Microsoft Defender Antivirus su Windows Server
Si applica a:
Microsoft Defender Antivirus è disponibile nelle seguenti edizioni/versioni di Windows Server:
- Windows Server 2022
- Windows Server 2019
- Windows Server, versione 1803 o successiva
- Windows Server 2016
- Windows Server 2012 R2 (richiede Microsoft Defender per endpoint)
Configurazione di Microsoft Defender Antivirus in Windows Server
Il processo di configurazione ed esecuzione di Microsoft Defender Antivirus in Windows Server include i passaggi seguenti:
- Abilitare l'interfaccia.
- Installare Microsoft Defender Antivirus.
- Verificare Microsoft Defender antivirus sia in esecuzione.
- Aggiornare l'intelligence di sicurezza antimalware.
- (In base alle esigenze) Inviare esempi.
- (In base alle esigenze) Configurare le esclusioni automatiche.
- (Solo se necessario) Impostare Windows Server sulla modalità passiva.
Abilitare l'interfaccia utente in Windows Server
Importante
Se si usa Windows Server 2012 R2, vedere Opzioni per installare Microsoft Defender per endpoint.
Per impostazione predefinita, Microsoft Defender Antivirus è installato e funzionante in Windows Server. In alcuni casi, l'interfaccia utente (GUI) viene installata per impostazione predefinita. L'interfaccia utente grafica non è necessaria. è possibile usare PowerShell, Criteri di gruppo o altri metodi per gestire Microsoft Defender Antivirus. Tuttavia, molte organizzazioni preferiscono usare l'interfaccia utente grafica per Microsoft Defender Antivirus. Per installare l'interfaccia utente grafica, usare una delle procedure riportate nella tabella seguente:
| Procedura | Soluzione |
|---|---|
| Attivare l'interfaccia utente grafica usando l'Aggiunta guidata ruoli e funzionalità | 1. Vedere Installare ruoli, servizi ruolo e funzionalità usando l'Aggiunta guidata ruoli e funzionalità e usare l'Aggiunta guidata ruoli e funzionalità. 2. Quando si arriva al passaggio Funzionalità della procedura guidata, in Funzionalità di Windows Defender selezionare l'opzione GUI per Windows Defender . |
| Attivare l'interfaccia utente grafica con PowerShell | 1. In Windows Server aprire Windows PowerShell come amministratore. 2. Eseguire il cmdlet di PowerShell seguente: Install-WindowsFeature -Name Windows-Defender-GUI |
Per altre informazioni, vedere Introduzione con PowerShell.
Installare Microsoft Defender Antivirus in Windows Server
Se è necessario installare o reinstallare Microsoft Defender Antivirus in Windows Server, usare una delle procedure riportate nella tabella seguente:
| Procedura | Soluzione |
|---|---|
| Usare l'Aggiunta guidata ruoli e funzionalità per installare Microsoft Defender Antivirus | 1. Vedere Installare o disinstallare ruoli, servizi ruolo o funzionalità e usare l'Aggiunta guidata ruoli e funzionalità. 2. Quando si arriva al passaggio Funzionalità della procedura guidata, selezionare l'opzione Microsoft Defender Antivirus. Selezionare anche l'opzione GUI per Windows Defender . |
| Usare PowerShell per installare Microsoft Defender Antivirus | 1. In Windows Server aprire Windows PowerShell come amministratore. 2. Eseguire il cmdlet di PowerShell seguente: Install-WindowsFeature -Name Windows-Defender |
Nota
I messaggi di evento per il motore antimalware incluso in Microsoft Defender Antivirus sono disponibili in eventi antivirus Microsoft Defender.
Verificare Microsoft Defender antivirus sia in esecuzione
Dopo aver installato (o reinstallato) Microsoft Defender Antivirus, il passaggio successivo consiste nel verificare che sia in esecuzione. Usare i cmdlet di PowerShell nella tabella seguente:
| Procedura | Cmdlet di PowerShell |
|---|---|
| Verificare che Microsoft Defender Antivirus sia in esecuzione | Get-Service -Name windefend |
| Verificare che la protezione del firewall sia attivata | Get-Service -Name mpssvc |
In alternativa a PowerShell, è possibile usare il prompt dei comandi per verificare che Microsoft Defender Antivirus sia in esecuzione. A tale scopo, eseguire il comando seguente da un prompt dei comandi:
sc query Windefend
Il sc query comando restituisce informazioni sul servizio antivirus Microsoft Defender. Quando Microsoft Defender Antivirus è in esecuzione, il STATE valore visualizza RUNNING.
Per visualizzare tutti i servizi che non sono in esecuzione, eseguire il cmdlet di PowerShell seguente:
sc query state= all
Aggiornare l'intelligence di sicurezza antimalware
Importante
A partire dalla versione 4.18.2208.0 della piattaforma e versioni successive: se è stato eseguito l'onboarding di un server in Microsoft Defender per endpoint, l'impostazione dei criteri di gruppo "Disattiva Windows Defender" non disabiliterà più completamente Windows Antivirus Defender in Windows Server 2012 R2 e versioni successive. Al contrario, lo inserirà in modalità passiva. Inoltre, la funzionalità di protezione antimanomissione consentirà di passare alla modalità attiva, ma non alla modalità passiva.
- Se "Disattiva Windows Defender" è già attivo prima dell'onboarding in Microsoft Defender per endpoint, non verranno apportate modifiche e Antivirus Defender rimarrà disabilitato.
- Per passare Antivirus Defender alla modalità passiva, anche se è stato disabilitato prima dell'onboarding, è possibile applicare la configurazione ForceDefenderPassiveMode con un valore di
1. Per posizionarlo in modalità attiva, impostare invece questo valore su0.
Si noti la logica modificata per ForceDefenderPassiveMode quando è abilitata la protezione da manomissione: una volta che Microsoft Defender Antivirus è stato attivato, la protezione da manomissione impedirà il ripristino in modalità passiva anche quando ForceDefenderPassiveMode è impostato su 1.
Per ottenere i normali aggiornamenti dell'intelligence di sicurezza, il servizio Windows Update deve essere in esecuzione. Se si usa un servizio di gestione degli aggiornamenti, ad esempio Windows Server Update Services (WSUS), assicurarsi che Microsoft Defender gli aggiornamenti di Intelligence per la sicurezza antivirus siano approvati per i computer gestiti.
Per impostazione predefinita, Windows Update non scarica e installa automaticamente gli aggiornamenti in Windows Server 2019 o Windows Server 2022 o Windows Server 2016. È possibile modificare questa configurazione usando uno dei metodi seguenti:
| Metodo | Descrizione |
|---|---|
| Windows Update in Pannello di controllo |
L'installazione degli aggiornamenti comporta automaticamente l'installazione automatica di tutti gli aggiornamenti, inclusi gli aggiornamenti di Intelligence di Windows Defender Security. Scaricare gli aggiornamenti, ma permettetemi di scegliere se installarli consente a Windows Defender di scaricare e installare automaticamente gli aggiornamenti di Security Intelligence, ma altri aggiornamenti non vengono installati automaticamente. |
| Criteri di gruppo | È possibile configurare e gestire Windows Update usando le impostazioni disponibili in Criteri di gruppo nel percorso seguente: Modelli amministrativi\Componenti di Windows\Windows Update\Configura Aggiornamenti |
| Chiave del Registro di sistema AUOptions | I due valori seguenti consentono a Windows Update di scaricare e installare automaticamente gli aggiornamenti di Security Intelligence: 4 - Installare automaticamente gli aggiornamenti. Questo valore comporta l'installazione automatica di tutti gli aggiornamenti, inclusi gli aggiornamenti di Intelligence di Windows Defender Security. 3 - Scaricare gli aggiornamenti, ma è possibile scegliere se installarli. Questo valore consente a Windows Defender di scaricare e installare automaticamente gli aggiornamenti di Security Intelligence, ma altri aggiornamenti non vengono installati automaticamente. |
Per garantire che la protezione da malware venga mantenuta, abilitare i servizi seguenti:
- servizio Segnalazione errori Windows
- servizio Windows Update
Nella tabella seguente sono elencati i servizi per Microsoft Defender Antivirus e i servizi dipendenti.
| Nome del servizio | Percorso file | Descrizione |
|---|---|---|
| Windows Defender Service (WinDefend) | C:\Program Files\Windows Defender\MsMpEng.exe |
Questo servizio è il servizio principale Microsoft Defender Antivirus che deve essere sempre in esecuzione. |
| Servizio Segnalazione errori Windows (Wersvc) | C:\WINDOWS\System32\svchost.exe -k WerSvcGroup |
Questo servizio invia i report degli errori a Microsoft. |
| Windows Firewall (MpsSvc) | C:\WINDOWS\system32\svchost.exe -k LocalServiceNoNetwork |
È consigliabile mantenere abilitato il servizio Windows Firewall. |
| Windows Update (Wuauserv) | C:\WINDOWS\system32\svchost.exe -k netsvcs |
Windows Update è necessario per ottenere gli aggiornamenti dell'intelligence per la sicurezza e gli aggiornamenti del motore antimalware |
Inviare esempi
L'invio di esempi consente a Microsoft di raccogliere esempi di software potenzialmente dannoso. Per fornire una protezione continua e aggiornata, i ricercatori Microsoft usano questi esempi per analizzare le attività sospette e produrre informazioni aggiornate sulla sicurezza antimalware. Vengono raccolti file eseguibili del programma, ad esempio file .exe e file .dll. Non raccogliamo file che contengono dati personali, ad esempio documenti microsoft Word e file PDF.
Inviare un file
Esaminare la guida all'invio.
Visitare il portale di invio di esempio e inviare il file.
Abilitare l'invio automatico di esempi
Per abilitare l'invio automatico di esempi, avviare una console di Windows PowerShell come amministratore e impostare i dati del valore SubmitSamplesConsent in base a una delle impostazioni seguenti:
| Impostazione | Descrizione |
|---|---|
| 0 - Richiedi sempre conferma | Il servizio antivirus Microsoft Defender richiede di confermare l'invio di tutti i file necessari. Questa impostazione è l'impostazione predefinita per Microsoft Defender Antivirus, ma non è consigliata per le installazioni in Windows Server 2016 o 2019 o Windows Server 2022 senza gui. |
| 1 - Inviare automaticamente campioni sicuri | Il servizio antivirus Microsoft Defender invia tutti i file contrassegnati come "sicuri" e richiede la parte rimanente dei file. |
| numero arabo - Non inviare mai | Il servizio antivirus Microsoft Defender non richiede e non invia file. |
| 3 - Inviare tutti gli esempi automaticamente | Il servizio antivirus Microsoft Defender invia tutti i file senza una richiesta di conferma. |
Nota
Questa opzione non è disponibile per Windows Server 2012 R2.
Configurare le esclusioni automatiche
Per garantire sicurezza e prestazioni, alcune esclusioni vengono aggiunte automaticamente in base ai ruoli e alle funzionalità installate quando si usa Microsoft Defender Antivirus in Windows Server 2016 o 2019 o Windows Server 2022.
Vedere Configurare le esclusioni in Microsoft Defender Antivirus in Windows Server.
Modalità passiva e Windows Server
Se si usa un prodotto antivirus non Microsoft come soluzione antivirus primaria in Windows Server, è necessario impostare Microsoft Defender Antivirus sulla modalità passiva o disabilitarlo manualmente.
- Se l'endpoint di Windows Server viene caricato in Microsoft Defender per endpoint, è possibile impostare Microsoft Defender Antivirus sulla modalità passiva.
- Se non si usa Microsoft Defender per endpoint, impostare Microsoft Defender Antivirus sulla modalità disabilitata.
Se si disinstalla il prodotto antivirus non Microsoft, assicurarsi di riabilitare Microsoft Defender Antivirus. Se è stato disabilitato, vedere Riabilitare Microsoft Defender Antivirus in Windows Server.
Nella tabella seguente vengono descritti i metodi per impostare Microsoft Defender Antivirus sulla modalità passiva, disabilitare Microsoft Defender Antivirus e disinstallare Microsoft Defender Antivirus:
| Procedura | Descrizione |
|---|---|
| Impostare Microsoft Defender Antivirus sulla modalità passiva usando una chiave del Registro di sistema | Impostare la chiave del ForceDefenderPassiveMode Registro di sistema come indicato di seguito:-Sentiero: HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection -Nome: ForceDefenderPassiveMode -Digitare: REG_DWORD -Valore: 1 |
| Disattivare l'interfaccia utente Microsoft Defender Antivirus con PowerShell | Aprire Windows PowerShell come amministratore ed eseguire il cmdlet di PowerShell seguente:Uninstall-WindowsFeature -Name Windows-Defender-GUI |
| Disabilitare Microsoft Defender protezione antivirus in tempo reale con PowerShell | Usare il cmdlet di PowerShell seguente: Set-MpPreference -DisableRealtimeMonitoring $true |
| Disabilitare Microsoft Defender Antivirus tramite la procedura guidata Rimuovi ruoli e funzionalità | Vedere Installare o disinstallare ruoli, servizi ruolo o funzionalità e usare la Rimozione guidata ruoli e funzionalità. Quando si arriva al passaggio Funzionalità della procedura guidata, deselezionare l'opzione Funzionalità di Windows Defender . Se si cancella Windows Defender da solo nella sezione Funzionalità di Windows Defender , viene richiesto di rimuovere l'interfaccia utente grafica dell'opzione di interfaccia per Windows Defender. Microsoft Defender Antivirus viene eseguito normalmente senza l'interfaccia utente, ma l'interfaccia utente non può essere abilitata se disabiliti la funzionalità principale di Windows Defender. |
| Disinstallare Microsoft Defender Antivirus con PowerShell | Usare il cmdlet di PowerShell seguente: Uninstall-WindowsFeature -Name Windows-Defender |
| Disabilitare Microsoft Defender Antivirus usando Criteri di gruppo | Nella Criteri di gruppo Editor locale passare a Modello> amministrativoWindows Component>Endpoint Protection>Disabilita Endpoint Protection e quindi selezionare Abilitato>OK. |
Per altre informazioni, vedere Uso delle chiavi del Registro di sistema.
Si usa Windows Server 2012 R2 o Windows Server 2016?
Se l'onboarding di Windows Server viene eseguito in Microsoft Defender per endpoint, è possibile eseguire Microsoft Defender Antivirus in modalità passiva in Windows Server 2012 R2 e Windows Server 2016. Fare inoltre riferimento ai seguenti articoli:
Cosa accade se un prodotto antivirus non Microsoft viene disinstallato?
Se un prodotto antivirus non Microsoft è stato installato in Windows Server, Microsoft Defender Antivirus è stato probabilmente impostato sulla modalità passiva. Quando il prodotto antivirus non Microsoft viene disinstallato, Microsoft Defender Antivirus deve passare automaticamente alla modalità attiva. Tuttavia, ciò potrebbe non verificarsi in determinate versioni di Windows Server, ad esempio Windows Server 2016. Usare la procedura seguente per controllare lo stato di Microsoft Defender Antivirus e, se necessario, impostarlo sulla modalità attiva:
Controllare lo stato di Microsoft Defender Antivirus seguendo le indicazioni riportate in Verificare che Microsoft Defender Antivirus sia in esecuzione (in questo articolo).
Se necessario, impostare manualmente Microsoft Defender Antivirus sulla modalità attiva seguendo questa procedura:
Nel dispositivo Windows Server aprire Registro di sistema Editor come amministratore.
Vai a
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection.Impostare o definire una
REG_DWORDvoce denominataForceDefenderPassiveModee impostarne il valore su0.Riavviare il dispositivo.
Consiglio
Se è ancora necessaria assistenza, vedere gli elementi di risoluzione dei problemi seguenti:
Vedere anche
- Microsoft Defender Antivirus in Windows
- Microsoft Defender compatibilità antivirus con altri prodotti di sicurezza
- Analizzatore prestazioni per Microsoft Defender Antivirus
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.