Antivirus de Microsoft Defender en Windows
Se aplica a:
- Microsoft Defender para punto de conexión, planes 1 y 2
- Microsoft Defender para Empresas
- Antivirus de Microsoft Defender
Plataformas
- Windows
Antivirus de Microsoft Defender está disponible en Windows 10, Windows 11 y en versiones de Windows Server.
Antivirus de Microsoft Defender es el mayor componente de protección de nueva generación en Microsoft Defender para punto de conexión. Esta protección reúne el aprendizaje automático, el análisis de macrodatos, la investigación de resistencia contra amenazas en profundidad y la infraestructura de nube de Microsoft para proteger a los dispositivos (o puntos de conexión) en la organización. El antivirus de Microsoft Defender está integrado en Windows y funciona con Microsoft Defender para punto de conexión para proporcionar protección en el dispositivo y en la nube.
Compatibilidad con otros productos antivirus
Si usa un producto antimalware o antivirus que no es de Microsoft en el dispositivo, es posible que pueda ejecutar el Antivirus de Microsoft Defender en modo pasivo junto con la solución antivirus que no es de Microsoft. Depende del sistema operativo usado y de si el dispositivo está incorporado a Defender para punto de conexión. Para más información, consulte Compatibilidad con Antivirus de Microsoft Defender.
Microsoft Defender servicios y procesos antivirus
En la tabla siguiente se resumen Microsoft Defender procesos y servicios antivirus. Puede verlos en el Administrador de tareas en Windows.
| Proceso o servicio | Dónde ver su estado |
|---|---|
| Microsoft Defender servicio Antivirus Core ( MdCoreSvc) |
- Pestaña Procesos : Antimalware Core Service - Pestaña Detalles : MpDefenderCoreService.exe - Pestaña Servicios : Microsoft Defender Core Service |
| Microsoft Defender servicio Antivirus ( WinDefend) |
- Pestaña Procesos : Antimalware Service Executable - Pestaña Detalles : MsMpEng.exe - Pestaña Servicios : Microsoft Defender Antivirus |
| Microsoft Defender servicio de inspección en tiempo real de red antivirus ( WdNisSvc) |
- Pestaña Procesos : Microsoft Network Realtime Inspection Service - Pestaña Detalles : NisSrv.exe - Pestaña Servicios : Microsoft Defender Antivirus Network Inspection Service |
| Microsoft Defender utilidad de línea de comandos antivirus | - Pestaña Procesos : N/A - Pestaña Detalles : MpCmdRun.exe - Pestaña Servicios : N/A |
| Herramienta de configuración de directivas de cliente de Microsoft Security | - Pestaña Procesos : N/A - Pestaña Detalles : ConfigSecurityPolicy.exe - Pestaña Servicios : N/A |
Para La prevención de pérdida de datos de punto de conexión de Microsoft (DLP de punto de conexión), en la tabla siguiente se resumen los procesos y los servicios. Puede verlos en el Administrador de tareas en Windows.
| Proceso o servicio | Dónde ver su estado |
|---|---|
| Servicio DLP de punto de conexión de Microsoft ( MDDlpSvc) |
- Pestaña Procesos : MpDlpService.exe - Pestaña Detalles : MpDlpService.exe - Pestaña Servicios : Microsoft Data Loss Prevention Service |
| Utilidad de línea de comandos DLP de punto de conexión de Microsoft | - Pestaña Procesos : N/A - Pestaña Detalles : MpDlpCmd.exe - Pestaña Servicios : N/A |
servicio Microsoft Defender Core
Para mejorar la experiencia de seguridad de los puntos de conexión, Microsoft publica el servicio Microsoft Defender Core para ayudar con la estabilidad y el rendimiento de Microsoft Defender Antivirus. Para los clientes que usan la prevención de pérdida de datos de punto de conexión de Microsoft en los sectores empresariales pequeños, medianos y empresariales, Microsoft está dividiendo el código base en su propio servicio.
El servicio Microsoft Defender Core se publica con Microsoft Defender versión 4.18.23110.2009 de la plataforma Antivirus.
El lanzamiento comienza en noviembre de 2023 para la versión preliminar de los clientes, con planes de lanzamiento para todos los clientes empresariales en los próximos meses.
Los clientes empresariales deben permitir las siguientes direcciones URL:
*.events.data.microsoft.com*.endpoint.security.microsoft.com*.ecs.office.com
Si usa Control de aplicaciones para Windows o ejecuta software de respuesta y detección de puntos de conexión o antivirus que no son de Microsoft, asegúrese de agregar los procesos mencionados anteriormente a la lista de permitidos.
Los consumidores no necesitan realizar ninguna acción para prepararse.
Comparación del modo activo, el modo pasivo y el modo deshabilitado
En la tabla siguiente se describe qué esperar cuando el Antivirus de Microsoft Defender está en modo activo, en modo pasivo o deshabilitado.
| Modo | Qué ocurre |
|---|---|
| Modo activo | En modo activo, el Antivirus de Microsoft Defender se usa como la aplicación antivirus principal en el dispositivo. Los archivos se examinan, se corrigen las amenazas y las amenazas detectadas se enumeran en los informes de seguridad de la organización y en la aplicación de Seguridad de Windows. |
| Modo pasivo | En modo pasivo, el Antivirus de Microsoft Defender no se usa como la aplicación antivirus principal en el dispositivo. Los archivos se examinan y se notifican las amenazas detectadas, pero el Antivirus de Microsoft Defender no corrige las amenazas. IMPORTANTE: El Antivirus de Microsoft Defender solo se puede ejecutar en modo pasivo en los puntos de conexión que se incorporan a Microsoft Defender para punto de conexión. Consulte Requisitos para que el Antivirus de Microsoft Defender se ejecute en modo pasivo. |
| Deshabilitado o desinstalado | Cuando se deshabilita o desinstala, no se usa el Antivirus de Microsoft Defender. Los archivos no se examinan y las amenazas no se corrigen. En general, no se recomienda deshabilitar o desinstalar el Antivirus de Microsoft Defender. |
Para más información, consulte Compatibilidad con Antivirus de Microsoft Defender.
Comprobar el estado del Antivirus de Microsoft Defender en el dispositivo
Puede usar uno de varios métodos, como la aplicación Seguridad de Windows o Windows PowerShell, para comprobar el estado de Antivirus de Microsoft Defender en el dispositivo.
Importante
A partir de la versión de la plataforma 4.18.2208.0 y versiones posteriores: si un servidor se ha incorporado a Microsoft Defender para punto de conexión, la configuración de directiva de grupo "Desactivar Windows Defender" ya no deshabilitará completamente Windows Defender Antivirus activado. Windows Server 2012 R2 y versiones posteriores. En su lugar, lo colocará en modo pasivo. Además, la característica de protección contra alteraciones permitirá cambiar al modo activo, pero no al modo pasivo.
- Si ya se ha implementado "Desactivar Windows Defender" antes de incorporarse a Microsoft Defender para punto de conexión, no habrá ningún cambio y Antivirus de Defender permanecerá deshabilitado.
- Para cambiar antivirus de Defender al modo pasivo, incluso si se deshabilitó antes de la incorporación, puede aplicar la configuración de ForceDefenderPassiveMode con un valor de
1. Para colocarlo en modo activo, cambie este valor a0en su lugar.
Tenga en cuenta la lógica modificada para ForceDefenderPassiveMode cuando se habilita la protección contra alteraciones: una vez que Microsoft Defender Antivirus cambia al modo activo, la protección contra alteraciones impedirá que vuelva al modo pasivo incluso cuando ForceDefenderPassiveMode se establezca en 1.
Usar la aplicación Seguridad de Windows para comprobar el estado del Antivirus de Microsoft Defender
En el dispositivo Windows, seleccione el menú Inicio y empiece a escribir
Security. A continuación, abra la aplicación Seguridad de Windows en los resultados.Seleccione Protección contra amenazas de virus&.
En ¿Quién me protege?, elija Administrar proveedores.
Verá el nombre de la solución antivirus o antimalware en la página de proveedores de seguridad.
Usar PowerShell para comprobar el estado del Antivirus de Microsoft Defender
Seleccione el menú Inicio y empiece a escribir
PowerShell. A continuación, abra Windows PowerShell en los resultados.Tipo
Get-MpComputerStatus.En la lista de resultados, examine la fila AMRunningMode.
Normal significa que el Antivirus de Microsoft Defender se ejecuta en modo activo.
Modo pasivo significa que el Antivirus de Microsoft Defender está ejecución, pero no es el producto antivirus/antimalware principal del dispositivo. El modo pasivo solo está disponible para los dispositivos que se incorporan a Microsoft Defender para punto de conexión y que cumplen determinados requisitos. Consulte Requisitos para que el Antivirus de Microsoft Defender se ejecute en modo pasivo.
Modo de bloqueo de EDR: significa que el Antivirus de Microsoft Defender se está ejecutando y que está habilitada la Detección y respuesta de puntos de conexión (EDR) en modo de bloqueo, una funcionalidad de Microsoft Defender para punto de conexión. Compruebe la clave del Registro ForceDefenderPassiveMode . Si su valor es 0, se ejecuta en modo normal; De lo contrario, se ejecuta en modo pasivo.
El modo pasivo de SxS significa Microsoft Defender Antivirus se ejecuta junto con otro producto antivirus o antimalware y se usa un examen periódico limitado.
Sugerencia
Para obtener más información sobre el cmdlet de Get-MpComputerStatus PowerShell, consulte el artículo de referencia Get-MpComputerStatus.
Sugerencia
Sugerencia de rendimiento Debido a una variedad de factores (ejemplos que se enumeran a continuación) Microsoft Defender Antivirus, al igual que otros software antivirus, puede causar problemas de rendimiento en los dispositivos de punto de conexión. En algunos casos, es posible que tenga que ajustar el rendimiento de Microsoft Defender Antivirus para aliviar esos problemas de rendimiento. El analizador de rendimiento de Microsoft es una herramienta de línea de comandos de PowerShell que ayuda a determinar qué archivos, rutas de acceso de archivo, procesos y extensiones de archivo podrían estar causando problemas de rendimiento; Algunos ejemplos son:
- Rutas de acceso principales que afectan al tiempo de examen
- Archivos principales que afectan al tiempo de examen
- Principales procesos que afectan al tiempo de examen
- Extensiones de archivo principales que afectan al tiempo de examen
- Combinaciones: por ejemplo:
- archivos principales por extensión
- rutas de acceso superiores por extensión
- procesos principales por ruta de acceso
- exámenes superiores por archivo
- exámenes superiores por archivo por proceso
Puede usar la información recopilada mediante el Analizador de rendimiento para evaluar mejor los problemas de rendimiento y aplicar acciones de corrección. Consulte: Analizador de rendimiento para Microsoft Defender Antivirus.
Obtener actualizaciones de la plataforma malware/antivirus
Es importante mantener actualizado el Antivirus de Microsoft Defender, o cualquier solución antivirus/antimalware. Microsoft publica actualizaciones periódicas para ayudar a garantizar que los dispositivos tengan la última tecnología para protegerse contra nuevas técnicas de ataque y malware. Para obtener más información, consulte Administrar actualizaciones de Antivirus de Microsoft Defender y aplicar bases de referencia.
Sugerencia
Si busca información relacionada con el antivirus para otras plataformas, consulte:
- Establecer las preferencias para Microsoft Defender para punto de conexión en macOS
- Microsoft Defender para punto de conexión en Mac
- Configuración de las directivas de antivirus de macOS para Antivirus de Microsoft Defender para Intune
- Establecer preferencias para Microsoft Defender para punto de conexión en Linux
- Microsoft Defender para punto de conexión en Linux
- Configurar Defender para punto de conexión en características de Android
- Configurar Microsoft Defender para punto de conexión en las características iOS
Vea también
- Analizador de rendimiento para Microsoft Defender Antivirus
- Administración y configuración de Antivirus de Microsoft Defender
- Evaluar la protección de Antivirus de Microsoft Defender
- Exclusiones para Microsoft Defender para punto de conexión y antivirus de Microsoft Defender
Sugerencia
¿Desea obtener más información? Interactúe con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.