Cuando Microsoft Defender Antivirus no es la aplicación de seguridad principal (por ejemplo, si se utiliza otro antivirus), poner Defender en modo pasivo puede ayudar a supervisar el sistema sin causar conflictos. Es un poco extraño, pero esta configuración permite que Defender funcione silenciosamente, simplemente observando e informando amenazas, mientras el antivirus principal se encarga del trabajo pesado. Además, implementar Defender for Endpoint en modo pasivo significa que puedes seguir utilizando algunas de sus funciones avanzadas sin correr el riesgo de que dos sistemas de seguridad se interfieran.
Cómo implementar Defender for Endpoint en modo pasivo
Si el Modo Pasivo está habilitado, Defender analiza los archivos y detecta malware, pero no pone en cuarentena ni bloquea nada. Simplemente informa todo a la consola de seguridad (como el Centro de Seguridad de Microsoft Defender), brindándote información sobre lo que sucede en tu red. En la práctica, esta configuración es útil si quieres evitar conflictos con tu antivirus actual, pero mantenerte informado sobre posibles problemas.
El modo de bloqueo EDR (Detección y Respuesta de Endpoints) refuerza el modo pasivo añadiendo capacidades reactivas. Piense en su antivirus principal como el guardia de seguridad de la puerta; el modo de bloqueo EDR es como tener agentes encubiertos dentro, vigilando cualquier actividad furtiva que se escape a los controles iniciales. Al activarse, el EDR de Defender puede bloquear o corregir automáticamente amenazas más sofisticadas, como detener un proceso malicioso antes de que cause daños.
Habilitar el modo pasivo o el modo de bloqueo EDR
Esto es útil si quieres que Defender solo vigile e informe, pero sin tomar medidas drásticas. El motivo para habilitar el Modo de Bloqueo EDR es que automatiza la respuesta ante amenazas, algo que el Modo Pasivo por sí solo no hace. Te conviene si buscas una defensa por capas sin intervención manual en cada ocasión.
Los pasos habituales son bastante sencillos; solo ten en cuenta que las rutas de acceso exactas al menú pueden variar ligeramente según tu versión de Windows. Normalmente, irás a Configuración, luego a Puntos finales y, por último, a Funciones avanzadas en el portal de Defender. Busca el interruptor » Habilitar EDR en modo de bloqueo», actívalo y guarda la configuración.
En algunas configuraciones, estas opciones están ocultas tras directivas de grupo o requieren ajustes de PowerShell. Si las opciones del menú no están visibles, usar PowerShell para configurarlas es una alternativa fiable. Este es el comando para comprobar los modos actuales:
Get-MpComputerStatus | Select AMRunningMode
La salida será Pasiva, Normal o Modo de Bloque EDR. Si no es Pasiva y desea que lo sea, deberá realizar algunos ajustes. En algunos equipos, la configuración no se mantiene sin modificar el registro; esto es un poco molesto, pero a veces necesario.
Por ejemplo, para forzar manualmente el modo pasivo en servidores Windows (como 2012 R2 o versiones más nuevas), debes modificar el registro:
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status" /v LocalAdminEnabled /t REG_DWORD /d 1 /fEsto básicamente engaña a Defender para que permanezca en modo pasivo hasta que completes la integración. Porque, claro, a veces Windows tiene que complicarlo más de lo necesario.
¿Cómo verifico que Defender esté realmente en modo pasivo?
Si te preguntas si todo esto funciona, PowerShell es tu aliado. Inicia Windows PowerShell como administrador y ejecuta el mismo comando anterior:
Get-MpComputerStatus | Select AMRunningMode
La salida debería ser Pasiva si todo está configurado correctamente. Si muestra Normal o Modo de Bloque EDR, es posible que la configuración siga desactivada o que sea necesario reiniciar para que surta efecto. A veces, Windows se comporta de forma extraña y necesita un impulso para aplicar los cambios, lo cual no es de extrañar.
¿El modo pasivo realmente protege el dispositivo?
Aquí es donde la cosa se vuelve un poco confusa. Cuando Defender está en modo pasivo, en realidad es solo un observador. Sigue escaneando, informando y detectando amenazas, pero no pone en cuarentena ni bloquea nada por sí solo. Imagínate que es como una cámara de seguridad que lo graba todo, pero no interfiere a menos que se le ordene. Es bueno para la visibilidad, sobre todo si tienes otro antivirus principal en funcionamiento, pero no blinda tu equipo por sí solo.
Para mayor tranquilidad, habilitar EDR en modo de bloqueo permite a Defender responder manual o automáticamente a amenazas complejas. Es una especie de configuración de «observación y reacción», y eso es lo que le da a Defender mayor poder en este escenario. No sé por qué funciona, pero en algunas configuraciones, esta capa incluso detecta amenazas más insidiosas que eluden al antivirus principal.
Espero que esto explique los pasos con claridad, porque, en serio, Windows tiene una forma de hacer que esto parezca una búsqueda del tesoro. Pero una vez configurado correctamente, se obtiene una buena defensa por capas sin alterar por completo las herramientas de seguridad existentes.
Resumen
- Verifique el modo actual con PowerShell (`Get-MpComputerStatus`) para verificar la configuración
- Utilice el portal Defender para habilitar EDR en modo de bloqueo si es necesario
- Si está en servidores, primero modifique manualmente las claves de registro
- Reinicie después de realizar cambios y luego vuelva a verificar el modo
Resumen
Activar Defender en modo pasivo y habilitar EDR en modo de bloqueo puede parecer complicado, pero cobra sentido una vez que lo haces paso a paso. Se trata de equilibrar la visibilidad y evitar conflictos con tu antivirus principal, algo común en las configuraciones empresariales. Si los comandos y las rutas de menú no funcionan correctamente, no te preocupes: con ajustes adicionales o un reinicio rápido suele ser suficiente. He trabajado en varias configuraciones, así que espero que esto ayude a alguien a ahorrar tiempo en la resolución de problemas.