compatibilidad de Microsoft Defender Antivirus con otros productos de seguridad
Se aplica a:
- Antivirus de Microsoft Defender
- Microsoft Defender para punto de conexión Plan 1
- Microsoft Defender para punto de conexión Plan 2
Plataformas
- Windows
Microsoft Defender Antivirus está disponible en puntos de conexión que ejecutan las siguientes versiones de Windows:
- Windows 11
- Windows 10
- Windows Server 2022
- Windows Server 2019
- Windows Server, versión 1803 o posterior
- Windows Server 2016
Microsoft Defender Antivirus también está disponible para versiones anteriores de Windows en determinadas condiciones.
En Windows Server 2012 R2, cuando se incorpora mediante la solución moderna y unificada, Microsoft Defender Antivirus se instala en modo activo.
En Windows 8.1, con System Center Endpoint Protection, se ofrece y administra la protección antivirus de punto de conexión de nivel empresarial a través de Microsoft Endpoint Configuration Manager.
En los dispositivos de consumidor en Windows 8.1, Windows Defender está disponible (aunque no proporciona administración de nivel empresarial).
Si usa software antivirus o antimalware que no es de Microsoft, es posible que pueda ejecutar Microsoft Defender Antivirus junto con la otra solución antivirus. En este artículo se describe lo que sucede con Microsoft Defender Antivirus y software antivirus o antimalware que no son de Microsoft, con y sin Microsoft Defender para punto de conexión.
Protección antivirus sin Defender para punto de conexión
En esta sección se describe lo que ocurre al usar Microsoft Defender Antivirus junto con productos antivirus o antimalware que no son de Microsoft en puntos de conexión que no están incorporados a Defender para punto de conexión.
En general, Microsoft Defender Antivirus no se ejecuta en modo pasivo en dispositivos que no están incorporados a Defender para punto de conexión.
En la tabla siguiente se resume lo que se debe esperar:
Versión de Windows | Solución antivirus/antimalware principal | Microsoft Defender estado antivirus |
---|---|---|
Windows 10 Windows 11 |
Antivirus de Microsoft Defender | Modo activo |
Windows 10 Windows 11 |
Una solución antivirus o antimalware que no es de Microsoft | Modo deshabilitado (se produce automáticamente) En Windows 11, si SmartAppControl está habilitado, Microsoft Defender Antivirus entra en modo pasivo. |
Windows Server 2022 Windows Server 2019 Windows Server, versión 1803 o posterior Windows Server 2016 Windows Server 2012 R2 |
Antivirus de Microsoft Defender | Modo activo |
Windows Server 2022 Windows Server 2019 Windows Server, versión 1803 o posterior Windows Server 2016 |
Una solución antivirus o antimalware que no es de Microsoft | Deshabilitada (establezca manualmente; consulte la nota que sigue a esta tabla) |
Nota:
En Windows Server, si ejecuta un producto antivirus que no es de Microsoft, puede desinstalar Microsoft Defender Antivirus mediante el siguiente cmdlet de PowerShell (como administrador): Uninstall-WindowsFeature Windows-Defender
. Reinicie el servidor para terminar de quitar Microsoft Defender Antivirus.
En Windows Server 2016, es posible que vea Windows Antivirus de Defender en lugar de Microsoft Defender Antivirus.
Si desinstala el producto antivirus que no es de Microsoft, asegúrese de que Microsoft Defender Antivirus vuelva a habilitarse. Consulta Volver a habilitar Microsoft Defender Antivirus en Windows Server si está deshabilitado.
Si el dispositivo está incorporado a Microsoft Defender para punto de conexión, puede usar Microsoft Defender Antivirus en modo pasivo, como se describe más adelante en este artículo.
Microsoft Defender antivirus y soluciones antivirus o antimalware que no son de Microsoft
Nota:
En general, Microsoft Defender Antivirus solo se puede establecer en modo pasivo en los puntos de conexión que se incorporan a Defender para punto de conexión.
Si Microsoft Defender Antivirus se ejecuta en modo activo, modo pasivo o está deshabilitado depende de varios factores, como:
- La versión de Windows instalada en un punto de conexión
- Si Microsoft Defender Antivirus es la solución antivirus o antimalware principal en el punto de conexión
- Si el punto de conexión está incorporado a Defender para punto de conexión
En la tabla siguiente se resume el estado de Microsoft Defender Antivirus en varios escenarios.
Solución antivirus/antimalware | ¿Se ha incorporado a Defender para punto de conexión? | Microsoft Defender estado antivirus | Estado del control de aplicaciones inteligentes |
---|---|---|---|
Antivirus de Microsoft Defender | Yes | Modo activo | N/D |
Antivirus de Microsoft Defender | No | Modo activo | Activado, Evaluado o Desactivado |
Una solución antivirus o antimalware que no es de Microsoft | Yes | Modo pasivo (automáticamente) | N/D |
Una solución antivirus o antimalware que no es de Microsoft | No | Deshabilitado (automáticamente) | Evaluación o Activado |
Nota:
Smart App Control es un producto solo para el consumidor que se usa en nuevas instalaciones de Windows 11. Se puede ejecutar junto con el software antivirus y bloquear aplicaciones que se consideran malintencionadas o que no son de confianza. Más información sobre Smart App Control.
Windows Server y modo pasivo
En Windows Server 2019, Windows Server, versión 1803 o posterior, Windows Server 2016 o Windows Server 2012 R2, Microsoft Defender Antivirus no entra en modo pasivo automáticamente al instalar un producto antivirus que no es de Microsoft. En esos casos, establezca Microsoft Defender Antivirus en modo pasivo para evitar problemas causados por tener varios productos antivirus instalados en un servidor. Puede establecer Microsoft Defender Antivirus en modo pasivo mediante una clave del Registro como se indica a continuación:
- Camino:
HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection
- Nombre:
ForceDefenderPassiveMode
- Tipo:
REG_DWORD
- Valor:
1
Puede ver el estado de protección en PowerShell mediante el comando Get-MpComputerStatus. Compruebe el valor de AMRunningMode
. Debería ver El modo de bloqueo normal, pasivo o EDR si Microsoft Defender Antivirus está habilitado en el punto de conexión.
Para que el modo pasivo funcione en puntos de conexión que ejecutan Windows Server 2016 y Windows Server 2012 R2, esos puntos de conexión deben incorporarse con la solución moderna y unificada que se describe en Incorporación de servidores Windows.
Importante
A partir de la versión de plataforma 4.18.2208.0 y versiones posteriores, si un servidor se incorpora a Microsoft Defender para punto de conexión, la protección contra alteraciones permite cambiar al modo activo, pero no al modo pasivo.
Observe la lógica modificada para ForceDefenderPassiveMode
cuando está habilitada la protección contra alteraciones: una vez que Microsoft Defender Antivirus está establecido en modo activo, la protección contra alteraciones impide que vuelva al modo pasivo incluso cuando ForceDefenderPassiveMode
se establece en 1
.
En Windows Server 2016, Windows Server 2012 R2, Windows Server versión 1803 o posterior, Windows Server 2019 y Windows Server 2022, si usa un producto antivirus que no es de Microsoft en un punto de conexión que no está incorporado a Microsoft Defender para punto de conexión, deshabilite/ desinstale Microsoft Defender Antivirus manualmente para evitar problemas causados por tener varios productos antivirus instalados en un servidor. Sin embargo, Defender para punto de conexión incluye funcionalidades que amplían aún más la protección antivirus instalada en el punto de conexión. Si tiene Defender para punto de conexión, puede beneficiarse de la ejecución de Microsoft Defender Antivirus junto con otra solución antivirus.
Por ejemplo, la detección y respuesta de puntos de conexión (EDR) en modo de bloque proporciona protección adicional contra artefactos malintencionados incluso si Microsoft Defender Antivirus no es el producto antivirus principal. Estas funcionalidades requieren que Microsoft Defender Antivirus se instale y ejecute en modo pasivo o en modo activo.
Sugerencia
En Windows Server 2016, es posible que vea Windows Antivirus de Defender en lugar de Microsoft Defender Antivirus.
Requisitos para que Microsoft Defender Antivirus se ejecute en modo pasivo
Para que Microsoft Defender Antivirus se ejecute en modo pasivo, los puntos de conexión deben cumplir los siguientes requisitos:
Sistema operativo: Windows 10 o posterior; Windows Server 2022, Windows Server 2019 o Windows Server, versión 1803 o posterior
(Windows Server 2012 R2 y Windows Server 2016 si se incorporan mediante la solución moderna y unificada).Microsoft Defender Antivirus debe estar instalado.
Otro producto antivirus o antimalware que no sea de Microsoft debe instalarse y usarse como solución antivirus principal. (Agregue Microsoft Defender para punto de conexión a la lista de exclusión de la solución existente).
Los puntos de conexión deben incorporarse a Defender para punto de conexión.
Importante
- Microsoft Defender Antivirus solo está disponible en dispositivos que ejecutan Windows 10 y 11, Windows Server 2022, Windows Server 2016, Windows Server 2019, Windows Server, versión 1803 o posterior, Windows Server 2016 y Windows Server 2012 R2.
- El modo pasivo solo se admite en Windows Server 2012 R2 & 2016 cuando el dispositivo se incorpora mediante la solución moderna y unificada.
- En Windows 8.1, la protección antivirus de punto de conexión de nivel empresarial se ofrece como System Center Endpoint Protection, que se administra a través de Microsoft Endpoint Configuration Manager.
- Windows Defender también se ofrece para dispositivos de consumidor en Windows 8.1, aunque Windows Defender no proporciona administración de nivel empresarial.
Cómo afecta Microsoft Defender Antivirus a la funcionalidad de Defender para punto de conexión
Defender para punto de conexión afecta a si Microsoft Defender Antivirus puede ejecutarse en modo pasivo. Además, el estado de Microsoft Defender Antivirus puede afectar a determinadas funcionalidades de Defender para punto de conexión. Por ejemplo, la protección en tiempo real funciona cuando Microsoft Defender Antivirus está en modo activo o pasivo, pero no cuando Microsoft Defender Antivirus está deshabilitado o desinstalado.
Importante
- En la tabla de esta sección se resumen las características y funcionalidades que funcionan activamente o no, según si Microsoft Defender Antivirus está en modo activo, modo pasivo o deshabilitado o desinstalado. Esta tabla está diseñada para ser solo informativa.
- No desactive las funcionalidades, como la protección en tiempo real, la protección entregada en la nube o el examen periódico limitado si usa Microsoft Defender Antivirus en modo pasivo, o si usa EDR en modo de bloque, que funciona en segundo plano para detectar y corregir artefactos malintencionados detectados después de la infracción.
Protección | Antivirus de Microsoft Defender (Modo activo) |
Antivirus de Microsoft Defender (modo pasivo) |
Antivirus de Microsoft Defender (Deshabilitado o desinstalado) |
---|---|---|---|
Protección en tiempo real | Yes | Vea la nota 1. | No |
Protección entregada en la nube | Yes | No | No |
Protección de red | Yes | No | No |
Reglas de la reducción de la superficie expuesta a ataques | Yes | No | No |
Información de detección y detección de archivos | Sí | Sí Vea la nota 2. |
No |
Corrección de amenazas | Yes | Vea la nota 3. | No |
Actualizaciones de inteligencia de seguridad | Sí | Sí Consulte la nota 4. |
No |
Prevención de pérdida de datos | Sí | Sí | No |
Acceso controlado a carpetas | Yes | No | No |
Filtrado de contenido web | Yes | Consulte la nota 5. | No |
Control de dispositivos | Sí | Sí | No |
Protección PUA | Yes | No | No |
Notas sobre los estados de protección
Cuando Microsoft Defender Antivirus está en modo pasivo, la protección en tiempo real se comporta de las siguientes maneras con la prevención de pérdida de datos de punto de conexión de Microsoft (DLP de punto de conexión):
Microsoft Defender Antivirus en modo pasivo Estado de protección en tiempo real DLP de punto de conexión está deshabilitado Deshabilitada
No proporciona ningún bloqueo o aplicación de protección antivirus en tiempo real.DLP de punto de conexión está habilitado Habilitado para funcionalidades específicas de DLP
No proporciona ningún bloqueo o aplicación de protección antivirus en tiempo real.
Asegúrese de agregar archivos binarios Microsoft Defender Antivirus y Microsoft Defender para punto de conexión a la lista de exclusión del antivirus o la solución EDR que no son de Microsoft.Cuando Microsoft Defender Antivirus está en modo pasivo, los exámenes no están programados. Si los exámenes están programados en la configuración, se omite la programación. A menos que:
"Iniciar el examen programado solo cuando el equipo está encendido pero no en uso" se establece en "No configurado o habilitado". Se crea un Programador de tareas de Windows a menos que establezca "Iniciar el examen programado solo cuando el equipo está encendido pero no en uso" en deshabilitado.
"Activar el examen rápido de puesta al día" se establece en "No configurado o habilitado". Cada 30 días (número predeterminado de días) se sigue produciendo un examen de captura rápida a menos que "Activar el examen rápido de puesta al día" esté establecido en deshabilitado. Las tareas de examen configuradas en el Programador de tareas de Windows continúan ejecutándose según su programación. Si tiene tareas programadas, puede quitarlas, si lo prefiere.
"Activar el examen después de la actualización de inteligencia de seguridad" se establece en "No configurado o habilitado". De forma predeterminada, se produce un examen rápido después de una "actualización de inteligencia de seguridad" a menos que establezca "Activar el examen después de la actualización de inteligencia de seguridad" en deshabilitado.
Cuando Microsoft Defender Antivirus está en modo pasivo, no corrige las amenazas. Sin embargo, la detección y respuesta de puntos de conexión (EDR) en modo de bloque puede corregir amenazas. En este caso, es posible que vea alertas que muestran Microsoft Defender Antivirus como origen, incluso cuando Microsoft Defender Antivirus está en modo pasivo.
La cadencia de actualización de inteligencia de seguridad solo se controla mediante Windows Update configuración. Los programadores de actualizaciones específicos de Defender (diarios y semanales en un momento específico, basados en intervalos) solo funcionan cuando Microsoft Defender Antivirus está en modo activo. Se ignoran en modo pasivo.
Cuando Microsoft Defender Antivirus está en modo pasivo, el filtrado de contenido web solo funciona con el explorador Microsoft Edge.
Importante
La protección contra la pérdida de datos de punto de conexión sigue funcionando normalmente cuando Microsoft Defender Antivirus está en modo activo o pasivo.
No deshabilite, detenga ni modifique ninguno de los servicios asociados que usa Microsoft Defender Antivirus, Defender para punto de conexión o la aplicación Seguridad de Windows. Esta recomendación incluye los
wscsvc
servicios y procesos ,MsSense
SecurityHealthService
, ,Sense
,WinDefend
oMsMpEng
. La modificación manual de estos servicios puede provocar una inestabilidad grave en los dispositivos y puede hacer que la red sea vulnerable. Deshabilitar, detener o modificar esos servicios también puede causar problemas al usar soluciones antivirus que no son de Microsoft y cómo se muestra su información en la aplicación Seguridad de Windows.En Defender para punto de conexión, puede activar EDR en modo de bloque, incluso si Microsoft Defender Antivirus no es la solución antivirus principal. EDR en modo de bloque detecta y corrige los elementos malintencionados que se encuentran en el dispositivo (después de la infracción). Para obtener más información, consulte EDR en modo de bloque.
Cómo confirmar el estado de Microsoft Defender Antivirus
Puede usar uno de varios métodos para confirmar el estado de Microsoft Defender Antivirus. Puede:
- Use la aplicación Seguridad de Windows para identificar la aplicación antivirus.
- Use el Administrador de tareas para confirmar que Microsoft Defender Antivirus está en ejecución.
- Use Windows PowerShell para confirmar que Microsoft Defender Antivirus está en ejecución.
- Use Windows PowerShell para confirmar que se está ejecutando la protección antivirus.
Importante
A partir de la versión de la plataforma 4.18.2208.0 y versiones posteriores: si un servidor se ha incorporado a Microsoft Defender para punto de conexión, la configuración de directiva de grupo "Desactivar Windows Defender" ya no deshabilita completamente Windows Antivirus de Defender en Windows Server 2012 R2 y versiones posteriores. En su lugar, coloca Microsoft Defender Antivirus en modo pasivo. Además, la protección contra alteraciones permite cambiar al modo activo, pero no al modo pasivo.
- Si "Desactivar Windows Defender" ya está en su lugar antes de incorporarse a Microsoft Defender para punto de conexión, Microsoft Defender Antivirus permanece deshabilitado.
- Para cambiar Microsoft Defender Antivirus al modo pasivo, incluso si se deshabilitó antes de la incorporación, puede aplicar la configuración de ForceDefenderPassiveMode con un valor de
1
. Para colocarlo en modo activo, cambie este valor a0
en su lugar.
Tenga en cuenta la lógica modificada para ForceDefenderPassiveMode
cuando está habilitada la protección contra alteraciones: una vez que Microsoft Defender Antivirus cambia al modo activo, la protección contra alteraciones impide que vuelva al modo pasivo incluso cuando ForceDefenderPassiveMode
se establece en 1
.
Usar la aplicación Seguridad de Windows para identificar la aplicación antivirus
En un dispositivo Windows, abra la aplicación Seguridad de Windows.
Seleccione Protección antivirus y contra amenazas.
En ¿Quién me protege? seleccione Administrar proveedores.
En la página Proveedores de seguridad, en Antivirus, debería ver Microsoft Defender Antivirus está activado.
Use el Administrador de tareas para confirmar que Microsoft Defender Antivirus está en ejecución
En un dispositivo Windows, abra la aplicación Administrador de tareas.
Seleccione la pestaña Detalles .
Busque MsMpEng.exe en la lista.
Use Windows PowerShell para confirmar que Microsoft Defender Antivirus está en ejecución
Importante
Use este procedimiento solo para confirmar si Microsoft Defender Antivirus se ejecuta en un punto de conexión.
En un dispositivo Windows, abra Windows PowerShell.
Ejecute el siguiente cmdlet de PowerShell:
Get-Process
.Revise los resultados. Debería ver MsMpEng.exe si Microsoft Defender Antivirus está habilitado.
Uso de Windows PowerShell para confirmar que se está ejecutando la protección antivirus
Importante
Use este procedimiento solo para confirmar si la protección antivirus está habilitada en un punto de conexión.
En un dispositivo Windows, abra Windows PowerShell.
Ejecute el siguiente cmdlet de PowerShell:
Get-MpComputerStatus | select AMRunningMode
.Revise los resultados. Debería ver El modo de bloqueo normal, pasivo o EDR si la protección antivirus está habilitada en el punto de conexión.
Más detalles sobre Microsoft Defender estados del Antivirus
En las secciones siguientes se describe qué esperar cuando Microsoft Defender Antivirus es:
- En modo activo
- En modo pasivo, o cuando EDR en modo de bloque está activado
- Deshabilitado o desinstalado
Modo activo
En modo activo, Microsoft Defender Antivirus se usa como aplicación antivirus en el equipo. Se aplican los valores configurados mediante Configuration Manager, directiva de grupo, Microsoft Intune u otros productos de administración. Los archivos se examinan, se corrigen las amenazas y se notifica información de detección en la herramienta de configuración (por ejemplo, en el centro de administración de Microsoft Intune o en la aplicación antivirus de Microsoft Defender en el punto de conexión).
Modo pasivo o EDR en modo de bloque
En el modo pasivo, Microsoft Defender Antivirus no se usa como aplicación antivirus y Microsoft Defender Antivirus no corrige las amenazas. Sin embargo, la detección y respuesta de puntos de conexión (EDR) en modo de bloque puede corregir amenazas. EDR examina los archivos y se proporcionan informes para las detecciones de amenazas que se comparten con el servicio Defender para punto de conexión. Es posible que vea alertas que muestran Microsoft Defender Antivirus como origen, incluso cuando Microsoft Defender Antivirus está en modo pasivo.
Cuando Microsoft Defender Antivirus está en modo pasivo, todavía puede administrar las actualizaciones de Microsoft Defender Antivirus; sin embargo, no puede mover Microsoft Defender Antivirus al modo activo si los dispositivos tienen un producto antivirus que no es de Microsoft que proporciona protección en tiempo real contra malware.
Asegúrese de obtener las actualizaciones de antivirus y antimalware, incluso si Microsoft Defender Antivirus se ejecuta en modo pasivo. Consulte Administración de actualizaciones Microsoft Defender Antivirus y aplicación de líneas base. El modo pasivo solo se admite en Windows Server 2012 R2 & 2016 cuando la máquina se incorpora mediante la solución moderna y unificada.
Deshabilitado o desinstalado
Cuando se deshabilita o desinstala, Microsoft Defender Antivirus no se usa como aplicación antivirus. Los archivos no se examinan y las amenazas no se corrigen. No se recomienda deshabilitar o desinstalar Microsoft Defender Antivirus en general; si es posible, mantenga Microsoft Defender Antivirus en modo pasivo si usa una solución antimalware o antivirus que no sea de Microsoft.
En los casos en los que Microsoft Defender Antivirus se deshabilita automáticamente, se puede volver a habilitar automáticamente si el producto antivirus o antimalware que no es de Microsoft expira, se desinstala o deja de proporcionar protección en tiempo real contra virus, malware u otras amenazas. La habilitación automática de Microsoft Defender Antivirus ayuda a garantizar que la protección antivirus se mantenga en los puntos de conexión.
¿Qué ocurre con los dispositivos que no son de Windows?
Si busca información relacionada con el antivirus para otras plataformas, consulte:
- Establecer las preferencias para Microsoft Defender para punto de conexión en macOS
- Microsoft Defender para punto de conexión en Mac
- Configuración de las directivas de antivirus de macOS para Antivirus de Microsoft Defender para Intune
- Establecer preferencias para Microsoft Defender para punto de conexión en Linux
- Microsoft Defender para punto de conexión en Linux
- Configurar Defender para punto de conexión en características de Android
- Configurar Microsoft Defender para punto de conexión en las características iOS
Vea también
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.