Jaa


Microsoft Defenderin virustentorjunta Windowsissa Yleiskatsaus

Koskee seuraavia:

  • Microsoft Defender for Endpoint -palvelupaketit 1 ja 2
  • Microsoft Defender for Business
  • Microsoft Defenderin virustentorjunta

Käyttöympäristöt

  • Windows

Microsoft Defenderin virustentorjunta on käytettävissä Windows 10:ssä ja Windows 11:ssä sekä Windows Serverin versioissa.

Microsoft Defenderin virustentorjunta on seuraavan sukupolven suojauksen tärkeä osa Microsoft Defender for Endpointissa. Tämä suojaus yhdistää koneoppimisen, massadata-analyysin, perusteellisen uhkien torjunnan tutkimuksen ja Microsoftin pilvi-infrastruktuurin organisaation laitteiden (tai päätepisteiden) suojaamiseksi. Microsoft Defenderin virustentorjunta sisältyy Windowsiin, ja se toimii yhdessä Microsoft Defender for Endpointin kanssa tarjotakseen suojausta laitteessasi ja pilvipalvelussa.

Vihje

Tämän artikkelin kumppanina tutustu Security Analyzerin määritysoppaaseen , jossa tarkastellaan parhaita käytäntöjä ja opitaan vahvistamaan puolustusta, parantamaan vaatimustenmukaisuutta ja navigoimaan kyberturvallisuusympäristössä luottavaisin mielin. Jos haluat mukautettua käyttökokemusta ympäristösi perusteella, voit käyttää Security Analyzerin automaattista määritysopasta Microsoft 365 -hallintakeskuksessa.

Microsoft Defenderin virustentorjuntaominaisuudet

Microsoft Defenderin virustentorjunta tarjoaa poikkeamien tunnistamisen, haittaohjelmien suojauskerroksen, joka ei sovi mihinkään ennalta määritettyihin kuvioihin. Poikkeamien tunnistaminen valvoo prosessin luontitapahtumia tai Internetistä ladattuja tiedostoja. Koneoppimisen ja pilvipalveluun toimitetun suojauksen avulla Microsoft Defenderin virustentorjunta voi pysyä askeleen edellä hyökkääjiä. Poikkeamien tunnistaminen on oletusarvoisesti käytössä, ja se voi auttaa estämään hyökkäykset, kuten 3CX-suojaushälytyksen Electron Windows -sovellukselle. Microsoft Defenderin virustentorjuntaohjelma aloitti tämän haittaohjelman estämisen neljä päivää ennen kuin hyökkäys rekisteröitiin VirusTotaliin.

Nykyaikaiset haittaohjelmat vaativat nykyaikaisia ratkaisuja. Vuonna 2015 Microsoft Defenderin virustentorjuntaohjelma siirtyi staattisen allekirjoituspohjaisen moduulin käytöstä malliin, joka käyttää ennakoivia tekniikoita, kuten koneoppimista, soveltavaa tiedettä ja tekoälyä, koska tämä on tarpeen sinun ja organisaatiosi pitämiseksi turvassa nykypäivän alati kehittyvän haittaohjelmaympäristön monimutkaisuudesta.

Microsoft Defenderin virustentorjuntaohjelma voi estää lähes kaikki haittaohjelmat ensi silmäyksellä millisekunteina.

Olemme myös suunnitelleet virustentorjuntaratkaisumme toimimaan sekä online- että offline-skenaarioissa. Offline-skenaarioissa uusimmat dynaamiset tiedot tiedustelutietojen suojauskaaviosta valmistellaan päätepisteeseen säännöllisesti koko päivän ajan. Kun yhteys pilvipalveluun on muodostettu, sille syötetään reaaliaikaisia tietoja älykkäästä suojauskaaviosta.

Microsoft Defenderin virustentorjunta voi myös lopettaa uhat niiden toiminnan perusteella ja käsitellä puita silloinkin, kun uhka on alkanut. Yleinen esimerkki tällaisista hyökkäyksistä on tiedostoton haittaohjelma. Microsoftin seuraavan sukupolven suojausominaisuudet toimivat yhdessä haittaohjelmien tunnistamiseksi ja estämiseksi epänormaalin toiminnan perusteella. Lisätietoja on artikkelissa Toiminnan estäminen ja eristäminen.

Yhteensopivuus muiden virustentorjuntatuotteiden kanssa

Jos käytät laitteessasi muuta kuin Microsoftin virustentorjunta- tai haittaohjelmientorjuntatuotetta, voit ehkä suorittaa Microsoft Defenderin virustentorjuntaa passiivisessa tilassa muun kuin Microsoftin virustentorjuntaratkaisun rinnalla. Se riippuu käytetystä käyttöjärjestelmästä ja siitä, onko laitteesi otettu käyttöön Defender for Endpointissa. Lisätietoja on kohteessa Microsoft Defenderin virustentorjunnan yhteensopivuus.

Microsoft Defenderin virustentorjuntaprosessit ja -palvelut

Seuraavassa taulukossa on yhteenveto Microsoft Defenderin virustentorjuntaprosesseista ja -palveluista. Voit tarkastella niitä Tehtävienhallinnassa Windowsissa.

Prosessi tai palvelu Missä voit tarkastella sen tilaa
Microsoft Defenderin virustentorjuntaohjelman ydinpalvelu
(MdCoreSvc)
- Prosessit-välilehti : Antimalware Core Service
- Tiedot-välilehti : MpDefenderCoreService.exe
- Palvelut-välilehti : Microsoft Defender Core Service
Microsoft Defenderin virustentorjuntapalvelu
(WinDefend)
- Prosessit-välilehti : Antimalware Service Executable
- Tiedot-välilehti : MsMpEng.exe
- Palvelut-välilehti : Microsoft Defender Antivirus
Microsoft Defenderin virustentorjuntaverkosto Reaaliaikainen tarkastuspalvelu
(WdNisSvc)
- Prosessit-välilehti : Microsoft Network Realtime Inspection Service
- Tiedot-välilehti : NisSrv.exe
- Palvelut-välilehti : Microsoft Defender Antivirus Network Inspection Service
Microsoft Defenderin virustentorjunnan komentoriviapuohjelma - Prosessit-välilehti : Ei mikään
- Tiedot-välilehti : MpCmdRun.exe
- Palvelut-välilehti : Ei mikään
Microsoft Securityn asiakaskäytännön määritystyökalu - Prosessit-välilehti : Ei mikään
- Tiedot-välilehti : ConfigSecurityPolicy.exe
- Palvelut-välilehti : Ei mikään

Lisätietoja Microsoft Defender Core -palvelusta on Microsoft Defender Core -palvelun yleiskatsauksessa.

Microsoft Endpoint Data Loss Prevention (Endpoint DLP) -käytännöllä seuraavassa taulukossa on yhteenveto prosesseista ja palveluista. Voit tarkastella niitä Tehtävienhallinnassa Windowsissa.

Prosessi tai palvelu Missä voit tarkastella sen tilaa
Microsoft Endpoint DLP -palvelu
(MDDlpSvc)
- Prosessit-välilehti : MpDlpService.exe
- Tiedot-välilehti : MpDlpService.exe
- Palvelut-välilehti : Microsoft Data Loss Prevention Service
Microsoft Endpoint DLP -komentoriviapuohjelma - Prosessit-välilehti : Ei mikään
- Tiedot-välilehti : MpDlpCmd.exe
- Palvelut-välilehti : Ei mikään

Aktiivisen tilan, passiivisen tilan ja käytöstä poistetun tilan vertailu

Seuraavassa taulukossa kuvataan, mitä on odotettavissa, kun Microsoft Defenderin virustentorjunta on aktiivisessa tilassa, passiivisessa tilassa tai poissa käytöstä.

Tila Mitä tapahtuu
Aktiivinen tila Aktiivisessa tilassa Microsoft Defenderin virustentorjuntaa käytetään laitteen ensisijaisena virustentorjuntasovelluksena. Tiedostot tarkistetaan, uhat korjataan ja havaitut uhat luetellaan organisaatiosi suojausraporteissa ja Windowsin suojaus -sovelluksessa.
Passiivinen tila Passiivisessa tilassa Microsoft Defenderin virustentorjuntaa ei käytetä laitteen ensisijaisena virustentorjuntasovelluksena. Tiedostot tarkistetaan ja havaitut uhat raportoidaan, mutta Microsoft Defenderin virustentorjunta ei korjaa uhkia.

TÄRKEÄÄ: Microsoft Defenderin virustentorjunta voidaan suorittaa passiivisessa tilassa vain päätepisteissä, jotka on otettu käyttöön Microsoft Defender for Endpointissa. Katso passiivisessa tilassa suoritettavan Microsoft Defenderin virustentorjunnan vaatimukset.
Poistettu käytöstä tai asennus poistettu Kun Microsoft Defenderin virustentorjunta on poistettu käytöstä tai sen asennus on poistettu, sitä ei käytetä. Tiedostoja ei tarkisteta, eikä uhkia korjata. Yleensä emme suosittele Microsoft Defenderin virustentorjunnan poistamista käytöstä tai sen asennuksen poistamista.

Lisätietoja on kohteessa Microsoft Defenderin virustentorjunnan yhteensopivuus.

Tarkista Microsoft Defenderin virustentorjunnan tila laitteessasi

Jos haluat tarkistaa Microsoft Defenderin virustentorjunnan tilan laitteessasi, voit käyttää jotakin useista tavoista, kuten Windowsin suojaus -sovellus tai Windows PowerShell.

Tärkeää

Alustaversiosta 4.18.2208.0 alkaen: Jos palvelin on otettu käyttöön Microsoft Defender for Endpointissa, Poista Windows Defender käytöstä -ryhmäkäytäntöasetus ei enää poista Windows Defenderin virustentorjuntaa kokonaan käytöstä Windows Server 2012 R2:ssa ja sitä uudemmissa versioissa. Sen sijaan se sijoittaa sen passiivitilaan. Lisäksi peukaloinnin suojausominaisuus mahdollistaa siirtymisen aktiiviseen tilaan, mutta ei passiivitilaan.

  • Jos "Poista Windows Defender käytöstä" on jo käytössä ennen Microsoft Defender for Endpointiin perehdyttämistä, muutoksia ei tehdä ja Defenderin virustentorjunta pysyy poissa käytöstä.
  • Jos haluat vaihtaa Defenderin virustentorjuntaohjelman passiivitilaan, vaikka se olisi poistettu käytöstä ennen perehdytystä1, voit käyttää ForceDefenderPassiveMode-määritystä arvolla . Jos haluat sijoittaa sen aktiiviseen tilaan, vaihda sen sijaan tähän arvoon 0 .

Huomaa muokatun logiikan logiikka ForceDefenderPassiveMode , kun peukaloinnin suojaus on käytössä: Kun Microsoft Defenderin virustentorjunta on otettu käyttöön, peukaloinnin suojaus estää sen palaamisen passiivitilaan, vaikka ForceDefenderPassiveMode asetuksena 1olisi .

Microsoft Defenderin virustentorjunnan tilan tarkistaminen Windowsin suojaus -sovelluksen avulla

  1. Valitse Windows-laitteessa aloitusvalikko ja ala kirjoittaa Security. Avaa sitten Windowsin suojaus -sovellus tuloksista.

  2. Valitse Virusten ja uhkien torjunta.

  3. Valitse Kuka suojaa minua? -kohdassa Hallitse palveluntarjoajia.

Virusten ja haittaohjelmien torjuntaratkaisun nimi näkyy suojauspalveluntarjoajien sivulla.

Microsoft Defenderin virustentorjunnan tilan tarkistaminen PowerShellin avulla

  1. Valitse aloitusvalikko ja ala kirjoittaa PowerShell. Avaa sitten Windows PowerShell tuloksista.

  2. Kirjoita Get-MpComputerStatus.

  3. Tarkastele tulosluettelossa riviä AMRunningMode.

    • Normaali tarkoittaa, että Microsoft Defenderin virustentorjunta on käynnissä aktiivisessa tilassa.

    • Passiivinen tila tarkoittaa, että Microsoft Defenderin virustentorjunta käynnissä, mutta se ei ole laitteen ensisijainen virusten- ja haittaohjelmientorjuntaohjelma. Passiivinen tila on käytettävissä vain laitteissa, jotka on otettu käyttöön Microsoft Defender for Endpointissa ja jotka täyttävät tietyt vaatimukset. Katso lisätietoja kohteesta passiivisessa tilassa suoritettavan Microsoft Defenderin virustentorjunnan vaatimukset.

    • EDR-estotila tarkoittaa, että Microsoft Defenderin virustentorjunta on käynnissä ja päätepisteiden tunnistus ja käsittely (EDR) estotilassa, joka on Microsoft Defender for Endpoint -ominaisuus, on käytössä. Tarkista ForceDefenderPassiveMode-rekisteriavain . Jos sen arvo on 0, se suoritetaan normaalitilassa. muussa tapauksessa se suoritetaan passiivitilassa.

    • SxS-passiivitila tarkoittaa, että Microsoft Defenderin virustentorjunta on käynnissä yhdessä toisen virustentorjunta-/haittaohjelmien torjuntatuotteen kanssa, ja käytössä on rajoitettu säännöllinen skannaus.

Vihje

Lisätietoja PowerShellin cmdlet-komennosta Get-MpComputerStatus on artikkelissa Get-MpComputerStatus.

Vihje

Suorituskykyvihje Microsoft Defenderin virustentorjuntaohjelma, kuten muutkin virustentorjuntaohjelmat, voivat aiheuttaa suorituskykyongelmia päätepistelaitteissa monien eri tekijöiden vuoksi (alla luetellut esimerkit). Joissakin tapauksissa saatat joutua hienosäätämään Microsoft Defenderin virustentorjuntaohjelman suorituskykyä näiden suorituskykyongelmien lievittämiseksi. Microsoftin Performance Analyzer on PowerShell-komentorivityökalu, joka auttaa määrittämään, mitkä tiedostot, tiedostopolut, prosessit ja tiedostotunnisteet saattavat aiheuttaa suorituskykyongelmia. esimerkkejä:

  • Tärkeimmät skannausaikaan vaikuttavat polut
  • Tärkeimmät tiedostot, jotka vaikuttavat tarkistusaikaan
  • Tärkeimmät prosessit, jotka vaikuttavat skannausaikaan
  • Suosituimmat tiedostotunnisteet, jotka vaikuttavat tarkistusaikaan
  • Yhdistelmät – esimerkiksi:
    • ylimmät tiedostot laajennusta kohti
    • ylimmät polut laajennusta kohti
    • parhaat prosessit polkua kohti
    • suosituimmat tarkistukset tiedostoa kohden
    • suosituimmat tarkistukset tiedostoa kohti prosessia kohti

Suorituskykyanalysaattorin avulla kerättyjen tietojen avulla voit arvioida suorituskykyongelmia ja ottaa käyttöön korjaustoimintoja. Katso: Microsoft Defenderin virustentorjunnan suorituskyvyn analysointi.

Virustentorjunta- ja haittaohjelmientorjuntaympäristöjen päivitysten hankkiminen

On tärkeää pitää Microsoft Defenderin virustentorjunta (tai mikä tahansa virusten- tai haittaohjelmientorjuntaohjelma) ajan tasalla. Microsoft julkaisee säännöllisiä päivityksiä varmistaakseen, että laitteissasi on uusin tekniikka, joka suojaa uusilta haittaohjelmilta ja hyökkäystekniikoilta. Lisätietoja on artikkelissa Microsoft Defenderin virustentorjunnan päivitysten ja perusaikataulujen hallinta.

Tutustu myös seuraaviin ohjeartikkeleihin:

Vihje

Haluatko tietää lisää? Ole yhteydessä Microsoft Security -yhteisöön teknologiayhteisössämme: Microsoft Defender for Endpoint Tech -yhteisössä.