Microsoft Defender Antivirus-kompatibilitet med andra säkerhetsprodukter
Gäller för:
- Microsoft Defender Antivirus
- Microsoft Defender för Endpoint Abonnemang 1
- Microsoft Defender för Endpoint Abonnemang 2
Plattformar
- Windows
Microsoft Defender Antivirus är tillgängligt på slutpunkter som kör följande versioner av Windows:
- Windows 11
- Windows 10
- Windows Server 2022
- Windows Server 2019
- Windows Server version 1803 eller senare
- Windows Server 2016
Microsoft Defender Antivirus är också tillgängligt för äldre versioner av Windows under vissa förhållanden.
När Windows Server 2012 R2 registreras med den moderna, enhetliga lösningen installeras Microsoft Defender Antivirus i aktivt läge.
På Windows 8.1, med System Center Endpoint Protection, erbjuds och hanteras antivirusskydd på slutpunktsnivå på företagsnivå via Microsoft Endpoint Configuration Manager.
På konsumentenheter på Windows 8.1 är Windows Defender tillgängligt (även om det inte tillhandahåller hantering på företagsnivå).
Om du använder antivirusprogram som inte kommer från Microsoft kan du kanske köra Microsoft Defender Antivirus tillsammans med den andra antiviruslösningen. I den här artikeln beskrivs vad som händer med Microsoft Defender Antivirus och antivirusprogram som inte kommer från Microsoft, med och utan Microsoft Defender för Endpoint.
Antivirusskydd utan Defender för Endpoint
Det här avsnittet beskriver vad som händer när du använder Microsoft Defender Antivirus tillsammans med antivirus-/program mot skadlig kod från andra tillverkare än Microsoft på slutpunkter som inte är registrerade i Defender för Endpoint.
I allmänhet körs inte Microsoft Defender Antivirus i passivt läge på enheter som inte är registrerade i Defender för Endpoint.
I följande tabell sammanfattas vad du kan förvänta dig:
Windows-version | Primär lösning för antivirus/program mot skadlig kod | Microsoft Defender antivirustillstånd |
---|---|---|
Windows 10 Windows 11 |
Microsoft Defender Antivirus | Aktivt läge |
Windows 10 Windows 11 |
En antivirus-/programlösning som inte kommer från Microsoft | Inaktiverat läge (sker automatiskt) Om SmartAppControl är aktiverat i Windows 11 försätts Microsoft Defender Antivirus i passivt läge. |
Windows Server 2022 Windows Server 2019 Windows Server version 1803 eller senare Windows Server 2016 Windows Server 2012 R2 |
Microsoft Defender Antivirus | Aktivt läge |
Windows Server 2022 Windows Server 2019 Windows Server version 1803 eller senare Windows Server 2016 |
En antivirus-/programlösning som inte kommer från Microsoft | Inaktiverad (ange manuellt; se anteckningen som följer den här tabellen) |
Obs!
Om du kör en antivirusprodukt som inte kommer från Microsoft på Windows Server kan du avinstallera Microsoft Defender Antivirus med hjälp av följande PowerShell-cmdlet (som administratör): Uninstall-WindowsFeature Windows-Defender
. Starta om servern för att slutföra borttagningen av Microsoft Defender Antivirus.
På Windows Server 2016 kan du se Windows Defender Antivirus i stället för Microsoft Defender Antivirus.
Om du avinstallerar antivirusprogrammet som inte kommer från Microsoft kontrollerar du att Microsoft Defender Antivirus är återaktiverat. Se Återaktivera Microsoft Defender Antivirus på Windows Server om det har inaktiverats.
Om enheten har registrerats för att Microsoft Defender för Endpoint kan du använda Microsoft Defender Antivirus i passivt läge enligt beskrivningen senare i den här artikeln.
Microsoft Defender antivirusprogram och antivirusprogram som inte kommer från Microsoft
Obs!
I allmänhet kan Microsoft Defender Antivirus endast ställas in på passivt läge på slutpunkter som är registrerade i Defender för Endpoint.
Om Microsoft Defender Antivirus körs i aktivt läge, passivt läge eller är inaktiverat beror på flera faktorer, till exempel:
- Versionen av Windows som är installerad på en slutpunkt
- Om Microsoft Defender Antivirus är den primära lösningen för antivirus/program mot skadlig kod på slutpunkten
- Om slutpunkten är registrerad i Defender för Endpoint
I följande tabell sammanfattas tillståndet för Microsoft Defender Antivirus i flera scenarier.
Lösning för antivirus/program mot skadlig kod | Har du registrerat dig för Defender för Endpoint? | Microsoft Defender antivirustillstånd | Kontrolltillstånd för smart app |
---|---|---|---|
Microsoft Defender Antivirus | Ja | Aktivt läge | EJ TILLÄMPLIGT |
Microsoft Defender Antivirus | Nej | Aktivt läge | På, Utvärdering eller Av |
En antivirus-/programlösning som inte kommer från Microsoft | Ja | Passivt läge (automatiskt) | EJ TILLÄMPLIGT |
En antivirus-/programlösning som inte kommer från Microsoft | Nej | Inaktiverad (automatiskt) | Utvärdering eller På |
Obs!
Smart App Control är en konsumentprodukt som används på nya Windows 11 installationer. Den kan köras tillsammans med ditt antivirusprogram och blockera appar som anses vara skadliga eller ej betrodda. Läs mer om Smart App Control.
Windows Server och passivt läge
I Windows Server 2019, Windows Server, version 1803 eller senare, Windows Server 2016 eller Windows Server 2012 R2 går Microsoft Defender Antivirus inte automatiskt in i passivt läge när du installerar en antivirusprodukt som inte kommer från Microsoft. I dessa fall ställer du in Microsoft Defender Antivirus på passivt läge för att förhindra problem som orsakas av att flera antivirusprodukter är installerade på en server. Du kan ställa in Microsoft Defender Antivirus i passivt läge med hjälp av en registernyckel på följande sätt:
- Stig:
HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection
- Namn:
ForceDefenderPassiveMode
- Typ:
REG_DWORD
- Värde:
1
Du kan visa din skyddsstatus i PowerShell med hjälp av kommandot Get-MpComputerStatus. Kontrollera värdet för AMRunningMode
. Du bör se normalt, passivt eller EDR-blockeringsläge om Microsoft Defender Antivirus är aktiverat på slutpunkten.
För att passivt läge ska fungera på slutpunkter som kör Windows Server 2016 och Windows Server 2012 R2 måste dessa slutpunkter registreras med den moderna, enhetliga lösningen som beskrivs i Registrera Windows-servrar.
Viktigt
Från och med plattformsversion 4.18.2208.0 och senare, om en server är registrerad för Microsoft Defender för Endpoint, tillåter manipuleringsskydd en växling till aktivt läge, men inte till passivt läge.
Observera den ändrade logiken för ForceDefenderPassiveMode
när manipuleringsskydd är aktiverat: När Microsoft Defender Antivirus är inställt på aktivt läge förhindrar manipuleringsskyddet att det återgår till passivt läge även när ForceDefenderPassiveMode
är inställt på 1
.
På Windows Server 2016, Windows Server 2012 R2, Windows Server version 1803 eller senare, Windows Server 2019 och Windows Server 2022, om du använder en antivirusprodukt som inte kommer från Microsoft på en slutpunkt som inte har registrerats för att Microsoft Defender för Endpoint inaktiverar/avinstallerar du Microsoft Defender Antivirus manuellt för att förhindra problem som orsakas av att flera antivirusprodukter är installerade på en server. Defender för Endpoint innehåller dock funktioner som ytterligare utökar antivirusskyddet som är installerat på slutpunkten. Om du har Defender för Endpoint kan du dra nytta av att köra Microsoft Defender Antivirus tillsammans med en annan antiviruslösning.
Slutpunktsidentifiering och svar (EDR) i blockeringsläge ger till exempel ytterligare skydd mot skadliga artefakter även om Microsoft Defender Antivirus inte är den primära antivirusprodukten. Sådana funktioner kräver att Microsoft Defender Antivirus installeras och körs i passivt läge eller aktivt läge.
Tips
På Windows Server 2016 kan du se Windows Defender Antivirus i stället för Microsoft Defender Antivirus.
Krav för att Microsoft Defender Antivirus ska köras i passivt läge
För att Microsoft Defender Antivirus ska kunna köras i passivt läge måste slutpunkterna uppfylla följande krav:
Operativsystem: Windows 10 eller senare; Windows Server 2022, Windows Server 2019 eller Windows Server, version 1803 eller senare
(Windows Server 2012 R2 och Windows Server 2016 om de registreras med hjälp av den moderna, enhetliga lösningen).Microsoft Defender Antivirus måste vara installerat.
En annan antivirus-/program mot skadlig kod som inte kommer från Microsoft måste installeras och användas som den primära antiviruslösningen. (Lägg till Microsoft Defender för Endpoint i din undantagslista för din befintliga lösning).
Slutpunkter måste registreras i Defender för Endpoint.
Viktigt
- Microsoft Defender Antivirus är endast tillgängligt på enheter som kör Windows 10 och 11, Windows Server 2022, Windows Server 2016, Windows Server 2019, Windows Server, version 1803 eller senare, Windows Server 2016 och Windows Server 2012 R2.
- Passivt läge stöds endast på Windows Server 2012 R2 & 2016 när enheten registreras med den moderna, enhetliga lösningen.
- I Windows 8.1 erbjuds antivirusskydd på slutpunktsnivå på företagsnivå som System Center Endpoint Protection, som hanteras via Microsoft Endpoint Configuration Manager.
- Windows Defender erbjuds även för konsumentenheter på Windows 8.1, även om Windows Defender inte tillhandahåller hantering på företagsnivå.
Så här påverkar Microsoft Defender Antivirus Funktionerna i Defender för Endpoint
Defender för Endpoint påverkar om Microsoft Defender Antivirus kan köras i passivt läge. Och tillståndet för Microsoft Defender Antivirus kan påverka vissa funktioner i Defender för Endpoint. Realtidsskydd fungerar till exempel när Microsoft Defender Antivirus är i aktivt eller passivt läge, men inte när Microsoft Defender Antivirus är inaktiverat eller avinstallerat.
Viktigt
- Tabellen i det här avsnittet sammanfattar de funktioner som aktivt fungerar eller inte, beroende på om Microsoft Defender Antivirus är i aktivt läge, passivt läge eller inaktiverat/avinstallerat. Den här tabellen är endast avsedd att vara informationsbaserad.
- Inaktivera inte funktioner, till exempel realtidsskydd, molnlevererat skydd eller begränsad periodisk genomsökning om du använder Microsoft Defender Antivirus i passivt läge, eller om du använder EDR i blockeringsläge, som fungerar bakom kulisserna för att identifiera och åtgärda skadliga artefakter som har identifierats efter intrång.
Skydd | Microsoft Defender Antivirus (Aktivt läge) |
Microsoft Defender Antivirus (Passivt läge) |
Microsoft Defender Antivirus (Inaktiverad eller avinstallerad) |
---|---|---|---|
Realtidsskydd | Ja | Se anmärkning 1 | Nej |
Molnbaserat skydd | Ja | Nej | Nej |
Nätverksskydd | Ja | Nej | Nej |
Regler för minskning av attackytan | Ja | Nej | Nej |
Information om filgenomsökning och identifiering | Ja | Ja Se anmärkning 2 |
Nej |
Hotreparation | Ja | Se anmärkning 3 | Nej |
Uppdateringar av säkerhetsinsikter | Ja | Ja Se anmärkning 4 |
Nej |
Dataförlustskydd | Ja | Ja | Nej |
Kontrollerad mappåtkomst | Ja | Nej | Nej |
Filtrering av webbinnehåll | Ja | Se anmärkning 5 | Nej |
Enhetskontroll | Ja | Ja | Nej |
PUA-skydd | Ja | Nej | Nej |
Information om skyddstillstånd
När Microsoft Defender Antivirus är i passivt läge fungerar realtidsskydd på följande sätt med Microsoft Endpoint Data Loss Prevention (Endpoint DLP):
Microsoft Defender Antivirus i passivt läge Realtidsskyddstillstånd Slutpunkts-DLP är inaktiverat Inaktiverad
Tillhandahåller inte blockering eller tillämpning av skydd mot antivirus i realtid.Slutpunkts-DLP är aktiverat Aktiverad för DLP-specifika funktioner
Tillhandahåller inte blockering eller tillämpning av skydd mot antivirus i realtid.
Se till att lägga till Microsoft Defender Antivirus och Microsoft Defender för Endpoint binärfiler i undantagslistan för antivirus- eller EDR-lösningen som inte kommer från Microsoft.När Microsoft Defender Antivirus är i passivt läge schemaläggs inte genomsökningar. Om genomsökningar schemaläggs i konfigurationen ignoreras schemat. Om inte:
"Starta den schemalagda genomsökningen endast när datorn är på men inte används" är inställd på "Inte konfigurerad eller aktiverad". En Windows-schemaläggare skapas om du inte anger "Starta den schemalagda genomsökningen endast när datorn är på men inte används" till inaktiverad.
"Aktivera snabbsökning för att komma ikapp" är inställt på "Inte konfigurerad eller aktiverad". Var 30:e dag (standardantal dagar) fortsätter en snabb catchup-genomsökning att utföras om inte "Aktivera snabbsökning för att komma ikapp" har angetts till inaktiverad. Genomsökningsuppgifter som har konfigurerats i Windows Task Scheduler fortsätter att köras enligt deras schema. Om du har schemalagda aktiviteter kan du ta bort dem om du vill.
"Aktivera genomsökning efter uppdatering av säkerhetsinformation" är inställt på "Inte konfigurerad eller aktiverad". Som standard sker en snabbsökning efter en "Säkerhetsinformationsuppdatering" om du inte anger "Aktivera genomsökning efter uppdatering av säkerhetsinformation" till inaktiverad.
När Microsoft Defender Antivirus är i passivt läge åtgärdas inte hot. Slutpunktsidentifiering och svar (EDR) i blockeringsläge kan dock åtgärda hot. I det här fallet kan du se aviseringar som visar Microsoft Defender Antivirus som källa, även när Microsoft Defender Antivirus är i passivt läge.
Uppdateringstakt för säkerhetsinformation styrs endast av Windows Update inställningar. Defender-specifika uppdateringsschemaläggare (dagliga/veckovisa vid en viss tidpunkt, intervallbaserade) fungerar bara när Microsoft Defender Antivirus är i aktivt läge. De ignoreras i passivt läge.
När Microsoft Defender Antivirus är i passivt läge fungerar webbinnehållsfiltrering endast med Microsoft Edge-webbläsaren.
Viktigt
Skydd mot dataförlust för slutpunkter fortsätter att fungera normalt när Microsoft Defender Antivirus är i antingen aktivt eller passivt läge.
Inaktivera, stoppa eller ändra inte någon av de associerade tjänster som används av Microsoft Defender Antivirus, Defender för Endpoint eller Windows-säkerhet appen. Den här rekommendationen
wscsvc
innehåller tjänsterna och processerna ,SecurityHealthService
,MsSense
,Sense
,WinDefend
ellerMsMpEng
. Om du ändrar dessa tjänster manuellt kan det orsaka allvarlig instabilitet på dina enheter och göra nätverket sårbart. Om du inaktiverar, stoppar eller ändrar dessa tjänster kan det också orsaka problem när du använder antiviruslösningar som inte kommer från Microsoft och hur deras information visas i Windows-säkerhet-appen.I Defender för Endpoint kan du aktivera EDR i blockeringsläge, även om Microsoft Defender Antivirus inte är den primära antiviruslösningen. EDR i blockeringsläge identifierar och åtgärdar skadliga objekt som hittas på enheten (efter intrång). Mer information finns i EDR i blockeringsläge.
Så här bekräftar du tillståndet för Microsoft Defender Antivirus
Du kan använda någon av flera metoder för att bekräfta tillståndet för Microsoft Defender Antivirus. Du kan:
- Använd Windows-säkerhet-appen för att identifiera din antivirusapp.
- Använd Aktivitetshanteraren för att bekräfta att Microsoft Defender Antivirus körs.
- Använd Windows PowerShell för att bekräfta att Microsoft Defender Antivirus körs.
- Använd Windows PowerShell för att bekräfta att antivirusskyddet körs.
Viktigt
Från och med plattformsversion 4.18.2208.0 och senare: Om en server har registrerats för Microsoft Defender för Endpoint inaktiverar grupprincipinställningen "Inaktivera Windows Defender" inte längre Windows Defender Antivirus på Windows Server 2012 R2 och senare. I stället placerar den Microsoft Defender Antivirus i passivt läge. Dessutom tillåter manipuleringsskyddet en växling till aktivt läge, men inte till passivt läge.
- Om "Inaktivera Windows Defender" redan finns på plats innan du registrerar till Microsoft Defender för Endpoint förblir Microsoft Defender Antivirus inaktiverat.
- Om du vill växla Microsoft Defender Antivirus till passivt läge, även om det inaktiverades före registrering, kan du använda Konfigurationen ForceDefenderPassiveMode med värdet
1
. Om du vill placera det i aktivt läge växlar du det här värdet till0
i stället.
Observera den ändrade logiken för ForceDefenderPassiveMode
när manipuleringsskydd är aktiverat: När Microsoft Defender Antivirus har växlats till aktivt läge förhindrar manipuleringsskyddet att det återgår till passivt läge även när ForceDefenderPassiveMode
är inställt på 1
.
Använd Windows-säkerhet-appen för att identifiera din antivirusapp
Öppna appen Windows-säkerhet på en Windows-enhet.
Välj Skydd mot virus och hot.
Under Vem skyddar mig? väljer du Hantera providers.
På sidan Säkerhetsprovidrar, under Antivirus, bör du se Microsoft Defender Antivirus är aktiverat.
Använd Aktivitetshanteraren för att bekräfta att Microsoft Defender Antivirus körs
Öppna Task Manager-appen på en Windows-enhet.
Välj fliken Information .
Leta efter MsMpEng.exe i listan.
Använd Windows PowerShell för att bekräfta att Microsoft Defender Antivirus körs
Viktigt
Använd endast den här proceduren för att bekräfta om Microsoft Defender Antivirus körs på en slutpunkt.
Öppna Windows PowerShell på en Windows-enhet.
Kör följande PowerShell-cmdlet:
Get-Process
.Granska resultaten. Du bör se MsMpEng.exe om Microsoft Defender Antivirus är aktiverat.
Använd Windows PowerShell för att bekräfta att antivirusskydd körs
Viktigt
Använd endast den här proceduren för att bekräfta om antivirusskydd är aktiverat på en slutpunkt.
Öppna Windows PowerShell på en Windows-enhet.
Kör följande PowerShell-cmdlet:
Get-MpComputerStatus | select AMRunningMode
.Granska resultaten. Du bör se normalt, passivt eller EDR-blockeringsläge om antivirusskydd är aktiverat på slutpunkten.
Mer information om Microsoft Defender antivirustillstånd
I följande avsnitt beskrivs vad du kan förvänta dig när Microsoft Defender Antivirus är:
Aktivt läge
I aktivt läge används Microsoft Defender Antivirus som antivirusapp på datorn. Inställningar som konfigureras med hjälp av Configuration Manager, grupprincip, Microsoft Intune eller andra hanteringsprodukter gäller. Filer genomsöks, hot åtgärdas och identifieringsinformation rapporteras i konfigurationsverktyget (till exempel i Microsoft Intune administrationscenter eller Microsoft Defender Antivirus-appen på slutpunkten).
Passivt läge eller EDR i blockläge
I passivt läge används inte Microsoft Defender Antivirus som antivirusprogram och hoten åtgärdas inte* av Microsoft Defender Antivirus. Slutpunktsidentifiering och svar (EDR) i blockeringsläge kan dock åtgärda hot. Filer genomsöks av EDR och rapporter tillhandahålls för hotidentifieringar som delas med Defender för Endpoint-tjänsten. Du kan se aviseringar som visar Microsoft Defender Antivirus som källa, även när Microsoft Defender Antivirus är i passivt läge.
När Microsoft Defender Antivirus är i passivt läge kan du fortfarande hantera uppdateringar för Microsoft Defender Antivirus. Du kan dock inte flytta Microsoft Defender Antivirus till aktivt läge om enheterna har en antivirusprodukt från andra användare än Microsoft som ger realtidsskydd mot skadlig kod.
Se till att få uppdateringar av antivirusprogram och program mot skadlig kod, även om Microsoft Defender Antivirus körs i passivt läge. Se Hantera Microsoft Defender Antivirus-uppdateringar och tillämpa baslinjer. Passivt läge stöds endast på Windows Server 2012 R2 & 2016 när datorn registreras med den moderna, enhetliga lösningen.
Inaktiverad eller avinstallerad
När Microsoft Defender Antivirus inaktiveras eller avinstalleras används det inte som antivirusapp. Filer genomsöks inte och hot åtgärdas inte. Inaktivera eller avinstallera Microsoft Defender Antivirus rekommenderas inte i allmänhet. Om det är möjligt bör du behålla Microsoft Defender Antivirus i passivt läge om du använder en antimalware/antiviruslösning som inte kommer från Microsoft.
I fall där Microsoft Defender Antivirus inaktiveras automatiskt kan det återaktiveras automatiskt om antivirus-/program som inte kommer från Microsoft upphör att gälla, avinstalleras eller på annat sätt slutar att ge realtidsskydd mot virus, skadlig kod eller andra hot. Automatisk återaktivering av Microsoft Defender Antivirus hjälper till att säkerställa att antivirusskyddet upprätthålls på dina slutpunkter.
Hur är det med icke-Windows-enheter?
Om du letar efter antivirusrelaterad information för andra plattformar läser du:
- Ange inställningar för Microsoft Defender för Endpoint på macOS
- Microsoft Defender för Endpoint för Mac
- macOS Antivirus-principinställningar för Microsoft Defender Antivirus för Intune
- Ange inställningar för Microsoft Defender för Endpoint i Linux
- Microsoft Defender för Endpoint för Linux
- Konfigurera Defender för Endpoint för Android-funktioner
- Konfigurera Microsoft Defender för Endpoint på iOS-funktioner
Se även
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.