habilitarla se comprueba que se haya establecido correctamente la configuración necesaria para los dispositivos de
los empleados, incluida la configuración de aislamiento de red establecida anteriormente en este escenario.

6. Inicia Microsoft Edge y escribe www.microsoft.com.

Tras enviar la dirección URL, la Protección de aplicaciones determina que la URL es de confianza porque
usa el dominio que se ha marcado como de confianza y muestra el sitio directamente en el equipo host, en
lugar de en la Protección de aplicaciones.
7. En el mismo explorador de Microsoft Edge, escribe cualquier dirección URL que no forme parte de las listas
de sitios de confianza o neutros.
Después de enviar la dirección URL, la Protección de aplicaciones determina que la dirección URL no es de
confianza y redirige la solicitud al entorno aislado del hardware.

Personalizar la Protección de la aplicaciones

En la Protección de aplicaciones puedes especificar la configuración, lo que permite crear el equilibrio adecuado
entre la seguridad basada en aislamiento y la productividad de los empleados.
La Protección de aplicaciones ofrece el siguiente comportamiento predeterminado de los empleados:
 No se puede copiar y pegar entre el equipo host y el contenedor aislado.
No se puede imprimir desde el contenedor aislado.
No hay persistencia de datos de un contenedor aislado a otro.
Puedes cambiar todas estas opciones de configuración para trabajar con tu empresa desde dentro de la directiva
de grupo.
Aplicable a:
Windows 10 Enterprise, versión 1709 o superior
Windows 10 Professional Edition, versión 1803
Opciones de copiar y pegar
1. Vaya a la aplicación configuración del Equipo\plantillas administrativas\Componentes de
Windows\windows defender Guard\Configure de la aplicación Windows Defender.
2. Haga clic en habilitado y en Aceptar.

3. Elegir cómo funciona el portapapeles:

Copiar y pegar de la sesión aislada al equipo host
Copiar y pegar del equipo host a la sesión aislada
Copiar y pegar en ambas direcciones
4. Elegir lo que se puede copiar:
1. Solo se puede copiar texto entre el equipo host y el contenedor aislado.
 2. Solo se pueden copiar imágenes entre el equipo host y el contenedor aislado.
3. Se pueden copiar tanto texto como imágenes entre el equipo host y el contenedor aislado.
5. Haz clic en Aceptar.
Opciones de impresión
1. Vaya a la aplicación configuración del Equipo\plantillas administrativas\Componentes de
Windows\windows defender Guard\Configure de la protección de la aplicación Windows
Defender .
2. Haga clic en habilitado y en Aceptar.

3. De la lista que se proporciona en la configuración, elige el número que mejor represente el tipo de
impresión que debe estar disponible para los empleados. Puedes permitir cualquier combinación de
impresión local, de red, en PDF y en XPS.
4. Haz clic en Aceptar.
Opciones de persistencia de datos
1. Vaya a la configuración de configuración del Equipo\plantillas administrativas\Componentes de
Windows\windows defender Application Guard\Allow persistencia de la aplicación Windows
Defender .
2. Haga clic en habilitado y en Aceptar.
3. Abre Microsoft Edge y busca una dirección URL no de confianza pero segura.
El sitio web se abre en una sesión aislada.
4. Agrega el sitio a la lista de Favoritos y, a continuación, cierra la sesión aislada.
5. Cierra la sesión y vuelve a iniciarla en tu dispositivo, y vuelve a abrir Microsoft Edge en la Protección de la
aplicaciones.
El sitio previamente agregado deberá seguir apareciendo en tu lista de Favoritos.
 NOTE
Si no permites o desactivas la persistencia de los datos, al reiniciar un dispositivo o abrir y cerrar sesión en el
contenedor aislado se desencadenará un evento de reciclaje que descartará todos los datos generados, incluidas las
cookies de sesión, los favoritos, etc., eliminando dichos datos de la Protección de aplicaciones. Si activas la
persistencia de los datos, todos los artefactos generados por los empleados se conservarán en los eventos de
reciclaje del contenedor. No obstante, estos artefactos solo existirán en el contenedor aislado y no se compartirán
con el equipo host. Estos datos se conservarán tras los reinicios e incluso en las actualizaciones entre compilaciones
de Windows 10.

Si activas la persistencia de datos pero más adelante decides dejar de admitirla para los empleados, puedes usar la
utilidad de Windows para restablecer el contenedor y para descartar los datos personales.

Para restablecer el contenedor, siga estos pasos:

1. Abra un programa de línea de comandos y vaya a Windows/system32.
2. Escriba wdagtool.exe cleanup el texto. Se restablecerá el entorno del contenedor y se conservarán solo los datos
generados por el empleado.
3. Escriba wdagtool.exe cleanup RESET_PERSISTENCE_LAYER el texto. Se restablecerá el entorno del contenedor y se
descartarán todos los datos generados por el empleado.

Aplicable a:
Windows 10 Enterprise Edition, versión 1803
Windows 10 Professional Edition, versión 1803
Opciones de descarga
1. Vaya a la configuración del Equipo\plantillas administrativas\Componentes de Windows\windows
Guard\Allow archivos de la aplicación para descargar y guardar en el sistema operativo host de la
configuración de protección de aplicaciones de Windows Defender .
2. Haga clic en habilitado y en Aceptar.
3. Cierra la sesión y vuelve a iniciarla en tu dispositivo, y vuelve a abrir Microsoft Edge en la Protección de la
aplicaciones.
4. Descargue un archivo de protección de aplicaciones de Windows Defender.
5. Comprueba que el archivo se haya descargado en este equipo > descargas > archivos que no sean de
confianza.
Opciones de aceleración de hardware
1. Vaya a la configuración del Equipo\plantillas administrativas\Componentes de Windows\windows
defender Application Guard\Allow de la configuración de protección acelerada de aplicaciones
de Windows Defender .
2. Haga clic en habilitado y en Aceptar.
3. Una vez que haya habilitado esta característica, abra Microsoft Edge y vaya a una dirección URL de no
confianza, pero segura con vídeo, 3D u otro contenido con gráficos intensivos. El sitio web se abre en una
sesión aislada.
4. Evaluar la experiencia visual y el rendimiento de la batería.
Aplicable a:
Windows 10 Enterprise Edition, versión 1809
Windows 10 Professional Edition, versión 1809
Opciones de confianza de archivos
1. Vaya a la aplicación configuración del Equipo\plantillas administrativas\Componentes de
Windows\windows defender Guard\Allow a los usuarios que confían en los archivos que se abren
en la protección de aplicaciones de Windows Defender .
2. Haga clic en habilitado, establezca las opciones en 2 y haga clic en Aceptar.
3. Cierra la sesión y vuelve a iniciarla en tu dispositivo, y vuelve a abrir Microsoft Edge en la Protección de la
aplicaciones.
4. Abra un archivo en Edge, como un archivo de Office 365.
5. Compruebe si se ha completado un examen antivirus antes de abrir el archivo.
Opciones de cámara y micrófono
1. Vaya a la configuración del Equipo\plantillas administrativas\Componentes de Windows\windows
defender aplicación de Guard\Allow cámara y acceso al micrófono en la configuración de
protección de aplicaciones de Windows Defender .
2. Haga clic en habilitado y en Aceptar.
3. Cierra la sesión y vuelve a iniciarla en tu dispositivo, y vuelve a abrir Microsoft Edge en la Protección de la
aplicaciones.
4. Abra una aplicación con capacidad de audio o vídeo en Edge.
5. Verifique que la cámara y el micrófono funcionen según lo esperado.
Opciones de uso compartido de certificados raíz
1. Vaya a la configuración del Equipo\plantillas administrativas\Componentes de Windows\windows
defender Application Guard\Allow protección de la aplicación Windows Defender para usar las
entidades de certificación raíz desde la configuración del dispositivo del usuario .
2. Haga clic en habilitado, copie la huella digital de cada certificado que desee compartir, separada por una
coma y haga clic en Aceptar.
3. Cierra la sesión y vuelve a iniciarla en tu dispositivo, y vuelve a abrir Microsoft Edge en la Protección de la
aplicaciones.
 Preguntas más frecuentes: Protección de aplicaciones
de Windows Defender
07/12/2019 • 4 minutes to read

Se aplica a: protección contra amenazas avanzada de Microsoft defender (ATP de Microsoft defender)
Respuesta a las preguntas más frecuentes sobre las características de la Protección de aplicaciones de Windows
Defender (Protección de aplicaciones), la integración con el sistema operativo Windows y la configuración general.

Preguntas más frecuentes

¿Puedo habilitar Protección de aplicaciones en máquinas equipadas con 4GB de RAM? |
Recomendamos 8 GB de RAM para un rendimiento óptimo, pero puede usar los siguientes valores DWORD de
registro para habilitar la protección de aplicaciones en equipos que no cumplen la configuración de hardware
recomendada.
HKLM\software\Microsoft\Hvsi\SpecRequiredProcessorCount (El valor predeterminado es 4 núcleos).
HKLM\software\Microsoft\Hvsi\SpecRequiredMemoryInGB (El valor predeterminado es 8 GB ).
HKLM\software\Microsoft\Hvsi\SpecRequiredFreeDiskSpaceInGB (El valor predeterminado es 5 GB ).
¿Pueden los empleados descargar documentos en dispositivos de host desde la sesión de Microsoft Edge de la
Protección de aplicaciones?
En Windows 10 Enterprise Edition 1803, los usuarios podrán descargar documentos del contenedor de protección
de aplicaciones aisladas en el equipo host. Esto lo administra la Directiva.
En Windows 10 Enterprise Edition 1709 o Windows 10 Professional Edition 1803, no es posible descargar
archivos del contenedor de protección de aplicaciones aisladas en el equipo host. Sin embargo, los empleados
pueden usar las opciones Imprimir en PDF o Imprimir en XPS y guardar los archivos en el dispositivo host.
¿Pueden los empleados copiar y pegar elementos entre el dispositivo host y la sesión de Microsoft Edge de la
Protección de aplicaciones?
En función de la configuración de su organización, los empleados pueden copiar y pegar imágenes (. bmp) y texto
en el contenedor aislado.
¿Por qué no ven los empleados sus favoritos en la sesión de Microsoft Edge de la Protección de aplicaciones?
Para ayudar a mantener la sesión de Microsoft Edge de la Protección de aplicaciones segura y aislada del
dispositivo host, no copiamos los favoritos almacenados durante la sesión de Microsoft Edge de la Protección de
aplicaciones en el dispositivo host.
¿Por qué no pueden ver los empleados sus extensiones en la sesión de Microsoft Edge de la Protección de
aplicaciones?
Actualmente, la sesión de Microsoft Edge de la Protección de aplicaciones no admite extensiones. Sin embargo,
supervisamos estrechamente tus comentarios al respecto.
¿Cómo configuro la protección de aplicaciones de Windows Defender para que funcione con mi proxy de red
(direcciones literales IP)?
La protección de aplicaciones de Windows Defender requiere que los servidores proxy tengan un nombre
simbólico, no solo una dirección IP. La configuración de proxy IP literal, 192.168.1.4:81 como, por ejemplo,
itproxy:81 se puede anotar como o P19216810010 mediante un registro como para un proxy con 192.168.100.10
una dirección IP de. Esto se aplica a Windows 10 Enterprise Edition 1709 o versiones posteriores. Esto sería para
las directivas de proxy en el aislamiento de red en la Directiva de grupo o Intune.
¿Qué editores de métodos de entrada (IME) en 19H1 son incompatibles?
Los siguientes editores de métodos de entrada (IME ) introducidos en Windows 10, versión 1903, actualmente no
son compatibles con la protección de aplicaciones de Windows Defender.
Teclado de télex Vietnam
Teclado basado en teclas de Vietnam
Teclado fonético Hindi
Teclado fonético bengalí
Teclado fonético Marathi
Teclado fonético Telugu
Teclado fonético Tamil
Teclado fonético Kannada
Teclado fonético Malayalam
Teclado fonético Gujarati
Teclado fonético odia
Teclado fonético punyabí
He habilitado la Directiva de aceleración de hardware en mi implementación de Windows 10 Enterprise, versión
1803. ¿Por qué los usuarios solo tienen que usar el procesamiento de CPU?
Esta característica solo se encuentra experimental y no es funcional sin una clave de clave adicional proporcionada
por Microsoft. Si desea evaluar esta característica en una implementación de Windows 10 Enterprise, versión 1803,
póngase en contacto con Microsoft y trabajaremos con usted para habilitar la característica.
¿Qué es la cuenta local de WDAGUtilityAccount?
Esta cuenta forma parte de la protección de aplicaciones a partir de Windows 10 versión 1709 (actualización de
otoño de Creators). Esta cuenta permanece deshabilitada hasta que esté habilitada la protección de aplicaciones en
el dispositivo. Este artículo está integrado en el sistema operativo y no se considera una amenaza o un
virus/malware.
¿Cómo puedo confiar en un subdominio de mi lista de sitios?
Para confiar en un subdominio, debe preceder el dominio con dos puntos, por ejemplo ..contoso.com : se
mail.contoso.com asegurarán o news.contoso.com serán de confianza. El primer punto representa las cadenas para
el nombre de subdominio (correo o noticias), el segundo punto reconoce el inicio del nombre de dominio
contoso.com (). Esto evita que los sitios fakesitecontoso.com sean de confianza.

¿Hay diferencias entre usar la protección de aplicaciones en Windows Pro frente a Windows Enterprise?
Al usar Windows Pro y Windows Enterprise, tendrá acceso al modo independiente de la protección de aplicaciones.
Sin embargo, al utilizar Enterprise, tendrá acceso al modo de administración empresarial de protección de
aplicaciones. Este modo tiene algunas características adicionales que no son compatibles con el modo
independiente. Para obtener más información, vea preparar la instalación de la protección de aplicaciones de
Windows Defender.
¿Hay un límite de tamaño para las listas de dominios que necesito configurar?
Sí, tanto los dominios de recursos de empresa hospedados en la nube como los dominios clasificados como
trabajo y personal tienen un límite de 16383B.
¿Por qué mi controlador de cifrado rompe la protección de aplicaciones de Windows Defender?
Protección de aplicaciones de Windows Defender obtiene acceso a los archivos de un VHD montado en el host que
debe escribirse durante la instalación. Si un controlador de cifrado evita que se monte un VHD o se escribe en él,
WDAG no funcionará y generará un mensaje de error ("0x80070013 ERROR_WRITE_PROTECT").