Introducción a Microsoft Defender Antivirus en Windows
Se aplica a:
- Microsoft Defender para punto de conexión, planes 1 y 2
- Microsoft Defender para Empresas
- Antivirus de Microsoft Defender
Plataformas
- Windows
Antivirus de Microsoft Defender está disponible en Windows 10, Windows 11 y en versiones de Windows Server.
Antivirus de Microsoft Defender es el mayor componente de protección de nueva generación en Microsoft Defender para punto de conexión. Esta protección reúne el aprendizaje automático, el análisis de macrodatos, la investigación de resistencia contra amenazas en profundidad y la infraestructura de nube de Microsoft para proteger a los dispositivos (o puntos de conexión) en la organización. El antivirus de Microsoft Defender está integrado en Windows y funciona con Microsoft Defender para punto de conexión para proporcionar protección en el dispositivo y en la nube.
Sugerencia
Como complemento a este artículo, consulte nuestra guía de configuración de Security Analyzer para revisar los procedimientos recomendados y aprender a fortalecer las defensas, mejorar el cumplimiento y navegar por el panorama de ciberseguridad con confianza. Para una experiencia personalizada basada en su entorno, puede acceder a la guía de configuración automatizada de Security Analyzer en el Centro de administración de Microsoft 365.
funcionalidades de antivirus de Microsoft Defender
Microsoft Defender Antivirus proporciona detección de anomalías, una capa de protección para malware que no se ajusta a ningún patrón predefinido. Monitores de detección de anomalías para eventos de creación de procesos o archivos que se descargan de Internet. A través del aprendizaje automático y la protección entregada en la nube, Microsoft Defender Antivirus puede mantenerse un paso por delante de los atacantes. La detección de anomalías está activada de forma predeterminada y puede ayudar a bloquear ataques, como la alerta de seguridad 3CX para la aplicación de Electron Windows. Microsoft Defender Antivirus comenzó a bloquear este malware cuatro días antes de que el ataque se registrara en VirusTotal.
El malware moderno requiere soluciones modernas. En 2015, Microsoft Defender Antivirus pasó de usar un motor estático basado en firmas a un modelo que usa tecnologías predictivas como el aprendizaje automático, la ciencia aplicada y la inteligencia artificial, ya que esto es lo que es necesario para proteger a usted y a sus organizaciones de la complejidad del panorama de malware en constante evolución actual.
Microsoft Defender Antivirus puede bloquear casi todo el malware a primera vista, en milisegundos.
También hemos diseñado nuestra solución antivirus para que funcione tanto en escenarios en línea como sin conexión. En escenarios sin conexión, la inteligencia dinámica más reciente del gráfico de seguridad de inteligencia se aprovisiona periódicamente en el punto de conexión a lo largo del día. Cuando se conecta a la nube, se alimenta de inteligencia en tiempo real desde Intelligent Security Graph.
Microsoft Defender Antivirus también puede detener las amenazas en función de sus comportamientos y procesar árboles incluso cuando la amenaza ha comenzado a ejecutarse. Un ejemplo común de estos tipos de ataques es el malware sin archivos. Las características de protección de última generación de Microsoft funcionan conjuntamente para identificar y bloquear el malware en función del comportamiento anómalo. Para obtener más información, consulte Bloqueo y contención del comportamiento.
Compatibilidad con otros productos antivirus
Si usa un producto antimalware o antivirus que no es de Microsoft en el dispositivo, es posible que pueda ejecutar el Antivirus de Microsoft Defender en modo pasivo junto con la solución antivirus que no es de Microsoft. Depende del sistema operativo usado y de si el dispositivo está incorporado a Defender para punto de conexión. Para más información, consulte Compatibilidad con Antivirus de Microsoft Defender.
Microsoft Defender servicios y procesos antivirus
En la tabla siguiente se resumen Microsoft Defender procesos y servicios antivirus. Puede verlos en el Administrador de tareas en Windows.
Proceso o servicio | Dónde ver su estado |
---|---|
Microsoft Defender servicio Antivirus Core ( MdCoreSvc ) |
-
Pestaña Procesos : Antimalware Core Service - Pestaña Detalles : MpDefenderCoreService.exe - Pestaña Servicios : Microsoft Defender Core Service |
Microsoft Defender servicio Antivirus ( WinDefend ) |
-
Pestaña Procesos : Antimalware Service Executable - Pestaña Detalles : MsMpEng.exe - Pestaña Servicios : Microsoft Defender Antivirus |
Microsoft Defender servicio de inspección en tiempo real de red antivirus ( WdNisSvc ) |
-
Pestaña Procesos : Microsoft Network Realtime Inspection Service - Pestaña Detalles : NisSrv.exe - Pestaña Servicios : Microsoft Defender Antivirus Network Inspection Service |
Microsoft Defender utilidad de línea de comandos antivirus |
-
Pestaña Procesos : N/A - Pestaña Detalles : MpCmdRun.exe - Pestaña Servicios : N/A |
Herramienta de configuración de directivas de cliente de Microsoft Security |
-
Pestaña Procesos : N/A - Pestaña Detalles : ConfigSecurityPolicy.exe - Pestaña Servicios : N/A |
Para obtener más información sobre el servicio Microsoft Defender Core, visite introducción al servicio Microsoft Defender Core.
Para La prevención de pérdida de datos de punto de conexión de Microsoft (DLP de punto de conexión), en la tabla siguiente se resumen los procesos y los servicios. Puede verlos en el Administrador de tareas en Windows.
Proceso o servicio | Dónde ver su estado |
---|---|
Servicio DLP de punto de conexión de Microsoft ( MDDlpSvc ) |
-
Pestaña Procesos : MpDlpService.exe - Pestaña Detalles : MpDlpService.exe - Pestaña Servicios : Microsoft Data Loss Prevention Service |
Utilidad de línea de comandos DLP de punto de conexión de Microsoft |
-
Pestaña Procesos : N/A - Pestaña Detalles : MpDlpCmd.exe - Pestaña Servicios : N/A |
Comparación del modo activo, el modo pasivo y el modo deshabilitado
En la tabla siguiente se describe qué esperar cuando el Antivirus de Microsoft Defender está en modo activo, en modo pasivo o deshabilitado.
Modo | Qué ocurre |
---|---|
Modo activo | En modo activo, el Antivirus de Microsoft Defender se usa como la aplicación antivirus principal en el dispositivo. Los archivos se examinan, se corrigen las amenazas y las amenazas detectadas se enumeran en los informes de seguridad de la organización y en la aplicación de Seguridad de Windows. |
Modo pasivo | En modo pasivo, Microsoft Defender Antivirus no se usa como la aplicación antivirus principal en el dispositivo. Los archivos se examinan y se notifican amenazas detectadas, pero Microsoft Defender Antivirus no corrige las amenazas. IMPORTANTE: El Antivirus de Microsoft Defender solo se puede ejecutar en modo pasivo en los puntos de conexión que se incorporan a Microsoft Defender para punto de conexión. Consulte Requisitos para que el Antivirus de Microsoft Defender se ejecute en modo pasivo. |
Deshabilitado o desinstalado | Cuando se deshabilita o desinstala, no se usa Microsoft Defender Antivirus. Los archivos no se examinan y las amenazas no se corrigen. En general, no se recomienda deshabilitar ni desinstalar Microsoft Defender Antivirus. |
Para más información, consulte Compatibilidad con Antivirus de Microsoft Defender.
Comprobar el estado del Antivirus de Microsoft Defender en el dispositivo
Puede usar uno de varios métodos, como la aplicación Seguridad de Windows o Windows PowerShell, para comprobar el estado de Antivirus de Microsoft Defender en el dispositivo.
Importante
A partir de la versión de plataforma 4.18.2208.0 y versiones posteriores: si se ha incorporado un servidor a Microsoft Defender para punto de conexión, la configuración de directiva de grupo "Desactivar Windows Defender" ya no deshabilitará completamente Windows Antivirus de Defender en Windows Server 2012 R2 y versiones posteriores. En su lugar, lo colocará en modo pasivo. Además, la característica de protección contra alteraciones permitirá cambiar al modo activo, pero no al modo pasivo.
- Si "Desactivar Windows Defender" ya está en vigor antes de incorporarse a Microsoft Defender para punto de conexión, no habrá ningún cambio y Antivirus de Defender permanecerá deshabilitado.
- Para cambiar Antivirus de Defender al modo pasivo, incluso si se deshabilitó antes de la incorporación, puede aplicar la configuración de ForceDefenderPassiveMode con un valor de
1
. Para colocarlo en modo activo, cambie este valor a0
en su lugar.
Tenga en cuenta la lógica modificada para ForceDefenderPassiveMode
cuando se habilita la protección contra alteraciones: una vez que Microsoft Defender Antivirus cambia al modo activo, la protección contra alteraciones impedirá que vuelva al modo pasivo incluso cuando ForceDefenderPassiveMode
se establezca en 1
.
Usar la aplicación Seguridad de Windows para comprobar el estado del Antivirus de Microsoft Defender
En el dispositivo Windows, seleccione el menú Inicio y empiece a escribir
Security
. A continuación, abra la aplicación Seguridad de Windows en los resultados.Seleccione Protección antivirus y contra amenazas.
En ¿Quién me protege?, elija Administrar proveedores.
Verá el nombre de la solución antivirus o antimalware en la página de proveedores de seguridad.
Usar PowerShell para comprobar el estado del Antivirus de Microsoft Defender
Seleccione el menú Inicio y empiece a escribir
PowerShell
. A continuación, abra Windows PowerShell en los resultados.Tipo
Get-MpComputerStatus
.En la lista de resultados, examine la fila AMRunningMode.
Normal significa que el Antivirus de Microsoft Defender se ejecuta en modo activo.
El modo pasivo significa Microsoft Defender antivirus en ejecución, pero no es el producto antivirus o antimalware principal del dispositivo. El modo pasivo solo está disponible para los dispositivos que se incorporan a Microsoft Defender para punto de conexión y que cumplen determinados requisitos. Consulte Requisitos para que el Antivirus de Microsoft Defender se ejecute en modo pasivo.
Modo de bloqueo de EDR: significa que el Antivirus de Microsoft Defender se está ejecutando y que está habilitada la Detección y respuesta de puntos de conexión (EDR) en modo de bloqueo, una funcionalidad de Microsoft Defender para punto de conexión. Compruebe la clave del Registro ForceDefenderPassiveMode . Si su valor es 0, se ejecuta en modo normal; De lo contrario, se ejecuta en modo pasivo.
El modo pasivo de SxS significa Microsoft Defender Antivirus se ejecuta junto con otro producto antivirus o antimalware y se usa un examen periódico limitado.
Sugerencia
Para obtener más información sobre el cmdlet de Get-MpComputerStatus PowerShell, consulte el artículo de referencia Get-MpComputerStatus.
Sugerencia
Sugerencia de rendimiento Debido a una variedad de factores (ejemplos que se enumeran a continuación) Microsoft Defender Antivirus, al igual que otros software antivirus, puede causar problemas de rendimiento en los dispositivos de punto de conexión. En algunos casos, es posible que tenga que ajustar el rendimiento de Microsoft Defender Antivirus para aliviar esos problemas de rendimiento. El analizador de rendimiento de Microsoft es una herramienta de línea de comandos de PowerShell que ayuda a determinar qué archivos, rutas de acceso de archivo, procesos y extensiones de archivo podrían estar causando problemas de rendimiento; Algunos ejemplos son:
- Rutas de acceso principales que afectan al tiempo de examen
- Archivos principales que afectan al tiempo de examen
- Principales procesos que afectan al tiempo de examen
- Extensiones de archivo principales que afectan al tiempo de examen
- Combinaciones: por ejemplo:
- archivos principales por extensión
- rutas de acceso superiores por extensión
- procesos principales por ruta de acceso
- exámenes superiores por archivo
- exámenes superiores por archivo por proceso
Puede usar la información recopilada mediante el Analizador de rendimiento para evaluar mejor los problemas de rendimiento y aplicar acciones de corrección. Consulte: Analizador de rendimiento para Microsoft Defender Antivirus.
Obtener actualizaciones de la plataforma malware/antivirus
Es importante mantener actualizado el Antivirus de Microsoft Defender, o cualquier solución antivirus/antimalware. Microsoft publica actualizaciones periódicas para ayudar a garantizar que los dispositivos tengan la última tecnología para protegerse contra nuevas técnicas de ataque y malware. Para obtener más información, consulte Administrar actualizaciones de Antivirus de Microsoft Defender y aplicar bases de referencia.
Sugerencia
Si busca información relacionada con el antivirus para otras plataformas, consulte:
- Establecer las preferencias para Microsoft Defender para punto de conexión en macOS
- Microsoft Defender para punto de conexión en Mac
- Configuración de las directivas de antivirus de macOS para Antivirus de Microsoft Defender para Intune
- Establecer preferencias para Microsoft Defender para punto de conexión en Linux
- Microsoft Defender para punto de conexión en Linux
- Configurar Defender para punto de conexión en características de Android
- Configurar Microsoft Defender para punto de conexión en las características iOS
Vea también
- Analizador de rendimiento para Microsoft Defender Antivirus
- Administración y configuración de Antivirus de Microsoft Defender
- Evaluar la protección de Antivirus de Microsoft Defender
- Exclusiones para Microsoft Defender para punto de conexión y antivirus de Microsoft Defender
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.