Microsoft Defender防病毒与其他安全产品的兼容性
适用于:
- Microsoft Defender 防病毒
- Microsoft Defender for Endpoint 计划 1
- Microsoft Defender for Endpoint 计划 2
平台
- Windows
Microsoft Defender防病毒在运行以下 Windows 版本的终结点上可用:
- Windows 11
- Windows 10
- Windows Server 2022
- Windows Server 2019
- Windows Server 版本 1803 或更高版本
- Windows Server 2016
在某些条件下,Microsoft Defender防病毒也可用于较旧版本的 Windows。
在 Windows Server 2012 R2 上,使用新式统一解决方案加入时,Microsoft Defender防病毒在活动模式下安装。
Windows 8.1,使用 System Center Endpoint Protection,可通过 Microsoft Endpoint Configuration Manager提供和管理企业级终结点防病毒保护。
在Windows 8.1上的使用者设备上,Windows Defender (可用,尽管它不提供企业级管理) 。
如果使用的是非 Microsoft 防病毒/反恶意软件,则可能能够与其他防病毒解决方案一起运行 Microsoft Defender 防病毒。 本文介绍Microsoft Defender防病毒和非 Microsoft 防病毒/反恶意软件(带或不带Microsoft Defender for Endpoint)会发生什么情况。
不使用 Defender for Endpoint 的防病毒保护
本部分介绍在未载入到 Defender for Endpoint 的终结点上使用 Microsoft Defender 防病毒和非 Microsoft 防病毒/反恶意软件产品时会发生什么情况。
通常,Microsoft Defender防病毒不会在未载入到 Defender for Endpoint 的设备上以被动模式运行。
下表汇总了预期内容:
Windows 版本 | 主要防病毒/反恶意软件解决方案 | Microsoft Defender防病毒状态 |
---|---|---|
Windows 10 Windows 11 |
Microsoft Defender 防病毒 | 主动模式 |
Windows 10 Windows 11 |
非 Microsoft 防病毒/反恶意软件解决方案 | 禁用模式 () 自动发生 请注意,在 Windows 11,如果启用了 SmartAppControl,Microsoft Defender防病毒将进入被动模式。 |
Windows Server 2022 Windows Server 2019 Windows Server 版本 1803 或更高版本 Windows Server 2016 Windows Server 2012 R2 |
Microsoft Defender 防病毒 | 主动模式 |
Windows Server 2022 Windows Server 2019 Windows Server 版本 1803 或更高版本 Windows Server 2016 |
非 Microsoft 防病毒/反恶意软件解决方案 | Disabled (手动设置;请参阅此表后面的注释) |
注意
在 Windows Server 上,如果运行的是非 Microsoft 防病毒产品,则可以使用以下 PowerShell cmdlet (管理员) 卸载Microsoft Defender防病毒:Uninstall-WindowsFeature Windows-Defender
。 重启服务器以完成删除Microsoft Defender防病毒。
在Windows Server 2016,你可能会看到Windows Defender防病毒,而不是Microsoft Defender防病毒。
如果卸载非 Microsoft 防病毒产品,请确保重新启用Microsoft Defender防病毒。
请参阅在 Windows Server 上重新启用Microsoft Defender防病毒(如果已禁用)。
如果设备已载入Microsoft Defender for Endpoint,则可以在被动模式下使用 Microsoft Defender 防病毒,如本文稍后所述。
Microsoft Defender防病毒和非 Microsoft 防病毒/反恶意软件解决方案
注意
通常,Microsoft Defender防病毒只能在载入到 Defender for Endpoint 的终结点上设置为被动模式。
Microsoft Defender防病毒是在主动模式、被动模式下运行还是处于禁用状态取决于多个因素,例如:
- 终结点上安装了哪个版本的 Windows
- Microsoft Defender防病毒是否是终结点上的主要防病毒/反恶意软件解决方案
- 终结点是否已载入到 Defender for Endpoint
下表汇总了多种方案中Microsoft Defender防病毒的状态。
防病毒/反恶意软件解决方案 | 已加入 Defender for Endpoint? | Microsoft Defender防病毒状态 | 智能应用控件状态 |
---|---|---|---|
Microsoft Defender 防病毒 | 是 | 主动模式 | 不适用 |
Microsoft Defender 防病毒 | 否 | 主动模式 | 开、评估或关 |
非 Microsoft 防病毒/反恶意软件解决方案 | 是 | 被动模式 (自动) | 不适用 |
非 Microsoft 防病毒/反恶意软件解决方案 | 否 | 自动) 禁用 ( | 评估或开 |
注意
智能应用控制是一种仅限消费者的产品,用于新Windows 11安装。 它可以与防病毒软件一起运行,并阻止被视为恶意或不受信任的应用。 详细了解智能应用控制。
Windows Server 和被动模式
在 Windows Server 2019、Windows Server 版本 1803 或更高版本、Windows Server 2016或Windows Server 2012 R2 上,安装非 Microsoft 防病毒产品时,Microsoft Defender防病毒不会自动进入被动模式。 在这些情况下,请将Microsoft Defender防病毒设置为被动模式,以防止在服务器上安装多个防病毒产品而导致的问题。 可以使用注册表项将Microsoft Defender防病毒设置为被动模式,如下所示:
- 路径:
HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection
- 名称:
ForceDefenderPassiveMode
- 类型:
REG_DWORD
- 值:
1
可以使用 命令 Get-MpComputerStatus 在 PowerShell 中查看保护状态。 检查 的值 AMRunningMode
。 如果在终结点上启用了Microsoft Defender防病毒,则会看到“普通”、“被动”或“EDR 阻止模式”。
若要在运行 Windows Server 2016 和 Windows Server 2012 R2 的终结点上运行被动模式,必须使用载入 Windows 服务器中所述的新式统一解决方案加入这些终结点。
重要
从平台版本 4.18.2208.0 及更高版本开始,如果服务器载入到Microsoft Defender for Endpoint,则篡改防护允许切换到主动模式,但不允许切换到被动模式。
请注意启用篡改防护时修改ForceDefenderPassiveMode
的逻辑:Microsoft Defender防病毒设置为主动模式后,即使 设置为 1
,篡改保护也会阻止它返回到被动模式ForceDefenderPassiveMode
。
在 Windows Server 2016、Windows Server 2012 R2、Windows Server 版本 1803 或更高版本、Windows Server 2019 和 Windows Server 2022 上,如果在未载入到Microsoft Defender for Endpoint的终结点上使用非 Microsoft 防病毒产品,请禁用/卸载手动Microsoft Defender防病毒,以防止在服务器上安装多个防病毒产品而导致的问题。 但是,Defender for Endpoint 包含进一步扩展终结点上安装的防病毒保护的功能。 如果有 Defender for Endpoint,则可以从运行 Microsoft Defender 防病毒以及另一个防病毒解决方案中获益。
例如,终结点检测和响应 (块模式下的 EDR) 可提供额外的保护,防止恶意项目,即使Microsoft Defender防病毒不是主要防病毒产品也是如此。 此类功能要求在被动模式或主动模式下安装并运行Microsoft Defender防病毒。
提示
在Windows Server 2016,你可能会看到Windows Defender防病毒,而不是Microsoft Defender防病毒。
Microsoft Defender防病毒在被动模式下运行的要求
为了使Microsoft Defender防病毒在被动模式下运行,终结点必须满足以下要求:
- 操作系统:Windows 10或更高版本;Windows Server 2022、Windows Server 2019 或 Windows Server 版本 1803 或更高版本
如果使用新式统一解决方案) 加入, (Windows Server 2012 R2 和Windows Server 2016。 - 必须安装Microsoft Defender防病毒。
- 另一个非 Microsoft 防病毒/反恶意软件产品必须安装并用作主要防病毒解决方案。
- 终结点必须载入到 Defender for Endpoint。
重要
- Microsoft Defender防病毒仅适用于运行 Windows 10 和 11、Windows Server 2022、Windows Server 2016、Windows Server 2019、Windows Server 版本 1803 或更高版本、Windows Server 2016 和Windows Server 2012 R2。
- 仅当设备使用新式统一解决方案加入时,Windows Server 2012 R2 & 2016 才支持被动模式。
- 在 Windows 8.1 中,企业级终结点防病毒保护以 System Center Endpoint Protection 的形式提供,通过 Microsoft Endpoint Configuration Manager进行管理。
- Windows 8.1上的使用者设备也提供Windows Defender,但 Windows Defender 不提供企业级管理。
Microsoft Defender防病毒如何影响 Defender for Endpoint 功能
Defender for Endpoint 会影响Microsoft Defender防病毒是否可以在被动模式下运行。 而且,Microsoft Defender防病毒的状态可能会影响 Defender for Endpoint 中的某些功能。 例如,当Microsoft Defender防病毒处于主动或被动模式时,实时保护有效,但在禁用或卸载Microsoft Defender防病毒时则无效。
重要
- 本部分中的表根据Microsoft Defender防病毒处于主动模式、被动模式还是禁用/卸载状态,总结了主动工作与否的特性和功能。 此表设计为仅供信息使用。
- 如果在被动模式下使用 Microsoft Defender 防病毒,或者如果在块模式下使用 EDR,则不要关闭实时保护、云提供的保护或有限定期扫描等功能,后者可在后台检测和修正违规后检测到的恶意项目。
保护 | Microsoft Defender 防病毒 (活动模式) |
Microsoft Defender 防病毒 (被动模式) |
Microsoft Defender 防病毒 (禁用或卸载) |
---|---|---|---|
实时保护 | 是 | 请参阅注释 1 | 否 |
云提供的保护 | 是 | 否 | 否 |
网络保护 | 是 | 否 | 否 |
攻击面减少规则 | 是 | 否 | 否 |
文件扫描和检测信息 | 是 | 是 请参阅注释 2 |
否 |
威胁修正 | 是 | 请参阅注释 3 | 否 |
安全智能更新 | 是 | 是 请参阅注释 4 |
否 |
数据丢失防护 | 是 | 是 | 否 |
受控文件夹访问 | 是 | 否 | 否 |
Web 内容筛选 | 是 | 请参阅注释 5 | 否 |
设备控制 | 是 | 是 | 否 |
PUA 保护 | 是 | 否 | 否 |
有关保护状态的说明
通常,当Microsoft Defender防病毒处于被动模式时,实时保护不会提供任何阻止或强制措施,即使它已启用且处于被动模式也是如此。
当Microsoft Defender防病毒处于被动模式时,不会计划扫描。 如果在配置 中计划了 扫描,则忽略计划。 除非:
a. “仅当计算机处于打开但未使用状态时启动计划扫描”设置为“未配置或启用”。 除非将“仅在计算机打开但未使用时启动计划扫描”设置为禁用,否则将创建 Windows 任务计划程序。
b. “启用赶超快速扫描”设置为“未配置或启用”。 每隔 30 天 (默认天数) 继续执行快速追查扫描,除非将“启用赶上快速扫描”设置为“已禁用”。 在 Windows 任务计划程序中设置的扫描任务会根据其计划继续运行。 如果你有计划的任务,可以删除它们(如果愿意)。
c. “在安全智能更新后启用扫描”设置为“未配置或未启用”。 默认情况下,除非将“安全智能更新后启用扫描”设置为禁用,否则会在“安全智能更新”之后进行快速扫描。
当Microsoft Defender防病毒处于被动模式时,它不会修正威胁。 但是, 终结点检测和响应 (块模式下的 EDR) 可以修正威胁。 在这种情况下,即使Microsoft Defender防病毒处于被动模式,也可能会看到显示Microsoft Defender防病毒作为源的警报。
安全智能更新节奏仅由Windows 更新设置控制。 特定于 Defender 的更新计划程序每天/每周在特定时间 (,基于间隔的) 设置仅在Microsoft Defender防病毒处于活动模式时有效。 在被动模式下会忽略它们。
当Microsoft Defender防病毒处于被动模式时,Web 内容筛选仅适用于 Microsoft Edge 浏览器。
重要
当Microsoft Defender防病毒处于主动或被动模式时,终结点数据丢失防护保护将继续正常运行。
请勿禁用、停止或修改Microsoft Defender防病毒、Defender for Endpoint 或 Windows 安全中心 应用使用的任何关联服务。 此建议包括 wscsvc、 SecurityHealthService、 MsSense、 Sense、 WinDefend 或 MsMpEng 服务和进程。 手动修改这些服务可能会导致设备上的严重不稳定,并可能使网络易受攻击。 禁用、停止或修改这些服务也可能会导致使用非 Microsoft 防病毒解决方案及其信息在 Windows 安全中心 应用中的显示方式出现问题。
在 Defender for Endpoint 中,即使Microsoft Defender防病毒不是主要的防病毒解决方案,也可以将 EDR 在阻止模式下打开。 处于阻止模式的 EDR 检测并修正设备上发现的恶意项目, (违规后) 。 若要了解详细信息,请参阅 块模式下的 EDR。
如何确认Microsoft Defender防病毒的状态
可以使用多种方法之一来确认防病毒Microsoft Defender状态。 可以执行下列操作:
- 使用 Windows 安全中心 应用标识防病毒应用。
- 使用任务管理器确认Microsoft Defender防病毒正在运行。
- 使用 Windows PowerShell 确认Microsoft Defender防病毒正在运行。
- 使用 Windows PowerShell 确认防病毒保护正在运行。
重要
从平台版本 4.18.2208.0 及更高版本开始:如果服务器已载入Microsoft Defender for Endpoint,则“关闭Windows Defender”组策略设置不再完全禁用Windows Defender防病毒Windows Server 2012 R2 及更高版本。 相反,它会将Microsoft Defender防病毒置于被动模式。 此外, 篡改防护 允许切换到主动模式,但不允许切换到被动模式。
- 如果在加入Microsoft Defender for Endpoint之前已“关闭Windows Defender”,则Microsoft Defender防病毒保持禁用状态。
- 若要将Microsoft Defender防病毒切换到被动模式,即使它在载入前已禁用,也可以应用值为 的
1
ForceDefenderPassiveMode 配置。 若要将其置于活动模式,请改为将此值0
切换到 。
请注意启用篡改保护时修改的逻辑ForceDefenderPassiveMode
:一旦Microsoft Defender防病毒切换到主动模式,篡改防护将阻止它返回到被动模式,ForceDefenderPassiveMode
即使 设置为 1
。
使用 Windows 安全中心 应用标识防病毒应用
在 Windows 设备上,打开Windows 安全中心应用。
选择“病毒和威胁防护”。
在 “谁保护我?” 下,选择 “管理提供程序”。
在“安全提供程序”页上的“防病毒”下,应看到Microsoft Defender防病毒已启用。
使用任务管理器确认Microsoft Defender防病毒正在运行
在 Windows 设备上,打开“任务管理器”应用。
选择“ 详细信息 ”选项卡。
在列表中查找 MsMpEng.exe 。
使用Windows PowerShell确认Microsoft Defender防病毒正在运行
注意
仅使用此过程来确认Microsoft Defender防病毒是否在终结点上运行。
在 Windows 设备上,打开Windows PowerShell。
运行以下 PowerShell cmdlet:
Get-Process
。查看结果。 如果启用了Microsoft Defender防病毒,应会看到MsMpEng.exe。
使用 Windows PowerShell 确认防病毒保护正在运行
注意
仅使用此过程来确认是否在终结点上启用了防病毒保护。
在 Windows 设备上,打开Windows PowerShell。
运行以下 PowerShell cmdlet:
Get-MpComputerStatus | select AMRunningMode
。查看结果。 如果在终结点上启用了防病毒保护,则应看到“正常”、“被动”或“EDR 阻止模式”。
注意
请注意,此过程仅用于确认是否在终结点上启用了防病毒保护。
有关Microsoft Defender防病毒状态的更多详细信息
以下部分介绍了Microsoft Defender防病毒时会发生什么:
主动模式
在活动模式下,Microsoft Defender防病毒用作计算机上的防病毒应用。 使用Configuration Manager、组策略、Microsoft Intune或其他管理产品配置的设置适用。 扫描文件、修正威胁,并在配置工具 ((例如终结点) 上的 Microsoft Intune 管理中心或 Microsoft Defender 防病毒应用)中报告检测信息。
被动模式或 EDR 块模式
在被动模式下,Microsoft Defender防病毒不用作防病毒应用,并且威胁不会*由 Microsoft Defender 防病毒进行修正。 但是, 终结点检测和响应 (块模式下的 EDR) 可以修正威胁。 EDR 扫描文件,并提供与 Defender for Endpoint 服务共享的威胁检测报告。 即使Microsoft Defender防病毒处于被动模式,你也可能会看到显示Microsoft Defender防病毒作为源的警报。
当Microsoft Defender防病毒处于被动模式时,仍可以管理Microsoft Defender防病毒的更新;但是,如果设备具有提供恶意软件实时保护的非 Microsoft 防病毒产品,则无法将防病毒Microsoft Defender移动到主动模式。
确保获取防病毒和反恶意软件更新,即使Microsoft Defender防病毒在被动模式下运行也是如此。 请参阅管理Microsoft Defender防病毒更新和应用基线。 仅当计算机使用新式统一解决方案载入计算机时,Windows Server 2012 R2 & 2016 才支持被动模式。
已禁用或卸载
禁用或卸载后,Microsoft Defender防病毒不用作防病毒应用。 不会扫描文件,也不会修正威胁。 通常不建议禁用或卸载Microsoft Defender防病毒;如果可能,请在使用非 Microsoft 反恶意软件/防病毒解决方案时将Microsoft Defender防病毒保留为被动模式。
在自动禁用Microsoft Defender防病毒的情况下,如果非 Microsoft 防病毒/反恶意软件产品过期、被卸载或停止提供实时保护来抵御病毒、恶意软件或其他威胁,则可以自动重新启用它。 自动重新启用 Microsoft Defender 防病毒有助于确保在终结点上维护防病毒保护。
如果使用的是非 Microsoft 防病毒应用,还可以使用有限定期扫描,该扫描与 Microsoft Defender 防病毒引擎配合使用,定期检查威胁。 |
非 Windows 设备呢?
如果要查找其他平台的防病毒相关信息,请参阅:
- 设置 macOS 上 Microsoft Defender for Endpoint 的首选项
- Mac 上的 Microsoft Defender for Endpoint
- 适用于 Intune 的 Microsoft Defender 防病毒软件的 macOS 防病毒程序策略设置
- 设置 Linux 上 Microsoft Defender for Endpoint 的首选项
- Microsoft Defender for Endpoint on Linux
- 在 Android 功能上配置 Defender for Endpoint
- 在 iOS 功能上配置 Microsoft Defender for Endpoint
另请参阅
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区。