在没有 Defender for Endpoint 的情况下Microsoft Defender防病毒和非Microsoft防病毒解决方案
适用于:
- Microsoft Defender for Endpoint 计划 1
- 个人Microsoft Defender
- Microsoft Defender 防病毒
本部分介绍在未载入到 Defender for Endpoint 计划 2 的终结点上使用 Microsoft Defender 防病毒和非Microsoft防病毒/反恶意软件产品时会发生什么情况。
Microsoft Defender防病毒不会在未载入到 Defender for Endpoint 计划 2 的设备上以被动模式运行。
下表汇总了预期内容:
| Windows 版本 | 主要防病毒/反恶意软件解决方案 | Microsoft Defender防病毒状态 |
|---|---|---|
| Windows 11和Windows 10 | Microsoft Defender 防病毒 | 主动模式 |
| Windows 11和Windows 10 | 非Microsoft防病毒解决方案 | 禁用模式 () 自动发生。 |
| Windows Server 2025、Windows Server 2022、Windows Server 2019、Windows Server、版本 1803 或更高版本、Windows Server 2016 | Microsoft Defender 防病毒 | 主动模式 |
| Windows Server 2025、Windows Server 2022、Windows Server 2019、Windows Server、版本 1803 或更高版本、Windows Server 2016 | 非Microsoft防病毒解决方案 | 已禁用 (手动设置;请参阅此表后面的注释) |
注意
从 2025 年 2 月开始,从 2025 年 2 月开始并在接下来的几周内推出针对 Windows Server 的 Defender for Endpoint 支持。
在 Windows Server,如果运行的是非Microsoft防病毒产品,则可以使用以下 PowerShell cmdlet (作为管理员) 卸载Microsoft Defender防病毒:Uninstall-WindowsFeature Windows-Defender。 重启服务器以完成删除Microsoft Defender防病毒。 在Windows Server 2016,你可能会看到 Windows Defender 防病毒,而不是Microsoft Defender防病毒。 如果卸载非Microsoft防病毒产品,请确保重新启用Microsoft Defender防病毒。
如果禁用,请参阅在Windows Server上重新启用Microsoft Defender防病毒。
使用以下命令检查服务和筛选器驱动程序Microsoft Defender防病毒:
gsv WinDefend, WdBoot, WdFilter, WdNisSvc, WdNisDrv | ft -auto DisplayName, Name, StartType, Status
| 显示名称 | 名称 | StartType | 启用Microsoft Defender防病毒时的状态 | 禁用Microsoft Defender防病毒时的状态 | Comments |
|---|---|---|---|---|---|
| Microsoft Defender防病毒启动驱动程序 | WdBoot |
启动 | 已停止 (0x0 Boot_start) |
已停止 (0x3 Demand_start) |
启动后停止是正常的。 |
| Microsoft Defender防病毒 Mini-Filter 驱动程序 | WdFilter |
手动 | 运行 (0x0 Boot_start) |
已停止 (0x3 Demand_start) |
如果安装了非Microsoft防病毒解决方案,则预期状态为“已停止”。 |
| Microsoft Defender防病毒网络检查系统驱动程序 | WdNisDrv |
手动 | 运行 (0x3 Demand_start) |
已停止 (0x3 Demand_start) |
如果安装了非Microsoft防病毒解决方案,则预期状态为“已停止”。 |
| Microsoft Defender防病毒网络检查服务 | WdNisSvc |
手动 | 运行 (0x3 Demand_start) |
已停止 (0x3 Demand_start) |
如果安装了非Microsoft防病毒解决方案,则预期状态为“已停止”。 |
| Microsoft Defender防病毒服务 | WinDefend |
自动 | 运行 (0x2 Auto_start) |
已停止 (0x3 Demand_start) |
如果安装了非Microsoft防病毒解决方案,则预期状态为“已停止”。 |
常见问题解答(FAQ)
问:禁用Microsoft Defender防病毒时,是否可以更新Microsoft Defender防病毒组件,例如“安全智能更新”、“引擎更新”或“平台更新”?
一个: 不。 禁用Microsoft Defender防病毒时,由于服务和驱动程序未运行,因此你将无法更新组件,例如“安全智能更新”或“引擎更新”或“平台更新”。
提示
如果要迁移到Microsoft Defender for Endpoint计划 2,则载入时,Microsoft Defender防病毒在 Windows 客户端上自动进入被动模式,并且可以使用Windows Server上的注册表项设置为被动模式。 可以更新 Microsoft Defender 防病毒的不同组件。
问:是否可以手动更改Microsoft Defender防病毒服务和驱动程序的启动类型?
一个:不支持手动修改 Windows 映像中用于 Microsoft Defender 防病毒的服务和驱动程序的启动类型。 在 Windows 客户端上,支持的方法是在 Windows 安全中心 Center (WSC) api 中注册非Microsoft防病毒。 或者,在Windows Server,可以使用角色和功能 MMC 或通过以管理员) (运行以下 PowerShell 命令来卸载 Microsoft Defender 防病毒功能:
Windows Server 2019 及更新
Uninstall-WindowsFeature Windows-Defender
Windows Server 2016
Uninstall-WindowsFeature Windows-Defender
Uninstall-WindowsFeature Windows-Defender-Gui
问:是否可以在不加入Microsoft Defender for Endpoint的情况下在被动模式下使用 Microsoft Defender 防病毒?
一个: 不。 被动模式是Microsoft Defender for Endpoint计划 2 中的一项功能。
问:是否可以在不加入到Microsoft Defender for Endpoint的情况下在块模式下使用 EDR?
一个: 不。 块模式下的 EDR 是计划 2 Microsoft Defender for Endpoint 中的一项功能。
问:我是否可以将指标(例如文件哈希、IP 地址、URL 或证书)与Microsoft Defender防病毒 (一起使用,) 我的 Microsoft 365 E3/A3 许可证?
一个: 是的。 请参阅技术社区博客:Microsoft Defender for Endpoint计划 1 现在包含在 Microsoft 365 E3/A3 许可证中和概述Microsoft Defender for Endpoint计划 1。
另请参阅
使用Microsoft Defender for Endpoint安全设置管理来管理Microsoft Defender防病毒
如何在 Configuration Manager 中创建和部署 Endpoint Protection 的反恶意软件策略
提示
想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区。