Microsoft Defender compatibilità antivirus con altri prodotti di sicurezza
Si applica a:
- Antivirus Microsoft Defender
- Microsoft Defender per endpoint Piano 1
- Microsoft Defender per endpoint Piano 2
Piattaforme
- Windows
Microsoft Defender Antivirus è disponibile negli endpoint che eseguono le versioni seguenti di Windows:
- Windows 11
- Windows 10
- Windows Server 2022
- Windows Server 2019
- Windows Server, versione 1803 o successiva
- Windows Server 2016
Microsoft Defender Antivirus è disponibile anche per le versioni precedenti di Windows in determinate condizioni.
In Windows Server 2012 R2, quando viene eseguito l'onboarding con la soluzione moderna e unificata, Microsoft Defender Antivirus viene installato in modalità attiva.
In Windows 8.1, con System Center Endpoint Protection, la protezione antivirus degli endpoint di livello aziendale viene offerta e gestita tramite Microsoft Endpoint Configuration Manager.
Nei dispositivi consumer in Windows 8.1 è disponibile Windows Defender, anche se non offre la gestione a livello aziendale.
Se si usa software antivirus/antimalware non Microsoft, è possibile eseguire Microsoft Defender Antivirus insieme all'altra soluzione antivirus. Questo articolo descrive cosa accade con Microsoft Defender antivirus e software antivirus/antimalware non Microsoft, con e senza Microsoft Defender per endpoint.
Protezione antivirus senza Defender per endpoint
Questa sezione descrive cosa accade quando si usa Microsoft Defender Antivirus insieme a prodotti antivirus/antimalware non Microsoft su endpoint non caricati in Defender per endpoint.
In generale, Microsoft Defender Antivirus non viene eseguito in modalità passiva nei dispositivi non caricati in Defender per endpoint.
La tabella seguente riepiloga le aspettative:
| Versione di Windows | Soluzione antivirus/antimalware primaria | Microsoft Defender stato antivirus |
|---|---|---|
| Windows 10 Windows 11 |
Antivirus Microsoft Defender | Modalità attiva |
| Windows 10 Windows 11 |
Una soluzione antivirus/antimalware non Microsoft | Modalità disabilitata (si verifica automaticamente) Si noti che in Windows 11, se SmartAppControl è abilitato, Microsoft Defender Antivirus passa alla modalità passiva. |
| Windows Server 2022 Windows Server 2019 Windows Server, versione 1803 o successiva Windows Server 2016 Windows Server 2012 R2 |
Antivirus Microsoft Defender | Modalità attiva |
| Windows Server 2022 Windows Server 2019 Windows Server, versione 1803 o successiva Windows Server 2016 |
Una soluzione antivirus/antimalware non Microsoft | Disabilitato (impostato manualmente; vedere la nota che segue questa tabella) |
Nota
In Windows Server, se si esegue un prodotto antivirus non Microsoft, è possibile disinstallare Microsoft Defender Antivirus usando il cmdlet di PowerShell seguente (come amministratore): Uninstall-WindowsFeature Windows-Defender. Riavviare il server per completare la rimozione di Microsoft Defender Antivirus.
In Windows Server 2016 potrebbe essere visualizzato Windows Defender Antivirus anziché Microsoft Defender Antivirus.
Se il dispositivo viene caricato in Microsoft Defender per endpoint, è possibile usare Microsoft Defender Antivirus in modalità passiva, come descritto più avanti in questo articolo.
Microsoft Defender antivirus e soluzioni antivirus/antimalware non Microsoft
Nota
In generale, Microsoft Defender Antivirus può essere impostato sulla modalità passiva solo negli endpoint di cui è stato eseguito l'onboarding in Defender per endpoint.
Se Microsoft Defender Antivirus viene eseguito in modalità attiva, passiva o disabilitato dipende da diversi fattori, ad esempio:
- Quale versione di Windows è installata in un endpoint
- Se Microsoft Defender Antivirus è la soluzione antivirus/antimalware primaria nell'endpoint
- Indica se l'endpoint è stato sottoposto a onboarding in Defender per endpoint
La tabella seguente riepiloga lo stato di Microsoft Defender Antivirus in diversi scenari.
| Soluzione antivirus/antimalware | Eseguire l'onboarding in Defender per endpoint? | Microsoft Defender stato antivirus | Stato di controllo delle app intelligenti |
|---|---|---|---|
| Antivirus Microsoft Defender | Sì | Modalità attiva | N/D |
| Antivirus Microsoft Defender | No | Modalità attiva | On, Evaluation o Off |
| Una soluzione antivirus/antimalware non Microsoft | Sì | Modalità passiva (automaticamente) | N/D |
| Una soluzione antivirus/antimalware non Microsoft | No | Disabilitato (automaticamente) | Valutazione o Attivato |
Nota
Controllo app intelligente è un prodotto solo consumer usato nelle nuove installazioni Windows 11. Può essere eseguito insieme al software antivirus e bloccare le app considerate dannose o non attendibili. Altre informazioni su Controllo app intelligenti.
Windows Server e modalità passiva
In Windows Server 2019, Windows Server, versione 1803 o successiva, Windows Server 2016 o Windows Server 2012 R2, Microsoft Defender Antivirus non entra automaticamente in modalità passiva quando si installa un prodotto antivirus non Microsoft. In questi casi, impostare Microsoft Defender Antivirus sulla modalità passiva per evitare problemi causati dall'installazione di più prodotti antivirus in un server. È possibile impostare Microsoft Defender Antivirus sulla modalità passiva usando una chiave del Registro di sistema come indicato di seguito:
- Percorso:
HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection - Nome:
ForceDefenderPassiveMode - Digitare:
REG_DWORD - Valore:
1
È possibile visualizzare lo stato di protezione in PowerShell usando il comando Get-MpComputerStatus. Controllare il valore per AMRunningMode. Dovrebbe essere visualizzata la modalità di bloccoNormale, Passivo o EDR se Microsoft Defender Antivirus è abilitato nell'endpoint.
Affinché la modalità passiva funzioni sugli endpoint che eseguono Windows Server 2016 e Windows Server 2012 R2, è necessario eseguire l'onboarding di tali endpoint con la soluzione moderna e unificata descritta in Onboarding dei server Windows.
In Windows Server 2016, Windows Server 2012 R2, Windows Server versione 1803 o successiva, Windows Server 2019 e Windows Server 2022, se si usa un prodotto antivirus non Microsoft in un endpoint non caricato in Microsoft Defender per endpoint, disabilitare/disinstallare Microsoft Defender antivirus manualmente per evitare problemi causati dall'installazione di più prodotti antivirus in un server. Defender per endpoint include tuttavia funzionalità che estendono ulteriormente la protezione antivirus installata nell'endpoint. Se si dispone di Defender per endpoint, è possibile trarre vantaggio dall'esecuzione di Microsoft Defender Antivirus insieme a un'altra soluzione antivirus.
Ad esempio, il rilevamento e la risposta degli endpoint (EDR) in modalità blocco offrono una protezione aggiuntiva da artefatti dannosi anche se Microsoft Defender Antivirus non è il prodotto antivirus principale. Tali funzionalità richiedono l'installazione e l'esecuzione di Microsoft Defender Antivirus in modalità passiva o attiva.
Consiglio
In Windows Server 2016 potrebbe essere visualizzato Windows Defender Antivirus anziché Microsoft Defender Antivirus.
Requisiti per l'esecuzione dell'antivirus Microsoft Defender in modalità passiva
Affinché Microsoft Defender Antivirus venga eseguito in modalità passiva, gli endpoint devono soddisfare i requisiti seguenti:
- Sistema operativo: Windows 10 o versioni successive; Windows Server 2022, Windows Server 2019 o Windows Server, versione 1803 o successiva
(Windows Server 2012 R2 e Windows Server 2016 se è stato caricato usando la soluzione moderna e unificata). - Microsoft Defender Antivirus deve essere installato.
- Un altro prodotto antivirus/antimalware non Microsoft deve essere installato e usato come soluzione antivirus primaria.
- È necessario eseguire l'onboarding degli endpoint in Defender per endpoint.
Importante
- Microsoft Defender Antivirus è disponibile solo nei dispositivi che eseguono Windows 10 e 11, Windows Server 2022, Windows Server 2016, Windows Server 2019, Windows Server, versione 1803 o successiva, Windows Server 2016 e Windows Server 2012 R2.
- La modalità passiva è supportata solo in Windows Server 2012 R2 & 2016 quando viene eseguito l'onboarding del dispositivo usando la soluzione unificata moderna.
- In Windows 8.1, la protezione antivirus degli endpoint a livello aziendale viene offerta come System Center Endpoint Protection, gestita tramite Microsoft Endpoint Configuration Manager.
- Windows Defender è disponibile anche per i dispositivi consumer in Windows 8.1, anche se Windows Defender non fornisce la gestione a livello aziendale.
In che modo Microsoft Defender Antivirus influisce sulla funzionalità di Defender per endpoint
Defender per endpoint determina se Microsoft Defender Antivirus può essere eseguito in modalità passiva. Inoltre, lo stato di Microsoft Defender Antivirus può influire su determinate funzionalità in Defender per endpoint. Ad esempio, la protezione in tempo reale funziona quando Microsoft Defender Antivirus è in modalità attiva o passiva, ma non quando Microsoft Defender Antivirus è disabilitato o disinstallato.
Importante
- La tabella in questa sezione riepiloga le funzionalità che funzionano attivamente o meno, a seconda che Microsoft Defender Antivirus sia in modalità attiva, passiva o disabilitata/disinstallata. Questa tabella è progettata per essere solo informativa.
- Non disattivare le funzionalità, ad esempio la protezione in tempo reale, la protezione fornita dal cloud o l'analisi periodica limitata se si usa Microsoft Defender Antivirus in modalità passiva o se si usa EDR in modalità blocco, che funziona dietro le quinte per rilevare e correggere gli artefatti dannosi rilevati dopo la violazione.
| Protezione | Antivirus Microsoft Defender (Modalità attiva) |
Antivirus Microsoft Defender (modalità passiva) |
Antivirus Microsoft Defender (Disabilitato o disinstallato) |
|---|---|---|---|
| Protezione in tempo reale | Sì | Vedere la nota 1 | No |
| Protezione fornita dal cloud | Sì | No | No |
| Protezione di rete | Sì | No | No |
| Regole per la riduzione della superficie di attacco | Sì | No | No |
| Informazioni di analisi e rilevamento dei file | Sì | Sì Vedere la nota 2 |
No |
| Correzione delle minacce | Sì | Vedere la nota 3 | No |
| Aggiornamenti di Security intelligence | Sì | Sì Vedere la nota 4 |
No |
| Prevenzione della perdita dei dati | Sì | Sì | No |
| Accesso controllato alle cartelle | Sì | No | No |
| Filtro contenuti Web | Sì | Vedere la nota 5 | No |
| Controllo dispositivo | Sì | Sì | No |
| Protezione dalle applicazioni potenzialmente indesiderate | Sì | No | No |
Note sugli stati di protezione
In generale, quando Microsoft Defender Antivirus è in modalità passiva, la protezione in tempo reale non fornisce alcun blocco o imposizione, anche se è abilitato e in modalità passiva.
Quando Microsoft Defender Antivirus è in modalità passiva, le analisi non sono pianificate. Se le analisi sono pianificate nella configurazione, la pianificazione viene ignorata. Tuttavia, ogni 30 giorni (numero predefinito di giorni) continua a verificarsi un'analisi di recupero rapido a meno che l'opzione "Attiva analisi rapida di recupero" non sia disabilitata. Le attività di analisi configurate in Utilità di pianificazione di Windows continuano a essere eseguite in base alla pianificazione. Se si dispone di attività pianificate, è possibile rimuoverle, se si preferisce.
Quando Microsoft Defender Antivirus è in modalità passiva, non corregge le minacce. Tuttavia, il rilevamento degli endpoint e la risposta (EDR) in modalità blocco possono correggere le minacce. In questo caso, potrebbero essere visualizzati avvisi che mostrano Microsoft Defender Antivirus come origine, anche quando Microsoft Defender Antivirus è in modalità passiva.
La cadenza degli aggiornamenti dell'intelligence per la sicurezza è controllata solo dalle impostazioni di Windows Update. Le impostazioni degli utilità di pianificazione degli aggiornamenti specifiche di Defender (giornaliere/settimanali in un momento specifico, basate su intervalli) funzionano solo quando Microsoft Defender Antivirus è in modalità attiva. Vengono ignorati in modalità passiva.
Quando Microsoft Defender Antivirus è in modalità passiva, il filtro dei contenuti Web funziona solo con il browser Microsoft Edge.
Importante
La protezione dalla perdita di dati degli endpoint continua a funzionare normalmente quando Microsoft Defender Antivirus è in modalità attiva o passiva.
Non disabilitare, arrestare o modificare i servizi associati usati da Microsoft Defender Antivirus, Defender per endpoint o dall'app Sicurezza di Windows. Questa raccomandazione include i servizi e i processi wscsvc, SecurityHealthService, MsSense, Sense, WinDefend o MsMpEng . La modifica manuale di questi servizi può causare gravi instabilità nei dispositivi e rendere vulnerabile la rete. La disabilitazione, l'arresto o la modifica di tali servizi possono anche causare problemi quando si usano soluzioni antivirus non Microsoft e come vengono visualizzate le relative informazioni nell'app Sicurezza di Windows.
In Defender per endpoint è possibile attivare EDR in modalità blocco, anche se Microsoft Defender Antivirus non è la soluzione antivirus principale. EDR in modalità blocco rileva e corregge gli elementi dannosi presenti nel dispositivo (dopo la violazione). Per altre informazioni, vedere EDR in modalità blocco.
Come confermare lo stato di Microsoft Defender Antivirus
È possibile usare uno dei diversi metodi per confermare lo stato di Microsoft Defender Antivirus. È possibile:
- Usare l'app Sicurezza di Windows per identificare l'app antivirus.
- Usare Gestione attività per verificare che Microsoft Defender Antivirus sia in esecuzione.
- Usare Windows PowerShell per verificare che Microsoft Defender Antivirus sia in esecuzione.
- Usare Windows PowerShell per verificare che la protezione antivirus sia in esecuzione.
Importante
A partire dalla versione 4.18.2208.0 e successive della piattaforma: se è stato eseguito l'onboarding di un server in Microsoft Defender per endpoint, l'impostazione dei criteri di gruppo "Disattiva Windows Defender" non disabilita più completamente Windows Defender Antivirus in Windows Server 2012 R2 e versioni successive. Al contrario, inserisce Microsoft Defender Antivirus in modalità passiva. Inoltre, la protezione antimanomissione consente di passare alla modalità attiva, ma non alla modalità passiva.
- Se "Disattiva Windows Defender" è già attivo prima dell'onboarding in Microsoft Defender per endpoint, Microsoft Defender Antivirus rimane disabilitato.
- Per passare Microsoft Defender Antivirus alla modalità passiva, anche se è stato disabilitato prima dell'onboarding, è possibile applicare la configurazione ForceDefenderPassiveMode con un valore di
1. Per posizionarlo in modalità attiva, impostare invece questo valore su0.
Si noti la logica modificata per ForceDefenderPassiveMode quando è abilitata la protezione antimanomissione: una volta che Microsoft Defender Antivirus è stato attivato, la protezione da manomissione impedisce di tornare in modalità passiva anche quando ForceDefenderPassiveMode è impostato su 1.
Usare l'app Sicurezza di Windows per identificare l'app antivirus
In un dispositivo Windows aprire l'app Sicurezza di Windows.
Selezionare Protezione da virus e minacce.
In Chi mi protegge? selezionare Gestisci provider.
Nella pagina Provider di sicurezza, in Antivirus, dovrebbe essere visualizzato Microsoft Defender Antivirus è attivato.
Usare Gestione attività per verificare che Microsoft Defender Antivirus sia in esecuzione
In un dispositivo Windows aprire l'app Gestione attività.
Selezionare la scheda Dettagli .
Cercare MsMpEng.exe nell'elenco.
Usare Windows PowerShell per verificare che Microsoft Defender Antivirus sia in esecuzione
Nota
Usare questa procedura solo per verificare se Microsoft Defender Antivirus è in esecuzione in un endpoint.
In un dispositivo Windows aprire Windows PowerShell.
Eseguire il cmdlet di PowerShell seguente:
Get-Process.Esaminare i risultati. Se Microsoft Defender Antivirus è abilitato, verrà visualizzato MsMpEng.exe.
Usare Windows PowerShell per verificare che la protezione antivirus sia in esecuzione
Nota
Usare questa procedura solo per verificare se la protezione antivirus è abilitata in un endpoint.
In un dispositivo Windows aprire Windows PowerShell.
Eseguire il cmdlet di PowerShell seguente:
Get-MpComputerStatus | select AMRunningMode.Esaminare i risultati. Dovrebbe essere visualizzata la modalità di bloccoNormale, Passiva o EDR se la protezione antivirus è abilitata nell'endpoint.
Nota
Si noti che questa procedura consente solo di verificare se la protezione antivirus è abilitata in un endpoint.
Altri dettagli sugli stati di Microsoft Defender Antivirus
Le sezioni seguenti descrivono cosa aspettarsi quando Microsoft Defender Antivirus è:
- In modalità attiva
- In modalità passiva o quando EDR in modalità blocco è attivato
- Disattivato o disinstallato
Modalità attiva
In modalità attiva, Microsoft Defender Antivirus viene usato come app antivirus nel computer. Si applicano le impostazioni configurate usando Configuration Manager, Criteri di gruppo, Microsoft Intune o altri prodotti di gestione. I file vengono analizzati, le minacce vengono corrette e le informazioni di rilevamento vengono segnalate nello strumento di configurazione, ad esempio nell'interfaccia di amministrazione Microsoft Intune o nell'app antivirus Microsoft Defender nell'endpoint.
Modalità passiva o modalità blocco EDR
In modalità passiva, Microsoft Defender Antivirus non viene usato come app antivirus e le minacce non vengono* risolte da Microsoft Defender Antivirus. Tuttavia, il rilevamento degli endpoint e la risposta (EDR) in modalità blocco possono correggere le minacce. I file vengono analizzati da EDR e vengono forniti report per i rilevamenti delle minacce condivisi con il servizio Defender per endpoint. Potrebbero essere visualizzati avvisi che mostrano Microsoft Defender Antivirus come origine, anche quando Microsoft Defender Antivirus è in modalità passiva.
Quando Microsoft Defender Antivirus è in modalità passiva, è comunque possibile gestire gli aggiornamenti per Microsoft Defender Antivirus. Tuttavia, non è possibile spostare Microsoft Defender Antivirus in modalità attiva se i dispositivi hanno un prodotto antivirus non Microsoft che fornisce protezione in tempo reale dal malware.
Assicurarsi di ottenere gli aggiornamenti antivirus e antimalware, anche se Microsoft Defender Antivirus è in esecuzione in modalità passiva. Vedere Gestire gli aggiornamenti di Microsoft Defender Antivirus e applicare le linee di base. La modalità passiva è supportata solo in Windows Server 2012 R2 & 2016 quando viene eseguito l'onboarding del computer usando la soluzione unificata moderna.
Disattivato o disinstallato
Se disabilitato o disinstallato, Microsoft Defender Antivirus non viene usato come app antivirus. I file non vengono analizzati e le minacce non vengono risolte. La disabilitazione o la disinstallazione di Microsoft Defender Antivirus non è consigliata in generale. Se possibile, mantenere Microsoft Defender Antivirus in modalità passiva se si usa una soluzione antimalware/antivirus non Microsoft.
Nei casi in cui Microsoft Defender Antivirus viene disabilitato automaticamente, può essere riattivato automaticamente se il prodotto antivirus/antimalware non Microsoft scade, viene disinstallato o interrompe in altro modo la protezione in tempo reale da virus, malware o altre minacce. La riabilitare automaticamente Microsoft Defender Antivirus consente di garantire che la protezione antivirus venga mantenuta negli endpoint.
È anche possibile usare un'analisi periodica limitata, che funziona con il motore antivirus Microsoft Defender per verificare periodicamente la presenza di minacce se si usa un'app antivirus non Microsoft. |
E i dispositivi non Windows?
Se si cercano informazioni correlate all'antivirus per altre piattaforme, vedere:
- Impostare le preferenze per Microsoft Defender per endpoint su macOS
- Microsoft Defender per endpoint su Mac
- Impostazioni dei criteri antivirus macOS per Antivirus Microsoft Defender per Intune
- Impostare le preferenze per Microsoft Defender per endpoint su Linux
- Microsoft Defender per Endpoint su Linux
- Funzionalità di configurazione di Microsoft Defender per endpoint su Android
- Funzionalità di configurazione di Microsoft Defender per endpoint su iOS
Vedere anche
- Microsoft Defender Antivirus nei client Windows
- EdR in modalità blocco
- Informazioni sulla prevenzione della perdita di dati degli endpoint
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per