Поделиться через


совместимость антивирусной программы Microsoft Defender с другими продуктами безопасности

Область применения:

Платформы

  • Windows

Microsoft Defender антивирусная программа доступна на конечных точках под управлением следующих версий Windows:

  • Windows 11
  • Windows 10
  • Windows Server 2022
  • Windows Server 2019
  • Windows Server версии 1803 или более поздней
  • Windows Server 2016

антивирусная программа Microsoft Defender также доступна для более ранних версий Windows при определенных условиях.

Если вы используете антивирусную или антивредоносную программу сторонних разработчиков, вы можете запустить Microsoft Defender антивирусную программу вместе с другим антивирусным решением. В этой статье описывается, что происходит с антивирусной программой Microsoft Defender и антивирусной и антивредоносной программой сторонних разработчиков с Microsoft Defender для конечной точки и без нее.

Антивирусная защита без Defender для конечной точки

В этом разделе описывается, что происходит при использовании антивирусной программы Microsoft Defender наряду с антивирусными и антивредоносными продуктами сторонних разработчиков на конечных точках, которые не подключены к Defender для конечной точки.

Как правило, антивирусная программа Microsoft Defender не работает в пассивном режиме на устройствах, которые не подключены к Defender для конечной точки.

В следующей таблице приведены сведения о том, что следует ожидать.

Версия Windows Основное антивирусное или антивредоносное решение Состояние антивирусной программы Microsoft Defender
Windows 10
Windows 11
Антивирусная программа в Microsoft Defender Активный режим
Windows 10
Windows 11
Антивирусное или антивредоносное решение сторонних разработчиков Отключенный режим (происходит автоматически)

Если в Windows 11 включена функция SmartAppControl, Microsoft Defender антивирусная программа переходит в пассивный режим.
Windows Server 2022
Windows Server 2019
Windows Server версии 1803 или более поздней
Windows Server 2016
Windows Server 2012 R2
Антивирусная программа в Microsoft Defender Активный режим
Windows Server 2022
Windows Server 2019
Windows Server версии 1803 или более поздней
Windows Server 2016
Антивирусное или антивредоносное решение сторонних разработчиков Отключено
(задать вручную; см. примечание, следующее за этой таблицей)

Примечание.

В Windows Server, если вы используете антивирусную программу сторонних разработчиков, вы можете удалить Microsoft Defender антивирусную программу с помощью следующего командлета PowerShell (от имени администратора): Uninstall-WindowsFeature Windows-Defender. Перезапустите сервер, чтобы завершить удаление Microsoft Defender антивирусной программы. На Windows Server 2016 вы можете увидеть windows антивирусная программа Defender вместо Microsoft Defender антивирусной программы. При удалении антивирусного продукта сторонних разработчиков убедитесь, что антивирусная программа Microsoft Defender включена повторно. См. раздел Повторное включение антивирусной программы Microsoft Defender в Windows Server, если она была отключена.

Если устройство подключено к Microsoft Defender для конечной точки, вы можете использовать антивирусную программу Microsoft Defender в пассивном режиме, как описано далее в этой статье.

Microsoft Defender антивирусные и антивредоносные решения сторонних разработчиков

Примечание.

Как правило, Microsoft Defender антивирусная программа может быть настроена в пассивный режим только на конечных точках, подключенных к Defender для конечной точки.

Независимо от того, работает ли антивирусная программа Microsoft Defender в активном, пассивном режиме или отключена, зависит от нескольких факторов, например:

  • Версия Windows, установленная в конечной точке
  • Является ли антивирусная программа Microsoft Defender основным антивирусным или антивредоносным решением в конечной точке
  • Подключена ли конечная точка к Defender для конечной точки

В следующей таблице приведены сведения о состоянии Microsoft Defender антивирусной программы в нескольких сценариях.

Антивирусное или антивредоносное решение Подключено к Defender для конечной точки? Состояние антивирусной программы Microsoft Defender Состояние управления интеллектуальными приложениями
Антивирусная программа в Microsoft Defender Да Активный режим Н/Д
Антивирусная программа в Microsoft Defender Нет Активный режим Вкл., Оценка или Выкл.
Антивирусное или антивредоносное решение сторонних разработчиков Да Пассивный режим (автоматически) Н/Д
Антивирусное или антивредоносное решение сторонних разработчиков Нет Отключено (автоматически) Оценка или включено

Примечание.

Smart App Control — это продукт, доступный только для потребителей, который используется в новых Windows 11 установках. Он может работать вместе с антивирусной программой и блокировать приложения, которые считаются вредоносными или ненадежными. Дополнительные сведения об управлении интеллектуальными приложениями.

Windows Server и пассивный режим

В Windows Server 2019, Windows Server версии 1803 или более поздней, Windows Server 2016 или Windows Server 2012 R2 антивирусная программа Microsoft Defender не переходит в пассивный режим автоматически при установке антивирусного продукта, отличного от Майкрософт. В таких случаях установите Microsoft Defender Антивирусная программа в пассивный режим, чтобы предотвратить проблемы, вызванные установкой нескольких антивирусных продуктов на сервере. Вы можете настроить Microsoft Defender антивирусную программу в пассивный режим с помощью раздела реестра следующим образом:

  • Путь: HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection
  • Имя: ForceDefenderPassiveMode
  • Тип: REG_DWORD
  • Значение: 1

Состояние защиты можно просмотреть в PowerShell с помощью команды Get-MpComputerStatus. Проверьте значение для AMRunningMode. Если Microsoft Defender антивирусная программа включена в конечной точке, вы увидите режим блокировки "Обычный", "Пассивный" или "EDR".

Чтобы пассивный режим работал на конечных точках под управлением Windows Server 2016 и Windows Server 2012 R2, эти конечные точки должны быть подключены к современному унифицированному решению, описанному в разделе Подключение серверов Windows.

Важно!

Начиная с версии платформы 4.18.2208.0 и более поздних версий, если сервер подключен к Microsoft Defender для конечной точки, защита от незаконного изменения позволяет переключиться в активный режим, но не в пассивный режим.

Обратите внимание на измененную логику, ForceDefenderPassiveMode когда включена защита от незаконного копирования: как только Microsoft Defender антивирусная программа будет включена в активный режим, защита от незаконного изменения не позволяет вернуться в пассивный режим, даже если ForceDefenderPassiveMode для параметра задано значение 1.

На Windows Server 2016, Windows Server 2012 R2, Windows Server версии 1803 или более поздней, Windows Server 2019 и Windows Server 2022, если вы используете антивирусную программу сторонних разработчиков в конечной точке, которая не подключена к Microsoft Defender для конечной точки, отключите или удалите Microsoft Defender антивирусную программу вручную, чтобы предотвратить проблемы, вызванные установкой нескольких антивирусных продуктов на сервере. Однако Defender для конечной точки включает возможности, которые еще больше расширяют антивирусную защиту, установленную в конечной точке. Если у вас есть Defender для конечной точки, вы можете использовать Microsoft Defender антивирусную программу вместе с другим антивирусным решением.

Например, обнаружение и ответ конечной точки (EDR) в режиме блокировки обеспечивает дополнительную защиту от вредоносных артефактов, даже если антивирусная программа Microsoft Defender не является основным антивирусным продуктом. Для таких возможностей требуется, чтобы антивирусная программа Microsoft Defender была установлена и запущена в пассивном или активном режиме.

Совет

На Windows Server 2016 вы можете увидеть windows антивирусная программа Defender вместо Microsoft Defender антивирусной программы.

Требования для запуска антивирусной программы Microsoft Defender в пассивном режиме

Чтобы антивирусная программа Microsoft Defender запускала в пассивном режиме, конечные точки должны соответствовать следующим требованиям:

Важно!

  • антивирусная программа Microsoft Defender доступна только на устройствах под управлением Windows 10 и 11, Windows Server 2022, Windows Server 2016, Windows Server 2019, Windows Server версии 1803 или более поздней, Windows Server 2016 и Windows Server 2012 R2.
  • Пассивный режим поддерживается только в Windows Server 2012 R2 & 2016 г., когда устройство подключено с помощью современного унифицированного решения.
  • В Windows 8.1 антивирусная защита конечных точек предприятия предоставляется в качестве System Center Endpoint Protection, управление которым осуществляется через конечную точку Майкрософт Configuration Manager.
  • Защитник Windows также доступен для потребительских устройств на Windows 8.1, хотя Защитник Windows не обеспечивает управление на уровне предприятия.

Как антивирусная программа Microsoft Defender влияет на функциональность Defender для конечной точки

Defender для конечной точки влияет на то, может ли Microsoft Defender антивирусная программа работать в пассивном режиме. Кроме того, состояние антивирусной программы Microsoft Defender может повлиять на определенные возможности в Defender для конечной точки. Например, защита в режиме реального времени работает, когда антивирусная программа Microsoft Defender находится в активном или пассивном режиме, но не при отключении или удалении антивирусной программы Microsoft Defender.

Важно!

  • В таблице в этом разделе перечислены функции и возможности, которые активно работают или нет, в зависимости от того, находится ли антивирусная программа Microsoft Defender в активном, пассивном режиме или отключена или удалена. Эта таблица предназначена только для информационных данных.
  • Не отключайте такие возможности, как защита в реальном времени, облачная защита или ограниченное периодическое сканирование, если вы используете антивирусную программу Microsoft Defender в пассивном режиме или используете EDR в режиме блокировки, который работает в фоновом режиме для обнаружения и исправления вредоносных артефактов, обнаруженных после взлома.
Защита Антивирусная программа в Microsoft Defender
(Активный режим)
Антивирусная программа в Microsoft Defender
(Пассивный режим)
Антивирусная программа в Microsoft Defender
(Отключено или удалено)
Защита в режиме реального времени Да См. примечание 1. Нет
Облачная защита Да Нет Нет
Защита сети Да Нет Нет
Правила сокращения направлений атак Да Нет Нет
Сведения о сканировании и обнаружении файлов Да Да
См. примечание 2.
Нет
Исправление угроз Да См. примечание 3 Нет
Обновления механизма обнаружения угроз Да Да
См. примечание 4
Нет
Защита от потери данных Да Да Нет
Контролируемый доступ к папкам Да Нет Нет
Фильтрация веб-содержимого Да См. примечание 5 Нет
Управление устройством Да Да Нет
Защита PUA Да Нет Нет

Заметки о состояниях защиты

  1. Если антивирусная программа Microsoft Defender находится в пассивном режиме, защита в режиме реального времени работает следующими способами с помощью защиты от потери данных в конечной точке Майкрософт (DLP).

    антивирусная программа Microsoft Defender в пассивном режиме Состояние защиты в режиме реального времени
    Защита от потери данных в конечной точке отключена Отключено

    Не обеспечивает блокировку или принудительное применение антивирусной защиты в режиме реального времени.
    Защита от потери данных конечной точки включена Включено для определенных функций защиты от потери данных

    Не обеспечивает блокировку или принудительное применение антивирусной защиты в режиме реального времени.

    Обязательно добавьте Microsoft Defender антивирусную программу и Microsoft Defender для конечной точки двоичные файлы в список исключений антивирусной программы сторонних разработчиков или решения EDR.
  2. Если антивирусная программа Microsoft Defender находится в пассивном режиме, сканирование не планируется. Если в конфигурации запланированы проверки, расписание игнорируется. Разве:

    1. Параметр "Запуск запланированной проверки только в том случае, если компьютер включен, но не используется" имеет значение "Не настроено или включено". Планировщик задач Windows создается, если для параметра "Запуск запланированной проверки только в том случае, если компьютер включен, но не используется" значение отключено.

    2. Параметр "Включить быструю проверку догоня" имеет значение "Не настроено или включено". Каждые 30 дней (количество дней по умолчанию) быстрая проверка догоня продолжает выполняться, если параметр "Включить быструю проверку на догоняющий" не отключен. Задачи сканирования, настроенные в планировщике задач Windows, продолжают выполняться в соответствии с расписанием. Если у вас есть запланированные задачи, их можно удалить, если это предпочтительнее.

    3. Параметр "Включить сканирование после обновления аналитики безопасности" имеет значение "Не настроено или включено". По умолчанию быстрая проверка выполняется после "Обновления аналитики безопасности", если для параметра "Включить проверку после обновления аналитики безопасности" не задано значение "Отключено".

  3. Если Microsoft Defender антивирусная программа находится в пассивном режиме, она не устраняет угрозы. Однако обнаружение и реагирование конечных точек (EDR) в режиме блокировки может устранять угрозы. В этом случае могут отображаться оповещения, показывающие Microsoft Defender антивирусную программу в качестве источника, даже если Microsoft Defender антивирусная программа находится в пассивном режиме.

  4. Частота обновлений аналитики безопасности контролируется только клиентский компонент Центра обновления Windows параметрами. Планировщики обновлений в Defender (ежедневно или еженедельно в определенное время, на основе интервала) работают только в том случае, если Microsoft Defender антивирусная программа находится в активном режиме. Они игнорируются в пассивном режиме.

  5. Если антивирусная программа Microsoft Defender находится в пассивном режиме, фильтрация веб-содержимого работает только в браузере Microsoft Edge.

Важно!

  • Защита от потери данных конечных точек продолжает работать в обычном режиме, когда антивирусная программа Microsoft Defender находится в активном или пассивном режиме.

  • Не отключайте, не прекращайте и не изменяйте связанные службы, используемые антивирусной программой Microsoft Defender, Defender для конечной точки или приложением Безопасность Windows. Эта рекомендация включает службы wscsvcи процессы , SecurityHealthServiceMsSense, Sense, WinDefendили MsMpEng . Изменение этих служб вручную может привести к серьезной нестабильности на устройствах и сделать вашу сеть уязвимой. Отключение, остановка или изменение этих служб также может вызвать проблемы при использовании антивирусных решений сторонних разработчиков, а также при отображении их информации в приложении Безопасность Windows.

  • В Defender для конечной точки можно включить EDR в режиме блокировки, даже если Microsoft Defender антивирусная программа не является основным антивирусным решением. EDR в режиме блокировки обнаруживает и устраняет вредоносные элементы, обнаруженные на устройстве (после взлома). Дополнительные сведения см. в разделе EDR в блочном режиме.

Подтверждение состояния антивирусной программы Microsoft Defender

Для подтверждения состояния антивирусной программы Microsoft Defender можно использовать один из нескольких методов. Варианты действий:

Важно!

Начиная с версии платформы 4.18.2208.0 и более поздних версий: если сервер подключен к Microsoft Defender для конечной точки, параметр групповой политики "Отключить Защитник Windows" больше не полностью отключает антивирусная программа Defender Windows на Windows Server 2012 R2 и более поздние версии. Вместо этого Microsoft Defender антивирусная программа переходит в пассивный режим. Кроме того, защита от незаконного изменения позволяет переключиться в активный режим, но не в пассивный режим.

  • Если перед подключением к Microsoft Defender для конечной точки уже установлен параметр "Отключить Защитник Windows", антивирусная программа Microsoft Defender остается отключенной.
  • Чтобы переключить антивирусную программу Microsoft Defender в пассивный режим, даже если она была отключена 1перед подключением, можно применить конфигурацию ForceDefenderPassiveMode со значением . Чтобы перевести его в активный режим, переключите это значение 0 на .

Обратите внимание на измененную логику, ForceDefenderPassiveMode когда включена защита от незаконного изменения: после того как антивирусная программа Microsoft Defender переключится в активный режим, защита от незаконного изменения не позволяет вернуться в пассивный режим, даже если ForceDefenderPassiveMode для параметра задано значение 1.

Используйте приложение Безопасность Windows для идентификации антивирусного приложения

  1. На устройстве с Windows откройте приложение Безопасность Windows.

  2. Выберите Защита от вирусов и угроз.

  3. В разделе Кто меня защищает? выберите Управление поставщиками.

  4. На странице Поставщики безопасности в разделе Антивирусная программа должна отобразиться Microsoft Defender антивирусная программа включена.

Использование диспетчера задач для подтверждения выполнения антивирусной программы Microsoft Defender

  1. На устройстве с Windows откройте приложение диспетчера задач.

  2. Перейдите на вкладку Сведения .

  3. Найдите MsMpEng.exe в списке.

Используйте Windows PowerShell, чтобы убедиться, что антивирусная программа Microsoft Defender работает

Важно!

Используйте эту процедуру только для проверки того, запущена ли антивирусная программа Microsoft Defender в конечной точке.

  1. На устройстве с Windows откройте Windows PowerShell.

  2. Выполните следующий командлет PowerShell: Get-Process.

  3. Просмотрите результаты. Если антивирусная программа Microsoft Defender включена, отобразится MsMpEng.exe.

Используйте Windows PowerShell, чтобы убедиться, что антивирусная защита работает

Важно!

Используйте эту процедуру только для проверки включения антивирусной защиты в конечной точке.

  1. На устройстве с Windows откройте Windows PowerShell.

  2. Выполните следующий командлет PowerShell: Get-MpComputerStatus | select AMRunningMode.

  3. Просмотрите результаты. Если антивирусная защита включена в конечной точке, должен отображаться режим блокировки "Обычный", "Пассивный" или "EDR ".

Дополнительные сведения о состояниях антивирусной программы Microsoft Defender

В следующих разделах описывается, что следует ожидать при Microsoft Defender антивирусной программы:

Активный режим

В активном режиме антивирусная программа Microsoft Defender используется в качестве антивирусного приложения на компьютере. Применяются параметры, настроенные с помощью Configuration Manager, групповая политика, Microsoft Intune или других продуктов управления. Файлы сканируются, угрозы устраняются, а сведения об обнаружении передаются в средстве настройки (например, в центре администрирования Microsoft Intune или в приложении антивирусной программы Microsoft Defender в конечной точке).

Пассивный режим или EDR в блочном режиме

В пассивном режиме антивирусная программа Microsoft Defender не используется в качестве антивирусного приложения, а угрозы не устраняют Microsoft Defender антивирусной программой. Однако обнаружение и реагирование конечных точек (EDR) в режиме блокировки может устранять угрозы. Файлы сканируются с помощью EDR, а отчеты предоставляются для обнаружения угроз, которые предоставляются в службу Defender для конечной точки. Вы можете увидеть оповещения, показывающие Microsoft Defender антивирусную программу в качестве источника, даже если Microsoft Defender антивирусная программа находится в пассивном режиме.

Если антивирусная программа Microsoft Defender находится в пассивном режиме, вы по-прежнему можете управлять обновлениями для Microsoft Defender антивирусной программы. Однако вы не сможете перевести Microsoft Defender антивирусную программу в активный режим, если на ваших устройствах есть антивирусный продукт, отличный от Корпорации Майкрософт, который обеспечивает защиту от вредоносных программ в режиме реального времени.

Убедитесь, что вы получаете обновления антивирусной и антивредоносной программы, даже если антивирусная программа Microsoft Defender работает в пассивном режиме. См. статью Управление обновлениями антивирусной программы Microsoft Defender и применение базовых показателей. Пассивный режим поддерживается только в Windows Server 2012 R2 & 2016 г., когда компьютер подключен с помощью современного унифицированного решения.

Отключено или удалено

При отключении или удалении антивирусная программа Microsoft Defender не используется в качестве антивирусного приложения. Файлы не сканируются, а угрозы не устраняются. Отключение или удаление антивирусной программы Microsoft Defender в целом не рекомендуется. Если это возможно, оставьте антивирусную программу Microsoft Defender в пассивном режиме, если вы используете антивредоносное или антивирусное решение сторонних разработчиков.

В случаях, когда антивирусная программа Microsoft Defender отключена автоматически, ее можно включить автоматически, если срок действия антивирусной программы или антивредоносного ПО сторонних разработчиков истекает, удаляется или иным образом перестает обеспечивать защиту от вирусов, вредоносных программ или других угроз в режиме реального времени. Автоматическое повторное включение антивирусной программы Microsoft Defender помогает обеспечить поддержание антивирусной защиты на конечных точках.

Как насчет устройств, отличных от Windows?

Если вам нужны сведения об антивирусной программе для других платформ, см.:

См. также

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.