Antivirus de Microsoft Defender en Windows Server
Se aplica a:
Microsoft Defender Antivirus está disponible en las siguientes ediciones o versiones de Windows Server:
- Windows Server 2022
- Windows Server 2019
- Windows Server, versión 1803 o posterior
- Windows Server 2016
- Windows Server 2012 R2 (requiere Microsoft Defender para punto de conexión)
Configuración de Microsoft Defender Antivirus en Windows Server
El proceso de configuración y ejecución de Microsoft Defender Antivirus en Windows Server incluye los pasos siguientes:
- Habilite la interfaz.
- Instale Microsoft Defender Antivirus.
- Compruebe Microsoft Defender antivirus está en ejecución.
- Actualice la inteligencia de seguridad antimalware.
- (Según sea necesario) Envíe ejemplos.
- (Según sea necesario) Configurar exclusiones automáticas.
- (Solo si es necesario) Establezca Windows Server en modo pasivo.
Habilitación de la interfaz de usuario en Windows Server
Importante
Si usa Windows Server 2012 R2, consulte Opciones para instalar Microsoft Defender para punto de conexión.
De forma predeterminada, Microsoft Defender Antivirus está instalado y funciona en Windows Server. A veces, la interfaz de usuario (GUI) se instala de forma predeterminada. La GUI no es necesaria; puede usar PowerShell, directiva de grupo u otros métodos para administrar Microsoft Defender Antivirus. Sin embargo, muchas organizaciones prefieren usar la GUI para Microsoft Defender Antivirus. Para instalar la GUI, use uno de los procedimientos de la tabla siguiente:
| Procedure | Qué hacer |
|---|---|
| Active la GUI mediante el Asistente para agregar roles y características. | 1. Vea Instalar roles, servicios de rol y características mediante el Asistente para agregar roles y características, y use el Asistente para agregar roles y características. 2. Cuando llegues al paso Características del asistente, en Características de Windows Defender, selecciona la opción GUI para Windows Defender . |
| Activar la GUI mediante PowerShell | 1. En Windows Server, abra Windows PowerShell como administrador. 2. Ejecute el siguiente cmdlet de PowerShell: Install-WindowsFeature -Name Windows-Defender-GUI |
Para obtener más información, consulte Introducción con PowerShell.
Instalación de Microsoft Defender Antivirus en Windows Server
Si necesita instalar o reinstalar Microsoft Defender Antivirus en Windows Server, use uno de los procedimientos de la tabla siguiente:
| Procedure | Qué hacer |
|---|---|
| Use el Asistente para agregar roles y características para instalar Microsoft Defender Antivirus | 1. Vea Instalar o desinstalar roles, servicios de rol o características, y use el Asistente para agregar roles y características. 2. Cuando llegue al paso Características del asistente, seleccione la opción Microsoft Defender Antivirus. Seleccione también la opción GUI para Windows Defender . |
| Uso de PowerShell para instalar Microsoft Defender Antivirus | 1. En Windows Server, abra Windows PowerShell como administrador. 2. Ejecute el siguiente cmdlet de PowerShell: Install-WindowsFeature -Name Windows-Defender |
Nota:
Los mensajes de evento del motor de antimalware incluidos con Microsoft Defender Antivirus se pueden encontrar en Microsoft Defender Antivirus Events.
Comprobación de Microsoft Defender antivirus en ejecución
Después de instalar (o reinstalar) Microsoft Defender Antivirus, el siguiente paso es comprobar que se está ejecutando. Use los cmdlets de PowerShell en la tabla siguiente:
| Procedure | Cmdlet de PowerShell |
|---|---|
| Comprobar que Microsoft Defender Antivirus está en ejecución | Get-Service -Name windefend |
| Comprobación de que la protección del firewall está activada | Get-Service -Name mpssvc |
Como alternativa a PowerShell, puede usar el símbolo del sistema para comprobar que Microsoft Defender Antivirus se está ejecutando. Para ello, ejecute el siguiente comando desde un símbolo del sistema:
sc query Windefend
El sc query comando devuelve información sobre el servicio antivirus de Microsoft Defender. Cuando se ejecuta Microsoft Defender Antivirus, el STATE valor muestra RUNNING.
Para ver todos los servicios que no se ejecutan, ejecute el siguiente cmdlet de PowerShell:
sc query state= all
Actualización de la inteligencia de seguridad antimalware
Importante
A partir de la versión de plataforma 4.18.2208.0 y versiones posteriores: si se ha incorporado un servidor a Microsoft Defender para punto de conexión, la configuración de directiva de grupo "Desactivar Windows Defender" ya no deshabilitará completamente Windows Antivirus de Defender en Windows Server 2012 R2 y versiones posteriores. En su lugar, lo colocará en modo pasivo. Además, la característica de protección contra alteraciones permitirá cambiar al modo activo, pero no al modo pasivo.
- Si "Desactivar Windows Defender" ya está en vigor antes de incorporarse a Microsoft Defender para punto de conexión, no habrá ningún cambio y Antivirus de Defender permanecerá deshabilitado.
- Para cambiar Antivirus de Defender al modo pasivo, incluso si se deshabilitó antes de la incorporación, puede aplicar la configuración de ForceDefenderPassiveMode con un valor de
1. Para colocarlo en modo activo, cambie este valor a0en su lugar.
Tenga en cuenta la lógica modificada para ForceDefenderPassiveMode cuando se habilita la protección contra alteraciones: una vez que Microsoft Defender Antivirus cambia al modo activo, la protección contra alteraciones impedirá que vuelva al modo pasivo incluso cuando ForceDefenderPassiveMode se establezca en 1.
Para obtener las actualizaciones periódicas de inteligencia de seguridad, el servicio de Windows Update debe estar en ejecución. Si usa un servicio de administración de actualizaciones, como Windows Server Update Services (WSUS), asegúrese de que Microsoft Defender las actualizaciones de inteligencia de seguridad del antivirus estén aprobadas para los equipos que administre.
De forma predeterminada, Windows Update no descarga ni instala actualizaciones automáticamente en Windows Server 2019 o Windows Server 2022 o Windows Server 2016. Puede cambiar esta configuración mediante uno de los métodos siguientes:
| Método | Descripción |
|---|---|
| Windows Update en Panel de control |
La instalación de actualizaciones provoca que todas las actualizaciones se instalen automáticamente, incluidas las actualizaciones de inteligencia de seguridad de Windows Defender. Descargue las actualizaciones, pero permítanme elegir si instalarlas permite que Windows Defender descargue e instale actualizaciones de Inteligencia de seguridad automáticamente, pero otras actualizaciones no se instalan automáticamente. |
| Directiva de grupo | Puede configurar y administrar Windows Update mediante la configuración disponible en directiva de grupo, en la ruta de acceso siguiente: Plantillas administrativas\Componentes de Windows\Windows Update\Configurar Novedades automático |
| Clave del Registro AUOptions | Los dos valores siguientes permiten Windows Update descargar e instalar automáticamente las actualizaciones de Inteligencia de seguridad: 4 - Instale las actualizaciones automáticamente. Este valor hace que todas las actualizaciones se instalen automáticamente, incluidas las actualizaciones de inteligencia de seguridad de Windows Defender. 3 - Descargue las actualizaciones, pero permítanme elegir si desea instalarlas. Este valor permite que Windows Defender descargue e instale actualizaciones de inteligencia de seguridad automáticamente, pero otras actualizaciones no se instalan automáticamente. |
Para asegurarse de que se mantiene la protección contra malware, habilite los siguientes servicios:
- Informe de errores de Windows servicio
- Windows Update servicio
En la tabla siguiente se enumeran los servicios de Microsoft Defender Antivirus y los servicios dependientes.
| Nombre del servicio | Ubicación del archivo | Descripción |
|---|---|---|
| Servicio de Windows Defender (WinDefend) | C:\Program Files\Windows Defender\MsMpEng.exe |
Este servicio es el principal Microsoft Defender servicio antivirus que debe ejecutarse siempre. |
| servicio Informe de errores de Windows (Wersvc) | C:\WINDOWS\System32\svchost.exe -k WerSvcGroup |
Este servicio envía informes de errores a Microsoft. |
| Firewall de Windows (MpsSvc) | C:\WINDOWS\system32\svchost.exe -k LocalServiceNoNetwork |
Se recomienda mantener habilitado el servicio Firewall de Windows. |
| Windows Update (Wuauserv) | C:\WINDOWS\system32\svchost.exe -k netsvcs |
Windows Update es necesario para obtener actualizaciones de inteligencia de seguridad y actualizaciones del motor antimalware |
Envío de ejemplos
El envío de ejemplos permite a Microsoft recopilar ejemplos de software potencialmente malintencionado. Para ayudar a proporcionar protección continua y actualizada, los investigadores de Microsoft usan estos ejemplos para analizar actividades sospechosas y producir inteligencia de seguridad antimalware actualizada. Recopilamos archivos ejecutables del programa, como archivos .exe y archivos .dll. No recopilamos archivos que contengan datos personales, como documentos de Microsoft Word y archivos PDF.
Envío de un archivo
Revise la guía de envío.
Visite el portal de envío de ejemplo y envíe el archivo.
Habilitación del envío automático de ejemplos
Para habilitar el envío automático de ejemplo, inicie una consola de Windows PowerShell como administrador y establezca los datos del valor SubmitSamplesConsent según una de las opciones siguientes:
| Configuración | Descripción |
|---|---|
| 0 - Preguntar siempre | El servicio antivirus Microsoft Defender le pide que confirme el envío de todos los archivos necesarios. Esta configuración es la predeterminada para Microsoft Defender Antivirus, pero no se recomienda para instalaciones en Windows Server 2016 o 2019, ni para Windows Server 2022 sin una GUI. |
| 1 - Enviar muestras seguras automáticamente | El servicio antivirus Microsoft Defender envía todos los archivos marcados como "seguros" y solicita el resto de los archivos. |
| número arábigo - Nunca enviar | El servicio antivirus de Microsoft Defender no solicita y no envía ningún archivo. |
| 3 - Enviar todos los ejemplos automáticamente | El servicio antivirus Microsoft Defender envía todos los archivos sin necesidad de confirmación. |
Nota:
Esta opción no está disponible para Windows Server 2012 R2.
Configuración de exclusiones automáticas
Para garantizar la seguridad y el rendimiento, determinadas exclusiones se agregan automáticamente en función de los roles y características que se instalan al usar Microsoft Defender Antivirus en Windows Server 2016 o 2019 o Windows Server 2022.
Consulta Configurar exclusiones en Microsoft Defender Antivirus en Windows Server.
Modo pasivo y Windows Server
Si usa un producto antivirus que no es de Microsoft como solución antivirus principal en Windows Server, debe establecer Microsoft Defender Antivirus en modo pasivo o deshabilitarlo manualmente.
- Si el punto de conexión de Windows Server está incorporado a Microsoft Defender para punto de conexión, puede establecer Microsoft Defender Antivirus en modo pasivo.
- Si no usa Microsoft Defender para punto de conexión, establezca Microsoft Defender Antivirus en modo deshabilitado.
Si desinstala el producto antivirus que no es de Microsoft, asegúrese de volver a habilitar Microsoft Defender Antivirus. Consulta Volver a habilitar Microsoft Defender Antivirus en Windows Server si está deshabilitado.
En la tabla siguiente se describen los métodos para establecer Microsoft Defender Antivirus en modo pasivo, deshabilitar Microsoft Defender Antivirus y desinstalar Microsoft Defender Antivirus:
| Procedure | Descripción |
|---|---|
| Establecer Microsoft Defender Antivirus en modo pasivo mediante una clave del Registro | Establezca la clave del ForceDefenderPassiveMode Registro como se indica a continuación:-Camino: HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection -Nombre: ForceDefenderPassiveMode -Tipo: REG_DWORD -Valor: 1 |
| Desactivar la interfaz de usuario Microsoft Defender Antivirus mediante PowerShell | Abra Windows PowerShell como administrador y ejecute el siguiente cmdlet de PowerShell:Uninstall-WindowsFeature -Name Windows-Defender-GUI |
| Deshabilitación de Microsoft Defender protección antivirus en tiempo real mediante PowerShell | Use el siguiente cmdlet de PowerShell: Set-MpPreference -DisableRealtimeMonitoring $true |
| Deshabilitar Microsoft Defender Antivirus mediante el Asistente para quitar roles y características | Consulte Instalar o desinstalar roles, servicios de rol o características y usar el Asistente para quitar roles y características. Cuando llegues al paso Características del asistente, desactiva la opción Características de Windows Defender . Si borras Windows Defender por sí mismo en la sección Características de Windows Defender , se te pedirá que quites la opción de interfaz GUI para Windows Defender. Microsoft Defender Antivirus se ejecuta normalmente sin la interfaz de usuario, pero la interfaz de usuario no se puede habilitar si deshabilitas la característica principal de Windows Defender. |
| Desinstalación de Microsoft Defender Antivirus mediante PowerShell | Use el siguiente cmdlet de PowerShell: Uninstall-WindowsFeature -Name Windows-Defender |
| Deshabilite Microsoft Defender Antivirus mediante directiva de grupo | En la directiva de grupo Editor local, vaya a Plantilla> administrativaWindows Component>Endpoint Protection>Disable Endpoint Protection (Deshabilitar Endpoint Protection) y, a continuación, seleccione EnabledOK (Aceptarhabilitado).> |
Para obtener más información, vea Trabajar con claves del Registro.
¿Usa Windows Server 2012 R2 o Windows Server 2016?
Si windows Server está incorporado a Microsoft Defender para punto de conexión, puede ejecutar Microsoft Defender Antivirus en modo pasivo en Windows Server 2012 R2 y Windows Server 2016. Consulte los siguientes artículos:
Opciones para instalar Microsoft Defender para punto de conexión
compatibilidad de Microsoft Defender Antivirus con otros productos de seguridad
¿Qué ocurre si se desinstala un producto antivirus que no es de Microsoft?
Si se instaló un producto antivirus que no es de Microsoft en Windows Server, Microsoft Defender Antivirus probablemente se estableció en modo pasivo. Cuando se desinstala el producto antivirus que no es de Microsoft, Microsoft Defender Antivirus debe cambiar al modo activo automáticamente. Sin embargo, es posible que no se produzca en determinadas versiones de Windows Server, como Windows Server 2016. Use el procedimiento siguiente para comprobar el estado de Microsoft Defender Antivirus y, si es necesario, establézcalo en modo activo:
Compruebe el estado de Microsoft Defender Antivirus siguiendo las instrucciones de Comprobar Microsoft Defender antivirus se está ejecutando (en este artículo).
Si es necesario, establezca Microsoft Defender Antivirus en modo activo manualmente siguiendo estos pasos:
En el dispositivo Windows Server, abra registry Editor como administrador.
Ve a
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection.Establezca o defina una
REG_DWORDentrada denominadaForceDefenderPassiveModey establezca su valor0en .Reinicie el dispositivo.
Sugerencia
Si sigue necesitando ayuda, consulte los siguientes elementos de solución de problemas:
Vea también
- Antivirus de Microsoft Defender en Windows
- compatibilidad de Microsoft Defender Antivirus con otros productos de seguridad
- Analizador de rendimiento para Microsoft Defender Antivirus
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.