Microsoft Defender Antivirus-Kompatibilität mit anderen Sicherheitsprodukten

Gilt für:

Plattformen

  • Windows

Microsoft Defender Antivirus ist auf Endpunkten verfügbar, auf denen die folgenden Windows-Versionen ausgeführt werden:

  • Windows 11
  • Windows 10
  • Windows Server 2022
  • Windows Server 2019
  • Windows Server, Version 1803 oder höher
  • Windows Server 2016

Microsoft Defender Antivirus ist unter bestimmten Bedingungen auch für ältere Versionen von Windows verfügbar.

Wenn Sie Nicht-Microsoft-Antiviren-/Antischadsoftware verwenden, können Sie möglicherweise Microsoft Defender Antivirus zusammen mit der anderen Antivirenlösung ausführen. In diesem Artikel wird beschrieben, was mit Microsoft Defender Antivirus- und Nicht-Microsoft-Antiviren-/Antischadsoftware mit und ohne Microsoft Defender for Endpoint geschieht.

Antivirenschutz ohne Defender für Endpunkt

In diesem Abschnitt wird beschrieben, was geschieht, wenn Sie Microsoft Defender Antivirus zusammen mit Nicht-Microsoft-Antiviren-/Antischadsoftwareprodukten auf Endpunkten verwenden, die nicht in Defender für Endpunkt integriert sind.

Im Allgemeinen wird Microsoft Defender Antivirus nicht im passiven Modus auf Geräten ausgeführt, die nicht in Defender für Endpunkt integriert sind.

In der folgenden Tabelle wird zusammengefasst, was Sie erwarten können:

Windows-Version Primäre Antiviren-/Antischadsoftwarelösung Microsoft Defender Antivirusstatus
Windows 10
Windows 11
Microsoft Defender Antivirus Aktiver Modus
Windows 10
Windows 11
Eine Nicht-Microsoft-Antiviren-/Antischadsoftware-Lösung Deaktivierter Modus (wird automatisch ausgeführt)

Wenn SmartAppControl in Windows 11 aktiviert ist, wechselt Microsoft Defender Antivirus in den passiven Modus.
Windows Server 2022
Windows Server 2019
Windows Server, Version 1803 oder höher
Windows Server 2016
Windows Server 2012 R2
Microsoft Defender Antivirus Aktiver Modus
Windows Server 2022
Windows Server 2019
Windows Server, Version 1803 oder höher
Windows Server 2016
Eine Nicht-Microsoft-Antiviren-/Antischadsoftware-Lösung Deaktiviert
(manuell festgelegt; siehe hinweis in dieser Tabelle)

Hinweis

Wenn Sie unter Windows Server ein nicht von Microsoft stammendes Antivirenprodukt ausführen, können Sie Microsoft Defender Antivirus deinstallieren, indem Sie das folgende PowerShell-Cmdlet (als Administrator) verwenden: Uninstall-WindowsFeature Windows-Defender. Starten Sie Den Server neu, um das Entfernen von Microsoft Defender Antivirus abzuschließen. Auf Windows Server 2016 wird möglicherweise Windows Defender Antivirus anstelle von Microsoft Defender Antivirus angezeigt. Wenn Sie Ihr nicht von Microsoft stammendes Antivirenprodukt deinstallieren, stellen Sie sicher, dass Microsoft Defender Antivirus wieder aktiviert ist. Weitere Informationen finden Sie unter Erneutes Aktivieren von Microsoft Defender Antivirus unter Windows Server, wenn es deaktiviert wurde.

Wenn das Gerät in Microsoft Defender for Endpoint integriert ist, können Sie Microsoft Defender Antivirus im passiven Modus verwenden, wie weiter unten in diesem Artikel beschrieben.

Microsoft Defender Antivirus- und Nicht-Microsoft-Antiviren-/Antischadsoftware-Lösungen

Hinweis

Im Allgemeinen kann Microsoft Defender Antivirus nur auf Endpunkten, die in Defender für Endpunkt integriert sind, auf den passiven Modus festgelegt werden.

Ob Microsoft Defender Antivirus im aktiven, passiven oder deaktivierten Modus ausgeführt wird, hängt von verschiedenen Faktoren ab, z. B.:

  • Die auf einem Endpunkt installierte Windows-Version
  • Ob Microsoft Defender Antivirus die primäre Antiviren-/Antischadsoftwarelösung auf dem Endpunkt ist
  • Gibt an, ob der Endpunkt in Defender für Endpunkt integriert ist

In der folgenden Tabelle wird der Status von Microsoft Defender Antivirus in verschiedenen Szenarien zusammengefasst.

Antiviren-/Antischadsoftwarelösung In Defender für Endpunkt integriert? Microsoft Defender Antivirusstatus Smart App-Steuerungsstatus
Microsoft Defender Antivirus Ja Aktiver Modus Nicht zutreffend
Microsoft Defender Antivirus Nein Aktiver Modus Ein, Auswertung oder Aus
Eine Nicht-Microsoft-Antiviren-/Antischadsoftware-Lösung Ja Passiver Modus (automatisch) Nicht zutreffend
Eine Nicht-Microsoft-Antiviren-/Antischadsoftware-Lösung Nein Deaktiviert (automatisch) Auswertung oder Ein

Hinweis

Smart App Control ist ein reines Consumerprodukt, das bei neu installierten Windows 11 verwendet wird. Es kann zusammen mit Ihrer Antivirensoftware ausgeführt werden und Apps blockieren, die als bösartig oder nicht vertrauenswürdig gelten. Erfahren Sie mehr über smarte App-Steuerung.

Windows Server und passiver Modus

Unter Windows Server 2019, Windows Server, Version 1803 oder höher, Windows Server 2016 oder Windows Server 2012 R2 wechselt Microsoft Defender Antivirus nicht automatisch in den passiven Modus, wenn Sie ein Nicht-Microsoft-Antivirenprodukt installieren. Legen Sie in diesen Fällen Microsoft Defender Antivirus auf den passiven Modus fest, um Probleme zu vermeiden, die durch die Installation mehrerer Antivirenprodukte auf einem Server verursacht werden. Sie können Microsoft Defender Antivirus wie folgt mithilfe eines Registrierungsschlüssels auf den passiven Modus festlegen:

  • Pfad: HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection
  • Name: ForceDefenderPassiveMode
  • Art: REG_DWORD
  • Wert: 1

Sie können Ihre Schutz-status in PowerShell anzeigen, indem Sie den Befehl Get-MpComputerStatus verwenden. Überprüfen Sie den Wert für AMRunningMode. Wenn Microsoft Defender Antivirus auf dem Endpunkt aktiviert ist, sollte normaler,passiver oder EDR-Blockmodus angezeigt werden.

Damit der passive Modus auf Endpunkten funktioniert, die Windows Server 2016 und Windows Server 2012 R2 ausgeführt werden, müssen diese Endpunkte mit der modernen, einheitlichen Lösung integriert werden, die unter Onboarding von Windows-Servern beschrieben wird.

Wichtig

Ab Plattformversion 4.18.2208.0 und höher ermöglicht der Manipulationsschutz, wenn ein Server in Microsoft Defender for Endpoint integriert ist, einen Wechsel in den aktiven Modus, jedoch nicht in den passiven Modus.

Beachten Sie die geänderte Logik fürForceDefenderPassiveMode, wenn der Manipulationsschutz aktiviert ist: Sobald Microsoft Defender Antivirus auf den aktiven Modus festgelegt ist, verhindert der Manipulationsschutz, dass es wieder in den passiven Modus wechselt, auch wenn ForceDefenderPassiveMode auf 1festgelegt ist.

Deaktivieren/deinstallieren Sie auf Windows Server 2016 Windows Server 2012 R2, Windows Server Version 1803 oder höher, Windows Server 2019 und Windows Server 2022, wenn Sie ein Nicht-Microsoft-Antivirenprodukt auf einem Endpunkt verwenden, der nicht in Microsoft Defender for Endpoint integriert ist. Microsoft Defender Antivirus manuell, um Probleme zu vermeiden, die durch die Installation mehrerer Antivirenprodukte auf einem Server verursacht werden. Defender für Endpunkt enthält jedoch Funktionen, die den auf Ihrem Endpunkt installierten Antivirenschutz weiter erweitern. Wenn Sie Defender für Endpunkt verwenden, können Sie Microsoft Defender Antivirus zusammen mit einer anderen Antivirenlösung ausführen.

Beispielsweise bietet Endpunkterkennung und -antwort (EDR) im Blockmodus zusätzlichen Schutz vor schädlichen Artefakten, auch wenn Microsoft Defender Antivirus nicht das primäre Antivirenprodukt ist. Solche Funktionen erfordern, dass Microsoft Defender Antivirus installiert ist und im passiven oder aktiven Modus ausgeführt wird.

Tipp

Auf Windows Server 2016 wird möglicherweise Windows Defender Antivirus anstelle von Microsoft Defender Antivirus angezeigt.

Anforderungen für Microsoft Defender Antivirus im passiven Modus

Damit Microsoft Defender Antivirus im passiven Modus ausgeführt werden kann, müssen Endpunkte die folgenden Anforderungen erfüllen:

Wichtig

  • Microsoft Defender Antivirus ist nur auf Geräten mit Windows 10 und 11, Windows Server 2022, Windows Server 2016, Windows Server 2019, Windows Server, Version 1803 oder höher, Windows Server 2016 und verfügbar. Windows Server 2012 R2.
  • Der passive Modus wird nur unter Windows Server 2012 R2 & 2016 unterstützt, wenn das Gerät mithilfe der modernen, einheitlichen Lösung integriert wird.
  • In Windows 8.1 wird der Endpunktschutz auf Unternehmensebene als System Center Endpoint Protection angeboten, der über Microsoft Endpoint Configuration Manager verwaltet wird.
  • Windows Defender wird auch für Consumergeräte auf Windows 8.1 angeboten, obwohl Windows Defender keine Verwaltung auf Unternehmensebene bietet.

Auswirkungen Microsoft Defender Antivirus auf die Defender für Endpunkt-Funktionalität

Defender für Endpunkt beeinflusst, ob Microsoft Defender Antivirus im passiven Modus ausgeführt werden kann. Außerdem kann sich der Status von Microsoft Defender Antivirus auf bestimmte Funktionen in Defender für Endpunkt auswirken. Der Echtzeitschutz funktioniert beispielsweise, wenn sich Microsoft Defender Antivirus im aktiven oder passiven Modus befindet, aber nicht, wenn Microsoft Defender Antivirus deaktiviert oder deinstalliert wird.

Wichtig

  • In der Tabelle in diesem Abschnitt werden die Features und Funktionen zusammengefasst, die aktiv funktionieren oder nicht, je nachdem, ob Microsoft Defender Antivirus im aktiven Modus, im passiven Modus oder deaktiviert/deinstalliert ist. Diese Tabelle dient nur als Information.
  • Deaktivieren Sie keine Funktionen wie Echtzeitschutz, Schutz durch die Cloud oder eingeschränkte regelmäßige Überprüfungen, wenn Sie Microsoft Defender Antivirus im passiven Modus verwenden oder wenn Sie EDR im Blockmodus verwenden, der im Hintergrund funktioniert, um schädliche Artefakte zu erkennen und zu beheben, die nach einer Sicherheitsverletzung erkannt wurden.
Schutz Microsoft Defender Antivirus
(Aktiver Modus)
Microsoft Defender Antivirus
(Passiver Modus)
Microsoft Defender Antivirus
(Deaktiviert oder deinstalliert)
Echtzeitschutz Ja Siehe Hinweis 1 Nein
In der Cloud bereitgestellter Schutz Ja Nein Nein
Netzwerkschutz Ja Nein Nein
Regeln zur Verringerung der Angriffsfläche Ja Nein Nein
Informationen zur Dateiüberprüfung und -erkennung Ja Ja
Siehe Hinweis 2
Nein
Bedrohungsbehebung Ja Siehe Hinweis 3 Nein
Security Intelligence-Updates Ja Ja
Siehe Hinweis 4
Nein
Verhinderung von Datenverlust Ja Ja Nein
Kontrollierter Ordnerzugriff Ja Nein Nein
Internet-Inhaltsfilterung Ja Siehe Hinweis 5 Nein
Gerätesteuerung Ja Ja Nein
PUA-Schutz Ja Nein Nein

Hinweise zu Schutzzuständen

  1. Wenn sich Microsoft Defender Antivirus im passiven Modus befindet, verhält sich der Echtzeitschutz mit Microsoft Endpoint Data Loss Prevention (Endpoint DLP) wie folgt:

    Microsoft Defender Antivirus im passiven Modus Echtzeitschutzstatus
    Endpunkt-DLP ist deaktiviert Deaktiviert

    Bietet keinen Antiviren-Echtzeitschutz, der blockiert oder erzwingt.
    Endpunkt-DLP ist aktiviert Aktiviert für DLP-spezifische Funktionen

    Bietet keinen Antiviren-Echtzeitschutz, der blockiert oder erzwingt.

    Stellen Sie sicher, dass Sie Microsoft Defender Antivirus- und Microsoft Defender for Endpoint Binärdateien zur Ausschlussliste der nicht von Microsoft stammenden Antiviren- oder EDR-Lösung hinzufügen.
  2. Wenn sich Microsoft Defender Antivirus im passiven Modus befindet, werden keine Überprüfungen geplant. Wenn Überprüfungen in Ihrer Konfiguration geplant sind , wird der Zeitplan ignoriert. Es sei denn:

    1. "Start the scheduled scan only when computer is on but not in use" ist auf "Not configured or enabled" (Nicht konfiguriert oder aktiviert) festgelegt. Ein Windows-Aufgabenplaner wird erstellt, es sei denn, Sie legen "Geplante Überprüfung nur starten, wenn der Computer aktiviert, aber nicht verwendet wird" auf deaktiviert fest.

    2. "Nachholschnellüberprüfung aktivieren" ist auf "Nicht konfiguriert oder aktiviert" festgelegt. Alle 30 Tage (Standardanzahl von Tagen) wird weiterhin eine schnelle Aufholüberprüfung durchgeführt, es sei denn, "Nachholschnellüberprüfung aktivieren" ist deaktiviert. Scantasks, die im Windows-Aufgabenplaner eingerichtet sind, werden weiterhin gemäß ihrem Zeitplan ausgeführt. Wenn Sie über geplante Vorgänge verfügen, können Sie diese ggf. entfernen.

    3. "Überprüfung nach dem Security Intelligence-Update aktivieren" ist auf "Nicht konfiguriert oder aktiviert" festgelegt. Standardmäßig erfolgt eine Schnellüberprüfung nach einem "Security Intelligence Update", es sei denn, Sie legen "Überprüfung nach Security Intelligence-Update aktivieren" auf deaktiviert fest.

  3. Wenn sich Microsoft Defender Antivirus im passiven Modus befindet, werden keine Bedrohungen behoben. Die Endpunkterkennung und -reaktion (Endpoint Detection and Response, EDR) im Blockmodus kann jedoch Bedrohungen beseitigen. In diesem Fall werden möglicherweise Warnungen angezeigt, die Microsoft Defender Antivirus als Quelle anzeigen, auch wenn sich Microsoft Defender Antivirus im passiven Modus befindet.

  4. Der Updaterhythmus von Security Intelligence wird nur durch Windows Update Einstellungen gesteuert. Defender-spezifische Updateplanereinstellungen (täglich/wöchentlich zu einem bestimmten Zeitpunkt, intervallbasiert) funktionieren nur, wenn sich Microsoft Defender Antivirus im aktiven Modus befindet. Sie werden im passiven Modus ignoriert.

  5. Wenn sich Microsoft Defender Antivirus im passiven Modus befindet, funktioniert die Filterung von Webinhalten nur mit dem Microsoft Edge-Browser.

Wichtig

  • Der Schutz vor Datenverlust von Endpunkten funktioniert weiterhin normal, wenn sich Microsoft Defender Antivirus entweder im aktiven oder passiven Modus befindet.

  • Deaktivieren, beenden oder ändern Sie keine der zugehörigen Dienste, die von Microsoft Defender Antivirus, Defender für Endpunkt oder der Windows-Sicherheit-App verwendet werden. Diese Empfehlung umfasst die -, -, MsSense-, WinDefendSense- oder MsMpEng -wscsvcDienste und -SecurityHealthServiceProzesse. Das manuelle Ändern dieser Dienste kann zu schwerwiegender Instabilität auf Ihren Geräten führen und Ihr Netzwerk anfällig machen. Das Deaktivieren, Beenden oder Ändern dieser Dienste kann auch Probleme verursachen, wenn Nicht-Microsoft-Antivirenlösungen verwendet werden und wie ihre Informationen in der Windows-Sicherheit-App angezeigt werden.

  • In Defender für Endpunkt können Sie EDR im Blockmodus aktivieren, auch wenn Microsoft Defender Antivirus nicht Ihre primäre Antivirenlösung ist. EDR im Blockmodus erkennt und beseitigt böswillige Elemente, die auf dem Gerät gefunden werden (nach einer Sicherheitsverletzung). Weitere Informationen finden Sie unter EDR im Blockmodus.

So bestätigen Sie den Status von Microsoft Defender Antivirus

Sie können eine von mehreren Methoden verwenden, um den Status von Microsoft Defender Antivirus zu bestätigen. Sie haben folgende Möglichkeiten:

Wichtig

Ab Plattformversion 4.18.2208.0 und höher: Wenn ein Server in Microsoft Defender for Endpoint integriert wurde, deaktiviert die Gruppenrichtlinieneinstellung "Windows Defender deaktivieren" Windows Defender Antivirus auf Windows Server 2012 R2 und höher nicht mehr vollständig. Stattdessen wird Microsoft Defender Antivirus in den passiven Modus versetzt. Darüber hinaus ermöglicht der Manipulationsschutz einen Wechsel in den aktiven Modus, aber nicht in den passiven Modus.

  • Wenn "Windows Defender deaktivieren" bereits vor dem Onboarding in Microsoft Defender for Endpoint vorhanden ist, bleibt Microsoft Defender Antivirus deaktiviert.
  • Um Microsoft Defender Antivirus in den passiven Modus zu wechseln, können Sie die ForceDefenderPassiveMode-Konfiguration mit dem Wert anwenden, auch wenn er vor dem 1Onboarding deaktiviert wurde. Um ihn in den aktiven Modus zu versetzen, legen Sie diesen Wert stattdessen auf fest 0 .

Beachten Sie die geänderte Logik, ForceDefenderPassiveMode wenn der Manipulationsschutz aktiviert ist: Sobald Microsoft Defender Antivirus in den aktiven Modus umgeschaltet wurde, verhindert der Manipulationsschutz, dass es wieder in den passiven Modus wechselt, auch wenn ForceDefenderPassiveMode auf 1festgelegt ist.

Verwenden der Windows-Sicherheit-App zum Identifizieren Ihrer Antiviren-App

  1. Öffnen Sie auf einem Windows-Gerät die Windows-Sicherheit-App.

  2. Wählen Sie Viren- und Bedrohungsschutz aus.

  3. Wählen Sie unter Wer schützt mich? die Option Anbieter verwalten aus.

  4. Auf der Seite Sicherheitsanbieter sollte unter Antivirus angezeigt werden, Microsoft Defender Antivirus aktiviert ist.

Vergewissern Sie sich mithilfe des Task-Managers, dass Microsoft Defender Antivirus ausgeführt wird.

  1. Öffnen Sie auf einem Windows-Gerät die Task-Manager-App.

  2. Wählen Sie die Registerkarte Details aus.

  3. Suchen Sie in der Liste nachMsMpEng.exe .

Verwenden Sie Windows PowerShell, um zu bestätigen, dass Microsoft Defender Antivirus ausgeführt wird.

Wichtig

Verwenden Sie dieses Verfahren nur, um zu überprüfen, ob Microsoft Defender Antivirus auf einem Endpunkt ausgeführt wird.

  1. Öffnen Sie auf einem Windows-Gerät Windows PowerShell.

  2. Führen Sie das folgende PowerShell-Cmdlet aus: Get-Process.

  3. Überprüfen Sie die Ergebnisse. Wenn Microsoft Defender Antivirus aktiviert ist, sollteMsMpEng.exeangezeigt werden.

Verwenden Sie Windows PowerShell, um zu bestätigen, dass der Antivirenschutz ausgeführt wird.

Wichtig

Verwenden Sie dieses Verfahren nur, um zu überprüfen, ob der Antivirenschutz auf einem Endpunkt aktiviert ist.

  1. Öffnen Sie auf einem Windows-Gerät Windows PowerShell.

  2. Führen Sie das folgende PowerShell-Cmdlet aus: Get-MpComputerStatus | select AMRunningMode.

  3. Überprüfen Sie die Ergebnisse. Wenn der Antivirenschutz auf dem Endpunkt aktiviert ist, sollte normaler, passiver oder EDR-Blockmodus angezeigt werden.

Weitere Details zu Microsoft Defender Antivirus-Status

In den folgenden Abschnitten wird beschrieben, was Sie bei Microsoft Defender Antivirus erwarten können:

Aktiver Modus

Im aktiven Modus wird Microsoft Defender Antivirus als Antiviren-App auf dem Computer verwendet. Es gelten Einstellungen, die mithilfe von Configuration Manager, Gruppenrichtlinie, Microsoft Intune oder anderen Verwaltungsprodukten konfiguriert werden. Dateien werden überprüft, Bedrohungen werden behoben, und Erkennungsinformationen werden in Ihrem Konfigurationstool gemeldet (z. B. im Microsoft Intune Admin Center oder in der Microsoft Defender Antivirus-App auf dem Endpunkt).

Passiver Modus oder EDR im Blockmodus

Im passiven Modus wird Microsoft Defender Antivirus nicht als Antiviren-App verwendet, und Bedrohungen werden nicht von Microsoft Defender Antivirus behoben. Die Endpunkterkennung und -reaktion (Endpoint Detection and Response, EDR) im Blockmodus kann jedoch Bedrohungen beseitigen. Dateien werden von EDR überprüft, und Es werden Berichte für Bedrohungserkennungen bereitgestellt, die für den Defender für Endpunkt-Dienst freigegeben werden. Möglicherweise werden Warnungen angezeigt, die Microsoft Defender Antivirus als Quelle anzeigen, auch wenn sich Microsoft Defender Antivirus im passiven Modus befindet.

Wenn sich Microsoft Defender Antivirus im passiven Modus befindet, können Sie weiterhin Updates für Microsoft Defender Antivirus verwalten. Sie können Microsoft Defender Antivirus jedoch nicht in den aktiven Modus verschieben, wenn Ihre Geräte über ein Nicht-Microsoft-Antivirenprodukt verfügen, das Echtzeitschutz vor Schadsoftware bietet.

Stellen Sie sicher, dass Sie Ihre Antiviren- und Antischadsoftware-Updates erhalten, auch wenn Microsoft Defender Antivirus im passiven Modus ausgeführt wird. Weitere Informationen finden Sie unter Verwalten Microsoft Defender Antivirenupdates und Anwenden von Baselines. Der passive Modus wird nur unter Windows Server 2012 R2 & 2016 unterstützt, wenn das Onboarding des Computers mithilfe der modernen, einheitlichen Lösung erfolgt.

Deaktiviert oder deinstalliert

Wenn sie deaktiviert oder deinstalliert ist, wird Microsoft Defender Antivirus nicht als Antiviren-App verwendet. Dateien werden nicht überprüft, und Bedrohungen werden nicht behoben. Das Deaktivieren oder Deinstallieren von Microsoft Defender Antivirus wird im Allgemeinen nicht empfohlen. Wenn möglich, behalten Sie Microsoft Defender Antivirus im passiven Modus bei, wenn Sie eine nicht von Microsoft stammende Antischadsoftware-/Antivirenlösung verwenden.

In Fällen, in denen Microsoft Defender Antivirus automatisch deaktiviert wird, kann es automatisch erneut aktiviert werden, wenn das nicht von Microsoft stammende Antiviren-/Antischadsoftwareprodukt abläuft, deinstalliert wird oder anderweitig keinen Echtzeitschutz mehr vor Viren, Schadsoftware oder anderen Bedrohungen bietet. Die automatische erneute Aktivierung von Microsoft Defender Antivirus trägt dazu bei, dass der Antivirenschutz auf Ihren Endpunkten aufrechterhalten wird.

Was ist mit Nicht-Windows-Geräten?

Wenn Sie nach Informationen zu Antivirensoftware für andere Plattformen suchen, lesen Sie:

Siehe auch

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.