Condividi tramite


Microsoft Defender compatibilità antivirus con altri prodotti di sicurezza

Si applica a:

Piattaforme

  • Windows

Microsoft Defender Antivirus è disponibile negli endpoint che eseguono le versioni seguenti di Windows:

  • Windows 11
  • Windows 10
  • Windows Server 2022
  • Windows Server 2019
  • Windows Server, versione 1803 o successiva
  • Windows Server 2016

Microsoft Defender Antivirus è disponibile anche per le versioni precedenti di Windows in determinate condizioni.

  • In Windows Server 2012 R2, quando viene eseguito l'onboarding con la soluzione moderna e unificata, Microsoft Defender Antivirus viene installato in modalità attiva.

  • In Windows 8.1, con System Center Endpoint Protection, la protezione antivirus degli endpoint di livello aziendale viene offerta e gestita tramite Microsoft Endpoint Configuration Manager.

  • Nei dispositivi consumer in Windows 8.1, Windows Defender è disponibile (anche se non fornisce la gestione a livello aziendale).

Se si usa software antivirus/antimalware non Microsoft, è possibile eseguire Microsoft Defender Antivirus insieme all'altra soluzione antivirus. Questo articolo descrive cosa accade con Microsoft Defender antivirus e software antivirus/antimalware non Microsoft, con e senza Microsoft Defender per endpoint.

Protezione antivirus senza Defender per endpoint

Questa sezione descrive cosa accade quando si usa Microsoft Defender Antivirus insieme a prodotti antivirus/antimalware non Microsoft su endpoint non caricati in Defender per endpoint.

In generale, Microsoft Defender Antivirus non viene eseguito in modalità passiva nei dispositivi non caricati in Defender per endpoint.

La tabella seguente riepiloga le aspettative:

Versione di Windows Soluzione antivirus/antimalware primaria Microsoft Defender stato antivirus
Windows 10
Windows 11
Antivirus Microsoft Defender Modalità attiva
Windows 10
Windows 11
Una soluzione antivirus/antimalware non Microsoft Modalità disabilitata (si verifica automaticamente)

In Windows 11, se SmartAppControl è abilitato, Microsoft Defender Antivirus passa alla modalità passiva.
Windows Server 2022
Windows Server 2019
Windows Server, versione 1803 o successiva
Windows Server 2016
Windows Server 2012 R2
Antivirus Microsoft Defender Modalità attiva
Windows Server 2022
Windows Server 2019
Windows Server, versione 1803 o successiva
Windows Server 2016
Una soluzione antivirus/antimalware non Microsoft Disabilitato
(impostato manualmente; vedere la nota che segue questa tabella)

Nota

In Windows Server, se si esegue un prodotto antivirus non Microsoft, è possibile disinstallare Microsoft Defender Antivirus usando il cmdlet di PowerShell seguente (come amministratore): Uninstall-WindowsFeature Windows-Defender. Riavviare il server per completare la rimozione di Microsoft Defender Antivirus. In Windows Server 2016 potrebbe essere visualizzato Windows Antivirus Defender anziché Microsoft Defender Antivirus. Se si disinstalla il prodotto antivirus non Microsoft, assicurarsi che Microsoft Defender Antivirus sia nuovamente abilitato. Se è stato disabilitato, vedere Riabilitare Microsoft Defender Antivirus in Windows Server.

Se il dispositivo viene caricato in Microsoft Defender per endpoint, è possibile usare Microsoft Defender Antivirus in modalità passiva, come descritto più avanti in questo articolo.

Microsoft Defender antivirus e soluzioni antivirus/antimalware non Microsoft

Nota

In generale, Microsoft Defender Antivirus può essere impostato sulla modalità passiva solo negli endpoint di cui è stato eseguito l'onboarding in Defender per endpoint.

Se Microsoft Defender Antivirus viene eseguito in modalità attiva, passiva o disabilitato dipende da diversi fattori, ad esempio:

  • Versione di Windows installata in un endpoint
  • Se Microsoft Defender Antivirus è la soluzione antivirus/antimalware primaria nell'endpoint
  • Indica se l'endpoint è stato sottoposto a onboarding in Defender per endpoint

La tabella seguente riepiloga lo stato di Microsoft Defender Antivirus in diversi scenari.

Soluzione antivirus/antimalware Eseguire l'onboarding in Defender per endpoint? Microsoft Defender stato antivirus Stato di controllo delle app intelligenti
Antivirus Microsoft Defender Modalità attiva N/D
Antivirus Microsoft Defender No Modalità attiva On, Evaluation o Off
Una soluzione antivirus/antimalware non Microsoft Modalità passiva (automaticamente) N/D
Una soluzione antivirus/antimalware non Microsoft No Disabilitato (automaticamente) Valutazione o Attivato

Nota

Controllo app intelligente è un prodotto solo consumer usato nelle nuove installazioni Windows 11. Può essere eseguito insieme al software antivirus e bloccare le app considerate dannose o non attendibili. Altre informazioni su Controllo app intelligenti.

Windows Server e modalità passiva

In Windows Server 2019, Windows Server, versione 1803 o successiva, Windows Server 2016 o Windows Server 2012 R2, Microsoft Defender Antivirus non entra automaticamente in modalità passiva quando si installa un prodotto antivirus non Microsoft. In questi casi, impostare Microsoft Defender Antivirus sulla modalità passiva per evitare problemi causati dall'installazione di più prodotti antivirus in un server. È possibile impostare Microsoft Defender Antivirus sulla modalità passiva usando una chiave del Registro di sistema come indicato di seguito:

  • Sentiero: HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection
  • Nome: ForceDefenderPassiveMode
  • Digitare: REG_DWORD
  • Valore: 1

È possibile visualizzare lo stato di protezione in PowerShell usando il comando Get-MpComputerStatus. Controllare il valore per AMRunningMode. Dovrebbe essere visualizzata la modalità di bloccoNormale, Passivo o EDR se Microsoft Defender Antivirus è abilitato nell'endpoint.

Affinché la modalità passiva funzioni sugli endpoint che eseguono Windows Server 2016 e Windows Server 2012 R2, è necessario eseguire l'onboarding di tali endpoint con la soluzione moderna e unificata descritta in Onboarding dei server Windows.

Importante

A partire dalla versione 4.18.2208.0 della piattaforma e versioni successive, se un server viene caricato in Microsoft Defender per endpoint, la protezione antimanomissione consente di passare alla modalità attiva, ma non alla modalità passiva.

Si noti la logica modificata per ForceDefenderPassiveMode quando è abilitata la protezione dalle manomissioni: una volta che Microsoft Defender Antivirus è impostato sulla modalità attiva, la protezione da manomissione impedisce il ripristino in modalità passiva anche quando ForceDefenderPassiveMode è impostato su 1.

In Windows Server 2016, Windows Server 2012 R2, Windows Server versione 1803 o successiva, Windows Server 2019 e Windows Server 2022, se si usa un prodotto antivirus non Microsoft in un endpoint non caricato in Microsoft Defender per endpoint, disabilitare/disinstallare Microsoft Defender antivirus manualmente per evitare problemi causati dall'installazione di più prodotti antivirus in un server. Defender per endpoint include tuttavia funzionalità che estendono ulteriormente la protezione antivirus installata nell'endpoint. Se si dispone di Defender per endpoint, è possibile trarre vantaggio dall'esecuzione di Microsoft Defender Antivirus insieme a un'altra soluzione antivirus.

Ad esempio, il rilevamento e la risposta degli endpoint (EDR) in modalità blocco offrono una protezione aggiuntiva da artefatti dannosi anche se Microsoft Defender Antivirus non è il prodotto antivirus principale. Tali funzionalità richiedono l'installazione e l'esecuzione di Microsoft Defender Antivirus in modalità passiva o attiva.

Consiglio

In Windows Server 2016 potrebbe essere visualizzato Windows Antivirus Defender anziché Microsoft Defender Antivirus.

Requisiti per l'esecuzione dell'antivirus Microsoft Defender in modalità passiva

Affinché Microsoft Defender Antivirus venga eseguito in modalità passiva, gli endpoint devono soddisfare i requisiti seguenti:

Importante

  • Microsoft Defender Antivirus è disponibile solo nei dispositivi che eseguono Windows 10 e 11, Windows Server 2022, Windows Server 2016, Windows Server 2019, Windows Server, versione 1803 o successiva, Windows Server 2016 e Windows Server 2012 R2.
  • La modalità passiva è supportata solo in Windows Server 2012 R2 & 2016 quando viene eseguito l'onboarding del dispositivo usando la soluzione unificata moderna.
  • In Windows 8.1, la protezione antivirus degli endpoint a livello aziendale viene offerta come System Center Endpoint Protection, gestita tramite Microsoft Endpoint Configuration Manager.
  • Windows Defender è disponibile anche per i dispositivi consumer in Windows 8.1, anche se Windows Defender non offre la gestione a livello aziendale.

In che modo Microsoft Defender Antivirus influisce sulla funzionalità di Defender per endpoint

Defender per endpoint determina se Microsoft Defender Antivirus può essere eseguito in modalità passiva. Inoltre, lo stato di Microsoft Defender Antivirus può influire su determinate funzionalità in Defender per endpoint. Ad esempio, la protezione in tempo reale funziona quando Microsoft Defender Antivirus è in modalità attiva o passiva, ma non quando Microsoft Defender Antivirus è disabilitato o disinstallato.

Importante

  • La tabella in questa sezione riepiloga le funzionalità che funzionano attivamente o meno, a seconda che Microsoft Defender Antivirus sia in modalità attiva, passiva o disabilitata/disinstallata. Questa tabella è progettata per essere solo informativa.
  • Non disattivare le funzionalità, ad esempio la protezione in tempo reale, la protezione fornita dal cloud o l'analisi periodica limitata se si usa Microsoft Defender Antivirus in modalità passiva o se si usa EDR in modalità blocco, che funziona dietro le quinte per rilevare e correggere gli artefatti dannosi rilevati dopo la violazione.
Protezione Antivirus Microsoft Defender
(Modalità attiva)
Antivirus Microsoft Defender
(modalità passiva)
Antivirus Microsoft Defender
(Disabilitato o disinstallato)
Protezione in tempo reale Vedere la nota 1 No
Protezione fornita dal cloud No No
Protezione di rete No No
Regole per la riduzione della superficie di attacco No No
Informazioni di analisi e rilevamento dei file
Vedere la nota 2
No
Correzione delle minacce Vedere la nota 3 No
Aggiornamenti di Security intelligence
Vedere la nota 4
No
Prevenzione della perdita dei dati No
Accesso controllato alle cartelle No No
Filtro contenuti Web Vedere la nota 5 No
Controllo dispositivo No
Protezione dalle applicazioni potenzialmente indesiderate No No

Note sugli stati di protezione

  1. Quando Microsoft Defender Antivirus è in modalità passiva, la protezione in tempo reale si comporta nei modi seguenti con Microsoft Endpoint Data Loss Prevention (Endpoint DLP):

    Microsoft Defender Antivirus in modalità passiva Stato di protezione in tempo reale
    La prevenzione della perdita dei dati degli endpoint è disabilitata Disabilitato

    Non fornisce alcuna protezione antivirus in tempo reale che blocca o applica.
    La prevenzione della perdita dei dati degli endpoint è abilitata Abilitato per funzionalità specifiche della prevenzione della perdita dei dati

    Non fornisce alcuna protezione antivirus in tempo reale che blocca o applica.

    Assicurarsi di aggiungere Microsoft Defender Antivirus e Microsoft Defender per endpoint file binari all'elenco di esclusione dell'antivirus non Microsoft o della soluzione EDR.
  2. Quando Microsoft Defender Antivirus è in modalità passiva, le analisi non sono pianificate. Se le analisi sono pianificate nella configurazione, la pianificazione viene ignorata. A meno che:

    1. "Avvia l'analisi pianificata solo quando il computer è acceso ma non in uso" è impostato su "Non configurato o abilitato". Viene creata un'utilità di pianificazione di Windows, a meno che non si imposti "Avvia l'analisi pianificata solo quando il computer è acceso ma non in uso" su disabilitato.

    2. "Attiva analisi rapida di recupero" è impostato su "Non configurato o abilitato". Ogni 30 giorni (numero predefinito di giorni) continua a verificarsi un'analisi di recupero rapido a meno che l'opzione "Attiva analisi rapida di recupero" non sia disabilitata. Le attività di analisi configurate in Utilità di pianificazione di Windows continuano a essere eseguite in base alla pianificazione. Se si dispone di attività pianificate, è possibile rimuoverle, se si preferisce.

    3. "Attivare l'analisi dopo l'aggiornamento dell'intelligence per la sicurezza" è impostato su "Non configurato o abilitato". Per impostazione predefinita, viene eseguita un'analisi rapida dopo un "aggiornamento di Security Intelligence" a meno che non si imposti "Attiva analisi dopo l'aggiornamento dell'intelligence di sicurezza" su disabilitato.

  3. Quando Microsoft Defender Antivirus è in modalità passiva, non corregge le minacce. Tuttavia, il rilevamento degli endpoint e la risposta (EDR) in modalità blocco possono correggere le minacce. In questo caso, potrebbero essere visualizzati avvisi che mostrano Microsoft Defender Antivirus come origine, anche quando Microsoft Defender Antivirus è in modalità passiva.

  4. La cadenza degli aggiornamenti dell'intelligence per la sicurezza è controllata solo dalle impostazioni di Windows Update. Le impostazioni degli utilità di pianificazione degli aggiornamenti specifiche di Defender (giornaliere/settimanali in un momento specifico, basate su intervalli) funzionano solo quando Microsoft Defender Antivirus è in modalità attiva. Vengono ignorati in modalità passiva.

  5. Quando Microsoft Defender Antivirus è in modalità passiva, il filtro dei contenuti Web funziona solo con il browser Microsoft Edge.

Importante

  • La protezione dalla perdita di dati degli endpoint continua a funzionare normalmente quando Microsoft Defender Antivirus è in modalità attiva o passiva.

  • Non disabilitare, arrestare o modificare i servizi associati usati da Microsoft Defender Antivirus, Defender per endpoint o dall'app Sicurezza di Windows. Questa raccomandazione include i processi e i wscsvcservizi , SecurityHealthServiceMsSense, Sense, WinDefendo MsMpEng . La modifica manuale di questi servizi può causare gravi instabilità nei dispositivi e rendere vulnerabile la rete. La disabilitazione, l'arresto o la modifica di tali servizi possono anche causare problemi quando si usano soluzioni antivirus non Microsoft e come vengono visualizzate le relative informazioni nell'app Sicurezza di Windows.

  • In Defender per endpoint è possibile attivare EDR in modalità blocco, anche se Microsoft Defender Antivirus non è la soluzione antivirus principale. EDR in modalità blocco rileva e corregge gli elementi dannosi presenti nel dispositivo (dopo la violazione). Per altre informazioni, vedere EDR in modalità blocco.

Come confermare lo stato di Microsoft Defender Antivirus

È possibile usare uno dei diversi metodi per confermare lo stato di Microsoft Defender Antivirus. È possibile:

Importante

A partire dalla versione 4.18.2208.0 e successive della piattaforma: se è stato eseguito l'onboarding di un server in Microsoft Defender per endpoint, l'impostazione dei criteri di gruppo "Disattiva Windows Defender" non disabilita più completamente Windows Antivirus Defender in Windows Server 2012 R2 e versioni successive. Al contrario, inserisce Microsoft Defender Antivirus in modalità passiva. Inoltre, la protezione antimanomissione consente di passare alla modalità attiva, ma non alla modalità passiva.

  • Se "Disattiva Windows Defender" è già attivo prima dell'onboarding in Microsoft Defender per endpoint, Microsoft Defender Antivirus rimane disabilitato.
  • Per passare Microsoft Defender Antivirus alla modalità passiva, anche se è stato disabilitato prima dell'onboarding, è possibile applicare la configurazione ForceDefenderPassiveMode con un valore di 1. Per posizionarlo in modalità attiva, impostare invece questo valore su 0 .

Si noti la logica modificata per ForceDefenderPassiveMode quando è abilitata la protezione antimanomissione: una volta che Microsoft Defender Antivirus è stato attivato, la protezione da manomissione impedisce di tornare in modalità passiva anche quando ForceDefenderPassiveMode è impostato su 1.

Usare l'app Sicurezza di Windows per identificare l'app antivirus

  1. In un dispositivo Windows aprire l'app Sicurezza di Windows.

  2. Selezionare Protezione da virus e minacce.

  3. In Chi mi protegge? selezionare Gestisci provider.

  4. Nella pagina Provider di sicurezza, in Antivirus, dovrebbe essere visualizzato Microsoft Defender Antivirus è attivato.

Usare Gestione attività per verificare che Microsoft Defender Antivirus sia in esecuzione

  1. In un dispositivo Windows aprire l'app Gestione attività.

  2. Selezionare la scheda Dettagli .

  3. Cercare MsMpEng.exe nell'elenco.

Usare Windows PowerShell per verificare che Microsoft Defender Antivirus sia in esecuzione

Importante

Usare questa procedura solo per verificare se Microsoft Defender Antivirus è in esecuzione in un endpoint.

  1. In un dispositivo Windows aprire Windows PowerShell.

  2. Eseguire il cmdlet di PowerShell seguente: Get-Process.

  3. Esaminare i risultati. Se Microsoft Defender Antivirus è abilitato, verrà visualizzato MsMpEng.exe.

Usare Windows PowerShell per verificare che la protezione antivirus sia in esecuzione

Importante

Usare questa procedura solo per verificare se la protezione antivirus è abilitata in un endpoint.

  1. In un dispositivo Windows aprire Windows PowerShell.

  2. Eseguire il cmdlet di PowerShell seguente: Get-MpComputerStatus | select AMRunningMode.

  3. Esaminare i risultati. Dovrebbe essere visualizzata la modalità di bloccoNormale, Passiva o EDR se la protezione antivirus è abilitata nell'endpoint.

Altri dettagli sugli stati di Microsoft Defender Antivirus

Le sezioni seguenti descrivono cosa aspettarsi quando Microsoft Defender Antivirus è:

Modalità attiva

In modalità attiva, Microsoft Defender Antivirus viene usato come app antivirus nel computer. Si applicano le impostazioni configurate usando Configuration Manager, Criteri di gruppo, Microsoft Intune o altri prodotti di gestione. I file vengono analizzati, le minacce vengono corrette e le informazioni di rilevamento vengono segnalate nello strumento di configurazione, ad esempio nell'interfaccia di amministrazione Microsoft Intune o nell'app antivirus Microsoft Defender nell'endpoint.

Modalità passiva o EDR in modalità blocco

In modalità passiva, Microsoft Defender Antivirus non viene usato come app antivirus e le minacce non vengono* risolte da Microsoft Defender Antivirus. Tuttavia, il rilevamento degli endpoint e la risposta (EDR) in modalità blocco possono correggere le minacce. I file vengono analizzati da EDR e vengono forniti report per i rilevamenti delle minacce condivisi con il servizio Defender per endpoint. Potrebbero essere visualizzati avvisi che mostrano Microsoft Defender Antivirus come origine, anche quando Microsoft Defender Antivirus è in modalità passiva.

Quando Microsoft Defender Antivirus è in modalità passiva, è comunque possibile gestire gli aggiornamenti per Microsoft Defender Antivirus. Tuttavia, non è possibile spostare Microsoft Defender Antivirus in modalità attiva se i dispositivi hanno un prodotto antivirus non Microsoft che fornisce protezione in tempo reale dal malware.

Assicurarsi di ottenere gli aggiornamenti antivirus e antimalware, anche se Microsoft Defender Antivirus è in esecuzione in modalità passiva. Vedere Gestire gli aggiornamenti di Microsoft Defender Antivirus e applicare le linee di base. La modalità passiva è supportata solo in Windows Server 2012 R2 & 2016 quando viene eseguito l'onboarding del computer usando la soluzione unificata moderna.

Disattivato o disinstallato

Se disabilitato o disinstallato, Microsoft Defender Antivirus non viene usato come app antivirus. I file non vengono analizzati e le minacce non vengono risolte. La disabilitazione o la disinstallazione di Microsoft Defender Antivirus non è consigliata in generale. Se possibile, mantenere Microsoft Defender Antivirus in modalità passiva se si usa una soluzione antimalware/antivirus non Microsoft.

Nei casi in cui Microsoft Defender Antivirus viene disabilitato automaticamente, può essere riattivato automaticamente se il prodotto antivirus/antimalware non Microsoft scade, viene disinstallato o interrompe in altro modo la protezione in tempo reale da virus, malware o altre minacce. La riabilitare automaticamente Microsoft Defender Antivirus consente di garantire che la protezione antivirus venga mantenuta negli endpoint.

E i dispositivi non Windows?

Se si cercano informazioni correlate all'antivirus per altre piattaforme, vedere:

Vedere anche

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.