Windows Server 上的 Microsoft Defender 防毒軟體
適用於:
Microsoft Defender 防病毒軟體可在下列版本/版本的 Windows Server 中取得:
- Windows Server 2022
- Windows Server 2019
- Windows Server 版本 1803 或更新版本
- Windows Server 2016
- Windows Server 2012 R2 (需要 適用於端點的 Microsoft Defender)
在 Windows Server 上設定 Microsoft Defender 防病毒軟體
在 Windows Server 上設定及執行 Microsoft Defender 防病毒軟體的程式包括下列步驟:
- 啟用 介面。
- 安裝 Microsoft Defender 防病毒軟體。
- 確認 Microsoft Defender 防病毒軟體正在執行。
- 更新您的反惡意代碼安全情報。
- (視需要) 提交範例。
- (視需要) 設定 自動排除專案。
- (只有在必要時才) 將 Windows Server 設定為被動模式。
在 Windows Server 上啟用使用者介面
重要事項
如果您使用 Windows Server 2012 R2,請參閱安裝 適用於端點的 Microsoft Defender 的選項。
根據預設,Microsoft Defender 在 Windows Server 上安裝並運作防病毒軟體。 有時候,預設會安裝使用者介面 (GUI) 。 不需要 GUI;您可以使用PowerShell、群組原則或其他方法來管理 Microsoft Defender防病毒軟體。 不過,許多組織偏好使用 GUI 來 Microsoft Defender 防病毒軟體。 若要安裝 GUI,請使用下表中的其中一個程式:
| 程序 | 處理方式 |
|---|---|
| 使用 [新增角色和功能精靈] 開啟 GUI | 1.請參閱 使用新增角色和功能精靈安裝角色、角色服務和功能,並使用 新增角色和功能精靈。 2.當您到達精靈的 [ 功能 ] 步驟時,請在 [Windows Defender 功能] 下選取 [ Windows Defender 的 GUI] 選項。 |
| 使用 PowerShell 開啟 GUI | 1.在您的 Windows Server 上,以系統管理員身分開啟 Windows PowerShell。 2.執行下列 PowerShell Cmdlet: Install-WindowsFeature -Name Windows-Defender-GUI |
如需詳細資訊,請參閱使用PowerShell 使用者入門。
在 Windows Server 上安裝 Microsoft Defender 防病毒軟體
如果您需要在 Windows Server 上安裝或重新安裝 Microsoft Defender 防病毒軟體,請使用下表中的其中一個程式:
| 程序 | 處理方式 |
|---|---|
| 使用 [新增角色和功能精靈] 安裝 Microsoft Defender 防病毒軟體 | 1.請參閱 安裝或卸載角色、角色服務或功能,並使用 [新增角色和功能精靈]。 2.當您到達精靈的 [功能] 步驟時,請選取 [Microsoft Defender 防病毒軟體] 選項。 也請選取 [Windows Defender 的 GUI] 選項。 |
| 使用 PowerShell 安裝 Microsoft Defender 防病毒軟體 | 1.在您的 Windows Server 上,以系統管理員身分開啟 Windows PowerShell。 2.執行下列 PowerShell Cmdlet: Install-WindowsFeature -Name Windows-Defender |
注意事項
Microsoft Defender 防病毒軟體隨附之反惡意代碼引擎的事件訊息可以在 Microsoft Defender 防病毒軟體事件中找到。
確認防病毒軟體 Microsoft Defender 執行中
在您安裝 (或重新安裝) Microsoft Defender 防病毒軟體之後,下一個步驟是確認其正在執行。 使用下表中的 PowerShell Cmdlet:
| 程序 | PowerShell Cmdlet |
|---|---|
| 確認 Microsoft Defender 防病毒軟體正在執行 | Get-Service -Name windefend |
| 確認防火牆保護已開啟 | Get-Service -Name mpssvc |
作為 PowerShell 的替代方案,您可以使用命令提示字元來確認 Microsoft Defender 防病毒軟體正在執行。 若要這樣做,請從命令提示字元執行下列命令:
sc query Windefend
命令會sc query傳回 Microsoft Defender 防病毒軟體服務的相關信息。 當 Microsoft Defender 防病毒軟體執行時,值會STATE顯示 RUNNING。
若要檢視所有未執行的服務,請執行下列 PowerShell Cmdlet:
sc query state= all
更新反惡意代碼安全情報
重要事項
從平臺 4.18.2208.0 版和更新版本開始:如果伺服器已上線至 適用於端點的 Microsoft Defender,[關閉 Windows Defender] 組策略設定將不再完全停用 Windows Server 2012 R2 和更新版本上的 Windows Defender 防毒軟體。 相反地,它會將其置於被動模式。 此外, 竄改保護 功能將允許切換至主動模式,但不允許切換至被動模式。
- 如果「關閉 Windows Defender」已在上架至 適用於端點的 Microsoft Defender 之前就緒,將不會有任何變更,且 Defender 防毒軟體 仍會保持停用狀態。
- 若要將 Defender 防毒軟體 切換為被動模式,即使它在上線之前已停用,您也可以套用值為 的
1ForceDefenderPassiveMode 設定。 若要將它置於作用中模式,請改為將此值切換為0。
請注意啟用竄改保護時的修改邏輯ForceDefenderPassiveMode:一旦 Microsoft Defender 防病毒軟體切換為主動模式,即使ForceDefenderPassiveMode設定為 1,竄改保護仍會防止它回到被動模式。
若要取得一般安全性情報更新,Windows Update 服務必須正在執行。 如果您使用更新管理服務,例如 Windows Server Update Services (WSUS) ,請確定 Microsoft Defender 管理的計算機核准防病毒軟體安全情報更新。
根據預設,Windows Update 不會在 Windows Server 2019 或 Windows Server 2022 或 Windows Server 2016 上自動下載並安裝更新。 您可以使用下列其中一種方法來變更此設定:
| 方法 | 描述 |
|---|---|
| 控制台中的 Windows Update |
安裝更新會自動 導致自動安裝所有更新,包括 Windows Defender 安全性情報更新。 下載更新,但讓我選擇是否要安裝更新 ,可讓 Windows Defender 自動下載並安裝安全性情報更新,但不會自動安裝其他更新。 |
| 群組原則 | 您可以在下列路徑中,使用 群組原則 中可用的設定來設定和管理 Windows Update:系統管理範本\Windows 元件\Windows Update\設定自動 匯報 |
| AUOptions 登錄機碼 | 下列兩個值可讓 Windows Update 自動下載並安裝安全性情報更新: 4 - 自動安裝更新。 此值會導致自動安裝所有更新,包括 Windows Defender 安全性情報更新。 3 - 下載更新,但讓我選擇是否要安裝更新。 此值可讓 Windows Defender 自動下載並安裝安全性情報更新,但不會自動安裝其他更新。 |
若要確保維護防範惡意代碼的保護,請啟用下列服務:
- Windows 錯誤報告 服務
- Windows Update 服務
下表列出 Microsoft Defender 防病毒軟體和相依服務的服務。
| 服務名稱 | 檔案位置 | 描述 |
|---|---|---|
| Windows Defender 服務 (WinDefend) | C:\Program Files\Windows Defender\MsMpEng.exe |
此服務是需要一律執行的主要 Microsoft Defender 防病毒軟體服務。 |
| Windows 錯誤報告 Service (Wersvc) | C:\WINDOWS\System32\svchost.exe -k WerSvcGroup |
此服務會將錯誤報告傳回Microsoft。 |
| Windows 防火牆 (MpsSvc) | C:\WINDOWS\system32\svchost.exe -k LocalServiceNoNetwork |
建議您保持啟用 Windows 防火牆服務。 |
| Windows Update (Wuauserv) | C:\WINDOWS\system32\svchost.exe -k netsvcs |
需要 Windows Update 才能取得安全性情報更新和反惡意代碼引擎更新 |
提交範例
範例提交可讓Microsoft收集潛在惡意軟體的範例。 為了協助提供持續且最新的保護,Microsoft研究人員使用這些範例來分析可疑活動,併產生更新的反惡意代碼安全情報。 我們會收集程式可執行檔,例如 .exe 檔案和 .dll 檔。 我們不會收集包含個人資料的檔案,例如Microsoft Word 檔和 PDF 檔案。
提交檔案
啟用自動提交範例
若要啟用自動提交範例,請以系統管理員身分啟動 Windows PowerShell 控制台,並根據下列其中一個設定來設定 SubmitSamplesConsent 值數據:
| 設定 | 描述 |
|---|---|
| 0 - 一律提示 | Microsoft Defender 防病毒軟體服務會提示您確認提交所有必要的檔案。 此設定是 Microsoft Defender 防病毒軟體的預設值,但不建議在 Windows Server 2016 或 2019 或沒有 GUI 的 Windows Server 2022 上安裝。 |
| 1 - 自動傳送安全範例 | Microsoft Defender 防病毒軟體服務會傳送標示為「安全」的所有檔案,並提示其餘檔案。 |
| 阿拉伯數位 - 永不傳送 | Microsoft Defender 防病毒軟體服務不會提示,也不會傳送任何檔案。 |
| 3 - 自動傳送所有範例 | Microsoft Defender 防病毒軟體服務會傳送所有檔案,而不需要提示確認。 |
注意事項
此選項不適用於 Windows Server 2012 R2。
設定自動排除
為了協助確保安全性和效能,會根據您在 Windows Server 2016 或 2019 或 Windows Server 2022 上使用 Microsoft Defender 防病毒軟體時所安裝的角色和功能,自動新增特定排除專案。
請參閱在 Windows Server 上設定 Microsoft Defender 防病毒軟體中的排除專案。
被動模式和 Windows Server
如果您使用非Microsoft防病毒軟體產品作為 Windows Server 上的主要防病毒軟體解決方案,您必須將 Microsoft Defender 防病毒軟體設定為被動模式,或手動停用它。
- 如果您的 Windows Server 端點已上線至 適用於端點的 Microsoft Defender,您可以將 Microsoft Defender 防病毒軟體設定為被動模式。
- 如果您未使用 適用於端點的 Microsoft Defender,請將 Microsoft Defender 防病毒軟體設定為停用模式。
如果您卸載非Microsoft防病毒軟體產品,請務必重新啟用 Microsoft Defender 防病毒軟體。 如已停用,請參閱在 Windows Server 上重新啟用 Microsoft Defender 防病毒軟體。
下表描述將 Microsoft Defender 防病毒軟體設定為被動模式、停用 Microsoft Defender 防病毒軟體,以及卸載 Microsoft Defender 防病毒軟體的方法:
| 程序 | 描述 |
|---|---|
| 使用登錄機碼將 Microsoft Defender 防病毒軟體設定為被動模式 | 設定登錄 ForceDefenderPassiveMode 機碼,如下所示:-路徑: HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection -名字: ForceDefenderPassiveMode -類型: REG_DWORD -價值: 1 |
| 使用 PowerShell 關閉 Microsoft Defender 防病毒軟體使用者介面 | 以系統管理員身分開啟 Windows PowerShell,然後執行下列 PowerShell Cmdlet:Uninstall-WindowsFeature -Name Windows-Defender-GUI |
| 使用 PowerShell 停用 Microsoft Defender 防病毒軟體實時保護 | 使用下列 PowerShell Cmdlet: Set-MpPreference -DisableRealtimeMonitoring $true |
| 使用 [移除角色和功能精靈] 停用 Microsoft Defender 防病毒軟體 | 請參閱 安裝或卸載角色、角色服務或功能,並使用 移除角色和功能精靈。 當您到達精靈的 [ 功能 ] 步驟時,請清除 [Windows Defender 功能] 選項。 如果您在 [Windows Defender 功能] 區段下自行清除 Windows Defender ,系統會提示您移除 Windows Defender 的介面選項 GUI。 Microsoft Defender 防病毒軟體會在沒有使用者介面的情況下正常執行,但如果您停用核心 Windows Defender 功能,則無法啟用使用者介面。 |
| 使用 PowerShell 卸載 Microsoft Defender 防病毒軟體 | 使用下列 PowerShell Cmdlet: Uninstall-WindowsFeature -Name Windows-Defender |
| 使用 群組原則 停用 Microsoft Defender 防病毒軟體 | 在本機 群組原則 編輯器 中,流覽至 [系統管理範>本Windows 元件>端點保護>停用 Endpoint Protection],然後選取 [啟用>確定]。 |
如需詳細資訊,請 參閱使用登錄機碼。
您是否使用 Windows Server 2012 R2 或 Windows Server 2016?
如果您的 Windows Server 已上線至 適用於端點的 Microsoft Defender,您可以在 Windows Server 2012 R2 和 Windows Server 2016 上以被動模式執行 Microsoft Defender 防病毒軟體。 請參閱下列文章:
如果卸載非Microsoft防病毒軟體產品,會發生什麼事?
如果 Windows Server 上已安裝非Microsoft防病毒軟體產品,Microsoft Defender 防病毒軟體可能會設定為被動模式。 卸載非Microsoft防病毒軟體產品時,Microsoft Defender 防病毒軟體應該會自動切換至作用中模式。 不過,在某些版本的 Windows Server 上可能不會發生這種情況,例如 Windows Server 2016。 使用下列程式來檢查 Microsoft Defender 防病毒軟體的狀態,如有必要,請將它設定為作用中模式:
請遵循本文) 中確認 Microsoft Defender 防病毒軟體正在執行中的指引,檢查 (Microsoft Defender 防病毒軟體的狀態。
如有必要,請遵循下列步驟,手動將 Microsoft Defender 防病毒軟體設定為主動模式:
在 Windows Server 裝置上,以系統管理員身分開啟登錄 編輯器。
移至
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection。設定或定義
REG_DWORD名為的專案ForceDefenderPassiveMode,並將其值設定為0。重新啟動裝置。
提示
如果您仍然需要協助,請參閱下列疑難解答專案:
另請參閱
- Windows 中的 Microsoft Defender 防毒軟體
- Microsoft Defender 防毒軟體與其他安全性產品的相容性
- Microsoft Defender 防病毒軟體的效能分析器
提示
想要深入了解? Engage 技術社群中的Microsoft安全性社群:適用於端點的 Microsoft Defender 技術社群。