Antivirus de Microsoft Defender en Windows Server

Se aplica a:

Microsoft Defender Antivirus está disponible en las siguientes ediciones o versiones de Windows Server:

  • Windows Server 2022
  • Windows Server 2019
  • Windows Server, versión 1803 o posterior
  • Windows Server 2016
  • Windows Server 2012 R2 (requiere Microsoft Defender para punto de conexión)

Configuración de Microsoft Defender Antivirus en Windows Server

El proceso de configuración y ejecución de Microsoft Defender Antivirus en Windows Server incluye los pasos siguientes:

  1. Habilite la interfaz.
  2. Instale Microsoft Defender Antivirus.
  3. Compruebe Microsoft Defender antivirus está en ejecución.
  4. Actualice la inteligencia de seguridad antimalware.
  5. (Según sea necesario) Envíe ejemplos.
  6. (Según sea necesario) Configurar exclusiones automáticas.
  7. (Solo si es necesario) Establezca Windows Server en modo pasivo.

Habilitación de la interfaz de usuario en Windows Server

Importante

Si usa Windows Server 2012 R2, consulte Opciones para instalar Microsoft Defender para punto de conexión.

De forma predeterminada, Microsoft Defender Antivirus está instalado y funciona en Windows Server. A veces, la interfaz de usuario (GUI) se instala de forma predeterminada. La GUI no es necesaria; puede usar PowerShell, directiva de grupo u otros métodos para administrar Microsoft Defender Antivirus. Sin embargo, muchas organizaciones prefieren usar la GUI para Microsoft Defender Antivirus. Para instalar la GUI, use uno de los procedimientos de la tabla siguiente:

Procedure Qué hacer
Active la GUI mediante el Asistente para agregar roles y características. 1. Vea Instalar roles, servicios de rol y características mediante el Asistente para agregar roles y características, y use el Asistente para agregar roles y características.

2. Cuando llegue al paso Características del asistente, en características de Windows Defender, seleccione la guia para Windows Defender opción.
Activar la GUI mediante PowerShell 1. En Windows Server, abra Windows PowerShell como administrador.

2. Ejecute el siguiente cmdlet de PowerShell: Install-WindowsFeature -Name Windows-Defender-GUI

Para obtener más información, consulte Introducción con PowerShell.

Instalación de Microsoft Defender Antivirus en Windows Server

Si necesita instalar o reinstalar Microsoft Defender Antivirus en Windows Server, use uno de los procedimientos de la tabla siguiente:

Procedure Qué hacer
Use el Asistente para agregar roles y características para instalar Microsoft Defender Antivirus 1. Vea Instalar o desinstalar roles, servicios de rol o características, y use el Asistente para agregar roles y características.

2. Cuando llegue al paso Características del asistente, seleccione la opción Microsoft Defender Antivirus. Seleccione también la opción GUI para Windows Defender.
Uso de PowerShell para instalar Microsoft Defender Antivirus 1. En Windows Server, abra Windows PowerShell como administrador.

2. Ejecute el siguiente cmdlet de PowerShell: Install-WindowsFeature -Name Windows-Defender

Nota:

Los mensajes de evento del motor de antimalware incluidos con Microsoft Defender Antivirus se pueden encontrar en Microsoft Defender Antivirus Events.

Comprobación de Microsoft Defender antivirus en ejecución

Después de instalar (o reinstalar) Microsoft Defender Antivirus, el siguiente paso es comprobar que se está ejecutando. Use los cmdlets de PowerShell en la tabla siguiente:

Procedure Cmdlet de PowerShell
Comprobar que Microsoft Defender Antivirus está en ejecución Get-Service -Name windefend
Comprobación de que la protección del firewall está activada Get-Service -Name mpssvc

Como alternativa a PowerShell, puede usar el símbolo del sistema para comprobar que Microsoft Defender Antivirus se está ejecutando. Para ello, ejecute el siguiente comando desde un símbolo del sistema:

sc query Windefend

El sc query comando devuelve información sobre el servicio antivirus de Microsoft Defender. Cuando se ejecuta Microsoft Defender Antivirus, el STATE valor muestra RUNNING.

Para ver todos los servicios que no se ejecutan, ejecute el siguiente cmdlet de PowerShell:

sc query state= all

Actualización de la inteligencia de seguridad antimalware

Importante

A partir de la versión de la plataforma 4.18.2208.0 y versiones posteriores: si un servidor se ha incorporado a Microsoft Defender para punto de conexión, la configuración de directiva de grupo "Desactivar Windows Defender" ya no deshabilitará completamente Windows Defender Antivirus activado. Windows Server 2012 R2 y versiones posteriores. En su lugar, lo colocará en modo pasivo. Además, la característica de protección contra alteraciones permitirá cambiar al modo activo, pero no al modo pasivo.

  • Si ya se ha implementado "Desactivar Windows Defender" antes de incorporarse a Microsoft Defender para punto de conexión, no habrá ningún cambio y Antivirus de Defender permanecerá deshabilitado.
  • Para cambiar antivirus de Defender al modo pasivo, incluso si se deshabilitó antes de la incorporación, puede aplicar la configuración de ForceDefenderPassiveMode con un valor de 1. Para colocarlo en modo activo, cambie este valor a 0 en su lugar.

Tenga en cuenta la lógica modificada para ForceDefenderPassiveMode cuando se habilita la protección contra alteraciones: una vez que Microsoft Defender Antivirus cambia al modo activo, la protección contra alteraciones impedirá que vuelva al modo pasivo incluso cuando ForceDefenderPassiveMode se establezca en 1.

Para obtener las actualizaciones periódicas de inteligencia de seguridad, el servicio de Windows Update debe estar en ejecución. Si usa un servicio de administración de actualizaciones, como Windows Server Update Services (WSUS), asegúrese de que Microsoft Defender las actualizaciones de inteligencia de seguridad del antivirus estén aprobadas para los equipos que administre.

De forma predeterminada, Windows Update no descarga ni instala actualizaciones automáticamente en Windows Server 2019 o Windows Server 2022 o Windows Server 2016. Puede cambiar esta configuración mediante uno de los métodos siguientes:

Método Descripción
Windows Update en Panel de control La instalación de actualizaciones provoca que todas las actualizaciones se instalen automáticamente, incluidas Windows Defender actualizaciones de inteligencia de seguridad.

Descargue las actualizaciones, pero permítanme elegir si instalarlas permite Windows Defender descargar e instalar actualizaciones de Inteligencia de seguridad automáticamente, pero otras actualizaciones no se instalan automáticamente.
Directiva de grupo Puede configurar y administrar Windows Update mediante la configuración disponible en directiva de grupo, en la ruta de acceso siguiente: Plantillas administrativas\Componentes de Windows\Windows Update\Configurar Novedades automático
Clave del Registro AUOptions Los dos valores siguientes permiten Windows Update descargar e instalar automáticamente las actualizaciones de Inteligencia de seguridad:

4 - Instale las actualizaciones automáticamente. Este valor hace que todas las actualizaciones se instalen automáticamente, incluidas Windows Defender actualizaciones de inteligencia de seguridad.

3 - Descargue las actualizaciones, pero permítanme elegir si desea instalarlas. Este valor permite Windows Defender descargar e instalar actualizaciones de Inteligencia de seguridad automáticamente, pero otras actualizaciones no se instalan automáticamente.

Para asegurarse de que se mantiene la protección contra malware, habilite los siguientes servicios:

  • Informe de errores de Windows servicio
  • Windows Update servicio

En la tabla siguiente se enumeran los servicios de Microsoft Defender Antivirus y los servicios dependientes.

Nombre del servicio Ubicación del archivo Descripción
servicio Windows Defender (WinDefend) C:\Program Files\Windows Defender\MsMpEng.exe Este servicio es el principal Microsoft Defender servicio antivirus que debe ejecutarse siempre.
servicio Informe de errores de Windows (Wersvc) C:\WINDOWS\System32\svchost.exe -k WerSvcGroup Este servicio envía informes de errores a Microsoft.
Firewall de Windows (MpsSvc) C:\WINDOWS\system32\svchost.exe -k LocalServiceNoNetwork Se recomienda mantener habilitado el servicio Firewall de Windows.
Windows Update (Wuauserv) C:\WINDOWS\system32\svchost.exe -k netsvcs Windows Update es necesario para obtener actualizaciones de inteligencia de seguridad y actualizaciones del motor antimalware

Envío de ejemplos

El envío de ejemplos permite a Microsoft recopilar ejemplos de software potencialmente malintencionado. Para ayudar a proporcionar protección continua y actualizada, los investigadores de Microsoft usan estos ejemplos para analizar actividades sospechosas y producir inteligencia de seguridad antimalware actualizada. Recopilamos archivos ejecutables del programa, como archivos .exe y archivos .dll. No recopilamos archivos que contengan datos personales, como documentos de Microsoft Word y archivos PDF.

Envío de un archivo

  1. Revise la guía de envío.

  2. Visite el portal de envío de ejemplo y envíe el archivo.

Habilitación del envío automático de ejemplos

Para habilitar el envío automático de ejemplo, inicie una consola de Windows PowerShell como administrador y establezca los datos del valor SubmitSamplesConsent según una de las opciones siguientes:

Configuración Descripción
0 - Preguntar siempre El servicio antivirus Microsoft Defender le pide que confirme el envío de todos los archivos necesarios. Esta configuración es la predeterminada para Microsoft Defender Antivirus, pero no se recomienda para instalaciones en Windows Server 2016 o 2019, ni para Windows Server 2022 sin una GUI.
1 - Enviar muestras seguras automáticamente El servicio antivirus Microsoft Defender envía todos los archivos marcados como "seguros" y solicita el resto de los archivos.
2 - Nunca enviar El servicio antivirus de Microsoft Defender no solicita y no envía ningún archivo.
3 - Enviar todos los ejemplos automáticamente El servicio antivirus Microsoft Defender envía todos los archivos sin necesidad de confirmación.

Nota:

Esta opción no está disponible para Windows Server 2012 R2.

Configuración de exclusiones automáticas

Para garantizar la seguridad y el rendimiento, determinadas exclusiones se agregan automáticamente en función de los roles y características que se instalan al usar Microsoft Defender Antivirus en Windows Server 2016 o 2019 o Windows Server 2022.

Consulta Configurar exclusiones en Microsoft Defender Antivirus en Windows Server.

Modo pasivo y Windows Server

Si usa un producto antivirus que no es de Microsoft como solución antivirus principal en Windows Server, debe establecer Microsoft Defender Antivirus en modo pasivo o modo deshabilitado manualmente. Si el punto de conexión de Windows Server está incorporado a Microsoft Defender para punto de conexión, puede establecer Microsoft Defender Antivirus en modo pasivo. Si no usa Microsoft Defender para punto de conexión, establezca Microsoft Defender Antivirus en modo deshabilitado.

En la tabla siguiente se describen los métodos para establecer Microsoft Defender Antivirus en modo pasivo, deshabilitar Microsoft Defender Antivirus y desinstalar Microsoft Defender Antivirus:

Procedure Descripción
Establecer Microsoft Defender Antivirus en modo pasivo mediante una clave del Registro Establezca la clave del ForceDefenderPassiveMode Registro como se indica a continuación:
-Camino: HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection
-Nombre: ForceDefenderPassiveMode
-Tipo: REG_DWORD
-Valor: 1
Desactivar la interfaz de usuario Microsoft Defender Antivirus mediante PowerShell Abra Windows PowerShell como administrador y ejecute el siguiente cmdlet de PowerShell:Uninstall-WindowsFeature -Name Windows-Defender-GUI
Deshabilitación de Microsoft Defender protección antivirus en tiempo real mediante PowerShell Use el siguiente cmdlet de PowerShell: Set-MpPreference -DisableRealtimeMonitoring $true
Deshabilitar Microsoft Defender Antivirus mediante el Asistente para quitar roles y características Consulte Instalar o desinstalar roles, servicios de rol o características y usar el Asistente para quitar roles y características.

Cuando llegue al paso Características del asistente, desactive la opción características de Windows Defender.

Si borra Windows Defender por sí mismo en la sección características de Windows Defender, se le pedirá que quite la GUI de la opción de interfaz para Windows Defender.

Microsoft Defender Antivirus se ejecuta normalmente sin la interfaz de usuario, pero la interfaz de usuario no se puede habilitar si deshabilita la característica de Windows Defender principal.
Desinstalación de Microsoft Defender Antivirus mediante PowerShell Use el siguiente cmdlet de PowerShell: Uninstall-WindowsFeature -Name Windows-Defender
Deshabilite Microsoft Defender Antivirus mediante directiva de grupo En la directiva de grupo Editor local, vaya a Plantilla> administrativaWindows Component>Endpoint Protection>Disable Endpoint Protection (Deshabilitar Endpoint Protection) y, a continuación, seleccione EnabledOK (Aceptarhabilitado).>

Para obtener más información, vea Trabajar con claves del Registro.

¿Usa Windows Server 2012 R2 o Windows Server 2016?

Si windows Server está incorporado a Microsoft Defender para punto de conexión, puede ejecutar Microsoft Defender Antivirus en modo pasivo en Windows Server 2012 R2 y Windows Server 2016. Consulte los siguientes artículos:

¿Qué ocurre si se desinstala un producto antivirus que no es de Microsoft?

Si se instaló un producto antivirus que no es de Microsoft en Windows Server, Microsoft Defender Antivirus probablemente se estableció en modo pasivo. Cuando se desinstala el producto antivirus que no es de Microsoft, Microsoft Defender Antivirus debe cambiar al modo activo automáticamente. Sin embargo, es posible que no se produzca en determinadas versiones de Windows Server, como Windows Server 2016. Use el procedimiento siguiente para comprobar el estado de Microsoft Defender Antivirus y, si es necesario, establézcalo en modo activo:

  1. Compruebe el estado de Microsoft Defender Antivirus siguiendo las instrucciones de Comprobar Microsoft Defender antivirus se está ejecutando (en este artículo).

  2. Si es necesario, establezca Microsoft Defender Antivirus en modo activo manualmente siguiendo estos pasos:

    1. En el dispositivo Windows Server, abra registry Editor como administrador.

    2. Ve a Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection.

    3. Establezca o defina una REG_DWORD entrada denominada ForceDefenderPassiveModey establezca su valor 0en .

    4. Reinicie el dispositivo.

Sugerencia

Si sigue necesitando ayuda, consulte los siguientes elementos de solución de problemas:

Vea también

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.