Microsoft Defender 防毒軟體與其他安全性產品的相容性
適用於:
- Microsoft Defender 防毒軟體
- 適用於端點的 Microsoft Defender 方案 1
- 適用於端點的 Microsoft Defender 方案 2
平台
- Windows
Microsoft Defender 防病毒軟體可在執行下列 Windows 版本的端點上使用:
- Windows 11
- Windows 10
- Windows Server 2022
- Windows Server 2019
- Windows Server 版本 1803 或更新版本
- Windows Server 2016
Microsoft Defender 在某些情況下,舊版 Windows 也可使用防病毒軟體。
在 Windows Server 2012 R2 上線時,使用新式統一解決方案上線時,Microsoft Defender 防病毒軟體會以主動模式安裝。
在 Windows 8.1,透過 System Center Endpoint Protection,企業層級的端點防病毒軟體保護會透過 Microsoft 端點 Configuration Manager 提供及管理。
在 Windows 8.1 上的取用者裝置上,雖然 Windows Defender 不提供企業層級管理) ,但 (可以使用。
如果您使用非 Microsoft 防病毒軟體/反惡意代碼軟體,您可能能夠與其他防病毒軟體解決方案一起執行 Microsoft Defender 防病毒軟體。 本文說明 Microsoft Defender 防病毒軟體和非 Microsoft 防病毒軟體/反惡意代碼軟體,以及不含 適用於端點的 Microsoft Defender 的情況。
沒有適用於端點的Defender的防病毒軟體保護
本節說明當您在未上線至適用於端點的 Defender 端點上使用 Microsoft Defender 防病毒軟體以及非 Microsoft 防病毒軟體/反惡意代碼產品時,會發生什麼情況。
一般而言,Microsoft Defender 防病毒軟體不會在未上線至適用於端點的Defender的裝置上以被動模式執行。
下表摘要說明預期的結果:
Windows 版本 | 主要防毒/反惡意軟體解決方案 | Microsoft Defender 防病毒軟體狀態 |
---|---|---|
Windows 10 Windows 11 |
Microsoft Defender 防毒軟體 | 主動模式 |
Windows 10 Windows 11 |
非 Microsoft 防病毒軟體/反惡意代碼解決方案 | 停用模式 (會自動) 請注意,在 Windows 11 中,如果已啟用SmartAppControl,Microsoft Defender防病毒軟體會進入被動模式。 |
Windows Server 2022 Windows Server 2019 Windows Server 版本 1803 或更新版本 Windows Server 2016 Windows Server 2012 R2 |
Microsoft Defender 防毒軟體 | 主動模式 |
Windows Server 2022 Windows Server 2019 Windows Server 版本 1803 或更新版本 Windows Server 2016 |
非 Microsoft 防病毒軟體/反惡意代碼解決方案 | 已停用 (手動設定;請參閱此數據表之後的附註) |
注意事項
在 Windows Server 上,如果您執行非 Microsoft 防病毒軟體產品,您可以使用下列 PowerShell Cmdlet (系統管理員身分卸載 Microsoft Defender 防病毒軟體) :Uninstall-WindowsFeature Windows-Defender
。 重新啟動您的伺服器,以完成移除 Microsoft Defender 防病毒軟體。
在 Windows Server 2016 上,您可能會看到 Windows Defender 防病毒軟體,而不是 Microsoft Defender 防病毒軟體。
如果裝置已上線以 適用於端點的 Microsoft Defender,您可以使用被動模式 Microsoft Defender 防病毒軟體,如本文稍後所述。
Microsoft Defender 防病毒軟體和非 Microsoft 防病毒軟體/反惡意代碼解決方案
注意事項
一般而言,Microsoft Defender 防病毒軟體只能在已上線至適用於端點的Defender的端點上設定為被動模式。
Microsoft Defender 防病毒軟體是在主動模式、被動模式或停用模式下執行,取決於數個因素,例如:
- 在端點上安裝哪個版本的 Windows
- Microsoft Defender 防病毒軟體是否為端點上的主要防病毒軟體/反惡意代碼解決方案
- 端點是否上線至適用於端點的Defender
下表摘要說明數種案例中 Microsoft Defender 防病毒軟體的狀態。
防病毒軟體/反惡意代碼解決方案 | 上線到適用於端點的Defender嗎? | Microsoft Defender 防病毒軟體狀態 | 智慧應用程控狀態 |
---|---|---|---|
Microsoft Defender 防毒軟體 | 是 | 主動模式 | 不適用 |
Microsoft Defender 防毒軟體 | 否 | 主動模式 | 開啟、評估或關閉 |
非 Microsoft 防病毒軟體/反惡意代碼解決方案 | 是 | 被動模式 (自動) | 不適用 |
非 Microsoft 防病毒軟體/反惡意代碼解決方案 | 否 | 已停用 (自動) | 評估或開啟 |
注意事項
智慧應用程控是僅限取用者的產品,用於新的 Windows 11 安裝。 它可以與您的防病毒軟體一起執行,並封鎖被視為惡意或不受信任的應用程式。 深入瞭解智慧應用程控。
Windows Server 和被動模式
在 Windows Server 2019、Windows Server 1803 版或更新版本、Windows Server 2016 或 Windows Server 2012 R2 上,Microsoft Defender 當您安裝非 Microsoft 防病毒軟體產品時,防病毒軟體不會自動進入被動模式。 在這些情況下,請將 Microsoft Defender 防病毒軟體設定為被動模式,以防止在伺服器上安裝多個防病毒軟體產品所造成的問題。 您可以使用登入機碼,將 Microsoft Defender 防病毒軟體設定為被動模式,如下所示:
- 路徑:
HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection
- 名稱:
ForceDefenderPassiveMode
- 類型:
REG_DWORD
- 值:
1
您可以使用 命令 Get-MpComputerStatus,在 PowerShell 中檢視保護狀態。 檢查的 AMRunningMode
值。 如果端點上已啟用 Microsoft Defender 防病毒軟體,您應該會看到標準、被動或 EDR 封鎖模式。
若要讓被動模式在執行 Windows Server 2016 和 Windows Server 2012 R2 的端點上運作,這些端點必須使用上線 Windows 伺服器中所述的新式整合解決方案上線。
重要事項
從平臺 4.18.2208.0 版和更新版本開始,如果伺服器已上線以 適用於端點的 Microsoft Defender,竄改保護允許切換至主動模式,但不允許切換至被動模式。
請注意啟用竄改保護時的修改邏輯ForceDefenderPassiveMode
:一旦 Microsoft Defender 防病毒軟體設定為主動模式,即使 ForceDefenderPassiveMode
設定為 1
,竄改保護仍可防止它回到被動模式。
在 Windows Server 2016 上,Windows Server 2012 R2、Windows Server 1803 版或更新版本、Windows Server 2019 和 Windows Server 2022,如果您在未上線至 適用於端點的 Microsoft Defender 端點上使用非 Microsoft 防病毒軟體產品,請停用/卸載手動 Microsoft Defender 防病毒軟體,以防止在伺服器上安裝多個防病毒軟體產品所造成的問題。 不過,適用於端點的 Defender 包含可進一步擴充端點上所安裝防病毒軟體保護的功能。 如果您有適用於端點的 Defender,您可以從執行 Microsoft Defender 防病毒軟體以及另一個防病毒軟體解決方案獲益。
例如,在封鎖模式 (EDR) 端點偵測和回應可提供額外的保護,以防止惡意成品,即使 Microsoft Defender 防病毒軟體不是主要防病毒軟體產品。 這類功能需要 Microsoft Defender 在被動模式或主動模式下安裝及執行防病毒軟體。
提示
在 Windows Server 2016 上,您可能會看到 Windows Defender 防病毒軟體,而不是 Microsoft Defender 防病毒軟體。
Microsoft Defender 防病毒軟體在被動模式下執行的需求
若要讓 Microsoft Defender 防病毒軟體以被動模式執行,端點必須符合下列需求:
- 操作系統:Windows 10 或更新版本;Windows Server 2022、Windows Server 2019 或 Windows Server 版本 1803 或更新版本
(Windows Server 2012 R2,並在使用新式統一解決方案) 上線時 Windows Server 2016。 - Microsoft Defender 必須安裝防病毒軟體。
- 必須安裝另一個非 Microsoft 防病毒軟體/反惡意代碼產品,並作為主要防病毒軟體解決方案。
- 端點必須上線至適用於端點的Defender。
重要事項
- Microsoft Defender 防病毒軟體僅適用於執行 Windows 10 和 11、Windows Server 2022、Windows Server 2016、Windows Server 2019、Windows Server 1803 版或更新版本、Windows Server 2016 和 的裝置Windows Server 2012 R2。
- 只有當裝置使用新式整合解決方案上線時,Windows Server 2012 R2 & 2016 才支持被動模式。
- 在 Windows 8.1 中,企業層級的端點防病毒軟體保護會以 System Center Endpoint Protection 方式提供,其是透過 Microsoft 端點 Configuration Manager 來管理。
- Windows Defender 也會針對 Windows 8.1 上的取用者裝置提供,但 Windows Defender 不提供企業層級管理。
Microsoft Defender 防病毒軟體如何影響適用於端點的Defender功能
適用於端點的Defender會影響 Microsoft Defender防病毒軟體是否可以在被動模式中執行。 此外,Microsoft Defender 防病毒軟體的狀態可能會影響適用於端點的Defender中的特定功能。 例如,即時保護可在 Microsoft Defender 防病毒軟體處於主動或被動模式時運作,但 Microsoft Defender 停用或卸載防病毒軟體時則無法運作。
重要事項
- 本節中的表格摘要說明是否主動運作的特性和功能,根據 Microsoft Defender 防病毒軟體處於主動模式、被動模式或停用/卸載。 此數據表設計為僅供資訊使用。
- 如果您在被動模式中使用 Microsoft Defender 防病毒軟體,或是在封鎖模式中使用 EDR,以在幕後偵測並修復偵測到入侵后惡意構件,請勿關閉即時保護、雲端式保護或有限定期掃描等功能。
保護 | Microsoft Defender 防毒軟體 (主動模式) |
Microsoft Defender 防毒軟體 (被動模式) |
Microsoft Defender 防毒軟體 (停用或卸載) |
---|---|---|---|
即時保護 | 是 | 請參閱附注 1 | 否 |
雲端提供的保護 | 是 | 否 | 否 |
網路保護 | 是 | 否 | 否 |
受攻擊面縮小規則 | 是 | 否 | 否 |
檔案掃描和偵測資訊 | 是 | 是 請參閱附注 2 |
否 |
威脅補救 | 是 | 請參閱附注 3 | 否 |
安全性情報更新 | 是 | 是 請參閱附注 4 |
否 |
資料外洩防護 | 是 | 是 | 否 |
受控資料夾存取權 | 是 | 否 | 否 |
Web 內容篩選 | 是 | 請參閱附注 5 | 否 |
裝置控制 | 是 | 是 | 否 |
PUA 保護 | 是 | 否 | 否 |
保護狀態的相關注意事項
一般而言,當 Microsoft Defender 防病毒軟體處於被動模式時,實時保護不會提供任何封鎖或強制執行,即使已啟用且處於被動模式也一樣。
當 Microsoft Defender 防病毒軟體處於被動模式時,不會排程掃描。 如果在您的組態 中排程 掃描,則會忽略排程。 不過,除非將 [開啟追補快速掃描] 設定為停用,否則每隔 30 天 (預設天數) 會繼續進行快速攔截掃描。 在 Windows 工作排程器中設定的掃描工作會繼續根據排程執行。 如果您已排程工作,您可以視需要將其移除。
當 Microsoft Defender 防病毒軟體處於被動模式時,不會補救威脅。 不過, 在封鎖模式中 (EDR) 端點偵測和回應 可以補救威脅。 在此情況下,您可能會看到警示顯示 Microsoft Defender 防病毒軟體作為來源,即使 Microsoft Defender 防病毒軟體處於被動模式也一樣。
安全性情報更新頻率僅由 Windows Update 設定所控制。 Defender 特定的更新排程器 (每日/每周的特定時間,以間隔為基礎的) 設定只能在防病毒軟體處於作用中模式時 Microsoft Defender 運作。 在被動模式中會忽略它們。
當 Microsoft Defender 防病毒軟體處於被動模式時,Web 內容篩選只適用於 Microsoft Edge 瀏覽器。
重要事項
當 Microsoft Defender 防病毒軟體處於主動或被動模式時,端點數據外泄防護保護會繼續正常運作。
請勿停用、停止或修改 Microsoft Defender 防病毒軟體、適用於端點的Defender或 Windows 安全性 應用程式所使用的任何相關聯服務。 此建議包括 wscsvc、 SecurityHealthService、 MsSense、 Sense、 WinDefend 或 MsMpEng 服務和程式。 手動修改這些服務可能會在您的裝置上造成嚴重的不穩定,並可能會使您的網路變得容易受到攻擊。 停用、停止或修改這些服務也可能會在使用非 Microsoft 防病毒軟體解決方案時造成問題,以及其資訊在 Windows 安全性 應用程式中的顯示方式。
在適用於端點的 Defender 中,您可以開啟封鎖模式的 EDR,即使 Microsoft Defender 防病毒軟體不是您的主要防病毒軟體解決方案。 封鎖模式中的 EDR 會偵測並補救在裝置上找到的惡意專案, (入侵後) 。 若要深入瞭解,請參閱 區塊模式中的 EDR。
如何確認 Microsoft Defender 防病毒軟體的狀態
您可以使用數種方法之一來確認 Microsoft Defender 防病毒軟體的狀態。 您可以:
- 使用 Windows 安全性 應用程式來識別您的防病毒軟體應用程式。
- 使用任務管理員來確認 Microsoft Defender 防病毒軟體正在執行。
- 使用 Windows PowerShell 來確認 Microsoft Defender 防病毒軟體正在執行。
- 使用 Windows PowerShell 來確認防病毒軟體保護正在執行。
重要事項
從平臺 4.18.2208.0 版和更新版本開始:如果伺服器已上線至 適用於端點的 Microsoft Defender,[關閉 Windows Defender] 組策略設定不會再完全停用 Windows Defender 上的防病毒軟體 Windows Server 2012R2 和更新版本。 相反地,它會將 Microsoft Defender 防病毒軟體置於被動模式。 此外, 竄改保護 允許切換至主動模式,但不允許切換至被動模式。
- 如果 「關閉 Windows Defender」已在上架至 適用於端點的 Microsoft Defender 之前就緒,Microsoft Defender 防病毒軟體仍會保持停用狀態。
- 若要將 Microsoft Defender 防病毒軟體切換為被動模式,即使它在上線之前已停用,您也可以套用值為 的
1
ForceDefenderPassiveMode 設定。 若要將它置於作用中模式,請改為將此值切換為0
。
請注意啟用竄改保護時的已修改邏輯ForceDefenderPassiveMode
:一旦 Microsoft Defender 防病毒軟體切換為主動模式,竄改保護會防止它回到被動模式,即使 ForceDefenderPassiveMode
設定為 1
也一樣。
使用 Windows 安全性 應用程式來識別您的防病毒軟體應用程式
在 Windows 裝置上,開啟 Windows 安全性 應用程式。
選取 [病毒與威脅防護]。
在 [誰保護我?] 底下,選取 [ 管理提供者]。
在 [安全性提供者] 頁面的 [防病毒軟體] 底下,您應該會看到 [防病毒軟體] 已開啟 Microsoft Defender。
使用任務管理員來確認 Microsoft Defender 防病毒軟體正在執行
在 Windows 裝置上,開啟任務管理員應用程式。
選取 [ 詳細數據] 索 引標籤。
在清單中尋找 MsMpEng.exe 。
使用 Windows PowerShell 來確認 Microsoft Defender 防病毒軟體正在執行
注意事項
使用此程式只是為了確認 Microsoft Defender 端點上是否正在執行防病毒軟體。
在 Windows 裝置上,開啟 [Windows PowerShell]。
執行下列 PowerShell Cmdlet:
Get-Process
。檢閱結果。 如果已啟用 Microsoft Defender 防病毒軟體,您應該會看到MsMpEng.exe。
使用 Windows PowerShell 來確認防病毒軟體保護正在執行
注意事項
使用此程式只是為了確認是否已在端點上啟用防病毒軟體保護。
在 Windows 裝置上,開啟 [Windows PowerShell]。
執行下列 PowerShell Cmdlet:
Get-MpComputerStatus | select AMRunningMode
。檢閱結果。 如果端點上已啟用防病毒軟體保護,您應該會看到 標準、 被動或 EDR 封鎖模式 。
注意事項
請注意,此程式只是為了確認是否已在端點上啟用防病毒軟體保護。
防病毒軟體狀態 Microsoft Defender 詳細數據
下列各節說明防病毒軟體 Microsoft Defender 預期的情況:
主動模式
在作用中模式中,Microsoft Defender 防病毒軟體會當做機器上的防病毒軟體應用程式使用。 套用使用 Configuration Manager、群組原則、Microsoft Intune 或其他管理產品所設定的設定。 系統會掃描檔案、補救威脅,並在您的設定工具中報告偵測資訊 (例如在 Microsoft Intune 系統管理中心或端點上的 Microsoft Defender 防病毒軟體應用程式) 。
被動模式或 EDR 封鎖模式
在被動模式中,Microsoft Defender 防病毒軟體不會當做防病毒軟體應用程式使用,而且 Microsoft Defender 防病毒軟體不會補救威脅。 不過, 在封鎖模式中 (EDR) 端點偵測和回應 可以補救威脅。 EDR 會掃描檔案,並針對與適用於端點的 Defender 服務共用的威脅偵測提供報告。 您可能會看到警示顯示 Microsoft Defender 防病毒軟體作為來源,即使 Microsoft Defender 防病毒軟體處於被動模式也一樣。
當 Microsoft Defender 防病毒軟體處於被動模式時,您仍然可以管理 Microsoft Defender 防病毒軟體的更新;不過,如果您的裝置有非 Microsoft 防病毒軟體產品可提供惡意代碼的即時保護,則無法將 Microsoft Defender 防病毒軟體移至主動模式。
請務必取得防病毒軟體和反惡意代碼更新,即使 Microsoft Defender 防病毒軟體以被動模式執行也一樣。 請參閱管理 Microsoft Defender 防病毒軟體更新和套用基準。 只有當機器使用新式整合解決方案上線時,才支援 Windows Server 2012 R2 & 2016 上的被動模式。
已停用或已解除安裝
停用或卸載時,Microsoft Defender 防病毒軟體不會作為防病毒軟體應用程式。 不會掃描檔案,且不會補救威脅。 通常不建議停用或卸載 Microsoft Defender 防病毒軟體;如果可能的話,如果您使用非 Microsoft 反惡意代碼/防病毒軟體解決方案,請將 Microsoft Defender 防病毒軟體保持在被動模式中。
如果 Microsoft Defender 防病毒軟體已自動停用,如果非 Microsoft 防病毒軟體/反惡意代碼產品過期、卸載或停止提供即時防護來抵禦病毒、惡意代碼或其他威脅,則可以自動重新啟用。 自動重新啟用 Microsoft Defender 防病毒軟體有助於確保端點上保有防病毒軟體保護。
如果您使用非 Microsoft 防病毒軟體應用程式,您也可以使用有限的定期掃描,以搭配 Microsoft Defender 防病毒軟體引擎定期檢查是否有威脅。 |
非 Windows 裝置呢?
如果您在尋找其他平台適用的防毒軟體相關資訊,請參閱:
- 設定 macOS 上適用於端點的 Microsoft Defender 的喜好設定
- macOS 上適用於端點的 Microsoft Defender
- 適用於 Intune 版 Microsoft Defender 防毒軟體 的 macOS 防毒軟體原則設定
- 為 Linux 上適用於端點的 Microsoft Defender 設定喜好設定
- Linux 上適用於端點的 Microsoft Defender
- 設定 Android 上適用於端點的 Microsoft Defender 功能
- 設定 iOS 上適用於端點的 Microsoft Defender 功能
另請參閱
提示
想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應