必要條件
支援的作業系統
- Windows
- Windows 11
- Windows 10
- Windows Server 2016 和更新版本
- Windows Server 版本 1803 或更新版本
- Azure Stack HCI OS 版本 23H2 和更新版本
在某些情況下,Microsoft Defender 防毒軟體也適用於舊版本的 Windows。
在 Windows Server 2012 R2 上,使用新式統一解決方案上線時,Microsoft Defender 防病毒軟體會以作用中模式安裝。
在 Windows 8.1 上,使用 System Center Endpoint Protection,企業級端點防病毒軟體保護會透過 Microsoft Endpoint Configuration Manager 提供和管理。
在 Windows 8.1 上的取用者裝置上,Windows Defender (可用,儘管它不提供企業級管理) 。
如果您使用非 Microsoft 防病毒軟體/反惡意代碼軟體,您也許可以與其他防病毒軟體解決方案一起執行 Microsoft Defender 防病毒軟體。 本文說明 Microsoft Defender 防病毒軟體和非Microsoft防毒/反惡意軟體軟體 (有和沒有適用於端點的 Microsoft Defender) 會發生什麼情況。
沒有適用於端點的 Defender 的防病毒軟體保護
本節說明當您在未上線至適用於端點的端點上使用 Microsoft Defender 防病毒軟體與非 Microsoft 防病毒軟體/反惡意代碼產品時所發生的情況。
一般而言,Microsoft Defender 防病毒軟體不會在未上線至適用於端點的 Defender 的裝置上以被動模式執行。
下表總結了預期的內容:
| Windows 版本 | 主要防毒/反惡意軟體解決方案 | Microsoft Defender 防病毒軟體狀態 |
|---|---|---|
| Windows 10 Windows 11 |
Microsoft Defender 防毒軟體 | 主動模式 |
| Windows 10 Windows 11 |
非 Microsoft 防病毒/反惡意代碼解決方案 | 禁用模式 (自動發生) 請注意,在 Windows 11 中,如果啟用了 SmartAppControl,您可能會觀察到 Microsoft Defender 防毒軟體進入被動模式,而不是保持停用模式。 不過,這與上線至 適用於端點的 Microsoft Defender 的裝置的情況不同。 |
| Windows Server 2025 Windows Server 2022 Windows Server 2019 Windows Server 1803 版或更新版本 Windows Server 2016 Windows Server 2012 R2 Azure Stack HCI OS 版本 23H2 和更新版本 |
Microsoft Defender 防毒軟體 | 主動模式 |
| Windows Server 2025 Windows Server 2022 Windows Server 2019 Windows Server 1803 版或更新版本 Windows Server 2016 Azure Stack HCI OS 版本 23H2 和更新版本 |
非 Microsoft 防病毒/反惡意代碼解決方案 | 已停用 (手動設置;請參閱此表後面的註釋) |
如果裝置已上線至適用於端點的 Microsoft Defender,您可以在被動模式中使用 Microsoft Defender 防病毒軟體,如本文稍後所述。
注意事項
在 Windows Server 上,如果您執行非 Microsoft 防病毒軟體產品,您可以使用下列 PowerShell Cmdlet 解除安裝Microsoft Defender防病毒軟體 (作為系統管理員) :
- Windows Server 2019 和更新版本:
Uninstall-WindowsFeature Windows-Defender - Windows Server 2016:
Uninstall-WindowsFeature Windows-Defender和Uninstall-WindowsFeature Windows-Defender-Gui
在 Windows Server 2016 上,您可能會看到 Windows Defender 防毒軟體,而不是 Microsoft Defender 防毒軟體。
請務必重新啟動伺服器以完成刪除 Microsoft Defender 防毒軟體。
如果您卸載非 Microsoft 防病毒軟體產品,請確定已重新啟用 Microsoft Defender 防病毒軟體。 請參閱 在 Windows Server 上重新啟用 Microsoft Defender 防病毒軟體 (如果已停用)。
Microsoft Defender 防病毒軟體和非 Microsoft 防病毒軟體/反惡意代碼解決方案
注意事項
一般而言,Microsoft Defender 防病毒軟體只能在上線至適用於端點的 Defender 的端點上設定為被動模式。
Microsoft Defender 防病毒軟體是否以主動模式、被動模式執行或停用取決於數個因素,例如:
- 端點上安裝的 Windows 版本
- Microsoft Defender 防病毒軟體是否是端點上的主要防病毒軟體/反惡意代碼解決方案
- 端點是否已上線至適用於端點的 Defender
下表摘要說明 Microsoft Defender 防病毒軟體在數個案例中的狀態。
| 防病毒/反惡意軟件解決方案 | 已上線至適用於端點的 Defender? | Microsoft Defender 防病毒軟體狀態 | 智慧型應用程式控制狀態 |
|---|---|---|---|
| Microsoft Defender 防毒軟體 | 是 | 主動模式 | 不適用 |
| Microsoft Defender 防毒軟體 | 否 | 主動模式 | 開啟、評估或關閉 |
| 非 Microsoft 防病毒/反惡意代碼解決方案 | 是 | 被動模式 (自動) | 評估或開啟 |
| 非 Microsoft 防病毒/反惡意代碼解決方案 | 否 | 停用 (自動) | 不適用或關閉 |
注意事項
智慧型應用程式控制是僅限消費者的產品,用於新的 Windows 11 安裝。 它可以與您的防毒軟體一起運行,並阻止被視為惡意或不受信任的應用程式。 進一步了解智慧型應用程式控制。
Windows Server 和被動模式
提示
如果您打算讓 Microsoft Defender 防病毒軟體保持在 Windows Server 的被動模式,則必須先設定設定ForceDefenderPassiveMode,才能將裝置上線適用於端點的 Microsoft Defender。
在 Windows Server 2016 和更新版本、Windows Server 1803 版或更新版本、Windows Server 2012 R2 和 Azure Stack HCI OS 23H2 版和更新版本上,當您安裝非 Microsoft 防病毒軟體產品時,Microsoft Defender 防病毒軟體不會自動進入被動模式。 在這些情況下,請將 Microsoft Defender 防病毒軟體設定為被動模式,以防止在伺服器上安裝多個防病毒軟體產品所造成的問題。 您可以使用登錄機碼將 Microsoft Defender 防病毒軟體設定為被動模式,如下所示:
- 路徑:
HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection - 名稱:
ForceDefenderPassiveMode - 類型:
REG_DWORD - 值:
1
您可以使用命令 Get-MpComputerStatus 在 PowerShell 中檢視您的保護狀態。 檢查 的值 AMRunningMode。 如果端點上已啟用 Microsoft Defender 防病毒軟體,您應該會看到 [正常]、[被動] 或 [EDR 封鎖模式]。
若要讓被動模式在執行 Windows Server 2016 和 Windows Server 2012 R2 的端點上運作,必須使用新式統一解決方案將這些端點上線。
重要事項
從平台版本 4.18.2208.0 及更新版本開始,如果伺服器已上線至 適用於端點的 Microsoft Defender,竄改保護則允許切換至主動模式,但不允許切換至被動模式。
請注意啟用竄改保護時的ForceDefenderPassiveMode修改邏輯:當 Microsoft Defender 防病毒軟體設定為主動模式時,即使設定為 1,竄ForceDefenderPassiveMode改防護也會防止它回到被動模式。
在 Windows Server 2012 R2 和更新版本、Windows Server 1803 版和更新版本上,或 Azure Stack HCI OS 23H2 版和更新版本上,如果您在未上線至適用於端點的 Microsoft Defender 的端點上使用非 Microsoft 防病毒軟體產品,請停用/解除安裝手動 Microsoft Defender 防病毒軟體,以防止在伺服器上安裝多個防病毒軟體產品所造成的問題。 不過,適用於端點的 Defender 包含可進一步擴充端點上安裝的防病毒軟體保護的功能。 如果您有適用於端點的 Defender,您可以受益於執行 Microsoft Defender 防病毒軟體以及另一個防病毒軟體解決方案。
例如,封鎖模式中 EDR) (端點偵測和回應可提供額外的保護,防止惡意成品Microsoft Defender即使防病毒軟體不是主要防病毒軟體產品也一樣。 這類功能需要 Microsoft Defender 防病毒軟體以被動模式或主動模式安裝並執行。
提示
在 Windows Server 2016 上,您可能會看到 Windows Defender 防毒軟體,而不是 Microsoft Defender 防毒軟體。
Microsoft Defender 防病毒軟體在被動模式中執行的需求
若要讓 Microsoft Defender 防病毒軟體以被動模式執行,端點必須符合下列需求:
作業系統:Windows 10 或更新版本;Windows Server 2019 和更新版本、Windows Server 1803 版或更新版本、Azure Stack HCI OS 23H2 版和更新版本或
(Windows Server 2012 R2 和 Windows Server 2016 (如果使用現代統一解決方案) 上線)。必須安裝 Microsoft Defender 防病毒軟體。
必須安裝另一個非 Microsoft 防病毒軟體/反惡意程式碼產品,並作為主要防毒解決方案使用。 (將適用於端點的 Microsoft Defender新增至現有解決方案) 的排除清單。
端點必須上線至適用於端點的 Defender。
必須啟用 Windows 安全性中心服務。
警告
如果在 Windows 安全性中心服務上停用 Windows 用戶端,則 Microsoft Defender 防病毒軟體無法偵測第三方防病毒軟體安裝,而且會保持作用中狀態。 這可能會導致 Microsoft Defender 防病毒軟件和第三方防病毒軟件之間發生衝突,因為兩者都會嘗試提供主動保護。 這會影響效能,而且不受支援。
重要事項
- Microsoft Defender 防病毒軟體僅適用於執行 Windows 10 和 11、Windows Server 2012 R2 和更新版本、Windows Server 版本 1803 或更新版本,以及 Azure Stack HCI OS 版本 23H2 和更新版本的裝置。
- 只有在 Windows Server 2012 R2 & 2016 上使用新式統一解決方案上線裝置時,才支援被動模式。
- 在 Windows 8.1 中,企業級端點防病毒軟體保護會以 System Center Endpoint Protection 的形式提供,並透過 Microsoft Endpoint Configuration Manager 進行管理。
- Windows Defender 也適用於 Windows 8.1 上的消費者裝置,儘管 Windows Defender 不提供企業級管理。
Microsoft Defender 防病毒軟體如何影響適用於端點的 Defender 功能
適用於端點的 Defender 會影響 Microsoft Defender 防病毒軟體是否可以在被動模式中執行。 而且,Microsoft Defender 防病毒軟體的狀態可能會影響適用於端點的 Defender 中的特定功能。 例如,當 Microsoft Defender 防病毒軟體處於主動或被動模式時,即時保護會運作,但當停用或解除安裝 Microsoft Defender 防病毒軟體時,即時保護就不起作用。
重要事項
- 本節中的表格摘要說明主動運作與否的功能,根據 Microsoft Defender 防病毒軟體是否處於主動模式、被動模式或停用/解除安裝。 此表格僅供參考。
- 如果您在被動模式中使用 Microsoft Defender 防病毒軟體,或在封鎖模式中使用 EDR,請勿關閉功能,例如即時保護、雲端傳遞的保護或有限的定期掃描,這會在幕後運作,以偵測和補救在入侵後偵測到的惡意成品。
| 保護 | Microsoft Defender 防毒軟體 (主動模式) |
Microsoft Defender 防毒軟體 (被動模式) |
Microsoft Defender 防毒軟體 (停用或卸載) |
|---|---|---|---|
| 即時保護 | 是 | 參見註 1 | 否 |
| 雲端提供的保護 | 是 | 否 | 否 |
| 網路保護 | 是 | 否 | 否 |
| 受攻擊面縮小規則 | 是 | 否 | 否 |
| 檔案掃描和偵測資訊 | 是 | 是 參見註 2 |
否 |
| 威脅補救 | 是 | 參見註3 | 否 |
| 安全性情報更新 | 是 | 是 參見註 4 |
否 |
| 資料外洩防護 | 是 | 是 | 否 |
| 受控資料夾存取權 | 是 | 否 | 否 |
| Web 內容篩選 | 是 | 參見註 5 | 否 |
| 裝置控制 | 是 | 是 | 否 |
| PUA 保護 | 是 | 否 | 否 |
保護狀態的注意事項
當Microsoft Defender防毒軟體處於被動模式時,即時保護會以下列方式與 Microsoft Endpoint Data Loss Prevention (Endpoint DLP) 運作:
被動模式下的 Microsoft Defender 防病毒軟件 即時保護狀態 行為監控狀態 端點 DLP 已停用 已停用
不提供任何防毒即時保護、封鎖或強制執行。已停用
不提供任何防病毒行為監視封鎖或強制執行。已啟用端點 DLP 啟用 DLP 特定功能
不提供任何防毒即時保護、封鎖或強制執行。
請務必將 Microsoft Defender 防病毒軟體和適用於端點的 Microsoft Defender 二進位檔新增至非 Microsoft 防病毒軟體或 EDR 解決方案的排除清單。啟用 DLP 特定功能
不提供任何防病毒行為監視封鎖或強制執行。當 Microsoft Defender 防病毒軟體處於被動模式時,不會排程掃描。 如果在配置 中排定 掃描,則會忽略排程。 除非:
「僅在電腦開啟但未使用時啟動排程掃描」設定為「未設定或啟用」。 除非您將「僅在電腦開啟但未使用時啟動排程掃描」設定為停用,否則會建立 Windows 工作排程器。
「開啟追趕快速掃描」設定為「未設定或啟用」。 每 30 天 (預設天數) 繼續進行快速追趕掃描,除非將「開啟追趕快速掃描」設定為停用。 在 Windows 工作排程器中設定的掃描工作會繼續根據其排程執行。 如果您有排程的任務,您可以視需要將其移除。
「在安全性情報更新後開啟掃描」設定為「未設定或啟用」。 預設情況下,快速掃描會在「安全情報更新」之後進行,除非您將「在安全情報更新後開啟掃描」設定為停用。
當 Microsoft Defender 防病毒軟體處於被動模式時,它不會補救威脅。 不過, 封鎖模式下的 EDR) (端點偵測和回應 可以補救威脅。 在此情況下,您可能會看到警示,將 Microsoft Defender 防病毒軟體顯示為來源,即使 Microsoft Defender 防病毒軟體處於被動模式也一樣。
安全性情報更新步調僅由 Windows Update 設定控制。 Defender 特定的更新排程器每天/每週在特定時間 (,間隔型) 設定只有在 Microsoft Defender 防病毒軟體處於作用中模式時才有效。 它們在被動模式下被忽略。
當 Microsoft Defender 防病毒軟體處於被動模式時,Web 內容篩選僅適用於 Microsoft Edge 瀏覽器。
重要事項
- 當 Microsoft Defender 防病毒軟體處於主動或被動模式時,端點數據外洩防護保護會繼續正常運作。
- 請勿停用、停止或修改 Microsoft Defender 防病毒軟體、適用於端點的 Defender 或 Windows 安全性應用程式所使用的任何相關聯服務。 此建議包括
wscsvc、 、SecurityHealthServiceMsSense、Sense或WinDefendMsMpEng服務和程序。 手動修改這些服務可能會導致您的裝置嚴重不穩定,並使您的網路容易受到攻擊。 停用、停止或修改這些服務也可能導致使用非 Microsoft 防毒解決方案及其資訊在 Windows 安全性應用程式中的顯示方式時發生問題。 - 在適用於端點的 Defender 中,您可以開啟封鎖模式的 EDR,即使 Microsoft Defender 防病毒軟體不是您的主要防病毒軟體解決方案也一樣。 封鎖模式下的 EDR 會偵測並補救在裝置上找到的惡意專案 (在違規) 後。 若要深入瞭解,請參閱 區塊模式下的 EDR。
- 在適用於端點的 Defender 中,EDR 回應動作一律會以被動模式運作,即使 EDR 未處於封鎖模式也一樣。
如何確認 Microsoft Defender 防病毒軟體的狀態
您可以使用數種方法之一來確認 Microsoft Defender 防病毒軟體的狀態。 您可以:
- 使用 Windows 安全性應用程式來識別您的防病毒軟體應用程式。
- 使用工作管理員來確認 Microsoft Defender 防病毒軟體正在執行。
- 使用 Windows PowerShell 確認 Microsoft Defender 防病毒軟體正在執行。
- 使用 Windows PowerShell 確認防病毒軟體保護正在執行。
重要事項
從平臺版本 4.18.2208.0 和更新版本開始:如果伺服器已上線至適用於端點的 Microsoft Defender,則「關閉 Windows Defender」群組原則設定不再完全停用 Windows Server 2012 R2 和更新版本上的 Windows Defender 防毒軟體。 相反地,它會將 Microsoft Defender 防毒軟體置於被動模式。 此外, 篡改保護 允許切換到主動模式,但不能切換到被動模式。
- 如果在加入 適用於端點的 Microsoft Defender 之前已經設定了「關閉 Windows Defender」,則Microsoft Defender防毒軟體將保持停用狀態。
- 若要將 Microsoft Defender 防病毒軟體切換至被動模式,即使它在上線之前已停用,您也可以套用值
1為 的 ForceDefenderPassiveMode 設定。 若要將它置於作用中模式,請將此值切換為0。
注意事項
啟用竄改保護時的ForceDefenderPassiveMode修改邏輯:一旦 Microsoft Defender 防病毒軟體切換至主動模式,竄改防護會防止它回到被動模式,即使設定為 1也一樣ForceDefenderPassiveMode。
使用 Windows 安全性應用程式來識別您的防毒應用程式
在 Windows 裝置上,開啟 Windows 安全性應用程式。
選取 [病毒與威脅防護]。
在 [誰在保護我? ] 底下,選取 [管理提供者]。
在 [安全性提供者] 頁面的 [防病毒軟體] 底下,您應該會看到 Microsoft Defender 防病毒軟體已開啟。
使用工作管理員確認 Microsoft Defender 防病毒軟體正在執行
在 Windows 裝置上,開啟工作管理員應用程式。
選取 [詳細資料] 索引標籤。
在列表中查找
MsMpEng.exe。
使用 Windows PowerShell 確認 Microsoft Defender 防病毒軟體正在執行
重要事項
僅使用此程式來確認 Microsoft Defender 防病毒軟體是否在端點上執行。
在 Windows 裝置上,開啟 Windows PowerShell。
執行下列 PowerShell Cmdlet:
Get-Process。檢閱結果。 如果啟用了防病毒軟件Microsoft Defender您應該會看到 MsMpEng.exe。
使用 Windows PowerShell 確認防病毒軟體保護正在執行
重要事項
僅使用此程序來確認端點上是否啟用了防病毒保護。
在 Windows 裝置上,開啟 Windows PowerShell。
執行下列 PowerShell Cmdlet:
Get-MpComputerStatus | select AMRunningMode。檢閱結果。 如果在端點上啟用防毒保護,您應該會看到 [正常]、[ 被動] 或 [EDR 封鎖模式 ]。
有關 Microsoft Defender 防病毒軟體狀態的更多詳細數據
下列各節說明 Microsoft Defender 防病毒軟體時的預期內容:
主動模式
在作用中模式中,Microsoft Defender 防病毒軟體會作為電腦上的防病毒軟體應用程式。 使用 Configuration Manager、群組原則、Microsoft Intune 或其他管理產品所設定的設定會套用。 系統會掃描檔案、補救威脅,並在組態工具 (中報告偵測資訊,例如在端點) 上的 Microsoft Intune 系統管理中心或 Microsoft Defender 防病毒軟體應用程式中。
被動模式或區塊模式下的 EDR
在被動模式中,Microsoft Defender 防病毒軟體不會用作防病毒軟體應用程式,而且 Microsoft Defender 防病毒軟體不會*補救威脅。 不過, 封鎖模式下的 EDR) (端點偵測和回應 可以補救威脅。 EDR 會掃描檔案,並提供與適用於端點的 Defender 服務共用的威脅偵測報告。 您可能會看到警示,將 Microsoft Defender 防病毒軟體顯示為來源,即使 Microsoft Defender 防病毒軟體處於被動模式也一樣。
當 Microsoft Defender 防病毒軟體處於被動模式時,您仍然可以管理 Microsoft Defender 防病毒軟體的更新;不過,如果您的裝置具有提供惡意代碼即時保護的非 Microsoft 防病毒軟體產品,則無法將 Microsoft Defender 防病毒軟體移至主動模式。
請務必取得防病毒軟體和反惡意代碼更新,即使 Microsoft Defender 防病毒軟體以被動模式執行也一樣。 請參閱 管理 Microsoft Defender 防病毒軟體更新並套用基準。 只有在 Windows Server 2012 R2 & 2016 上,當機器使用新式統一解決方案上線時,才支援被動模式。
已停用或已解除安裝
停用或解除安裝時,Microsoft Defender 防病毒軟體不會用作防病毒軟體應用程式。 不會掃描檔案,也不會補救威脅。 一般不建議停用或解除安裝 Microsoft Defender 防病毒軟體;如果您使用非 Microsoft 反惡意代碼/防病毒軟體解決方案,如果可能,請將 Microsoft Defender 防病毒軟體保持在被動模式。
在自動停用 Microsoft Defender 防病毒軟體的情況下,如果非 Microsoft 防病毒軟體/反惡意代碼產品過期、解除安裝,或以其他方式停止提供病毒、惡意代碼或其他威脅的即時保護,則可以自動重新啟用它。 自動重新啟用 Microsoft Defender 防病毒軟體有助於確保在端點上維護防病毒軟體保護。
非 Windows 裝置呢?
如果您在尋找其他平台適用的防毒軟體相關資訊,請參閱:
- 設定 macOS 上適用於端點的 Microsoft Defender 的喜好設定
- macOS 上適用於端點的 Microsoft Defender
- 適用於 Intune 版 Microsoft Defender 防毒軟體 的 macOS 防毒軟體原則設定
- 為 Linux 上適用於端點的 Microsoft Defender 設定喜好設定
- Linux 上適用於端點的 Microsoft Defender
- 設定 Android 上適用於端點的 Microsoft Defender 功能
- 設定 iOS 上適用於端點的 Microsoft Defender 功能
另請參閱
提示
想要深入了解? 在我們的技術社區中與Microsoft安全社區Engage:適用於端點的 Microsoft Defender技術社區。