Microsoft Defender مكافحة الفيروسات في نظرة عامة على Windows

ينطبق على:

  • Defender for Endpoint الخطة 1 و 2
  • Microsoft Defender for Business
  • برنامج الحماية من الفيروسات من Microsoft Defender

الأنظمة الأساسية

  • بالنسبة لنظام التشغيل

يتوفر برنامج الحماية من الفيروسات من Microsoft Defender في Windows 10 وWindows 11 وفي إصدارات Windows Server.

برنامج الحماية من الفيروسات من Microsoft Defender هو مكون رئيسي لحماية الجيل التالي في Microsoft Defender لنقطة النهاية. تجمع هذه الحماية بين التعلم الآلي وتحليل البيانات الضخمة والبحث المتعمق في مقاومة المخاطر والبنية الأساسية لسحابة Microsoft لحماية الأجهزة (أو نقاط النهاية) في مؤسستك. برنامج الحماية من الفيروسات من Microsoft Defender مضمن في Windows، ويعمل مع Microsoft Defender لنقطة النهاية لتوفير الحماية على جهازك وفي السحابة.

تلميح

بصفتك مصاحبا لهذه المقالة، راجع دليل إعداد Security Analyzer لمراجعة أفضل الممارسات وتعلم تعزيز الدفاعات وتحسين التوافق والتنقل في مشهد الأمان عبر الإنترنت بثقة. للحصول على تجربة مخصصة استنادا إلى بيئتك، يمكنك الوصول إلى دليل الإعداد التلقائي ل Security Analyzer في مركز مسؤولي Microsoft 365.

قدرات برنامج الحماية من الفيروسات Microsoft Defender

يوفر برنامج الحماية من الفيروسات Microsoft Defender الكشف عن الحالات الشاذة، وهي طبقة من الحماية للبرامج الضارة التي لا تناسب أي نمط محدد مسبقا. مراقبة الكشف عن الحالات الشاذة لأحداث إنشاء العملية أو الملفات التي يتم تنزيلها من الإنترنت. من خلال التعلم الآلي والحماية المقدمة من السحابة، يمكن أن يظل برنامج الحماية من الفيروسات Microsoft Defender متقدما خطوة واحدة على المهاجمين. يتم تشغيل الكشف عن الحالات الشاذة بشكل افتراضي ويمكن أن يساعد في حظر الهجمات مثل تنبيه أمان 3CX لتطبيق Electron Windows. Microsoft Defender بدأ برنامج مكافحة الفيروسات في حظر هذه البرامج الضارة قبل أربعة أيام من تسجيل الهجوم في VirusTotal.

تتطلب البرامج الضارة الحديثة حلولا حديثة. في عام 2015، انتقل برنامج الحماية من الفيروسات Microsoft Defender بعيدا عن استخدام محرك ثابت قائم على التوقيع إلى نموذج يستخدم تقنيات تنبؤية مثل التعلم الآلي والعلوم التطبيقية والذكاء الاصطناعي لأن هذا هو الضروري للحفاظ على أمانك أنت ومنظماتك من تعقيد مشهد البرامج الضارة المتغير باستمرار في الوقت الحالي.

يمكن Microsoft Defender مكافحة الفيروسات حظر جميع البرامج الضارة تقريبا من النظرة الأولى، بالمللي ثانية.

لقد صممنا أيضا حل مكافحة الفيروسات الخاص بنا للعمل في كل من السيناريوهات عبر الإنترنت وغير المتصلة. بالنسبة للسيناريوهات غير المتصلة بالإنترنت، يتم توفير أحدث التحليل الذكي الديناميكي من Intelligence Security Graph إلى نقطة النهاية بانتظام على مدار اليوم. عند الاتصال بالسحابة، يتم تغذية التحليل الذكي في الوقت الحقيقي من Intelligent Security Graph.

يمكن Microsoft Defender مكافحة الفيروسات أيضا إيقاف التهديدات استنادا إلى سلوكياتها وأشجار المعالجة حتى عند بدء تنفيذ التهديد. ومن الأمثلة الشائعة على هذه الأنواع من الهجمات البرامج الضارة بدون ملفات. تعمل ميزات الحماية من الجيل التالي من Microsoft معا لتحديد البرامج الضارة وحظرها استنادا إلى السلوك غير الطبيعي. لمعرفة المزيد، راجع الحظر السلوكي والاحتواء.

التوافق مع منتجات مكافحة الفيروسات الأخرى

إذا كنت تستخدم منتجا غير تابع لـ Microsoft للحماية من الفيروسات/الحماية من البرامج الضارة على جهازك، فقد تتمكن من تشغيل برنامج الحماية من الفيروسات من Microsoft Defender في الوضع السلبي إلى جانب حل الحماية من الفيروسات غير التابع ل Microsoft. يعتمد ذلك على نظام التشغيل المستخدم وما إذا تم إلحاق جهازك ب Defender لنقطة النهاية. لمعرفة المزيد، راجع توافق برنامج الحماية من الفيروسات من Microsoft Defender.

Microsoft Defender عمليات وخدمات مكافحة الفيروسات

يلخص الجدول التالي Microsoft Defender عمليات وخدمات مكافحة الفيروسات. يمكنك عرضها في إدارة المهام في Windows.

العملية أو الخدمة مكان عرض حالته
خدمة Microsoft Defender Antivirus Core
(MdCoreSvc)
- علامة تبويب العمليات:Antimalware Core Service
- علامة تبويب التفاصيل:MpDefenderCoreService.exe
- علامة تبويب الخدمات:Microsoft Defender Core Service
Microsoft Defender خدمة مكافحة الفيروسات
(WinDefend)
- علامة تبويب العمليات:Antimalware Service Executable
- علامة تبويب التفاصيل:MsMpEng.exe
- علامة تبويب الخدمات:Microsoft Defender Antivirus
Microsoft Defender خدمة فحص شبكة الحماية من الفيروسات في الوقت الحقيقي
(WdNisSvc)
- علامة تبويب العمليات:Microsoft Network Realtime Inspection Service
- علامة تبويب التفاصيل:NisSrv.exe
- علامة تبويب الخدمات:Microsoft Defender Antivirus Network Inspection Service
الأداة المساعدة لسطر أوامر Microsoft Defender Antivirus - علامة تبويب العمليات: N/A
- علامة تبويب التفاصيل:MpCmdRun.exe
- علامة تبويب الخدمات: N/A
أداة تكوين نهج عميل أمان Microsoft - علامة تبويب العمليات: N/A
- علامة تبويب التفاصيل:ConfigSecurityPolicy.exe
- علامة تبويب الخدمات: N/A

لمعرفة المزيد حول خدمة Microsoft Defender Core، يرجى زيارة نظرة عامة على خدمة Microsoft Defender Core.

بالنسبة إلى Microsoft Endpoint Data Loss Prevention (Endpoint DLP)، يلخص الجدول التالي العمليات والخدمات. يمكنك عرضها في إدارة المهام في Windows.

العملية أو الخدمة مكان عرض حالته
خدمة Microsoft Endpoint DLP
(MDDlpSvc)
- علامة تبويب العمليات:MpDlpService.exe
- علامة تبويب التفاصيل:MpDlpService.exe
- علامة تبويب الخدمات:Microsoft Data Loss Prevention Service
الأداة المساعدة لسطر أوامر Microsoft Endpoint DLP - علامة تبويب العمليات: N/A
- علامة تبويب التفاصيل:MpDlpCmd.exe
- علامة تبويب الخدمات: N/A

مقارنة الوضع النشط ووضع الخامل ووضع التعطيل

يصف الجدول التالي ما يجب توقعه عندما يكون برنامج الحماية من الفيروسات من Microsoft Defender في الوضع النشط أو الوضع الخامل أو معطلا.

الوضع ما يحدث
الوضع النشط في الوضع النشط، يتم استخدام برنامج الحماية من الفيروسات من Microsoft Defender كتطبيق مكافحة الفيروسات الأساسي على الجهاز. يتم فحص الملفات، وتتم معالجة التهديدات، ويتم سرد التهديدات المكتشفة في تقارير الأمان الخاصة بمؤسستك وفي تطبيق أمن Windows.
الوضع السلبي في الوضع السلبي، لا يتم استخدام برنامج الحماية من الفيروسات Microsoft Defender كتطبيق مكافحة الفيروسات الأساسي على الجهاز. يتم مسح الملفات ضوئيا، ويتم الإبلاغ عن التهديدات المكتشفة، ولكن لا تتم معالجة التهديدات بواسطة برنامج الحماية من الفيروسات Microsoft Defender.

هام: يمكن تشغيل برنامج الحماية من الفيروسات من Microsoft Defender في الوضع الخامل فقط على نقاط النهاية التي تم إلحاقها بـ Microsoft Defender لنقطة النهاية. راجع متطلبات تشغيل برنامج الحماية من الفيروسات من Microsoft Defender في الوضع الخامل.
معطل أو غير مثبت عند تعطيله أو إلغاء تثبيته، لا يتم استخدام برنامج الحماية من الفيروسات Microsoft Defender. لا يتم مسح الملفات ضوئيا، ولا تتم معالجة التهديدات. بشكل عام، لا نوصي بتعطيل أو إلغاء تثبيت برنامج الحماية من الفيروسات Microsoft Defender.

لمعرفة المزيد، راجع توافق برنامج الحماية من الفيروسات من Microsoft Defender.

التحقق من حالة برنامج الحماية من الفيروسات من Microsoft Defender على جهازك

فيمكنك استخدام إحدى الطرق المتعددة، مثل تطبيق أمن Windows أو Windows PowerShell للتحقق من حالة برنامج Microsoft Defender Antivirus على جهازك.

هام

بدءا من إصدار النظام الأساسي 4.18.2208.0 والإصدارات الأحدث: إذا تم إلحاق خادم Microsoft Defender لنقطة النهاية، فلن يؤدي إعداد نهج المجموعة "إيقاف تشغيل Windows Defender" إلى تعطيل Windows برنامج الحماية من الفيروسات من Defender بالكامل على Windows Server 2012 R2 والإصدارات الأحدث. بدلا من ذلك، فإنه سيتم وضعه في الوضع السلبي. بالإضافة إلى ذلك، ستسمح ميزة الحماية من العبث بالتبديل إلى الوضع النشط ولكن ليس إلى الوضع السلبي.

  • إذا كان "إيقاف تشغيل Windows Defender" موجودا بالفعل قبل الإلحاق Microsoft Defender لنقطة النهاية، فلن يكون هناك أي تغيير وسيظل برنامج الحماية من الفيروسات من Defender معطلا.
  • للتبديل برنامج الحماية من الفيروسات من Defender إلى الوضع السلبي، حتى إذا تم تعطيله قبل الإلحاق، يمكنك تطبيق تكوين ForceDefenderPassiveMode بقيمة 1. لوضعها في الوضع النشط، قم بتبديل هذه القيمة إلى 0 بدلا من ذلك.

لاحظ المنطق المعدل عند ForceDefenderPassiveMode تمكين الحماية من العبث: بمجرد تبديل برنامج الحماية من الفيروسات Microsoft Defender إلى الوضع النشط، ستمنعه الحماية من العبث من العودة إلى الوضع الخامل حتى عند ForceDefenderPassiveMode تعيينه إلى 1.

استخدم تطبيق أمن Windows للتحقق من حالة برنامج الحماية من الفيروسات من Microsoft Defender

  1. على جهاز Windows، حدد قائمة البدء، وابدأ بالكتابة Security. ثم افتح تطبيق أمن Windows في النتائج.

  2. حدد الحماية من الفيروسات والمخاطر.

  3. ضمن من يقوم بحمايتي؟، اختار إدارة المُوفّرون.

سترى اسم حل الحماية من الفيروسات/الحماية من البرامج الضارة على صفحة موفرو الأمان.

استخدام PowerShell للتحقق من حالة برنامج الحماية من الفيروسات من Microsoft Defender

  1. حدد قائمة البدء، وابدأ الكتابة PowerShell. ثم افتح Windows PowerShell في النتائج.

  2. النوع Get-MpComputerStatus.

  3. في قائمة النتائج، انظر إلى صف AMRunningMode.

    • تعني العادية تشغيل برنامج الحماية من الفيروسات من Microsoft Defender في الوضع النشط.

    • يعني الوضع السلبي Microsoft Defender برنامج الحماية من الفيروسات قيد التشغيل، ولكنه ليس منتج مكافحة الفيروسات/البرامج الضارة الأساسي على جهازك. يتوفر الوضع السلبي فقط للأجهزة التي تم إلحاقها ب Microsoft Defender لنقطة النهاية والتي تفي بمتطلبات معينة. لمعرفة المزيد، راجع متطلبات تشغيل برنامج الحماية من الفيروسات من Microsoft Defender في الوضع الخامل.

    • يعني وضع حظر EDR أن برنامج الحماية من الفيروسات من Microsoft Defender قيد التشغيل وأن الكشف والاستجابة لنقطة النهاية (EDR) في وضع الحظر، وهي إمكانية في Microsoft Defender لنقطة النهاية. تحقق من مفتاح التسجيل ForceDefenderPassiveMode . إذا كانت قيمته 0، فإنها تعمل في الوضع العادي؛ وإلا، فإنه يعمل في الوضع السلبي.

    • يعني وضع SxS السلبي أن برنامج الحماية من الفيروسات Microsoft Defender يعمل جنبا إلى جنب مع منتج آخر للحماية من الفيروسات/البرامج الضارة، ويتم استخدام مسح دوري محدود.

تلميح

لمعرفة المزيد حول Get-MpComputerStatus PowerShell cmdlet، راجع المقالة المرجعية Get-MpComputerStatus.

تلميح

تلميح الأداء نظرا لمجموعة متنوعة من العوامل (الأمثلة المذكورة أدناه) Microsoft Defender مكافحة الفيروسات، مثل برامج مكافحة الفيروسات الأخرى، يمكن أن يسبب مشكلات في الأداء على أجهزة نقطة النهاية. في بعض الحالات، قد تحتاج إلى ضبط أداء برنامج الحماية من الفيروسات Microsoft Defender للتخفيف من مشكلات الأداء هذه. محلل الأداء من Microsoft هو أداة سطر أوامر PowerShell تساعد في تحديد الملفات ومسارات الملفات والعمليات وملحقات الملفات التي قد تسبب مشكلات في الأداء؛ بعض الأمثلة هي:

  • أهم المسارات التي تؤثر على وقت الفحص
  • أهم الملفات التي تؤثر على وقت الفحص
  • أهم العمليات التي تؤثر على وقت الفحص
  • أهم ملحقات الملفات التي تؤثر على وقت الفحص
  • المجموعات - على سبيل المثال:
    • أهم الملفات لكل ملحق
    • أهم المسارات لكل ملحق
    • أهم العمليات لكل مسار
    • أهم عمليات الفحص لكل ملف
    • أهم عمليات الفحص لكل ملف لكل عملية

يمكنك استخدام المعلومات التي تم جمعها باستخدام محلل الأداء لتقييم مشكلات الأداء بشكل أفضل وتطبيق إجراءات المعالجة. راجع: محلل الأداء لبرنامج مكافحة الفيروسات Microsoft Defender.

الحصول على تحديثات النظام الأساسي للحماية من الفيروسات/الحماية من البرامج الضارة

من المهم الحفاظ على تحديث برنامج الحماية من الفيروسات من Microsoft Defender (أو أي حل للحماية من الفيروسات/الحماية من البرامج الضارة). تصدر Microsoft تحديثات منتظمة للمساعدة في ضمان حصول أجهزتك على أحدث التقنيات للحماية من البرامج الضارة وتقنيات الهجوم الجديدة. لمعرفة المزيد، راجع إدارة تحديثات برنامج الحماية من الفيروسات من Microsoft Defender وتطبيق الخطوط الأساسية.

راجع أيضًا

تلميح

هل تريد معرفة المزيد؟ Engage مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender لنقطة النهاية Tech Community.