共用方式為


Microsoft Defender 防毒軟體與其他安全性產品的相容性

適用於:

平台

  • Windows

Microsoft Defender 防病毒軟體可在執行下列 Windows 版本的端點上使用:

  • Windows 11
  • Windows 10
  • Windows Server 2022
  • Windows Server 2019
  • Windows Server 版本 1803 或更新版本
  • Windows Server 2016

Microsoft Defender 在某些情況下,舊版 Windows 也可使用防病毒軟體。

如果您使用非Microsoft防病毒軟體/反惡意代碼軟體,您可能能夠與其他防病毒軟體解決方案一起執行 Microsoft Defender 防病毒軟體。 本文說明 Microsoft Defender 防病毒軟體和非Microsoft防毒/反惡意代碼軟體,以及不含 適用於端點的 Microsoft Defender 的情況。

沒有適用於端點的Defender的防病毒軟體保護

本節說明當您在未上線至適用於端點的 Defender 端點上使用 Microsoft Defender 防病毒軟體,以及非Microsoft防病毒軟體/反惡意代碼產品時,會發生什麼情況。

一般而言,Microsoft Defender 防病毒軟體不會在未上線至適用於端點的Defender的裝置上以被動模式執行。

下表摘要說明預期的結果:

Windows 版本 主要防毒/反惡意軟體解決方案 Microsoft Defender 防病毒軟體狀態
Windows 10
Windows 11
Microsoft Defender 防毒軟體 主動模式
Windows 10
Windows 11
非Microsoft防病毒軟體/反惡意代碼解決方案 停用模式 (會自動)

在 Windows 11 中,如果已啟用 SmartAppControl,Microsoft Defender 防病毒軟體會進入被動模式。
Windows Server 2022
Windows Server 2019
Windows Server 版本 1803 或更新版本
Windows Server 2016
Windows Server 2012 R2
Microsoft Defender 防毒軟體 主動模式
Windows Server 2022
Windows Server 2019
Windows Server 版本 1803 或更新版本
Windows Server 2016
非Microsoft防病毒軟體/反惡意代碼解決方案 已停用
(手動設定;請參閱此數據表之後的附註)

注意事項

在 Windows Server 上,如果您執行非Microsoft防病毒軟體產品,您可以使用下列 PowerShell Cmdlet (作為系統管理員) 來卸載 Microsoft Defender 防病毒軟體:Uninstall-WindowsFeature Windows-Defender。 重新啟動您的伺服器以完成移除 Microsoft Defender 防病毒軟體。 在 Windows Server 2016 上,您可能會看到 Windows Defender 防毒軟體,而不是 Microsoft Defender 防病毒軟體。 如果您卸載非Microsoft防病毒軟體產品,請確定已重新啟用 Microsoft Defender 防病毒軟體。 如已停用,請參閱在 Windows Server 上重新啟用 Microsoft Defender 防病毒軟體

如果裝置已上線以 適用於端點的 Microsoft Defender,您可以使用被動模式 Microsoft Defender 防病毒軟體,如本文稍後所述。

Microsoft Defender 防病毒軟體和非Microsoft防病毒軟體/反惡意代碼解決方案

注意事項

一般而言,Microsoft Defender 防病毒軟體只能在已上線至適用於端點的Defender的端點上設定為被動模式。

Microsoft Defender 防病毒軟體是在主動模式、被動模式或停用模式下執行,取決於數個因素,例如:

  • 安裝在端點上的 Windows 版本
  • Microsoft Defender 防病毒軟體是否為端點上的主要防病毒軟體/反惡意代碼解決方案
  • 端點是否上線至適用於端點的Defender

下表摘要說明數個案例中 Microsoft Defender 防病毒軟體的狀態。

防病毒軟體/反惡意代碼解決方案 上線到適用於端點的Defender嗎? Microsoft Defender 防病毒軟體狀態 智慧應用程控狀態
Microsoft Defender 防毒軟體 主動模式 不適用
Microsoft Defender 防毒軟體 主動模式 開啟、評估或關閉
非Microsoft防病毒軟體/反惡意代碼解決方案 被動模式 (自動) 不適用
非Microsoft防病毒軟體/反惡意代碼解決方案 已停用 (自動) 評估或開啟

注意事項

智慧應用程控是僅限取用者的產品,用於新的 Windows 11 安裝。 它可以與您的防病毒軟體一起執行,並封鎖被視為惡意或不受信任的應用程式。 深入瞭解智慧應用程控

Windows Server 和被動模式

在 Windows Server 2019、Windows Server 1803 版或更新版本、Windows Server 2016 版或 Windows Server 2012 R2 上,當您安裝非Microsoft防病毒軟體產品時,Microsoft Defender 防病毒軟體不會自動進入被動模式。 在這些情況下,請將 Microsoft Defender 防病毒軟體設定為被動模式,以防止在伺服器上安裝多個防病毒軟體產品所造成的問題。 您可以使用登入機碼,將 Microsoft Defender 防病毒軟體設定為被動模式,如下所示:

  • 路徑:HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection
  • 名稱:ForceDefenderPassiveMode
  • 類型:REG_DWORD
  • 值:1

您可以使用 命令 Get-MpComputerStatus,在 PowerShell 中檢視保護狀態。 檢查的 AMRunningMode值。 如果端點上已啟用 Microsoft Defender 防病毒軟體,您應該會看到標準、被動EDR 封鎖模式

若要讓被動模式在執行 Windows Server 2016 和 Windows Server 2012 R2 的端點上運作,這些端點必須使用上線 Windows 伺服器中所述的新式整合解決方案上線。

重要事項

平臺 4.18.2208.0 版和更新版本開始,如果伺服器已上線以 適用於端點的 Microsoft Defender,竄改保護允許切換至主動模式,但不允許切換至被動模式。

請注意啟用竄改保護時的已修改邏輯ForceDefenderPassiveMode:一旦 Microsoft Defender 防病毒軟體設定為主動模式,竄改保護會防止它回到被動模式,即使 ForceDefenderPassiveMode 設定為 也一1樣。

在 Windows Server 2016 上,Windows Server 2012 R2、Windows Server 1803 版或更新版本、Windows Server 2019 和 Windows Server 2022,如果您在上線至 適用於端點的 Microsoft Defender 的端點上使用非Microsoft防病毒軟體產品,請停用/卸載手動 Microsoft Defender 防病毒軟體,以防止在伺服器上安裝多個防病毒軟體產品所造成的問題。 不過,適用於端點的 Defender 包含可進一步擴充端點上所安裝防病毒軟體保護的功能。 如果您有適用於端點的 Defender,您可以從執行 Microsoft Defender 防病毒軟體以及另一個防病毒軟體解決方案獲益。

例如,在封鎖模式中 (EDR) 端點偵測和回應可提供額外的保護,以防止惡意成品,即使 Microsoft Defender 防病毒軟體不是主要防病毒軟體產品也一樣。 這類功能需要 Microsoft Defender 防病毒軟體,才能在被動模式或主動模式下安裝和執行。

提示

在 Windows Server 2016 上,您可能會看到 Windows Defender 防毒軟體,而不是 Microsoft Defender 防病毒軟體

Microsoft Defender 防病毒軟體以被動模式執行的需求

若要讓 Microsoft Defender 防病毒軟體以被動模式執行,端點必須符合下列需求:

重要事項

  • Microsoft Defender 防病毒軟體僅適用於執行 Windows 10 和 11、Windows Server 2022、Windows Server 2016、Windows Server 2019、Windows Server 版本 1803 或更新版本、Windows Server 2016 及Windows Server 2012 R2。
  • 只有當裝置使用新式整合解決方案上線時,Windows Server 2012 R2 & 2016 才支持被動模式。
  • 在 Windows 8.1 中,企業層級的端點防病毒軟體保護會以 System Center Endpoint Protection 方式提供,其是透過Microsoft端點 Configuration Manager 來管理。
  • Windows Defender 也適用於 Windows 8.1 上的取用者裝置,但 Windows Defender 不提供企業層級管理。

Microsoft Defender 防病毒軟體如何影響適用於端點的Defender功能

適用於端點的Defender會影響 Microsoft Defender防病毒軟體是否可以在被動模式中執行。 此外,Microsoft Defender 防病毒軟體的狀態可能會影響適用於端點的Defender中的特定功能。 例如,當 Microsoft Defender 防病毒軟體處於主動或被動模式,但 Microsoft Defender 停用或卸載防病毒軟體時,即時保護會運作。

重要事項

  • 本節中的表格摘要說明是否主動運作的特性和功能,根據防病毒軟體是否處於主動模式、被動模式或停用/卸載 Microsoft Defender。 此數據表設計為僅供資訊使用。
  • 如果您在被動模式中使用 Microsoft Defender 防病毒軟體,或是在封鎖模式中使用 EDR,以在幕後偵測並修復偵測到入侵后惡意構件,請勿關閉即時保護、雲端式保護或有限定期掃描等功能。
保護 Microsoft Defender 防毒軟體
(主動模式)
Microsoft Defender 防毒軟體
(被動模式)
Microsoft Defender 防毒軟體
(停用或卸載)
即時保護 請參閱附注 1
雲端提供的保護
網路保護
受攻擊面縮小規則
檔案掃描和偵測資訊
請參閱附注 2
威脅補救 請參閱附注 3
安全性情報更新
請參閱附注 4
資料外洩防護
受控資料夾存取權
Web 內容篩選 請參閱附注 5
裝置控制
PUA 保護

保護狀態的相關注意事項

  1. 當 Microsoft Defender 防病毒軟體處於被動模式時,實時保護會以下列方式運作,Microsoft端點數據外洩防護 (端點 DLP) :

    Microsoft Defender 被動模式的防病毒軟體 即時保護狀態
    端點 DLP 已停用 已停用

    不提供任何防病毒軟體即時保護封鎖或強制執行。
    已啟用端點 DLP 針對 DLP 特定功能啟用

    不提供任何防病毒軟體即時保護封鎖或強制執行。

    請務必將 Microsoft Defender 防病毒軟體和 適用於端點的 Microsoft Defender 二進位檔新增至非Microsoft防病毒軟體或 EDR 解決方案的排除清單。
  2. 當 Microsoft Defender 防病毒軟體處於被動模式時,不會排程掃描。 如果在您的組態 中排程 掃描,則會忽略排程。 除非:

    1. [只在計算機開啟但未使用中時啟動排程掃描] 設定為 [未設定或啟用]。 除非您將 [只在計算機開啟但未使用中時啟動排程掃描] 設定為停用,否則會建立 Windows 工作排程器。

    2. [開啟追補快速掃描] 設定為 [未設定或啟用]。 每隔 30 天 (預設天數) ,除非 [開啟追補快速掃描] 設定為 [停用],否則會繼續進行快速攔截掃描。 在 Windows 工作排程器中設定的掃描工作會繼續根據排程執行。 如果您已排程工作,您可以視需要將其移除。

    3. [安全情報更新后開啟掃描] 設定為 [未設定或啟用]。 根據預設,除非您將 [安全性情報更新后開啟掃描] 設定為停用,否則會在「安全情報更新」之後進行快速掃描。

  3. 當 Microsoft Defender 防病毒軟體處於被動模式時,不會補救威脅。 不過, 在封鎖模式中 (EDR) 端點偵測和回應 可以補救威脅。 在此情況下,您可能會看到警示顯示 Microsoft Defender 防病毒軟體作為來源,即使 Microsoft Defender 防病毒軟體處於被動模式也一樣。

  4. 安全性情報更新頻率僅由 Windows Update 設定所控制。 Defender 特定的更新排程器 (每日/每周的特定時間,以間隔為基礎的) 設定只能在防病毒軟體處於作用中模式時 Microsoft Defender 運作。 在被動模式中會忽略它們。

  5. 當 Microsoft Defender 防病毒軟體處於被動模式時,Web 內容篩選只適用於Microsoft Edge 瀏覽器。

重要事項

  • 當 Microsoft Defender 防病毒軟體處於主動或被動模式時,端點數據外泄防護保護會繼續正常運作。

  • 請勿停用、停止或修改 Microsoft Defender 防病毒軟體、適用於端點的Defender或 Windows 安全性 應用程式所使用的任何相關聯服務。 此建議包括 wscsvcSecurityHealthServiceMsSenseSenseWinDefendMsMpEng 服務和程式。 手動修改這些服務可能會在您的裝置上造成嚴重的不穩定,並可能會使您的網路變得容易受到攻擊。 停用、停止或修改這些服務也會在使用非Microsoft防病毒軟體解決方案時造成問題,以及其資訊在 Windows 安全性 應用程式中的顯示方式。

  • 在適用於端點的 Defender 中,您可以開啟封鎖模式的 EDR,即使 Microsoft Defender 防病毒軟體不是您的主要防病毒軟體解決方案。 封鎖模式中的 EDR 會偵測並補救在裝置上找到的惡意專案, (入侵後) 。 若要深入瞭解,請參閱 區塊模式中的 EDR

如何確認 Microsoft Defender 防病毒軟體的狀態

您可以使用數種方法之一來確認 Microsoft Defender 防病毒軟體的狀態。 您可以:

重要事項

平臺 4.18.2208.0 版和更新版本開始:如果伺服器已上線至 適用於端點的 Microsoft Defender,[關閉 Windows Defender] 策略設定不會再完全停用 Windows Server 2012 R2 和更新版本上的 Windows Defender 防毒軟體。 相反地,它會將 Microsoft Defender 防病毒軟體置於被動模式。 此外, 竄改保護 允許切換至主動模式,但不允許切換至被動模式。

  • 如果「關閉 Windows Defender」已在上架至 適用於端點的 Microsoft Defender 之前就緒,Microsoft Defender 防病毒軟體仍會保持停用狀態。
  • 若要將 Microsoft Defender 防病毒軟體切換為被動模式,即使它在上線之前已停用,您也可以套用值為 的 1ForceDefenderPassiveMode 設定。 若要將它置於作用中模式,請改為將此值切換為 0

請注意啟用竄改保護時的已修改邏輯ForceDefenderPassiveMode:一旦 Microsoft Defender 防病毒軟體切換為主動模式,竄改保護會防止它回到被動模式,即使 ForceDefenderPassiveMode 設定為 也一1樣。

使用 Windows 安全性 應用程式來識別您的防病毒軟體應用程式

  1. 在 Windows 裝置上,開啟 Windows 安全性 應用程式。

  2. 選取 [病毒與威脅防護]

  3. [誰保護我?] 底下,選取 [ 管理提供者]

  4. 在 [安全性提供者] 頁面的 [防病毒軟體] 底下,您應該會看到 [防病毒軟體] 已開啟 Microsoft Defender

使用任務管理員來確認 Microsoft Defender 防病毒軟體正在執行

  1. 在 Windows 裝置上,開啟任務管理員應用程式。

  2. 選取 [ 詳細數據] 索 引標籤。

  3. 在清單中尋找 MsMpEng.exe

使用 Windows PowerShell 來確認 Microsoft Defender 防病毒軟體正在執行

重要事項

使用此程式只是為了確認 Microsoft Defender 端點上是否正在執行防病毒軟體。

  1. 在 Windows 裝置上,開啟 [Windows PowerShell]。

  2. 執行下列 PowerShell Cmdlet: Get-Process

  3. 檢閱結果。 如果已啟用 Microsoft Defender 防病毒軟體,您應該會看到MsMpEng.exe。

使用 Windows PowerShell 來確認防病毒軟體保護正在執行

重要事項

使用此程式只是為了確認是否已在端點上啟用防病毒軟體保護。

  1. 在 Windows 裝置上,開啟 [Windows PowerShell]。

  2. 執行下列 PowerShell Cmdlet: Get-MpComputerStatus | select AMRunningMode

  3. 檢閱結果。 如果端點上已啟用防病毒軟體保護,您應該會看到 標準被動EDR 封鎖模式

防病毒軟體狀態 Microsoft Defender 詳細數據

下列各節說明當 Microsoft Defender 防病毒軟體時,預期的情況:

主動模式

在作用中模式中,Microsoft Defender 防病毒軟體會當做計算機上的防病毒軟體應用程式使用。 套用使用 Configuration Manager、群組原則、Microsoft Intune 或其他管理產品所設定的設定。 系統會掃描檔案、補救威脅,並在您的設定工具中報告偵測資訊 (例如在 Microsoft Intune 系統管理中心或端點上的 Microsoft Defender 防病毒軟體應用程式) 。

封鎖模式中的被動模式或 EDR

在被動模式中,Microsoft Defender 防病毒軟體不會當做防病毒軟體應用程式使用,而且 Microsoft Defender 防病毒軟體不會補救威脅。 不過, 在封鎖模式中 (EDR) 端點偵測和回應 可以補救威脅。 EDR 會掃描檔案,並針對與適用於端點的 Defender 服務共用的威脅偵測提供報告。 您可能會看到警示顯示 Microsoft Defender 防病毒軟體作為來源,即使 Microsoft Defender 防病毒軟體處於被動模式也一樣。

當 Microsoft Defender 防病毒軟體處於被動模式時,您仍然可以管理 Microsoft Defender 防病毒軟體的更新;不過,如果您的裝置有非Microsoft防病毒軟體產品可提供惡意代碼的實時保護,則無法將 Microsoft Defender 防病毒軟體移至主動模式。

請務必取得防病毒軟體和反惡意代碼更新,即使 Microsoft Defender 防病毒軟體以被動模式執行也一樣。 請參閱管理 Microsoft Defender 防病毒軟體更新和套用基準。 只有當機器使用新式整合解決方案上線時,Windows Server 2012 R2 & 2016 才支援被動模式。

已停用或已解除安裝

停用或卸載時,Microsoft Defender 防病毒軟體不會作為防病毒軟體應用程式。 不會掃描檔案,且不會補救威脅。 一般不建議停用或卸載 Microsoft Defender 防病毒軟體;如果可能的話,如果您使用非Microsoft反惡意代碼/防病毒軟體解決方案,請將 Microsoft Defender 防病毒軟體保持在被動模式中。

如果 Microsoft Defender 防病毒軟體已自動停用,如果非Microsoft防病毒軟體/反惡意代碼產品過期、卸載,或停止提供病毒、惡意代碼或其他威脅的實時保護,則可以自動重新啟用。 自動重新啟用 Microsoft Defender 防病毒軟體有助於確保端點上保有防病毒軟體保護。

非 Windows 裝置呢?

如果您在尋找其他平台適用的防毒軟體相關資訊,請參閱:

另請參閱

提示

想要深入了解? Engage 技術社群中的Microsoft安全性社群:適用於端點的 Microsoft Defender 技術社群。