Windows Server 上的 Microsoft Defender 防病毒软件
适用于:
Microsoft Defender防病毒在以下版本的 Windows Server 中可用:
- Windows Server 2022
- Windows Server 2019
- Windows Server 版本 1803 或更高版本
- Windows Server 2016
- Windows Server 2012 R2 (需要Microsoft Defender for Endpoint)
在 Windows Server 上设置Microsoft Defender防病毒
在 Windows Server 上设置和运行 Microsoft Defender 防病毒的过程包括以下步骤:
- 启用 接口。
- 安装Microsoft Defender防病毒。
- 验证防病毒Microsoft Defender正在运行。
- 更新反恶意软件安全智能。
- (根据需要) 提交示例。
- (根据需要) 配置自动排除项。
- (仅在必要时) 将 Windows Server 设置为被动模式。
在 Windows Server 上启用用户界面
重要
如果使用 Windows Server 2012 R2,请参阅安装Microsoft Defender for Endpoint的选项。
默认情况下,Microsoft Defender防病毒在 Windows Server 上安装并正常运行。 有时,默认情况下会安装用户界面 (GUI) 。 不需要 GUI;可以使用 PowerShell、组策略或其他方法来管理Microsoft Defender防病毒。 但是,许多组织倾向于将 GUI 用于Microsoft Defender防病毒。 若要安装 GUI,请使用下表中的过程之一:
| Procedure | 需执行的操作 |
|---|---|
| 使用添加角色和功能向导打开 GUI | 1.请参阅 使用添加角色和功能向导安装角色、角色服务和功能,并使用 添加角色和功能向导。 2. 当你到达向导的 “功能” 步骤时,在“ Windows Defender 功能”下,选择 “适用于 Windows Defender 的 GUI ”选项。 |
| 使用 PowerShell 打开 GUI | 1. 在 Windows Server 上,以管理员身份打开Windows PowerShell。 2.运行以下 PowerShell cmdlet: Install-WindowsFeature -Name Windows-Defender-GUI |
有关详细信息,请参阅使用 PowerShell 入门。
在 Windows Server 上安装Microsoft Defender防病毒
如果需要在 Windows Server 上安装或重新安装Microsoft Defender防病毒,请使用下表中的过程之一:
| Procedure | 需执行的操作 |
|---|---|
| 使用“添加角色和功能向导”安装Microsoft Defender防病毒 | 1.请参阅 安装或卸载角色、角色服务或功能,并使用 添加角色和功能向导。 2. 访问向导的“功能”步骤时,选择“Microsoft Defender防病毒”选项。 此外,选择 “适用于 Windows Defender 的 GUI ”选项。 |
| 使用 PowerShell 安装Microsoft Defender防病毒 | 1. 在 Windows Server 上,以管理员身份打开Windows PowerShell。 2.运行以下 PowerShell cmdlet: Install-WindowsFeature -Name Windows-Defender |
注意
Microsoft Defender防病毒附带的反恶意软件引擎的事件消息可以在Microsoft Defender防病毒事件中找到。
验证Microsoft Defender防病毒正在运行
安装 (或重新安装) Microsoft Defender 防病毒后,下一步是验证它是否正在运行。 使用下表中的 PowerShell cmdlet:
| Procedure | PowerShell cmdlet |
|---|---|
| 验证Microsoft Defender防病毒是否正在运行 | Get-Service -Name windefend |
| 验证防火墙保护是否已打开 | Get-Service -Name mpssvc |
作为 PowerShell 的替代方法,可以使用命令提示符来验证防病毒Microsoft Defender是否正在运行。 为此,请从命令提示符运行以下命令:
sc query Windefend
命令sc query返回有关Microsoft Defender防病毒服务的信息。 当Microsoft Defender防病毒正在运行时STATE,值将显示 RUNNING。
若要查看未运行的所有服务,请运行以下 PowerShell cmdlet:
sc query state= all
更新反恶意软件安全智能
重要
从平台版本 4.18.2208.0 及更高版本开始:如果服务器已载入到Microsoft Defender for Endpoint,“关闭 Windows Defender”组策略设置将不再在 Windows Server 2012 R2 及更高版本上完全禁用 Windows Defender 防病毒。 相反,它会将其置于被动模式。 此外, 篡改防护 功能将允许切换到主动模式,但不允许切换到被动模式。
- 如果在加入Microsoft Defender for Endpoint之前“关闭 Windows Defender”已到位,则不会有任何更改,Defender 防病毒将保持禁用状态。
- 若要将Defender 防病毒切换到被动模式,即使它在载入前已禁用,也可以应用值为 的
1ForceDefenderPassiveMode 配置。 若要将其置于活动模式,请改为将此值0切换到 。
请注意启用篡改防护时修改ForceDefenderPassiveMode的逻辑:一旦Microsoft Defender防病毒切换到主动模式,篡改保护将阻止它回到被动模式,ForceDefenderPassiveMode即使设置为 1。
若要获取常规安全智能更新,必须运行 Windows 更新 服务。 如果使用更新管理服务(如 Windows Server Update Services (WSUS) ),请确保Microsoft Defender防病毒安全智能更新已批准用于你管理的计算机。
默认情况下,Windows 更新不会在 Windows Server 2019、Windows Server 2022 或 Windows Server 2016 上自动下载和安装更新。 可以使用以下方法之一更改此配置:
| 方法 | 说明 |
|---|---|
| 控制面板 中的Windows 更新 |
自动更新更新 会导致自动安装所有更新,包括 Windows Defender 安全智能更新。 下载更新,但让我选择安装更新是否 允许 Windows Defender 自动下载和安装安全智能更新,但不会自动安装其他更新。 |
| 组策略 | 可以在以下路径中使用 组策略 中提供的设置来设置和管理Windows 更新:管理模板\Windows 组件\Windows 更新\配置自动汇报 |
| AUOptions 注册表项 | 以下两个值允许Windows 更新自动下载并安装安全智能更新: 4 - 自动安装更新。 此值会导致自动安装所有更新,包括 Windows Defender 安全智能更新。 3 - 下载更新,但让我选择是否安装更新。 此值允许 Windows Defender 自动下载并安装安全智能更新,但不会自动安装其他更新。 |
若要确保保持对恶意软件的保护,请启用以下服务:
- Windows 错误报告服务
- Windows 更新服务
下表列出了Microsoft Defender防病毒服务和依赖服务。
| 服务名称 | 文件位置 | 说明 |
|---|---|---|
| Windows Defender 服务 (WinDefend) | C:\Program Files\Windows Defender\MsMpEng.exe |
此服务是需要始终运行的main Microsoft Defender防病毒服务。 |
| Windows 错误报告服务 (Wersvc) | C:\WINDOWS\System32\svchost.exe -k WerSvcGroup |
此服务将错误报告发送回Microsoft。 |
| Windows 防火墙 (MpsSvc) | C:\WINDOWS\system32\svchost.exe -k LocalServiceNoNetwork |
建议启用 Windows 防火墙服务。 |
| Windows 更新 (Wuauserv) | C:\WINDOWS\system32\svchost.exe -k netsvcs |
获取安全智能更新和反恶意软件引擎更新需要Windows 更新 |
提交示例
示例提交允许Microsoft收集潜在恶意软件的示例。 为了帮助提供持续和最新的保护,Microsoft研究人员使用这些样本来分析可疑活动并生成更新的反恶意软件安全智能。 我们收集程序可执行文件,例如 .exe 文件和 .dll 文件。 我们不会收集包含个人数据的文件,例如Microsoft Word文档和 PDF 文件。
提交文件
启用自动示例提交
若要启用自动示例提交,请以管理员身份启动Windows PowerShell控制台,并根据以下设置之一设置 SubmitSamplesConsent 值数据:
| Setting | 说明 |
|---|---|
| 0 - 始终提示 | Microsoft Defender防病毒服务会提示确认提交所有必需的文件。 此设置是 Microsoft Defender 防病毒的默认设置,但不建议在 Windows Server 2016、2019 或没有 GUI 的 Windows Server 2022 上安装此设置。 |
| 1 - 自动发送安全示例 | Microsoft Defender防病毒服务发送标记为“安全”的所有文件,并提示输入其余文件。 |
| 阿拉伯数字 - 从不发送 | Microsoft Defender防病毒服务不提示也不发送任何文件。 |
| 3 - 自动发送所有示例 | Microsoft Defender防病毒服务发送所有文件,无需提示确认。 |
注意
此选项不适用于Windows Server 2012 R2。
配置自动排除项
为了帮助确保安全性和性能,系统会根据你在 Windows Server 2016 或 2019 或 Windows Server 2022 上使用 Microsoft Defender 防病毒时安装的角色和功能自动添加某些排除项。
请参阅在 Windows Server 上的 Microsoft Defender 防病毒中配置排除项。
被动模式和 Windows Server
如果使用非Microsoft防病毒产品作为 Windows Server 上的主要防病毒解决方案,则必须将 Microsoft Defender 防病毒设置为被动模式或手动禁用它。
- 如果 Windows Server 终结点已载入Microsoft Defender for Endpoint,则可以将Microsoft Defender防病毒设置为被动模式。
- 如果不使用 Microsoft Defender for Endpoint,请将“Microsoft Defender防病毒”设置为“禁用”模式。
如果卸载非Microsoft防病毒产品,请确保重新启用Microsoft Defender防病毒。 请参阅在 Windows Server 上重新启用Microsoft Defender防病毒(如果已禁用)。
下表介绍了将Microsoft Defender防病毒设置为被动模式、禁用Microsoft Defender防病毒和卸载防病毒Microsoft Defender的方法:
| Procedure | 说明 |
|---|---|
| 使用注册表项将Microsoft Defender防病毒设置为被动模式 |
ForceDefenderPassiveMode按如下所示设置注册表项:-路径: HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection -名字: ForceDefenderPassiveMode -类型: REG_DWORD -价值: 1 |
| 使用 PowerShell 关闭Microsoft Defender防病毒用户界面 | 以管理员身份打开Windows PowerShell,并运行以下 PowerShell cmdlet:Uninstall-WindowsFeature -Name Windows-Defender-GUI |
| 使用 PowerShell 禁用Microsoft Defender防病毒实时保护 | 使用以下 PowerShell cmdlet: Set-MpPreference -DisableRealtimeMonitoring $true |
| 使用“删除角色和功能”向导禁用Microsoft Defender防病毒 | 请参阅 安装或卸载角色、角色服务或功能,并使用 删除角色和功能向导。 进入向导的 “功能” 步骤时,请清除 “Windows Defender 功能” 选项。 如果在 “Windows Defender 功能”部分下单独清除 Windows Defender ,系统会提示删除 Windows Defender 的接口选项 GUI。 Microsoft Defender防病毒在不使用用户界面的情况下正常运行,但如果禁用核心 Windows Defender 功能,则无法启用用户界面。 |
| 使用 PowerShell 卸载Microsoft Defender防病毒 | 使用以下 PowerShell cmdlet: Uninstall-WindowsFeature -Name Windows-Defender |
| 使用 组策略 禁用Microsoft Defender防病毒 | 在本地组策略 编辑器中,导航到“管理模板>”“Windows 组件>终结点保护>”“禁用终结点保护”,然后选择“启用>确定”。 |
有关详细信息,请参阅 使用注册表项。
你使用的是 Windows Server 2012 R2 还是Windows Server 2016?
如果 Windows Server 已载入到Microsoft Defender for Endpoint,则可以在 Windows Server 2012 R2 和 Windows Server 2016 上以被动模式运行 Microsoft Defender 防病毒。 另请参阅以下文章:
如果卸载了非Microsoft防病毒产品,会发生什么情况?
如果在 Windows Server 上安装非Microsoft防病毒产品,Microsoft Defender防病毒可能已设置为被动模式。 卸载非Microsoft防病毒产品时,Microsoft Defender防病毒应自动切换到活动模式。 但是,某些版本的 Windows Server(例如Windows Server 2016)可能不会发生这种情况。 使用以下过程检查Microsoft Defender防病毒的状态,并在必要时将其设置为活动模式:
按照本文) 验证Microsoft Defender防病毒是否正在运行 (中的指导,检查Microsoft Defender防病毒的状态。
如有必要,请按照以下步骤手动将Microsoft Defender防病毒设置为活动模式:
在 Windows Server 设备上,以管理员身份打开注册表编辑器。
转到
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection。设置或定义名为
REG_DWORD的ForceDefenderPassiveMode条目,并将其值设置为0。重新启动设备。
提示
如果仍需要帮助,请参阅以下故障排除项:
另请参阅
提示
想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区。