Microsoft Defender compatibilità antivirus con altri prodotti di sicurezza

Si applica a:

Piattaforme

  • Windows

Microsoft Defender Antivirus viene installato automaticamente negli endpoint che eseguono le versioni seguenti di Windows:

  • Windows 10 o versioni successive
  • Windows Server 2022
  • Windows Server 2019
  • Windows Server, versione 1803 o successiva
  • Windows Server 2016

Cosa accade quando viene usata un'altra soluzione antivirus/antimalware non Microsoft? È possibile eseguire Microsoft Defender Antivirus insieme a un altro prodotto antivirus? Le risposte dipendono da diversi fattori, ad esempio il sistema operativo e se si usano Microsoft Defender per endpoint insieme alla protezione antivirus.

Questo articolo descrive cosa accade con Microsoft Defender Antivirus e una soluzione antivirus/antimalware non Microsoft, con e senza Defender per endpoint.

Importante

  • Microsoft Defender Antivirus è disponibile nei dispositivi che eseguono Windows 10 e 11, Windows Server 2022, Windows Server 2019, Windows Server, versione 1803 o successiva e Windows Server 2016.
  • Microsoft Defender Antivirus è disponibile anche in Windows Server 2012 R2 quando viene eseguito l'onboarding usando la soluzione moderna e unificata.
  • In Windows 8.1, la protezione antivirus degli endpoint a livello aziendale viene offerta come System Center Endpoint Protection, gestita tramite Microsoft Endpoint Configuration Manager.
  • Windows Defender è disponibile anche per i dispositivi consumer in Windows 8.1, anche se Windows Defender non fornisce la gestione a livello aziendale.

Protezione antivirus senza Defender per endpoint

Questa sezione descrive cosa accade quando si usa Microsoft Defender Antivirus insieme a prodotti antivirus/antimalware non Microsoft su endpoint non caricati in Defender per endpoint.

Nota

In generale, Microsoft Defender Antivirus non viene eseguito in modalità passiva nei dispositivi non caricati in Defender per endpoint.

La tabella seguente riepiloga le aspettative:

Versione di Windows Soluzione antivirus/antimalware primaria Microsoft Defender stato antivirus
Windows 10
Windows 11
Antivirus Microsoft Defender Modalità attiva
Windows 10
Windows 11
Una soluzione antivirus/antimalware non Microsoft Modalità disabilitata (si verifica automaticamente)
Windows Server 2022
Windows Server 2019
Windows Server, versione 1803 o successiva
Windows Server 2016
Windows Server 2012 R2
Antivirus Microsoft Defender Modalità attiva
Windows Server 2022
Windows Server 2019
Windows Server, versione 1803 o successiva
Windows Server 2016
Una soluzione antivirus/antimalware non Microsoft Disabilitato (impostato manualmente) [1]

(1) In Windows Server, se si esegue un prodotto antivirus non Microsoft, è possibile disinstallare Microsoft Defender Antivirus per evitare conflitti. Se il dispositivo viene caricato in Microsoft Defender per endpoint, è possibile usare Microsoft Defender Antivirus in modalità passiva (vedere di seguito).

Mancia

In Windows Server 2016 potrebbe essere visualizzato Windows Defender Antivirus anziché Microsoft Defender Antivirus.

Microsoft Defender antivirus e soluzioni antivirus/antimalware non Microsoft

Nota

In generale, Microsoft Defender Antivirus può essere impostato sulla modalità passiva solo negli endpoint di cui è stato eseguito l'onboarding in Defender per endpoint.

Se Microsoft Defender Antivirus viene eseguito in modalità attiva, passiva o disabilitato dipende da diversi fattori, ad esempio:

  • Quale versione di Windows è installata in un endpoint
  • Se Microsoft Defender Antivirus è la soluzione antivirus/antimalware primaria nell'endpoint
  • Indica se l'endpoint è stato sottoposto a onboarding in Defender per endpoint

La tabella seguente riepiloga lo stato di Microsoft Defender Antivirus in diversi scenari.

Versione di Windows Soluzione antivirus/antimalware Onboarding in
Defender per endpoint?
Microsoft Defender stato antivirus
Windows 10
Windows 11
Antivirus Microsoft Defender Modalità attiva
Windows 10
Windows 11
Antivirus Microsoft Defender No Modalità attiva
Windows 10
Windows 11
Una soluzione antivirus/antimalware non Microsoft Modalità passiva (automaticamente)
Windows 10
Windows 11
Una soluzione antivirus/antimalware non Microsoft No Modalità disabilitata (automaticamente)
Windows Server 2022
Windows Server 2019
Windows Server, versione 1803 o successiva
Antivirus Microsoft Defender Modalità attiva
Windows Server 2022
Windows Server 2019
Windows Server, versione 1803 o successiva
Antivirus Microsoft Defender No Modalità attiva
Windows Server 2022
Windows Server 2019

Windows Server, versione 1803 o successiva

Una soluzione antivirus/antimalware non Microsoft Microsoft Defender Antivirus deve essere impostato sulla modalità passiva (manualmente) [2]
Windows Server 2022
Windows Server 2019

Windows Server, versione 1803 o successiva

Una soluzione antivirus/antimalware non Microsoft No Microsoft Defender Antivirus deve essere disabilitato (manualmente) [3]
Windows Server 2016
Windows Server 2012 R2
Antivirus Microsoft Defender Modalità attiva
Windows Server 2016
Windows Server 2012 R2
Antivirus Microsoft Defender No Modalità attiva
Windows Server 2016
Windows Server 2012 R2
Una soluzione antivirus/antimalware non Microsoft Microsoft Defender Antivirus deve essere impostato sulla modalità passiva (manualmente) [2]
Windows Server 2016
Windows Server 2012 R2
Una soluzione antivirus/antimalware non Microsoft No Microsoft Defender Antivirus deve essere disabilitato (manualmente) [3]

(2) In Windows Server 2019, Windows Server, versione 1803 o successiva, Windows Server 2016 o Windows Server 2012 R2, Microsoft Defender Antivirus non entra automaticamente in modalità passiva quando si installa un prodotto antivirus non Microsoft. In questi casi, impostare Microsoft Defender Antivirus sulla modalità passiva per evitare problemi causati dall'installazione di più prodotti antivirus in un server. È possibile impostare Microsoft Defender Antivirus sulla modalità passiva usando una chiave del Registro di sistema come indicato di seguito:

  • Percorso: HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection
  • Nome: ForceDefenderPassiveMode
  • Digitare: REG_DWORD
  • Valore: 1

È possibile visualizzare lo stato di protezione in PowerShell usando il comando Get-MpComputerStatus. Controllare il valore per AMRunningMode. Dovrebbe essere visualizzata la modalità di bloccoNormale, Passivo o EDR se Microsoft Defender Antivirus è abilitato nell'endpoint.

Nota

Affinché la modalità passiva funzioni sugli endpoint che eseguono Windows Server 2016 e Windows Server 2012 R2, è necessario eseguire l'onboarding di tali endpoint con la soluzione moderna e unificata descritta in Onboarding dei server Windows.

(3) In Windows Server 2016, Windows Server 2012 R2, Windows Server versione 1803 o successiva, Windows Server 2019 e Windows Server 2022, se si usa un prodotto antivirus non Microsoft in un endpoint non caricato in Microsoft Defender per endpoint, disabilitare/disinstallare Microsoft Defender antivirus manualmente per evitare problemi causati dall'installazione di più prodotti antivirus in un server.

Mancia

In Windows Server 2016 potrebbe essere visualizzato Windows Defender Antivirus anziché Microsoft Defender Antivirus.

Defender per endpoint include funzionalità che estendono ulteriormente la protezione antivirus installata nell'endpoint. È possibile trarre vantaggio dall'esecuzione di Microsoft Defender Antivirus insieme a un'altra soluzione antivirus.

Ad esempio, il rilevamento degli endpoint e la risposta (EDR) in modalità blocco offrono una protezione aggiuntiva da artefatti dannosi anche se Microsoft Defender Antivirus non è il prodotto antivirus primario. Tali funzionalità richiedono l'installazione e l'esecuzione di Microsoft Defender Antivirus in modalità passiva o attiva.

Requisiti per l'esecuzione dell'antivirus Microsoft Defender in modalità passiva

Affinché Microsoft Defender Antivirus venga eseguito in modalità passiva, gli endpoint devono soddisfare i requisiti seguenti:

  • Sistema operativo: Windows 10 o versioni successive; Windows Server 2022, Windows Server 2019 o Windows Server, versione 1803 o successiva
    (Windows Server 2012 R2 e Windows Server 2016 se è stato caricato usando la soluzione moderna e unificata).
  • Microsoft Defender Antivirus deve essere installato.
  • Un altro prodotto antivirus/antimalware non Microsoft deve essere installato e usato come soluzione antivirus primaria.
  • È necessario eseguire l'onboarding degli endpoint in Defender per endpoint.

Importante

  • Microsoft Defender Antivirus è disponibile solo nei dispositivi che eseguono Windows 10 e 11, Windows Server 2022, Windows Server 2016, Windows Server 2019, Windows Server, versione 1803 o successiva, Windows Server 2016 e Windows Server 2012 R2.
  • La modalità passiva è supportata solo in Windows Server 2012 R2 & 2016 quando viene eseguito l'onboarding del dispositivo usando la soluzione moderna e unificata.
  • In Windows 8.1, la protezione antivirus degli endpoint di livello aziendale viene offerta come System Center Endpoint Protection, gestita tramite Microsoft Endpoint Configuration Manager.
  • Windows Defender è disponibile anche per i dispositivi consumer in Windows 8.1, anche se Windows Defender non fornisce la gestione a livello aziendale.

In che modo Microsoft Defender Antivirus influisce sulla funzionalità di Defender per endpoint

Defender per endpoint determina se Microsoft Defender Antivirus può essere eseguito in modalità passiva. Inoltre, lo stato di Microsoft Defender Antivirus può influire su determinate funzionalità in Defender per endpoint. Ad esempio, la protezione in tempo reale funziona quando Microsoft Defender Antivirus è in modalità attiva o passiva, ma non quando Microsoft Defender Antivirus è disabilitato o disinstallato.

Importante

  • La tabella in questa sezione riepiloga le funzionalità che funzionano attivamente o meno, a seconda che Microsoft Defender Antivirus sia in modalità attiva, passiva o disabilitata/disinstallata. Questa tabella è progettata per essere solo informativa.
  • Non disattivare le funzionalità, ad esempio la protezione in tempo reale, la protezione fornita dal cloud o l'analisi periodica limitata se si usa Microsoft Defender Antivirus in modalità passiva o se si usa EDR in modalità blocco, che funziona dietro le quinte per rilevare e correggere gli artefatti dannosi rilevati dopo la violazione.
Protezione Antivirus Microsoft Defender
(Modalità attiva)
Antivirus Microsoft Defender
(modalità passiva)
Antivirus Microsoft Defender
(Disabilitato o disinstallato)
EdR in modalità blocco
Protezione in tempo reale Vedere la nota [4] No No
Protezione fornita dal cloud No No No
Protezione di rete No No No
Regole per la riduzione della superficie di attacco No No No
Disponibilità di analisi periodica limitata No No No
Informazioni di analisi e rilevamento dei file [5] No
Correzione delle minacce Vedere la nota [6] No
Aggiornamenti di Security intelligence [7] No [7]
Prevenzione della perdita dei dati No No
Accesso controllato alle cartelle No No No
Filtro contenuti Web Vedere la nota [8] No No
Controllo dispositivo No No
Protezione dalle applicazioni potenzialmente indesiderate No No No

(4) In generale, quando Microsoft Defender Antivirus è in modalità passiva, la protezione in tempo reale non fornisce alcun blocco o imposizione, anche se è abilitato e in modalità passiva.

(5) Quando Microsoft Defender Antivirus è in modalità passiva, le analisi non sono pianificate.

(6) Quando Microsoft Defender Antivirus è in modalità passiva, non corregge le minacce. Tuttavia, le minacce possono essere risolte tramite il rilevamento degli endpoint e la risposta (EDR) in modalità blocco. In questo caso, potrebbero essere visualizzati avvisi che mostrano Microsoft Defender Antivirus come origine, anche quando Microsoft Defender Antivirus è in modalità passiva.

(7) La cadenza di aggiornamento dell'intelligence per la sicurezza è controllata solo dalle impostazioni di Windows Update. Le impostazioni degli utilità di pianificazione degli aggiornamenti specifiche di Defender (giornaliere/settimanali in un momento specifico, basate su intervalli) funzionano solo quando Microsoft Defender Antivirus è in modalità attiva. Vengono ignorati in modalità passiva.

(8) Quando Microsoft Defender Antivirus è in modalità passiva, il filtro dei contenuti Web funziona solo con il browser Microsoft Edge.

Importante

  • La protezione dalla perdita di dati degli endpoint continua a funzionare normalmente quando Microsoft Defender Antivirus è in modalità attiva o passiva.

  • Non disabilitare, arrestare o modificare i servizi associati usati da Microsoft Defender Antivirus, Defender per endpoint o dall'app Sicurezza di Windows. Questa raccomandazione include i servizi e i processi wscsvc, SecurityHealthService, MsSense, Sense, WinDefend o MsMpEng . La modifica manuale di questi servizi può causare gravi instabilità nei dispositivi e rendere vulnerabile la rete. La disabilitazione, l'arresto o la modifica di tali servizi possono anche causare problemi durante l'uso di soluzioni antivirus non Microsoft e la modalità di visualizzazione delle relative informazioni nell'app Sicurezza di Windows.

  • In Defender per endpoint è possibile attivare EDR in modalità blocco, anche se Microsoft Defender Antivirus non è la soluzione antivirus principale. EDR in modalità blocco rileva e corregge gli elementi dannosi presenti nel dispositivo (dopo la violazione). Per altre informazioni, vedere EDR in modalità blocco.

Come confermare lo stato di Microsoft Defender Antivirus

È possibile usare uno dei diversi metodi per confermare lo stato di Microsoft Defender Antivirus. È possibile:

Importante

A partire dalla versione 4.18.2208.0 e successive della piattaforma: se è stato eseguito l'onboarding di un server in Microsoft Defender per endpoint, l'impostazione dei criteri di gruppo "Disattiva Windows Defender" non disabiliterà completamente Windows Defender Antivirus in Windows Server 2012 R2 e versioni successive. Al contrario, lo inserirà in modalità passiva. Inoltre, la funzionalità di protezione antimanomissione consentirà di passare alla modalità attiva, ma non alla modalità passiva.

  • Se "Disattiva Windows Defender" è già attivo prima dell'onboarding in Microsoft Defender per endpoint, non verranno apportate modifiche e Defender Antivirus rimarrà disabilitato.
  • Per passare da Defender Antivirus alla modalità passiva, anche se è stato disabilitato prima dell'onboarding, è possibile applicare la configurazione ForceDefenderPassiveMode con un valore di 1. Per posizionarlo in modalità attiva, impostare invece questo valore su 0 .

Si noti la logica modificata per ForceDefenderPassiveMode quando è abilitata la protezione antimanomissione: una volta che Microsoft Defender Antivirus è stato attivato, la protezione da manomissione impedirà il ripristino in modalità passiva anche quando ForceDefenderPassiveMode è impostato su 1.

Usare l'app Sicurezza di Windows per identificare l'app antivirus

  1. In un dispositivo Windows aprire l'app Sicurezza di Windows.

  2. Selezionare Protezione dalle minacce antivirus&.

  3. In Chi mi protegge? selezionare Gestisci provider.

  4. Nella pagina Provider di sicurezza, in Antivirus, dovrebbe essere visualizzato Microsoft Defender Antivirus è attivato.

Usare Gestione attività per verificare che Microsoft Defender Antivirus sia in esecuzione

  1. In un dispositivo Windows aprire l'app Gestione attività.

  2. Selezionare la scheda Dettagli .

  3. Cercare MsMpEng.exe nell'elenco.

Usare Windows PowerShell per verificare che Microsoft Defender Antivirus sia in esecuzione

Nota

Utilizzare questa procedura solo per verificare se Microsoft Defender Antirivus è in esecuzione in un endpoint.

  1. In un dispositivo Windows aprire Windows PowerShell.

  2. Eseguire il cmdlet di PowerShell seguente: Get-Process.

  3. Esaminare i risultati. Se Microsoft Defender Antivirus è abilitato, verrà visualizzato MsMpEng.exe.

Usare Windows PowerShell per verificare che la protezione antivirus sia in esecuzione

Nota

Usare questa procedura solo per verificare se la protezione antivirus è abilitata in un endpoint.

  1. In un dispositivo Windows aprire Windows PowerShell.

  2. Eseguire il cmdlet di PowerShell seguente: Get-MpComputerStatus | select AMRunningMode.

  3. Esaminare i risultati. Dovrebbe essere visualizzata la modalità di bloccoNormale, Passiva o EDR se la protezione antivirus è abilitata nell'endpoint.

Nota

Si noti che questa procedura consente solo di verificare se la protezione antivirus è abilitata in un endpoint.

Altri dettagli sugli stati di Microsoft Defender Antivirus

Le sezioni seguenti descrivono cosa aspettarsi quando Microsoft Defender Antivirus è:

Modalità attiva

In modalità attiva, Microsoft Defender Antivirus viene usato come app antivirus nel computer. Verranno applicate le impostazioni configurate tramite Configuration Manager, Criteri di gruppo, Microsoft Intune o altri prodotti di gestione. I file vengono analizzati, le minacce vengono corrette e le informazioni di rilevamento vengono segnalate nello strumento di configurazione, ad esempio nell'interfaccia di amministrazione di Microsoft Endpoint Manager o nell'app antivirus Microsoft Defender nell'endpoint.

Modalità passiva o modalità blocco EDR

In modalità passiva, Microsoft Defender Antivirus non viene usato come app antivirus e le minacce non vengono corrette da Microsoft Defender Antivirus. Tuttavia, le minacce possono essere risolte tramite il rilevamento degli endpoint e la risposta (EDR) in modalità blocco. I file vengono analizzati da EDR e vengono forniti report per i rilevamenti delle minacce condivisi con il servizio Defender per endpoint. È possibile che vengano visualizzati avvisi che mostrano Microsoft Defender Antivirus come origine, anche quando Microsoft Defender Antivirus è in modalità passiva.

Quando Microsoft Defender Antivirus è in modalità passiva, è comunque possibile gestire gli aggiornamenti per Microsoft Defender Antivirus; tuttavia, non è possibile spostare Microsoft Defender Antivirus in modalità attiva se i dispositivi hanno un prodotto antivirus non Microsoft che fornisce protezione in tempo reale dal malware.

Assicurarsi di ottenere gli aggiornamenti antivirus e antimalware, anche se Microsoft Defender Antivirus è in esecuzione in modalità passiva. Vedere Gestire gli aggiornamenti di Microsoft Defender Antivirus e applicare le linee di base.

Si noti che la modalità passiva è supportata solo in Windows Server 2012 R2 & 2016 quando viene eseguito l'onboarding del computer usando la soluzione moderna e unificata.

Disattivato o disinstallato

Se disabilitato o disinstallato, Microsoft Defender Antivirus non viene usato come app antivirus. I file non vengono analizzati e le minacce non vengono risolte. La disabilitazione o la disinstallazione di Microsoft Defender Antivirus non è consigliata in generale. Se possibile, mantenere Microsoft Defender Antivirus in modalità passiva se si usa una soluzione antimalware/antivirus non Microsoft.

Nei casi in cui Microsoft Defender Antivirus viene disabilitato automaticamente, può essere riattivato automaticamente se il prodotto antivirus/antimalware non Microsoft scade, viene disinstallato o interrompe in altro modo la protezione in tempo reale da virus, malware o altre minacce. La riabilitare automaticamente Microsoft Defender Antivirus consente di garantire che la protezione antivirus venga mantenuta negli endpoint.

È anche possibile usare un'analisi periodica limitata, che funziona con il motore antivirus Microsoft Defender per verificare periodicamente la presenza di minacce se si usa un'app antivirus non Microsoft. |

E i dispositivi non Windows?

Se si cercano informazioni correlate all'antivirus per altre piattaforme, vedere:

Vedere anche