Microsoft Defender Antivirus está disponible en puntos de conexión que ejecutan las siguientes versiones de Windows:
Windows 11
Windows 10
Windows Server 2025
Windows Server 2022
Windows Server 2019
Windows Server, versión 1803 o posterior
Windows Server 2016
Microsoft Defender Antivirus también está disponible para versiones anteriores de Windows en determinadas condiciones.
En Windows Server 2012 R2, cuando se incorpora mediante la solución moderna y unificada, Microsoft Defender Antivirus se instala en modo activo.
En Windows 8.1, con System Center Endpoint Protection, se ofrece y administra la protección antivirus de punto de conexión de nivel empresarial a través de Microsoft Endpoint Configuration Manager.
Si usa software antivirus o antimalware que no es de Microsoft, es posible que pueda ejecutar Microsoft Defender Antivirus junto con la otra solución antivirus. En este artículo se describe lo que sucede con Microsoft Defender Antivirus y software antivirus o antimalware que no son de Microsoft, con y sin Microsoft Defender para punto de conexión.
Protección antivirus sin Defender para punto de conexión
En esta sección se describe lo que ocurre al usar Microsoft Defender Antivirus junto con productos antivirus o antimalware que no son de Microsoft en puntos de conexión que no están incorporados a Defender para punto de conexión.
En general, Microsoft Defender Antivirus no se ejecuta en modo pasivo en dispositivos que no están incorporados a Defender para punto de conexión.
En la tabla siguiente se resume lo que se debe esperar:
Versión de Windows
Solución antivirus/antimalware principal
Microsoft Defender estado antivirus
Windows 10 Windows 11
Antivirus de Microsoft Defender
Modo activo
Windows 10 Windows 11
Una solución antivirus o antimalware que no es de Microsoft
Modo deshabilitado (se produce automáticamente)
En Windows 11, si SmartAppControl está habilitado, Microsoft Defender Antivirus entra en modo pasivo.
Windows Server 2022 Windows Server 2019 Windows Server, versión 1803 o posterior Windows Server 2016 Windows Server 2012 R2
Antivirus de Microsoft Defender
Modo activo
Windows Server 2022 Windows Server 2019 Windows Server, versión 1803 o posterior Windows Server 2016
Una solución antivirus o antimalware que no es de Microsoft
Deshabilitada (establezca manualmente; consulte la nota que sigue a esta tabla)
Si el dispositivo está incorporado a Microsoft Defender para punto de conexión, puede usar Microsoft Defender Antivirus en modo pasivo, como se describe más adelante en este artículo.
Nota
En Windows Server, si ejecuta un producto antivirus que no es de Microsoft, puede desinstalar Microsoft Defender Antivirus mediante los siguientes cmdlets de PowerShell (como administrador):
Windows Server 2019 y versiones posteriores:Uninstall-WindowsFeature Windows-Defender
Windows Server 2016: Uninstall-WindowsFeature Windows-Defender yUninstall-WindowsFeature Windows-Defender-Gui
En Windows Server 2016, es posible que vea Windows Antivirus de Defender en lugar de Microsoft Defender Antivirus.
Asegúrese de reiniciar el servidor para terminar de quitar Microsoft Defender Antivirus.
Microsoft Defender antivirus y soluciones antivirus o antimalware que no son de Microsoft
Nota
En general, Microsoft Defender Antivirus solo se puede establecer en modo pasivo en los puntos de conexión que se incorporan a Defender para punto de conexión.
Si Microsoft Defender Antivirus se ejecuta en modo activo, modo pasivo o está deshabilitado depende de varios factores, como:
La versión de Windows instalada en un punto de conexión
Si Microsoft Defender Antivirus es la solución antivirus o antimalware principal en el punto de conexión
Si el punto de conexión está incorporado a Defender para punto de conexión
En la tabla siguiente se resume el estado de Microsoft Defender Antivirus en varios escenarios.
Solución antivirus/antimalware
¿Se ha incorporado a Defender para punto de conexión?
Microsoft Defender estado antivirus
Estado del control de aplicaciones inteligentes
Antivirus de Microsoft Defender
Yes
Modo activo
N/D
Antivirus de Microsoft Defender
No
Modo activo
Activado, Evaluado o Desactivado
Una solución antivirus o antimalware que no es de Microsoft
Yes
Modo pasivo (automáticamente)
N/D
Una solución antivirus o antimalware que no es de Microsoft
No
Deshabilitado (automáticamente)
Evaluación o Activado
Nota
Smart App Control es un producto solo para el consumidor que se usa en nuevas instalaciones de Windows 11. Se puede ejecutar junto con el software antivirus y bloquear aplicaciones que se consideran malintencionadas o que no son de confianza.
Más información sobre Smart App Control.
modo Windows Server y pasivo
Sugerencia
Si planea mantener Microsoft Defender Antivirus en modo pasivo para los servidores Windows Server, la ForceDefenderPassiveMode configuración debe establecerse antes de incorporar el dispositivo a Microsoft Defender para punto de conexión.
En Windows Server 2025, Windows Server 2022, Windows Server 2019, Windows Server, versión 1803 o posterior, Windows Server 2016 o Windows Server 2012 R2, Microsoft Defender Antivirus no entra automáticamente en modo pasivo al instalar un producto antivirus que no es de Microsoft. En esos casos, establezca Microsoft Defender Antivirus en modo pasivo para evitar problemas causados por tener varios productos antivirus instalados en un servidor. Puede establecer Microsoft Defender Antivirus en modo pasivo mediante una clave del Registro como se indica a continuación:
Puede ver el estado de protección en PowerShell mediante el comando Get-MpComputerStatus. Compruebe el valor de AMRunningMode. Debería ver El modo de bloqueo normal, pasivo o EDR si Microsoft Defender Antivirus está habilitado en el punto de conexión.
Para que el modo pasivo funcione en puntos de conexión que ejecutan Windows Server 2016 y Windows Server 2012 R2, esos puntos de conexión deben incorporarse con la solución moderna y unificada que se describe en Incorporación de servidores Windows.
Observe la lógica modificada para ForceDefenderPassiveMode cuando está habilitada la protección contra alteraciones: cuando Microsoft Defender Antivirus está establecido en modo activo, la protección contra alteraciones impide que vuelva al modo pasivo incluso cuando ForceDefenderPassiveMode se establece en 1.
En Windows Server 2016, Windows Server 2012 R2, Windows Server versión 1803 o posterior, Windows Server 2019 y Windows Server 2022, si usa un producto antivirus que no es de Microsoft en un punto de conexión que no está incorporado a Microsoft Defender para punto de conexión, deshabilite o desinstale Microsoft Defender Antivirus manualmente para evitar problemas causados por tener varios productos antivirus instalados en un servidor. Sin embargo, Defender para punto de conexión incluye funcionalidades que amplían aún más la protección antivirus instalada en el punto de conexión. Si tiene Defender para punto de conexión, puede beneficiarse de la ejecución de Microsoft Defender Antivirus junto con otra solución antivirus.
Por ejemplo, la detección y respuesta de puntos de conexión (EDR) en modo de bloque proporciona protección adicional contra artefactos malintencionados incluso si Microsoft Defender Antivirus no es el producto antivirus principal. Estas funcionalidades requieren que Microsoft Defender Antivirus se instale y ejecute en modo pasivo o en modo activo.
Sugerencia
En Windows Server 2016, es posible que vea Windows Antivirus de Defender en lugar de Microsoft Defender Antivirus.
Requisitos para que Microsoft Defender Antivirus se ejecute en modo pasivo
Para que Microsoft Defender Antivirus se ejecute en modo pasivo, los puntos de conexión deben cumplir los siguientes requisitos:
Sistema operativo: Windows 10 o posterior; Windows Server 2022, Windows Server 2019 o Windows Server, versión 1803 o posterior (Windows Server 2012 R2 y Windows Server 2016 si se incorporan mediante la solución moderna y unificada).
Microsoft Defender Antivirus debe estar instalado.
Los puntos de conexión deben incorporarse a Defender para punto de conexión.
Seguridad de Windows Center Service debe estar habilitado.
Advertencia
Si el servicio Seguridad de Windows Center está deshabilitado en los clientes de Windows, Microsoft Defender Antivirus no puede detectar instalaciones antivirus de terceros y permanecerá activo.
Esto podría dar lugar a conflictos entre el antivirus de Microsoft Defender y el antivirus de terceros, ya que ambos intentarán proporcionar protección activa. Esto afectará al rendimiento y no se admite.
Importante
Microsoft Defender Antivirus solo está disponible en dispositivos que ejecutan Windows 10 y 11, Windows Server 2022, Windows Server 2016, Windows Server 2019, Windows Server, versión 1803 o posterior, Windows Server 2016 y Windows Server 2012 R2.
El modo pasivo solo se admite en Windows Server 2012 R2 & 2016 cuando el dispositivo se incorpora mediante la solución moderna y unificada.
En Windows 8.1, la protección antivirus de punto de conexión de nivel empresarial se ofrece como System Center Endpoint Protection, que se administra a través de Microsoft Endpoint Configuration Manager.
Cómo afecta Microsoft Defender Antivirus a la funcionalidad de Defender para punto de conexión
Defender para punto de conexión afecta a si Microsoft Defender Antivirus puede ejecutarse en modo pasivo. Además, el estado de Microsoft Defender Antivirus puede afectar a determinadas funcionalidades de Defender para punto de conexión. Por ejemplo, la protección en tiempo real funciona cuando Microsoft Defender Antivirus está en modo activo o pasivo, pero no cuando Microsoft Defender Antivirus está deshabilitado o desinstalado.
Importante
En la tabla de esta sección se resumen las características y funcionalidades que funcionan activamente o no, según si Microsoft Defender Antivirus está en modo activo, modo pasivo o deshabilitado o desinstalado. Esta tabla está diseñada para ser solo informativa.
No desactive las funcionalidades, como la protección en tiempo real, la protección entregada en la nube o el examen periódico limitado si usa Microsoft Defender Antivirus en modo pasivo, o si usa EDR en modo de bloque, que funciona en segundo plano para detectar y corregir artefactos malintencionados detectados después de la infracción.
Protección
Antivirus de Microsoft Defender (Modo activo)
Antivirus de Microsoft Defender (modo pasivo)
Antivirus de Microsoft Defender (Deshabilitado o desinstalado)
Cuando Microsoft Defender Antivirus está en modo pasivo, la protección en tiempo real se comporta de las siguientes maneras con la prevención de pérdida de datos de punto de conexión de Microsoft (DLP de punto de conexión):
Microsoft Defender Antivirus en modo pasivo
Estado de protección en tiempo real
Estado de supervisión del comportamiento
DLP de punto de conexión está deshabilitado
Deshabilitada
No proporciona ningún bloqueo o aplicación de protección antivirus en tiempo real.
Deshabilitada
No proporciona ningún bloqueo o aplicación de la supervisión del comportamiento del antivirus.
DLP de punto de conexión está habilitado
Habilitado para funcionalidades específicas de DLP
No proporciona ningún bloqueo o aplicación de protección antivirus en tiempo real.
Asegúrese de agregar archivos binarios Microsoft Defender Antivirus y Microsoft Defender para punto de conexión a la lista de exclusión del antivirus o la solución EDR que no son de Microsoft.
Habilitado para funcionalidades específicas de DLP
No proporciona ningún bloqueo o aplicación de la supervisión del comportamiento del antivirus.
Cuando Microsoft Defender Antivirus está en modo pasivo, los exámenes no están programados. Si los exámenes están programados en la configuración, se omite la programación. A menos que:
"Iniciar el examen programado solo cuando el equipo está encendido pero no en uso" se establece en "No configurado o habilitado". Se crea un Programador de tareas de Windows a menos que establezca "Iniciar el examen programado solo cuando el equipo está encendido pero no en uso" en deshabilitado.
"Activar el examen rápido de puesta al día" se establece en "No configurado o habilitado". Cada 30 días (número predeterminado de días) se sigue produciendo un examen de captura rápida a menos que "Activar el examen rápido de puesta al día" esté establecido en deshabilitado. Las tareas de examen configuradas en el Programador de tareas de Windows continúan ejecutándose según su programación. Si tiene tareas programadas, puede quitarlas, si lo prefiere.
"Activar el examen después de la actualización de inteligencia de seguridad" se establece en "No configurado o habilitado". De forma predeterminada, se produce un examen rápido después de una "actualización de inteligencia de seguridad" a menos que establezca "Activar el examen después de la actualización de inteligencia de seguridad" en deshabilitado.
Cuando Microsoft Defender Antivirus está en modo pasivo, no corrige las amenazas. Sin embargo, la detección y respuesta de puntos de conexión (EDR) en modo de bloque puede corregir amenazas. En este caso, es posible que vea alertas que muestran Microsoft Defender Antivirus como origen, incluso cuando Microsoft Defender Antivirus está en modo pasivo.
La cadencia de actualización de inteligencia de seguridad solo se controla mediante Windows Update configuración. Los programadores de actualizaciones específicos de Defender (diarios y semanales en un momento específico, basados en intervalos) solo funcionan cuando Microsoft Defender Antivirus está en modo activo. Se ignoran en modo pasivo.
Cuando Microsoft Defender Antivirus está en modo pasivo, el filtrado de contenido web solo funciona con el explorador Microsoft Edge.
No deshabilite, detenga ni modifique ninguno de los servicios asociados que usa Microsoft Defender Antivirus, Defender para punto de conexión o la aplicación Seguridad de Windows. Esta recomendación incluye los wscsvcservicios y procesos , MsSenseSecurityHealthService, , Sense, WinDefendo MsMpEng . La modificación manual de estos servicios puede provocar una inestabilidad grave en los dispositivos y puede hacer que la red sea vulnerable. Deshabilitar, detener o modificar esos servicios también puede causar problemas al usar soluciones antivirus que no son de Microsoft y cómo se muestra su información en la aplicación Seguridad de Windows.
En Defender para punto de conexión, puede activar EDR en modo de bloque, incluso si Microsoft Defender Antivirus no es la solución antivirus principal. EDR en modo de bloque detecta y corrige los elementos malintencionados que se encuentran en el dispositivo (después de la infracción). Para obtener más información, consulte EDR en modo de bloque.
En Defender para punto de conexión, las acciones de respuesta de EDR siempre funcionan en modo pasivo, incluso si EDR no está en modo de bloque.
Cómo confirmar el estado de Microsoft Defender Antivirus
Puede usar uno de varios métodos para confirmar el estado de Microsoft Defender Antivirus. Puede:
A partir de la versión de la plataforma 4.18.2208.0 y versiones posteriores: si un servidor se ha incorporado a Microsoft Defender para punto de conexión, la configuración de directiva de grupo "Desactivar Windows Defender" ya no deshabilita completamente Windows Antivirus de Defender en Windows Server 2012 R2 y versiones posteriores. En su lugar, coloca Microsoft Defender Antivirus en modo pasivo. Además, la protección contra alteraciones permite cambiar al modo activo, pero no al modo pasivo.
Si "Desactivar Windows Defender" ya está en su lugar antes de incorporarse a Microsoft Defender para punto de conexión, Microsoft Defender Antivirus permanece deshabilitado.
Para cambiar Microsoft Defender Antivirus al modo pasivo, incluso si se deshabilitó antes de la incorporación, puede aplicar la configuración de ForceDefenderPassiveMode con un valor de 1. Para colocarlo en modo activo, cambie este valor a 0 en su lugar.
Nota
La lógica modificada para ForceDefenderPassiveMode cuando está habilitada la protección contra alteraciones: una vez que Microsoft Defender Antivirus cambia al modo activo, la protección contra alteraciones impide que vuelva al modo pasivo incluso cuando ForceDefenderPassiveMode se establece en 1.
Usar la aplicación Seguridad de Windows para identificar la aplicación antivirus
En un dispositivo Windows, abra la aplicación Seguridad de Windows.
Seleccione Protección antivirus y contra amenazas.
En ¿Quién me protege? seleccione Administrar proveedores.
En la página Proveedores de seguridad, en Antivirus, debería ver Microsoft Defender Antivirus está activado.
Use el Administrador de tareas para confirmar que Microsoft Defender Antivirus está en ejecución
En un dispositivo Windows, abra la aplicación Administrador de tareas.
Seleccione la pestaña Detalles .
MsMpEng.exe Busque en la lista.
Use Windows PowerShell para confirmar que Microsoft Defender Antivirus está en ejecución
Importante
Use este procedimiento solo para confirmar si Microsoft Defender Antivirus se ejecuta en un punto de conexión.
En un dispositivo Windows, abra Windows PowerShell.
Ejecute el siguiente cmdlet de PowerShell: Get-Process.
Revise los resultados. Debería ver MsMpEng.exe si Microsoft Defender Antivirus está habilitado.
Uso de Windows PowerShell para confirmar que se está ejecutando la protección antivirus
Importante
Use este procedimiento solo para confirmar si la protección antivirus está habilitada en un punto de conexión.
En un dispositivo Windows, abra Windows PowerShell.
Ejecute el siguiente cmdlet de PowerShell: Get-MpComputerStatus | select AMRunningMode.
Revise los resultados. Debería ver El modo de bloqueo normal, pasivo o EDR si la protección antivirus está habilitada en el punto de conexión.
Más detalles sobre Microsoft Defender estados del Antivirus
En las secciones siguientes se describe qué esperar cuando Microsoft Defender Antivirus es:
En modo activo, Microsoft Defender Antivirus se usa como aplicación antivirus en el equipo. Se aplican los valores configurados mediante Configuration Manager, directiva de grupo, Microsoft Intune u otros productos de administración. Los archivos se examinan, se corrigen las amenazas y se notifica información de detección en la herramienta de configuración (por ejemplo, en el centro de administración de Microsoft Intune o en la aplicación antivirus de Microsoft Defender en el punto de conexión).
Modo pasivo o EDR en modo de bloque
En el modo pasivo, Microsoft Defender Antivirus no se usa como aplicación antivirus y Microsoft Defender Antivirus no corrige las amenazas. Sin embargo, la detección y respuesta de puntos de conexión (EDR) en modo de bloque puede corregir amenazas. EDR examina los archivos y se proporcionan informes para las detecciones de amenazas que se comparten con el servicio Defender para punto de conexión. Es posible que vea alertas que muestran Microsoft Defender Antivirus como origen, incluso cuando Microsoft Defender Antivirus está en modo pasivo.
Cuando Microsoft Defender Antivirus está en modo pasivo, todavía puede administrar las actualizaciones de Microsoft Defender Antivirus; sin embargo, no puede mover Microsoft Defender Antivirus al modo activo si los dispositivos tienen un producto antivirus que no es de Microsoft que proporciona protección en tiempo real contra malware.
Cuando se deshabilita o desinstala, Microsoft Defender Antivirus no se usa como aplicación antivirus. Los archivos no se examinan y las amenazas no se corrigen. No se recomienda deshabilitar o desinstalar Microsoft Defender Antivirus en general; si es posible, mantenga Microsoft Defender Antivirus en modo pasivo si usa una solución antimalware o antivirus que no sea de Microsoft.
En los casos en los que Microsoft Defender Antivirus se deshabilita automáticamente, se puede volver a habilitar automáticamente si el producto antivirus o antimalware que no es de Microsoft expira, se desinstala o deja de proporcionar protección en tiempo real contra virus, malware u otras amenazas. La habilitación automática de Microsoft Defender Antivirus ayuda a garantizar que la protección antivirus se mantenga en los puntos de conexión.
¿Qué ocurre con los dispositivos que no son de Windows?
Si busca información relacionada con el antivirus para otras plataformas, consulte:
En este módulo se explora el uso de Microsoft Defender para punto de conexión para proporcionar protección adicional y supervisar dispositivos frente a amenazas.
Planee y ejecute una estrategia de implementación de puntos de conexión mediante elementos esenciales de la administración moderna, los enfoques de administración conjunta y la integración de Microsoft Intune.