Antivirus Defender in modalità passiva

Microsoft Defender per endpoint è una soluzione di sicurezza completa progettata per proteggere i dispositivi da minacce in continua evoluzione. Una delle sue funzionalità principali consente a Microsoft Defender Antivirus di coesistere con soluzioni antimalware non Microsoft, fornendo al tempo stesso funzionalità di rilevamento e risposta degli endpoint preziose.

Alcuni dei principali vantaggi di Antivirus Defender in modalità passiva sono:

• Modalità blocco EDR - Protezione post-violazione rilevando e correggendo le minacce perse dalla soluzione antimalware attiva

• Aggiornamenti delle funzionalità di intelligence per la sicurezza: Microsoft Defender Antivirus continua a ricevere aggiornamenti per rimanere a conoscenza delle minacce più recenti.

• Prevenzione della perdita dei dati : le funzionalità DLP degli endpoint funzionano normalmente, garantendo la protezione dei dati sensibili.

Per altre informazioni, vedere Come Microsoft Defender Antivirus influisce sulle funzionalità di Defender per endpoint.

Prerequisiti

• Sistema operativo

  • Windows 10 o versioni successive
  • Windows Server 2012 R2 o versioni successive

• È necessario eseguire l'onboarding del dispositivo in Microsoft Defender per endpoint

• Microsoft Defender Antivirus deve essere installato e abilitato

Configurare la modalità passiva

In Windows 10 o versioni successive, Antivirus Defender entra automaticamente in modalità passiva quando viene installata e registrata una soluzione antimalware non Microsoft.

Per Windows Server sistemi operativi, seguire le istruzioni in questa sezione per configurare la modalità passiva per Microsoft Defender per endpoint.

Impostare la chiave del Registro di sistema

Per evitare conflitti tra Microsoft Defender Antivirus e una soluzione antivirus di terze parti, se si usa Windows Server, impostare la chiave del Registro di sistema seguente prima di eseguire l'onboarding del dispositivo su Microsoft Defender per endpoint:

• Percorso - HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection

• Nome - ForceDefenderPassiveMode

• Tipo - REG_DWORD

• Valore - 1

Abilitare EDR in modalità blocco

Quando Microsoft Defender Antivirus è in modalità passiva, EDR in modalità blocco può fornire protezione post-violazione rilevando e correggendo le minacce. Verificare che questa funzionalità sia abilitata in Defender per endpoint.

Evitare modifiche al servizio

Non disabilitare, arrestare o modificare i servizi associati, ad wscsvcesempio , WinDefendo MsMpEng. L'arresto di questi servizi può causare instabilità e rendere il dispositivo vulnerabile alle minacce.

Escludere i file binari di Defender nell'antivirus di terze parti

Per evitare problemi di prestazioni o conflitti, aggiungere Microsoft Defender file binari antivirus e defender per endpoint all'elenco di esclusione della soluzione antivirus di terze parti.

Verificare che la modalità passiva sia abilitata

Questa sezione descrive come verificare se Microsoft Defender Antivirus è in modalità passiva.

Windows PowerShell

Eseguire i cmdlet di PowerShell seguenti:

Get-MpComputerStatus | select AMRunningMode

Il AMRunningMode valore indica lo stato Antivirus Defender corrente:

• Normale - Modalità attiva

• Passiva - Modalità passiva

• Modalità blocco EDR - EDR funziona in modalità blocco

App di sicurezza di Windows

Seguire questa procedura per verificare che Microsoft Defender Antivirus sia in modalità passiva (solo Windows 10 e versioni successive).

1. Aprire l'app Sicurezza di Windows.

2. Selezionare Protezione da virus e minacce.

3. In Chi mi protegge? selezionare Gestisci provider.

4. Nella pagina Provider di sicurezza verificare lo stato e il provider antivirus.

Risorse aggiuntive

Microsoft Defender compatibilità antivirus con altri prodotti di sicurezza