Jaa


Microsoft Defender virustentorjunta Windowsin yleiskatsauksessa

Koskee seuraavia:

  • Microsoft Defender for Endpoint -palvelupaketit 1 ja 2
  • Microsoft Defender for Business
  • Microsoft Defenderin virustentorjunta

Käyttöympäristöt

  • Windows

Microsoft Defenderin virustentorjunta on käytettävissä Windows 10:ssä ja Windows 11:ssä sekä Windows Serverin versioissa.

Microsoft Defenderin virustentorjunta on seuraavan sukupolven suojauksen tärkeä osa Microsoft Defender for Endpointissa. Tämä suojaus yhdistää koneoppimisen, massadata-analyysin, perusteellisen uhkien torjunnan tutkimuksen ja Microsoftin pilvi-infrastruktuurin organisaation laitteiden (tai päätepisteiden) suojaamiseksi. Microsoft Defenderin virustentorjunta sisältyy Windowsiin, ja se toimii yhdessä Microsoft Defender for Endpointin kanssa tarjotakseen suojausta laitteessasi ja pilvipalvelussa.

Vihje

Tämän artikkelin kumppanina tutustu Security Analyzerin määritysoppaaseen , jossa tarkastellaan parhaita käytäntöjä ja opitaan vahvistamaan puolustusta, parantamaan vaatimustenmukaisuutta ja navigoimaan kyberturvallisuusympäristössä luottavaisin mielin. Ympäristöösi perustuvan mukautetun käyttökokemuksen saat suojausanalysaattorin automaattisen määritysoppaan avulla Microsoft 365 -hallintakeskus.

Microsoft Defender virustentorjuntatoiminnot

Microsoft Defender virustentorjunta tarjoaa poikkeamien tunnistuksen, haittaohjelmien suojauskerroksen, joka ei vastaa mitään ennalta määritettyä kaavaa. Poikkeamien tunnistaminen valvoo prosessin luontitapahtumia tai Internetistä ladattuja tiedostoja. Koneoppimisen ja pilvipalveluun toimitetun suojauksen avulla Microsoft Defender virustentorjunta voi pysyä askeleen edellä hyökkääjiä. Poikkeamien tunnistaminen on oletusarvoisesti käytössä, ja se voi auttaa estämään hyökkäykset, kuten 3CX-suojaushälytyksen Electron Windows -sovellukselle. Microsoft Defender virustentorjuntaohjelma aloitti haittaohjelman estämisen neljä päivää ennen kuin hyökkäys rekisteröitiin VirusTotaliin.

Nykyaikaiset haittaohjelmat vaativat nykyaikaisia ratkaisuja. Vuonna 2015 Microsoft Defender Antivirus siirtyi staattisen allekirjoituspohjaisen moduulin käytöstä malliin, joka käyttää ennakoivia tekniikoita, kuten koneoppimista, soveltavaa tiedettä ja tekoälyä, koska tämä on tarpeen sinun ja organisaatiosi pitämiseksi turvassa nykypäivän alati kehittyvän haittaohjelmaympäristön monimutkaisuudesta.

Microsoft Defender virustentorjunta voi estää lähes kaikki haittaohjelmat ensi silmäyksellä millisekunteina.

Olemme myös suunnitelleet virustentorjuntaratkaisumme toimimaan sekä online- että offline-skenaarioissa. Offline-skenaarioissa uusimmat dynaamiset tiedot tiedustelutietojen suojauskaaviosta valmistellaan päätepisteeseen säännöllisesti koko päivän ajan. Kun yhteys pilvipalveluun on muodostettu, sille syötetään reaaliaikaisia tietoja älykkäästä suojauskaaviosta.

Microsoft Defender virustentorjunta voi myös pysäyttää uhkia niiden toiminnan perusteella ja käsitellä puita silloinkin, kun uhka on aloitettu. Yleinen esimerkki tällaisista hyökkäyksistä on tiedostoton haittaohjelma. Microsoftin seuraavan sukupolven suojausominaisuudet toimivat yhdessä haittaohjelmien tunnistamiseksi ja estämiseksi epänormaalin toiminnan perusteella. Lisätietoja on artikkelissa Toiminnan estäminen ja eristäminen.

Yhteensopivuus muiden virustentorjuntatuotteiden kanssa

Jos käytät laitteessasi muuta kuin Microsoftin virustentorjunta- tai haittaohjelmientorjuntatuotetta, voit ehkä suorittaa Microsoft Defenderin virustentorjuntaa passiivisessa tilassa muun kuin Microsoftin virustentorjuntaratkaisun rinnalla. Se riippuu käytetystä käyttöjärjestelmästä ja siitä, onko laitteesi otettu käyttöön Defender for Endpointissa. Lisätietoja on kohteessa Microsoft Defenderin virustentorjunnan yhteensopivuus.

Microsoft Defender virustentorjuntaprosessit ja -palvelut

Seuraavassa taulukossa on yhteenveto Microsoft Defender virustentorjuntaprosesseista ja palveluista. Voit tarkastella niitä Tehtävienhallinnassa Windowsissa.

Prosessi tai palvelu Missä voit tarkastella sen tilaa
Microsoft Defender virustentorjuntaohjelman ydinpalvelu
(MdCoreSvc)
- Prosessit-välilehti : Antimalware Core Service
- Tiedot-välilehti : MpDefenderCoreService.exe
- Palvelut-välilehti : Microsoft Defender Core Service
Microsoft Defender virustentorjuntapalvelu
(WinDefend)
- Prosessit-välilehti : Antimalware Service Executable
- Tiedot-välilehti : MsMpEng.exe
- Palvelut-välilehti : Microsoft Defender Antivirus
Microsoft Defender virustentorjuntaverkoston reaaliaikainen tarkastuspalvelu
(WdNisSvc)
- Prosessit-välilehti : Microsoft Network Realtime Inspection Service
- Tiedot-välilehti : NisSrv.exe
- Palvelut-välilehti : Microsoft Defender Antivirus Network Inspection Service
Microsoft Defender virustentorjuntaohjelman komentoriviapuohjelma - Prosessit-välilehti : Ei mikään
- Tiedot-välilehti : MpCmdRun.exe
- Palvelut-välilehti : Ei mikään
Microsoft Securityn asiakaskäytännön määritystyökalu - Prosessit-välilehti : Ei mikään
- Tiedot-välilehti : ConfigSecurityPolicy.exe
- Palvelut-välilehti : Ei mikään

Lisätietoja Microsoft Defender Core -palvelusta on Microsoft Defender Core -palvelun yleiskatsauksessa.

Microsoft Endpoint Data Loss Prevention (Endpoint DLP) -käytännöllä seuraavassa taulukossa on yhteenveto prosesseista ja palveluista. Voit tarkastella niitä Tehtävienhallinnassa Windowsissa.

Prosessi tai palvelu Missä voit tarkastella sen tilaa
Microsoft Endpoint DLP -palvelu
(MDDlpSvc)
- Prosessit-välilehti : MpDlpService.exe
- Tiedot-välilehti : MpDlpService.exe
- Palvelut-välilehti : Microsoft Data Loss Prevention Service
Microsoft Endpoint DLP -komentoriviapuohjelma - Prosessit-välilehti : Ei mikään
- Tiedot-välilehti : MpDlpCmd.exe
- Palvelut-välilehti : Ei mikään

Aktiivisen tilan, passiivisen tilan ja käytöstä poistetun tilan vertailu

Seuraavassa taulukossa kuvataan, mitä on odotettavissa, kun Microsoft Defenderin virustentorjunta on aktiivisessa tilassa, passiivisessa tilassa tai poissa käytöstä.

Tila Mitä tapahtuu
Aktiivinen tila Aktiivisessa tilassa Microsoft Defenderin virustentorjuntaa käytetään laitteen ensisijaisena virustentorjuntasovelluksena. Tiedostot tarkistetaan, uhat korjataan ja havaitut uhat luetellaan organisaatiosi suojausraporteissa ja Windowsin suojaus -sovelluksessa.
Passiivinen tila Passiivitilassa Microsoft Defender virustentorjuntaa ei käytetä laitteen ensisijaisena virustentorjuntasovelluksena. Tiedostot tarkistetaan ja havaitut uhat raportoidaan, mutta Microsoft Defender virustentorjunta ei korjaa uhkia.

TÄRKEÄÄ: Microsoft Defenderin virustentorjunta voidaan suorittaa passiivisessa tilassa vain päätepisteissä, jotka on otettu käyttöön Microsoft Defender for Endpointissa. Katso passiivisessa tilassa suoritettavan Microsoft Defenderin virustentorjunnan vaatimukset.
Poistettu käytöstä tai asennus poistettu Kun asennus poistetaan käytöstä tai poistetaan, Microsoft Defender virustentorjuntaa ei käytetä. Tiedostoja ei skannata, eikä uhkia korjata. Yleisesti ottaen emme suosittele Microsoft Defender virustentorjunnan poistamista käytöstä tai asennuksen poistamista.

Lisätietoja on kohteessa Microsoft Defenderin virustentorjunnan yhteensopivuus.

Tarkista Microsoft Defenderin virustentorjunnan tila laitteessasi

Jos haluat tarkistaa Microsoft Defenderin virustentorjunnan tilan laitteessasi, voit käyttää jotakin useista tavoista, kuten Windowsin suojaus -sovellus tai Windows PowerShell.

Tärkeää

Alustaversiosta 4.18.2208.0 alkaen: Jos palvelin on otettu käyttöön Microsoft Defender for Endpoint, Poista Windows Defenderin käytöstä -ryhmäkäytäntöasetus ei enää poista Windows Defenderin virustentorjunta kokonaan käytöstä Windows Server 2012 R2:ssa ja sitä uudemmissa versioissa. Sen sijaan se sijoittaa sen passiivitilaan. Lisäksi peukaloinnin suojausominaisuus mahdollistaa siirtymisen aktiiviseen tilaan, mutta ei passiivitilaan.

  • Jos "Poista Windows Defender käytöstä" on jo käytössä ennen Microsoft Defender for Endpoint perehdytystä, muutoksia ei tehdä, ja Defenderin virustentorjunta pysyvät poissa käytöstä.
  • Jos haluat vaihtaa Defenderin virustentorjunta passiivitilaan, vaikka se olisi poistettu käytöstä ennen perehdytystä, voit käyttää ForceDefenderPassiveMode-määritystä arvolla 1. Jos haluat sijoittaa sen aktiiviseen tilaan, vaihda sen sijaan tähän arvoon 0 .

Huomaa muokatun logiikan logiikkaForceDefenderPassiveMode, kun peukaloinnin suojaus on käytössä: Kun Microsoft Defender virustentorjunta on otettu käyttöön, peukaloinnin suojaus estää sen palaamisen passiivitilaan, vaikka ForceDefenderPassiveMode asetuksena 1olisi .

Microsoft Defenderin virustentorjunnan tilan tarkistaminen Windowsin suojaus -sovelluksen avulla

  1. Valitse Windows-laitteessa aloitusvalikko ja ala kirjoittaa Security. Avaa sitten Windowsin suojaus -sovellus tuloksista.

  2. Valitse Virusten ja uhkien torjunta.

  3. Valitse Kuka suojaa minua? -kohdassa Hallitse palveluntarjoajia.

Virusten ja haittaohjelmien torjuntaratkaisun nimi näkyy suojauspalveluntarjoajien sivulla.

Microsoft Defenderin virustentorjunnan tilan tarkistaminen PowerShellin avulla

  1. Valitse aloitusvalikko ja ala kirjoittaa PowerShell. Avaa sitten Windows PowerShell tuloksista.

  2. Kirjoita Get-MpComputerStatus.

  3. Tarkastele tulosluettelossa riviä AMRunningMode.

    • Normaali tarkoittaa, että Microsoft Defenderin virustentorjunta on käynnissä aktiivisessa tilassa.

    • Passiivitila tarkoittaa Microsoft Defender virustentorjunta käynnissä, mutta ei ole laitteen ensisijainen virustentorjunta- tai haittaohjelmien torjuntatuote. Passiivinen tila on käytettävissä vain laitteissa, jotka on otettu käyttöön Microsoft Defender for Endpointissa ja jotka täyttävät tietyt vaatimukset. Katso lisätietoja kohteesta passiivisessa tilassa suoritettavan Microsoft Defenderin virustentorjunnan vaatimukset.

    • EDR-estotila tarkoittaa, että Microsoft Defenderin virustentorjunta on käynnissä ja päätepisteiden tunnistus ja käsittely (EDR) estotilassa, joka on Microsoft Defender for Endpoint -ominaisuus, on käytössä. Tarkista ForceDefenderPassiveMode-rekisteriavain . Jos sen arvo on 0, se suoritetaan normaalitilassa. Muussa tapauksessa se suoritetaan passiivitilassa.

    • SxS-passiivitila tarkoittaa, Microsoft Defender virustentorjuntaa suoritetaan yhdessä toisen virustentorjunta- tai haittaohjelmistontorjuntatuotteen kanssa, ja käytetään rajoitettua säännöllistä skannausta.

Vihje

Lisätietoja PowerShellin cmdlet-komennosta Get-MpComputerStatus on artikkelissa Get-MpComputerStatus.

Vihje

Suorituskykyvihje Virustentorjunnan Microsoft Defender voi muiden virustentorjuntaohjelmistojen tavoin aiheuttaa suorituskykyongelmia päätepistelaitteissa monien eri tekijöiden vuoksi (alla luetellut esimerkit). Joissakin tapauksissa sinun on ehkä hienosäädettävä Microsoft Defender virustentorjuntaohjelman suorituskykyä näiden suorituskykyongelmien lievittämiseksi. Microsoftin Performance Analyzer on PowerShell-komentorivityökalu, joka auttaa määrittämään, mitkä tiedostot, tiedostopolut, prosessit ja tiedostotunnisteet saattavat aiheuttaa suorituskykyongelmia. esimerkkejä:

  • Tärkeimmät skannausaikaan vaikuttavat polut
  • Tärkeimmät tiedostot, jotka vaikuttavat tarkistusaikaan
  • Tärkeimmät prosessit, jotka vaikuttavat skannausaikaan
  • Suosituimmat tiedostotunnisteet, jotka vaikuttavat tarkistusaikaan
  • Yhdistelmät – esimerkiksi:
    • ylimmät tiedostot laajennusta kohti
    • ylimmät polut laajennusta kohti
    • parhaat prosessit polkua kohti
    • suosituimmat tarkistukset tiedostoa kohden
    • suosituimmat tarkistukset tiedostoa kohti prosessia kohti

Suorituskykyanalysaattorin avulla kerättyjen tietojen avulla voit arvioida suorituskykyongelmia ja ottaa käyttöön korjaustoimintoja. Katso: suorituskyvyn analysointi Microsoft Defender virustentorjuntaa varten.

Virustentorjunta- ja haittaohjelmientorjuntaympäristöjen päivitysten hankkiminen

On tärkeää pitää Microsoft Defenderin virustentorjunta (tai mikä tahansa virusten- tai haittaohjelmientorjuntaohjelma) ajan tasalla. Microsoft julkaisee säännöllisiä päivityksiä varmistaakseen, että laitteissasi on uusin tekniikka, joka suojaa uusilta haittaohjelmilta ja hyökkäystekniikoilta. Lisätietoja on artikkelissa Microsoft Defenderin virustentorjunnan päivitysten ja perusaikataulujen hallinta.

Tutustu myös seuraaviin ohjeartikkeleihin:

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.