Microsoft Defenderin virustentorjunta Windowsissa Yleiskatsaus
Koskee seuraavia:
- Microsoft Defender for Endpoint -palvelupaketit 1 ja 2
- Microsoft Defender for Business
- Microsoft Defenderin virustentorjunta
Käyttöympäristöt
- Windows
Microsoft Defenderin virustentorjunta on käytettävissä Windows 10:ssä ja Windows 11:ssä sekä Windows Serverin versioissa.
Microsoft Defenderin virustentorjunta on seuraavan sukupolven suojauksen tärkeä osa Microsoft Defender for Endpointissa. Tämä suojaus yhdistää koneoppimisen, massadata-analyysin, perusteellisen uhkien torjunnan tutkimuksen ja Microsoftin pilvi-infrastruktuurin organisaation laitteiden (tai päätepisteiden) suojaamiseksi. Microsoft Defenderin virustentorjunta sisältyy Windowsiin, ja se toimii yhdessä Microsoft Defender for Endpointin kanssa tarjotakseen suojausta laitteessasi ja pilvipalvelussa.
Vihje
Tämän artikkelin kumppanina tutustu Security Analyzerin määritysoppaaseen , jossa tarkastellaan parhaita käytäntöjä ja opitaan vahvistamaan puolustusta, parantamaan vaatimustenmukaisuutta ja navigoimaan kyberturvallisuusympäristössä luottavaisin mielin. Jos haluat mukautettua käyttökokemusta ympäristösi perusteella, voit käyttää Security Analyzerin automaattista määritysopasta Microsoft 365 -hallintakeskuksessa.
Microsoft Defenderin virustentorjuntaominaisuudet
Microsoft Defenderin virustentorjunta tarjoaa poikkeamien tunnistamisen, haittaohjelmien suojauskerroksen, joka ei sovi mihinkään ennalta määritettyihin kuvioihin. Poikkeamien tunnistaminen valvoo prosessin luontitapahtumia tai Internetistä ladattuja tiedostoja. Koneoppimisen ja pilvipalveluun toimitetun suojauksen avulla Microsoft Defenderin virustentorjunta voi pysyä askeleen edellä hyökkääjiä. Poikkeamien tunnistaminen on oletusarvoisesti käytössä, ja se voi auttaa estämään hyökkäykset, kuten 3CX-suojaushälytyksen Electron Windows -sovellukselle. Microsoft Defenderin virustentorjuntaohjelma aloitti tämän haittaohjelman estämisen neljä päivää ennen kuin hyökkäys rekisteröitiin VirusTotaliin.
Nykyaikaiset haittaohjelmat vaativat nykyaikaisia ratkaisuja. Vuonna 2015 Microsoft Defenderin virustentorjuntaohjelma siirtyi staattisen allekirjoituspohjaisen moduulin käytöstä malliin, joka käyttää ennakoivia tekniikoita, kuten koneoppimista, soveltavaa tiedettä ja tekoälyä, koska tämä on tarpeen sinun ja organisaatiosi pitämiseksi turvassa nykypäivän alati kehittyvän haittaohjelmaympäristön monimutkaisuudesta.
Microsoft Defenderin virustentorjuntaohjelma voi estää lähes kaikki haittaohjelmat ensi silmäyksellä millisekunteina.
Olemme myös suunnitelleet virustentorjuntaratkaisumme toimimaan sekä online- että offline-skenaarioissa. Offline-skenaarioissa uusimmat dynaamiset tiedot tiedustelutietojen suojauskaaviosta valmistellaan päätepisteeseen säännöllisesti koko päivän ajan. Kun yhteys pilvipalveluun on muodostettu, sille syötetään reaaliaikaisia tietoja älykkäästä suojauskaaviosta.
Microsoft Defenderin virustentorjunta voi myös lopettaa uhat niiden toiminnan perusteella ja käsitellä puita silloinkin, kun uhka on alkanut. Yleinen esimerkki tällaisista hyökkäyksistä on tiedostoton haittaohjelma. Microsoftin seuraavan sukupolven suojausominaisuudet toimivat yhdessä haittaohjelmien tunnistamiseksi ja estämiseksi epänormaalin toiminnan perusteella. Lisätietoja on artikkelissa Toiminnan estäminen ja eristäminen.
Yhteensopivuus muiden virustentorjuntatuotteiden kanssa
Jos käytät laitteessasi muuta kuin Microsoftin virustentorjunta- tai haittaohjelmientorjuntatuotetta, voit ehkä suorittaa Microsoft Defenderin virustentorjuntaa passiivisessa tilassa muun kuin Microsoftin virustentorjuntaratkaisun rinnalla. Se riippuu käytetystä käyttöjärjestelmästä ja siitä, onko laitteesi otettu käyttöön Defender for Endpointissa. Lisätietoja on kohteessa Microsoft Defenderin virustentorjunnan yhteensopivuus.
Microsoft Defenderin virustentorjuntaprosessit ja -palvelut
Seuraavassa taulukossa on yhteenveto Microsoft Defenderin virustentorjuntaprosesseista ja -palveluista. Voit tarkastella niitä Tehtävienhallinnassa Windowsissa.
| Prosessi tai palvelu | Missä voit tarkastella sen tilaa |
|---|---|
| Microsoft Defenderin virustentorjuntaohjelman ydinpalvelu ( MdCoreSvc) |
- Prosessit-välilehti : Antimalware Core Service - Tiedot-välilehti : MpDefenderCoreService.exe - Palvelut-välilehti : Microsoft Defender Core Service |
| Microsoft Defenderin virustentorjuntapalvelu ( WinDefend) |
- Prosessit-välilehti : Antimalware Service Executable - Tiedot-välilehti : MsMpEng.exe - Palvelut-välilehti : Microsoft Defender Antivirus |
| Microsoft Defenderin virustentorjuntaverkosto Reaaliaikainen tarkastuspalvelu ( WdNisSvc) |
- Prosessit-välilehti : Microsoft Network Realtime Inspection Service - Tiedot-välilehti : NisSrv.exe - Palvelut-välilehti : Microsoft Defender Antivirus Network Inspection Service |
| Microsoft Defenderin virustentorjunnan komentoriviapuohjelma | - Prosessit-välilehti : Ei mikään - Tiedot-välilehti : MpCmdRun.exe - Palvelut-välilehti : Ei mikään |
| Microsoft Securityn asiakaskäytännön määritystyökalu | - Prosessit-välilehti : Ei mikään - Tiedot-välilehti : ConfigSecurityPolicy.exe - Palvelut-välilehti : Ei mikään |
Lisätietoja Microsoft Defender Core -palvelusta on Microsoft Defender Core -palvelun yleiskatsauksessa.
Microsoft Endpoint Data Loss Prevention (Endpoint DLP) -käytännöllä seuraavassa taulukossa on yhteenveto prosesseista ja palveluista. Voit tarkastella niitä Tehtävienhallinnassa Windowsissa.
| Prosessi tai palvelu | Missä voit tarkastella sen tilaa |
|---|---|
| Microsoft Endpoint DLP -palvelu ( MDDlpSvc) |
- Prosessit-välilehti : MpDlpService.exe - Tiedot-välilehti : MpDlpService.exe - Palvelut-välilehti : Microsoft Data Loss Prevention Service |
| Microsoft Endpoint DLP -komentoriviapuohjelma | - Prosessit-välilehti : Ei mikään - Tiedot-välilehti : MpDlpCmd.exe - Palvelut-välilehti : Ei mikään |
Aktiivisen tilan, passiivisen tilan ja käytöstä poistetun tilan vertailu
Seuraavassa taulukossa kuvataan, mitä on odotettavissa, kun Microsoft Defenderin virustentorjunta on aktiivisessa tilassa, passiivisessa tilassa tai poissa käytöstä.
| Tila | Mitä tapahtuu |
|---|---|
| Aktiivinen tila | Aktiivisessa tilassa Microsoft Defenderin virustentorjuntaa käytetään laitteen ensisijaisena virustentorjuntasovelluksena. Tiedostot tarkistetaan, uhat korjataan ja havaitut uhat luetellaan organisaatiosi suojausraporteissa ja Windowsin suojaus -sovelluksessa. |
| Passiivinen tila | Passiivisessa tilassa Microsoft Defenderin virustentorjuntaa ei käytetä laitteen ensisijaisena virustentorjuntasovelluksena. Tiedostot tarkistetaan ja havaitut uhat raportoidaan, mutta Microsoft Defenderin virustentorjunta ei korjaa uhkia. TÄRKEÄÄ: Microsoft Defenderin virustentorjunta voidaan suorittaa passiivisessa tilassa vain päätepisteissä, jotka on otettu käyttöön Microsoft Defender for Endpointissa. Katso passiivisessa tilassa suoritettavan Microsoft Defenderin virustentorjunnan vaatimukset. |
| Poistettu käytöstä tai asennus poistettu | Kun Microsoft Defenderin virustentorjunta on poistettu käytöstä tai sen asennus on poistettu, sitä ei käytetä. Tiedostoja ei tarkisteta, eikä uhkia korjata. Yleensä emme suosittele Microsoft Defenderin virustentorjunnan poistamista käytöstä tai sen asennuksen poistamista. |
Lisätietoja on kohteessa Microsoft Defenderin virustentorjunnan yhteensopivuus.
Tarkista Microsoft Defenderin virustentorjunnan tila laitteessasi
Jos haluat tarkistaa Microsoft Defenderin virustentorjunnan tilan laitteessasi, voit käyttää jotakin useista tavoista, kuten Windowsin suojaus -sovellus tai Windows PowerShell.
Tärkeää
Alustaversiosta 4.18.2208.0 alkaen: Jos palvelin on otettu käyttöön Microsoft Defender for Endpointissa, Poista Windows Defender käytöstä -ryhmäkäytäntöasetus ei enää poista Windows Defenderin virustentorjuntaa kokonaan käytöstä Windows Server 2012 R2:ssa ja sitä uudemmissa versioissa. Sen sijaan se sijoittaa sen passiivitilaan. Lisäksi peukaloinnin suojausominaisuus mahdollistaa siirtymisen aktiiviseen tilaan, mutta ei passiivitilaan.
- Jos "Poista Windows Defender käytöstä" on jo käytössä ennen Microsoft Defender for Endpointiin perehdyttämistä, muutoksia ei tehdä ja Defenderin virustentorjunta pysyy poissa käytöstä.
- Jos haluat vaihtaa Defenderin virustentorjuntaohjelman passiivitilaan, vaikka se olisi poistettu käytöstä ennen perehdytystä
1, voit käyttää ForceDefenderPassiveMode-määritystä arvolla . Jos haluat sijoittaa sen aktiiviseen tilaan, vaihda sen sijaan tähän arvoon0.
Huomaa muokatun logiikan logiikka ForceDefenderPassiveMode , kun peukaloinnin suojaus on käytössä: Kun Microsoft Defenderin virustentorjunta on otettu käyttöön, peukaloinnin suojaus estää sen palaamisen passiivitilaan, vaikka ForceDefenderPassiveMode asetuksena 1olisi .
Microsoft Defenderin virustentorjunnan tilan tarkistaminen Windowsin suojaus -sovelluksen avulla
Valitse Windows-laitteessa aloitusvalikko ja ala kirjoittaa
Security. Avaa sitten Windowsin suojaus -sovellus tuloksista.Valitse Virusten ja uhkien torjunta.
Valitse Kuka suojaa minua? -kohdassa Hallitse palveluntarjoajia.
Virusten ja haittaohjelmien torjuntaratkaisun nimi näkyy suojauspalveluntarjoajien sivulla.
Microsoft Defenderin virustentorjunnan tilan tarkistaminen PowerShellin avulla
Valitse aloitusvalikko ja ala kirjoittaa
PowerShell. Avaa sitten Windows PowerShell tuloksista.Kirjoita
Get-MpComputerStatus.Tarkastele tulosluettelossa riviä AMRunningMode.
Normaali tarkoittaa, että Microsoft Defenderin virustentorjunta on käynnissä aktiivisessa tilassa.
Passiivinen tila tarkoittaa, että Microsoft Defenderin virustentorjunta käynnissä, mutta se ei ole laitteen ensisijainen virusten- ja haittaohjelmientorjuntaohjelma. Passiivinen tila on käytettävissä vain laitteissa, jotka on otettu käyttöön Microsoft Defender for Endpointissa ja jotka täyttävät tietyt vaatimukset. Katso lisätietoja kohteesta passiivisessa tilassa suoritettavan Microsoft Defenderin virustentorjunnan vaatimukset.
EDR-estotila tarkoittaa, että Microsoft Defenderin virustentorjunta on käynnissä ja päätepisteiden tunnistus ja käsittely (EDR) estotilassa, joka on Microsoft Defender for Endpoint -ominaisuus, on käytössä. Tarkista ForceDefenderPassiveMode-rekisteriavain . Jos sen arvo on 0, se suoritetaan normaalitilassa. muussa tapauksessa se suoritetaan passiivitilassa.
SxS-passiivitila tarkoittaa, että Microsoft Defenderin virustentorjunta on käynnissä yhdessä toisen virustentorjunta-/haittaohjelmien torjuntatuotteen kanssa, ja käytössä on rajoitettu säännöllinen skannaus.
Vihje
Lisätietoja PowerShellin cmdlet-komennosta Get-MpComputerStatus on artikkelissa Get-MpComputerStatus.
Vihje
Suorituskykyvihje Microsoft Defenderin virustentorjuntaohjelma, kuten muutkin virustentorjuntaohjelmat, voivat aiheuttaa suorituskykyongelmia päätepistelaitteissa monien eri tekijöiden vuoksi (alla luetellut esimerkit). Joissakin tapauksissa saatat joutua hienosäätämään Microsoft Defenderin virustentorjuntaohjelman suorituskykyä näiden suorituskykyongelmien lievittämiseksi. Microsoftin Performance Analyzer on PowerShell-komentorivityökalu, joka auttaa määrittämään, mitkä tiedostot, tiedostopolut, prosessit ja tiedostotunnisteet saattavat aiheuttaa suorituskykyongelmia. esimerkkejä:
- Tärkeimmät skannausaikaan vaikuttavat polut
- Tärkeimmät tiedostot, jotka vaikuttavat tarkistusaikaan
- Tärkeimmät prosessit, jotka vaikuttavat skannausaikaan
- Suosituimmat tiedostotunnisteet, jotka vaikuttavat tarkistusaikaan
- Yhdistelmät – esimerkiksi:
- ylimmät tiedostot laajennusta kohti
- ylimmät polut laajennusta kohti
- parhaat prosessit polkua kohti
- suosituimmat tarkistukset tiedostoa kohden
- suosituimmat tarkistukset tiedostoa kohti prosessia kohti
Suorituskykyanalysaattorin avulla kerättyjen tietojen avulla voit arvioida suorituskykyongelmia ja ottaa käyttöön korjaustoimintoja. Katso: Microsoft Defenderin virustentorjunnan suorituskyvyn analysointi.
Virustentorjunta- ja haittaohjelmientorjuntaympäristöjen päivitysten hankkiminen
On tärkeää pitää Microsoft Defenderin virustentorjunta (tai mikä tahansa virusten- tai haittaohjelmientorjuntaohjelma) ajan tasalla. Microsoft julkaisee säännöllisiä päivityksiä varmistaakseen, että laitteissasi on uusin tekniikka, joka suojaa uusilta haittaohjelmilta ja hyökkäystekniikoilta. Lisätietoja on artikkelissa Microsoft Defenderin virustentorjunnan päivitysten ja perusaikataulujen hallinta.
Vihje
Jos etsit virustentorjuntaan liittyviä tietoja muista ympäristöistä, katso:
- Asetusten määrittäminen Microsoft Defender for Endpoint Macissa
- Microsoft Defender for Endpoint Macissa
- macOS:n virustentorjuntakäytännön asetukset Microsoft Defenderin virustentorjunta Intunessa
- Asetusten määrittäminen Microsoft Defender for Endpoint Linuxissa
- Microsoft Defender for Endpoint Linuxissa
- Defender for Endpointin ominaisuuksien määrittäminen Androidissa
- Microsoft Defender for Endpointin ominaisuuksien määrittäminen iOS:ssä
Tutustu myös seuraaviin ohjeartikkeleihin:
- Microsoft Defenderin virustentorjuntaohjelman suorituskyvyn analysointi
- Microsoft Defenderin virustentorjunnan hallinta ja määritys
- Arvioi Microsoft Defenderin virustentorjunnan suojaus
- Microsoft Defender for Endpointin ja Microsoft Defenderin virustentorjunnan poikkeukset
Vihje
Haluatko tietää lisää? Ole yhteydessä Microsoft Security -yhteisöön teknologiayhteisössämme: Microsoft Defender for Endpoint Tech -yhteisössä.
Palaute
Tulossa pian: Vuoden 2024 aikana poistamme asteittain GitHub Issuesin käytöstä sisällön palautemekanismina ja korvaamme sen uudella palautejärjestelmällä. Lisätietoja on täällä: https://aka.ms/ContentUserFeedback.
Lähetä ja näytä palaute kohteelle