compatibilidad de Microsoft Defender Antivirus con otros productos de seguridad

Se aplica a:

Plataformas

  • Windows

Microsoft Defender Antivirus está disponible en puntos de conexión que ejecutan las siguientes versiones de Windows:

  • Windows 11
  • Windows 10
  • Windows Server 2022
  • Windows Server 2019
  • Windows Server, versión 1803 o posterior
  • Windows Server 2016

Microsoft Defender Antivirus también está disponible para versiones anteriores de Windows en determinadas condiciones.

Si usa software antivirus o antimalware que no es de Microsoft, es posible que pueda ejecutar Microsoft Defender Antivirus junto con la otra solución antivirus. En este artículo se describe lo que sucede con Microsoft Defender Antivirus y software antivirus o antimalware que no son de Microsoft, con y sin Microsoft Defender para punto de conexión.

Protección antivirus sin Defender para punto de conexión

En esta sección se describe lo que ocurre al usar Microsoft Defender Antivirus junto con productos antivirus o antimalware que no son de Microsoft en puntos de conexión que no están incorporados a Defender para punto de conexión.

En general, Microsoft Defender Antivirus no se ejecuta en modo pasivo en dispositivos que no están incorporados a Defender para punto de conexión.

En la tabla siguiente se resume lo que se debe esperar:

Versión de Windows Solución antivirus/antimalware principal Microsoft Defender estado antivirus
Windows 10
Windows 11
Antivirus de Microsoft Defender Modo activo
Windows 10
Windows 11
Una solución antivirus o antimalware que no es de Microsoft Modo deshabilitado (se produce automáticamente)

En Windows 11, si SmartAppControl está habilitado, Microsoft Defender Antivirus entra en modo pasivo.
Windows Server 2022
Windows Server 2019
Windows Server, versión 1803 o posterior
Windows Server 2016
Windows Server 2012 R2
Antivirus de Microsoft Defender Modo activo
Windows Server 2022
Windows Server 2019
Windows Server, versión 1803 o posterior
Windows Server 2016
Una solución antivirus o antimalware que no es de Microsoft Deshabilitada
(establezca manualmente; consulte la nota que sigue a esta tabla)

Nota:

En Windows Server, si ejecuta un producto antivirus que no es de Microsoft, puede desinstalar Microsoft Defender Antivirus mediante el siguiente cmdlet de PowerShell (como administrador): Uninstall-WindowsFeature Windows-Defender. Reinicie el servidor para terminar de quitar Microsoft Defender Antivirus. En Windows Server 2016, es posible que vea Windows Antivirus de Defender en lugar de Microsoft Defender Antivirus. Si desinstala el producto antivirus que no es de Microsoft, asegúrese de que Microsoft Defender Antivirus vuelva a habilitarse. Consulta Volver a habilitar Microsoft Defender Antivirus en Windows Server si está deshabilitado.

Si el dispositivo está incorporado a Microsoft Defender para punto de conexión, puede usar Microsoft Defender Antivirus en modo pasivo, como se describe más adelante en este artículo.

Microsoft Defender antivirus y soluciones antivirus o antimalware que no son de Microsoft

Nota:

En general, Microsoft Defender Antivirus solo se puede establecer en modo pasivo en los puntos de conexión que se incorporan a Defender para punto de conexión.

Si Microsoft Defender Antivirus se ejecuta en modo activo, modo pasivo o está deshabilitado depende de varios factores, como:

  • La versión de Windows instalada en un punto de conexión
  • Si Microsoft Defender Antivirus es la solución antivirus o antimalware principal en el punto de conexión
  • Si el punto de conexión está incorporado a Defender para punto de conexión

En la tabla siguiente se resume el estado de Microsoft Defender Antivirus en varios escenarios.

Solución antivirus/antimalware ¿Se ha incorporado a Defender para punto de conexión? Microsoft Defender estado antivirus Estado del control de aplicaciones inteligentes
Antivirus de Microsoft Defender Yes Modo activo N/D
Antivirus de Microsoft Defender No Modo activo Activado, Evaluado o Desactivado
Una solución antivirus o antimalware que no es de Microsoft Yes Modo pasivo (automáticamente) N/D
Una solución antivirus o antimalware que no es de Microsoft No Deshabilitado (automáticamente) Evaluación o Activado

Nota:

Smart App Control es un producto solo para el consumidor que se usa en nuevas instalaciones de Windows 11. Se puede ejecutar junto con el software antivirus y bloquear aplicaciones que se consideran malintencionadas o que no son de confianza. Más información sobre Smart App Control.

Windows Server y modo pasivo

En Windows Server 2019, Windows Server, versión 1803 o posterior, Windows Server 2016 o Windows Server 2012 R2, Microsoft Defender Antivirus no entra en modo pasivo automáticamente al instalar un producto antivirus que no es de Microsoft. En esos casos, establezca Microsoft Defender Antivirus en modo pasivo para evitar problemas causados por tener varios productos antivirus instalados en un servidor. Puede establecer Microsoft Defender Antivirus en modo pasivo mediante una clave del Registro como se indica a continuación:

  • Camino: HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection
  • Nombre: ForceDefenderPassiveMode
  • Tipo: REG_DWORD
  • Valor: 1

Puede ver el estado de protección en PowerShell mediante el comando Get-MpComputerStatus. Compruebe el valor de AMRunningMode. Debería ver El modo de bloqueo normal, pasivo o EDR si Microsoft Defender Antivirus está habilitado en el punto de conexión.

Para que el modo pasivo funcione en puntos de conexión que ejecutan Windows Server 2016 y Windows Server 2012 R2, esos puntos de conexión deben incorporarse con la solución moderna y unificada que se describe en Incorporación de servidores Windows.

Importante

A partir de la versión de plataforma 4.18.2208.0 y versiones posteriores, si un servidor se incorpora a Microsoft Defender para punto de conexión, la protección contra alteraciones permite cambiar al modo activo, pero no al modo pasivo.

Observe la lógica modificada para ForceDefenderPassiveMode cuando está habilitada la protección contra alteraciones: una vez que Microsoft Defender Antivirus está establecido en modo activo, la protección contra alteraciones impide que vuelva al modo pasivo incluso cuando ForceDefenderPassiveMode se establece en 1.

En Windows Server 2016, Windows Server 2012 R2, Windows Server versión 1803 o posterior, Windows Server 2019 y Windows Server 2022, si usa un producto antivirus que no es de Microsoft en un punto de conexión que no está incorporado a Microsoft Defender para punto de conexión, deshabilite/ desinstale Microsoft Defender Antivirus manualmente para evitar problemas causados por tener varios productos antivirus instalados en un servidor. Sin embargo, Defender para punto de conexión incluye funcionalidades que amplían aún más la protección antivirus instalada en el punto de conexión. Si tiene Defender para punto de conexión, puede beneficiarse de la ejecución de Microsoft Defender Antivirus junto con otra solución antivirus.

Por ejemplo, la detección y respuesta de puntos de conexión (EDR) en modo de bloque proporciona protección adicional contra artefactos malintencionados incluso si Microsoft Defender Antivirus no es el producto antivirus principal. Estas funcionalidades requieren que Microsoft Defender Antivirus se instale y ejecute en modo pasivo o en modo activo.

Sugerencia

En Windows Server 2016, es posible que vea Windows Antivirus de Defender en lugar de Microsoft Defender Antivirus.

Requisitos para que Microsoft Defender Antivirus se ejecute en modo pasivo

Para que Microsoft Defender Antivirus se ejecute en modo pasivo, los puntos de conexión deben cumplir los siguientes requisitos:

Importante

  • Microsoft Defender Antivirus solo está disponible en dispositivos que ejecutan Windows 10 y 11, Windows Server 2022, Windows Server 2016, Windows Server 2019, Windows Server, versión 1803 o posterior, Windows Server 2016 y Windows Server 2012 R2.
  • El modo pasivo solo se admite en Windows Server 2012 R2 & 2016 cuando el dispositivo se incorpora mediante la solución moderna y unificada.
  • En Windows 8.1, la protección antivirus de punto de conexión de nivel empresarial se ofrece como System Center Endpoint Protection, que se administra a través de Microsoft Endpoint Configuration Manager.
  • Windows Defender también se ofrece para dispositivos de consumidor en Windows 8.1, aunque Windows Defender no proporciona administración de nivel empresarial.

Cómo afecta Microsoft Defender Antivirus a la funcionalidad de Defender para punto de conexión

Defender para punto de conexión afecta a si Microsoft Defender Antivirus puede ejecutarse en modo pasivo. Además, el estado de Microsoft Defender Antivirus puede afectar a determinadas funcionalidades de Defender para punto de conexión. Por ejemplo, la protección en tiempo real funciona cuando Microsoft Defender Antivirus está en modo activo o pasivo, pero no cuando Microsoft Defender Antivirus está deshabilitado o desinstalado.

Importante

  • En la tabla de esta sección se resumen las características y funcionalidades que funcionan activamente o no, según si Microsoft Defender Antivirus está en modo activo, modo pasivo o deshabilitado o desinstalado. Esta tabla está diseñada para ser solo informativa.
  • No desactive las funcionalidades, como la protección en tiempo real, la protección entregada en la nube o el examen periódico limitado si usa Microsoft Defender Antivirus en modo pasivo, o si usa EDR en modo de bloque, que funciona en segundo plano para detectar y corregir artefactos malintencionados detectados después de la infracción.
Protección Antivirus de Microsoft Defender
(Modo activo)
Antivirus de Microsoft Defender
(modo pasivo)
Antivirus de Microsoft Defender
(Deshabilitado o desinstalado)
Protección en tiempo real Yes Vea la nota 1. No
Protección entregada en la nube Yes No No
Protección de red Yes No No
Reglas de la reducción de la superficie expuesta a ataques Yes No No
Información de detección y detección de archivos
Vea la nota 2.
No
Corrección de amenazas Yes Vea la nota 3. No
Actualizaciones de inteligencia de seguridad
Consulte la nota 4.
No
Prevención de pérdida de datos No
Acceso controlado a carpetas Yes No No
Filtrado de contenido web Yes Consulte la nota 5. No
Control de dispositivos No
Protección PUA Yes No No

Notas sobre los estados de protección

  1. Cuando Microsoft Defender Antivirus está en modo pasivo, la protección en tiempo real se comporta de las siguientes maneras con la prevención de pérdida de datos de punto de conexión de Microsoft (DLP de punto de conexión):

    Microsoft Defender Antivirus en modo pasivo Estado de protección en tiempo real
    DLP de punto de conexión está deshabilitado Deshabilitada

    No proporciona ningún bloqueo o aplicación de protección antivirus en tiempo real.
    DLP de punto de conexión está habilitado Habilitado para funcionalidades específicas de DLP

    No proporciona ningún bloqueo o aplicación de protección antivirus en tiempo real.

    Asegúrese de agregar archivos binarios Microsoft Defender Antivirus y Microsoft Defender para punto de conexión a la lista de exclusión del antivirus o la solución EDR que no son de Microsoft.
  2. Cuando Microsoft Defender Antivirus está en modo pasivo, los exámenes no están programados. Si los exámenes están programados en la configuración, se omite la programación. A menos que:

    1. "Iniciar el examen programado solo cuando el equipo está encendido pero no en uso" se establece en "No configurado o habilitado". Se crea un Programador de tareas de Windows a menos que establezca "Iniciar el examen programado solo cuando el equipo está encendido pero no en uso" en deshabilitado.

    2. "Activar el examen rápido de puesta al día" se establece en "No configurado o habilitado". Cada 30 días (número predeterminado de días) se sigue produciendo un examen de captura rápida a menos que "Activar el examen rápido de puesta al día" esté establecido en deshabilitado. Las tareas de examen configuradas en el Programador de tareas de Windows continúan ejecutándose según su programación. Si tiene tareas programadas, puede quitarlas, si lo prefiere.

    3. "Activar el examen después de la actualización de inteligencia de seguridad" se establece en "No configurado o habilitado". De forma predeterminada, se produce un examen rápido después de una "actualización de inteligencia de seguridad" a menos que establezca "Activar el examen después de la actualización de inteligencia de seguridad" en deshabilitado.

  3. Cuando Microsoft Defender Antivirus está en modo pasivo, no corrige las amenazas. Sin embargo, la detección y respuesta de puntos de conexión (EDR) en modo de bloque puede corregir amenazas. En este caso, es posible que vea alertas que muestran Microsoft Defender Antivirus como origen, incluso cuando Microsoft Defender Antivirus está en modo pasivo.

  4. La cadencia de actualización de inteligencia de seguridad solo se controla mediante Windows Update configuración. Los programadores de actualizaciones específicos de Defender (diarios y semanales en un momento específico, basados en intervalos) solo funcionan cuando Microsoft Defender Antivirus está en modo activo. Se ignoran en modo pasivo.

  5. Cuando Microsoft Defender Antivirus está en modo pasivo, el filtrado de contenido web solo funciona con el explorador Microsoft Edge.

Importante

  • La protección contra la pérdida de datos de punto de conexión sigue funcionando normalmente cuando Microsoft Defender Antivirus está en modo activo o pasivo.

  • No deshabilite, detenga ni modifique ninguno de los servicios asociados que usa Microsoft Defender Antivirus, Defender para punto de conexión o la aplicación Seguridad de Windows. Esta recomendación incluye los wscsvcservicios y procesos , MsSenseSecurityHealthService, , Sense, WinDefendo MsMpEng . La modificación manual de estos servicios puede provocar una inestabilidad grave en los dispositivos y puede hacer que la red sea vulnerable. Deshabilitar, detener o modificar esos servicios también puede causar problemas al usar soluciones antivirus que no son de Microsoft y cómo se muestra su información en la aplicación Seguridad de Windows.

  • En Defender para punto de conexión, puede activar EDR en modo de bloque, incluso si Microsoft Defender Antivirus no es la solución antivirus principal. EDR en modo de bloque detecta y corrige los elementos malintencionados que se encuentran en el dispositivo (después de la infracción). Para obtener más información, consulte EDR en modo de bloque.

Cómo confirmar el estado de Microsoft Defender Antivirus

Puede usar uno de varios métodos para confirmar el estado de Microsoft Defender Antivirus. Puede:

Importante

A partir de la versión de la plataforma 4.18.2208.0 y versiones posteriores: si un servidor se ha incorporado a Microsoft Defender para punto de conexión, la configuración de directiva de grupo "Desactivar Windows Defender" ya no deshabilita completamente Windows Antivirus de Defender en Windows Server 2012 R2 y versiones posteriores. En su lugar, coloca Microsoft Defender Antivirus en modo pasivo. Además, la protección contra alteraciones permite cambiar al modo activo, pero no al modo pasivo.

  • Si "Desactivar Windows Defender" ya está en su lugar antes de incorporarse a Microsoft Defender para punto de conexión, Microsoft Defender Antivirus permanece deshabilitado.
  • Para cambiar Microsoft Defender Antivirus al modo pasivo, incluso si se deshabilitó antes de la incorporación, puede aplicar la configuración de ForceDefenderPassiveMode con un valor de 1. Para colocarlo en modo activo, cambie este valor a 0 en su lugar.

Tenga en cuenta la lógica modificada para ForceDefenderPassiveMode cuando está habilitada la protección contra alteraciones: una vez que Microsoft Defender Antivirus cambia al modo activo, la protección contra alteraciones impide que vuelva al modo pasivo incluso cuando ForceDefenderPassiveMode se establece en 1.

Usar la aplicación Seguridad de Windows para identificar la aplicación antivirus

  1. En un dispositivo Windows, abra la aplicación Seguridad de Windows.

  2. Seleccione Protección antivirus y contra amenazas.

  3. En ¿Quién me protege? seleccione Administrar proveedores.

  4. En la página Proveedores de seguridad, en Antivirus, debería ver Microsoft Defender Antivirus está activado.

Use el Administrador de tareas para confirmar que Microsoft Defender Antivirus está en ejecución

  1. En un dispositivo Windows, abra la aplicación Administrador de tareas.

  2. Seleccione la pestaña Detalles .

  3. Busque MsMpEng.exe en la lista.

Use Windows PowerShell para confirmar que Microsoft Defender Antivirus está en ejecución

Importante

Use este procedimiento solo para confirmar si Microsoft Defender Antivirus se ejecuta en un punto de conexión.

  1. En un dispositivo Windows, abra Windows PowerShell.

  2. Ejecute el siguiente cmdlet de PowerShell: Get-Process.

  3. Revise los resultados. Debería ver MsMpEng.exe si Microsoft Defender Antivirus está habilitado.

Uso de Windows PowerShell para confirmar que se está ejecutando la protección antivirus

Importante

Use este procedimiento solo para confirmar si la protección antivirus está habilitada en un punto de conexión.

  1. En un dispositivo Windows, abra Windows PowerShell.

  2. Ejecute el siguiente cmdlet de PowerShell: Get-MpComputerStatus | select AMRunningMode.

  3. Revise los resultados. Debería ver El modo de bloqueo normal, pasivo o EDR si la protección antivirus está habilitada en el punto de conexión.

Más detalles sobre Microsoft Defender estados del Antivirus

En las secciones siguientes se describe qué esperar cuando Microsoft Defender Antivirus es:

Modo activo

En modo activo, Microsoft Defender Antivirus se usa como aplicación antivirus en el equipo. Se aplican los valores configurados mediante Configuration Manager, directiva de grupo, Microsoft Intune u otros productos de administración. Los archivos se examinan, se corrigen las amenazas y se notifica información de detección en la herramienta de configuración (por ejemplo, en el centro de administración de Microsoft Intune o en la aplicación antivirus de Microsoft Defender en el punto de conexión).

Modo pasivo o EDR en modo de bloque

En el modo pasivo, Microsoft Defender Antivirus no se usa como aplicación antivirus y Microsoft Defender Antivirus no corrige las amenazas. Sin embargo, la detección y respuesta de puntos de conexión (EDR) en modo de bloque puede corregir amenazas. EDR examina los archivos y se proporcionan informes para las detecciones de amenazas que se comparten con el servicio Defender para punto de conexión. Es posible que vea alertas que muestran Microsoft Defender Antivirus como origen, incluso cuando Microsoft Defender Antivirus está en modo pasivo.

Cuando Microsoft Defender Antivirus está en modo pasivo, todavía puede administrar las actualizaciones de Microsoft Defender Antivirus; sin embargo, no puede mover Microsoft Defender Antivirus al modo activo si los dispositivos tienen un producto antivirus que no es de Microsoft que proporciona protección en tiempo real contra malware.

Asegúrese de obtener las actualizaciones de antivirus y antimalware, incluso si Microsoft Defender Antivirus se ejecuta en modo pasivo. Consulte Administración de actualizaciones Microsoft Defender Antivirus y aplicación de líneas base. El modo pasivo solo se admite en Windows Server 2012 R2 & 2016 cuando la máquina se incorpora mediante la solución moderna y unificada.

Deshabilitado o desinstalado

Cuando se deshabilita o desinstala, Microsoft Defender Antivirus no se usa como aplicación antivirus. Los archivos no se examinan y las amenazas no se corrigen. No se recomienda deshabilitar o desinstalar Microsoft Defender Antivirus en general; si es posible, mantenga Microsoft Defender Antivirus en modo pasivo si usa una solución antimalware o antivirus que no sea de Microsoft.

En los casos en los que Microsoft Defender Antivirus se deshabilita automáticamente, se puede volver a habilitar automáticamente si el producto antivirus o antimalware que no es de Microsoft expira, se desinstala o deja de proporcionar protección en tiempo real contra virus, malware u otras amenazas. La habilitación automática de Microsoft Defender Antivirus ayuda a garantizar que la protección antivirus se mantenga en los puntos de conexión.

¿Qué ocurre con los dispositivos que no son de Windows?

Si busca información relacionada con el antivirus para otras plataformas, consulte:

Vea también

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.