Microsoft Defender防病毒与其他安全产品的兼容性

适用于:

平台

  • Windows

Microsoft Defender防病毒在运行以下 Windows 版本的终结点上可用:

  • Windows 11
  • Windows 10
  • Windows Server 2022
  • Windows Server 2019
  • Windows Server 版本 1803 或更高版本
  • Windows Server 2016

在某些条件下,Microsoft Defender防病毒也可用于较旧版本的 Windows。

如果使用非Microsoft防病毒/反恶意软件,则可以将Microsoft Defender防病毒与其他防病毒解决方案一起运行。 本文介绍Microsoft Defender防病毒和非Microsoft防病毒/反恶意软件(带或不带Microsoft Defender for Endpoint)会发生什么情况。

不使用 Defender for Endpoint 的防病毒保护

本部分介绍在未载入到 Defender for Endpoint 的终结点上使用 Microsoft Defender 防病毒和非Microsoft防病毒/反恶意软件产品时会发生什么情况。

通常,Microsoft Defender防病毒不会在未载入到 Defender for Endpoint 的设备上以被动模式运行。

下表汇总了预期内容:

Windows 版本 主要防病毒/反恶意软件解决方案 Microsoft Defender防病毒状态
Windows 10
Windows 11
Microsoft Defender 防病毒 主动模式
Windows 10
Windows 11
非Microsoft防病毒/反恶意软件解决方案 禁用模式 () 自动发生

在 Windows 11,如果启用了 SmartAppControl,Microsoft Defender防病毒将进入被动模式。
Windows Server 2022
Windows Server 2019
Windows Server 版本 1803 或更高版本
Windows Server 2016
Windows Server 2012 R2
Microsoft Defender 防病毒 主动模式
Windows Server 2022
Windows Server 2019
Windows Server 版本 1803 或更高版本
Windows Server 2016
非Microsoft防病毒/反恶意软件解决方案 Disabled
(手动设置;请参阅此表后面的注释)

注意

在 Windows Server 上,如果运行的是非Microsoft防病毒产品,则可以使用以下 PowerShell cmdlet (作为管理员) 卸载Microsoft Defender防病毒:Uninstall-WindowsFeature Windows-Defender。 重启服务器以完成删除Microsoft Defender防病毒。 在Windows Server 2016,你可能会看到 Windows Defender 防病毒,而不是Microsoft Defender防病毒。 如果卸载非Microsoft防病毒产品,请确保重新启用Microsoft Defender防病毒。 请参阅在 Windows Server 上重新启用Microsoft Defender防病毒(如果已禁用)。

如果设备已载入Microsoft Defender for Endpoint,则可以在被动模式下使用 Microsoft Defender 防病毒,如本文稍后所述。

Microsoft Defender防病毒和非Microsoft防病毒/反恶意软件解决方案

注意

通常,Microsoft Defender防病毒只能在载入到 Defender for Endpoint 的终结点上设置为被动模式。

Microsoft Defender防病毒是在主动模式、被动模式下运行还是处于禁用状态取决于多个因素,例如:

  • 在终结点上安装的 Windows 版本
  • Microsoft Defender防病毒是否是终结点上的主要防病毒/反恶意软件解决方案
  • 终结点是否已载入到 Defender for Endpoint

下表汇总了多种方案中Microsoft Defender防病毒的状态。

防病毒/反恶意软件解决方案 已加入 Defender for Endpoint? Microsoft Defender防病毒状态 智能应用控件状态
Microsoft Defender 防病毒 主动模式 不适用
Microsoft Defender 防病毒 主动模式 开、评估或关
非Microsoft防病毒/反恶意软件解决方案 被动模式 (自动) 不适用
非Microsoft防病毒/反恶意软件解决方案 自动) 禁用 ( 评估或开

注意

智能应用控制是一种仅限消费者的产品,用于新Windows 11安装。 它可以与防病毒软件一起运行,并阻止被视为恶意或不受信任的应用。 详细了解智能应用控制

Windows Server 和被动模式

在 Windows Server 2019、Windows Server 版本 1803 或更高版本、Windows Server 2016或Windows Server 2012 R2 上,安装非Microsoft防病毒产品时,Microsoft Defender防病毒不会自动进入被动模式。 在这些情况下,请将Microsoft Defender防病毒设置为被动模式,以防止在服务器上安装多个防病毒产品而导致的问题。 可以使用注册表项将Microsoft Defender防病毒设置为被动模式,如下所示:

  • 路径: HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection
  • 名称:ForceDefenderPassiveMode
  • 类型: REG_DWORD
  • 值:1

可以使用 命令 Get-MpComputerStatus 在 PowerShell 中查看保护状态。 检查 的值 AMRunningMode。 如果在终结点上启用了Microsoft Defender防病毒,则会看到“普通”、“被动”或“EDR 阻止模式”。

若要在运行 Windows Server 2016 和 Windows Server 2012 R2 的终结点上运行被动模式,必须使用载入 Windows 服务器中所述的新式统一解决方案加入这些终结点。

重要

平台版本 4.18.2208.0 及更高版本开始,如果服务器载入到Microsoft Defender for Endpoint,则篡改防护允许切换到主动模式,但不允许切换到被动模式。

请注意启用篡改防护时修改的逻辑ForceDefenderPassiveMode:一旦Microsoft Defender防病毒设置为主动模式,篡改防护会阻止它回到被动模式,ForceDefenderPassiveMode即使 设置为 1

在 Windows Server 2016、Windows Server 2012 R2、Windows Server 版本 1803 或更高版本、Windows Server 2019 和 Windows Server 2022 上,如果在载入到Microsoft Defender for Endpoint的终结点上使用非Microsoft防病毒产品,请禁用/卸载手动Microsoft Defender防病毒,以防止在服务器上安装多个防病毒产品而导致的问题。 但是,Defender for Endpoint 包含进一步扩展终结点上安装的防病毒保护的功能。 如果有 Defender for Endpoint,则可以从运行 Microsoft Defender 防病毒以及另一个防病毒解决方案中获益。

例如,终结点检测和响应 (块模式下的 EDR) 可提供额外的保护,防止恶意项目,即使Microsoft Defender防病毒不是主要防病毒产品也是如此。 此类功能要求在被动模式或主动模式下安装并运行Microsoft Defender防病毒。

提示

在Windows Server 2016,你可能会看到 Windows Defender 防病毒,而不是Microsoft Defender防病毒

Microsoft Defender防病毒在被动模式下运行的要求

为了使Microsoft Defender防病毒在被动模式下运行,终结点必须满足以下要求:

重要

  • Microsoft Defender防病毒仅适用于运行 Windows 10 和 11、Windows Server 2022、Windows Server 2016、Windows Server 2019、Windows Server 版本 1803 或更高版本、Windows Server 2016 和Windows Server 2012 R2。
  • 仅当设备使用新式统一解决方案加入时,Windows Server 2012 R2 & 2016 才支持被动模式。
  • 在 Windows 8.1 中,企业级终结点防病毒保护以 System Center Endpoint Protection 的形式提供,通过 Microsoft Endpoint Configuration Manager 进行管理。
  • Windows Defender 也为 Windows 8.1 上的使用者设备提供 Windows Defender,尽管 Windows Defender 不提供企业级管理。

Microsoft Defender防病毒如何影响 Defender for Endpoint 功能

Defender for Endpoint 会影响Microsoft Defender防病毒是否可以在被动模式下运行。 而且,Microsoft Defender防病毒的状态可能会影响 Defender for Endpoint 中的某些功能。 例如,当Microsoft Defender防病毒处于主动或被动模式时,实时保护有效,但在禁用或卸载Microsoft Defender防病毒时则无效。

重要

  • 本部分中的表根据Microsoft Defender防病毒处于主动模式、被动模式还是禁用/卸载状态,总结了主动工作与否的特性和功能。 此表设计为仅供信息使用。
  • 如果在被动模式下使用 Microsoft Defender 防病毒,或者如果在块模式下使用 EDR,则不要关闭实时保护、云提供的保护或有限定期扫描等功能,后者可在后台检测和修正违规后检测到的恶意项目。
保护 Microsoft Defender 防病毒
(活动模式)
Microsoft Defender 防病毒
(被动模式)
Microsoft Defender 防病毒
(禁用或卸载)
实时保护 请参阅注释 1
云提供的保护
网络保护
攻击面减少规则
文件扫描和检测信息
请参阅注释 2
威胁修正 请参阅注释 3
安全智能更新
请参阅注释 4
数据丢失防护
受控文件夹访问
Web 内容筛选 请参阅注释 5
设备控制
PUA 保护

有关保护状态的说明

  1. 当Microsoft Defender防病毒处于被动模式时,实时保护的行为方式如下,Microsoft终结点数据丢失防护 (Endpoint DLP) :

    在被动模式下Microsoft Defender防病毒 实时保护状态
    终结点 DLP 已禁用 Disabled

    不提供任何防病毒实时保护阻止或强制实施。
    终结点 DLP 已启用 为 DLP 特定功能启用

    不提供任何防病毒实时保护阻止或强制实施。

    请确保将Microsoft Defender防病毒和Microsoft Defender for Endpoint二进制文件添加到非Microsoft防病毒或 EDR 解决方案的排除列表中。
  2. 当Microsoft Defender防病毒处于被动模式时,不会计划扫描。 如果在配置 中计划了 扫描,则忽略计划。 除非:

    1. “仅当计算机处于打开但未使用状态时启动计划扫描”设置为“未配置或启用”。 除非将“仅在计算机打开但未使用时启动计划扫描”设置为禁用,否则将创建 Windows 任务计划程序。

    2. “启用赶超快速扫描”设置为“未配置或启用”。 每隔 30 天 (默认天数) 继续执行快速追查扫描,除非将“启用赶上快速扫描”设置为“已禁用”。 在 Windows 任务计划程序中设置的扫描任务会根据其计划继续运行。 如果你有计划的任务,可以删除它们(如果愿意)。

    3. “在安全智能更新后启用扫描”设置为“未配置或未启用”。 默认情况下,除非将“安全智能更新后启用扫描”设置为禁用,否则会在“安全智能更新”之后进行快速扫描。

  3. 当Microsoft Defender防病毒处于被动模式时,它不会修正威胁。 但是, 终结点检测和响应 (块模式下的 EDR) 可以修正威胁。 在这种情况下,即使Microsoft Defender防病毒处于被动模式,也可能会看到显示Microsoft Defender防病毒作为源的警报。

  4. 安全智能更新节奏仅由Windows 更新设置控制。 特定于 Defender 的更新计划程序每天/每周在特定时间 (,基于间隔的) 设置仅在Microsoft Defender防病毒处于活动模式时有效。 在被动模式下会忽略它们。

  5. 当Microsoft Defender防病毒处于被动模式时,Web 内容筛选仅适用于 Microsoft Edge 浏览器。

重要

  • 当Microsoft Defender防病毒处于主动或被动模式时,终结点数据丢失防护保护将继续正常运行。

  • 请勿禁用、停止或修改Microsoft Defender防病毒、Defender for Endpoint 或 Windows 安全中心 应用使用的任何关联服务。 此建议包括 wscsvcSecurityHealthService、、MsSenseSenseWinDefendMsMpEng 服务和进程。 手动修改这些服务可能会导致设备上的严重不稳定,并可能使网络易受攻击。 禁用、停止或修改这些服务也可能会导致使用非Microsoft防病毒解决方案及其信息在 Windows 安全中心 应用中的显示方式出现问题。

  • 在 Defender for Endpoint 中,即使Microsoft Defender防病毒不是主要的防病毒解决方案,也可以将 EDR 在阻止模式下打开。 处于阻止模式的 EDR 检测并修正设备上发现的恶意项目, (违规后) 。 若要了解详细信息,请参阅 块模式下的 EDR

如何确认Microsoft Defender防病毒的状态

可以使用多种方法之一来确认防病毒Microsoft Defender状态。 可以执行下列操作:

重要

平台版本 4.18.2208.0 及更高版本开始:如果服务器已载入Microsoft Defender for Endpoint,则“关闭 Windows Defender”组策略设置不再完全禁用 Windows Server 2012 R2 及更高版本上的 Windows Defender 防病毒。 相反,它会将Microsoft Defender防病毒置于被动模式。 此外, 篡改防护 允许切换到主动模式,但不允许切换到被动模式。

  • 如果在加入Microsoft Defender for Endpoint之前“关闭 Windows Defender”已到位,Microsoft Defender防病毒将保持禁用状态。
  • 若要将Microsoft Defender防病毒切换到被动模式,即使它在载入前已禁用,也可以应用值为 的 1ForceDefenderPassiveMode 配置。 若要将其置于活动模式,请改为将此值 0 切换到 。

请注意启用篡改保护时修改的逻辑ForceDefenderPassiveMode:一旦Microsoft Defender防病毒切换到主动模式,篡改防护将阻止它返回到被动模式,ForceDefenderPassiveMode即使 设置为 1

使用 Windows 安全中心 应用标识防病毒应用

  1. 在 Windows 设备上,打开Windows 安全中心应用。

  2. 选择“病毒和威胁防护”。

  3. “谁保护我?” 下,选择 “管理提供程序”。

  4. “安全提供程序”页上的“防病毒”下,应看到Microsoft Defender防病毒已启用

使用任务管理器确认Microsoft Defender防病毒正在运行

  1. 在 Windows 设备上,打开“任务管理器”应用。

  2. 选择“ 详细信息 ”选项卡。

  3. 在列表中查找 MsMpEng.exe

使用Windows PowerShell确认Microsoft Defender防病毒正在运行

重要

仅使用此过程来确认Microsoft Defender防病毒是否在终结点上运行。

  1. 在 Windows 设备上,打开Windows PowerShell。

  2. 运行以下 PowerShell cmdlet: Get-Process

  3. 查看结果。 如果启用了Microsoft Defender防病毒,应会看到MsMpEng.exe。

使用 Windows PowerShell 确认防病毒保护正在运行

重要

仅使用此过程来确认是否在终结点上启用了防病毒保护。

  1. 在 Windows 设备上,打开Windows PowerShell。

  2. 运行以下 PowerShell cmdlet: Get-MpComputerStatus | select AMRunningMode

  3. 查看结果。 如果在终结点上启用了防病毒保护,则应看到“正常”、“被动”“EDR 阻止模式”。

有关Microsoft Defender防病毒状态的更多详细信息

以下部分介绍了Microsoft Defender防病毒时会发生什么:

主动模式

在活动模式下,Microsoft Defender防病毒用作计算机上的防病毒应用。 使用Configuration Manager、组策略、Microsoft Intune或其他管理产品配置的设置适用。 扫描文件、修正威胁,并在配置工具 ((例如终结点) 上的 Microsoft Intune 管理中心或 Microsoft Defender 防病毒应用)中报告检测信息。

被动模式或块模式下的 EDR

在被动模式下,Microsoft Defender防病毒不用作防病毒应用,并且威胁不会*由 Microsoft Defender 防病毒进行修正。 但是, 终结点检测和响应 (块模式下的 EDR) 可以修正威胁。 EDR 扫描文件,并提供与 Defender for Endpoint 服务共享的威胁检测报告。 即使Microsoft Defender防病毒处于被动模式,你也可能会看到显示Microsoft Defender防病毒作为源的警报。

当Microsoft Defender防病毒处于被动模式时,仍可以管理Microsoft Defender防病毒的更新;但是,如果设备具有提供恶意软件实时保护的非Microsoft防病毒产品,则无法将防病毒Microsoft Defender移动到主动模式。

确保获取防病毒和反恶意软件更新,即使Microsoft Defender防病毒在被动模式下运行也是如此。 请参阅管理Microsoft Defender防病毒更新和应用基线。 仅当计算机使用新式统一解决方案载入计算机时,Windows Server 2012 R2 & 2016 才支持被动模式。

已禁用或卸载

禁用或卸载后,Microsoft Defender防病毒不用作防病毒应用。 不会扫描文件,也不会修正威胁。 通常不建议禁用或卸载Microsoft Defender防病毒;如果可能,请在使用非Microsoft反恶意软件/防病毒解决方案时将Microsoft Defender防病毒保留为被动模式。

在自动禁用Microsoft Defender防病毒的情况下,如果非Microsoft防病毒/反恶意软件产品过期、被卸载或停止提供针对病毒、恶意软件或其他威胁的实时保护,则可以自动重新启用它。 自动重新启用 Microsoft Defender 防病毒有助于确保在终结点上维护防病毒保护。

非 Windows 设备呢?

如果要查找其他平台的防病毒相关信息,请参阅:

另请参阅

提示

想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区