Microsoft Defender virustentorjunta Windowsin yleiskatsauksessa
Koskee seuraavia:
- Microsoft Defender for Endpoint -palvelupaketit 1 ja 2
- Microsoft Defender for Business
- Microsoft Defenderin virustentorjunta
Käyttöympäristöt
- Windows
Microsoft Defenderin virustentorjunta on käytettävissä Windows 10:ssä ja Windows 11:ssä sekä Windows Serverin versioissa.
Microsoft Defenderin virustentorjunta on seuraavan sukupolven suojauksen tärkeä osa Microsoft Defender for Endpointissa. Tämä suojaus yhdistää koneoppimisen, massadata-analyysin, perusteellisen uhkien torjunnan tutkimuksen ja Microsoftin pilvi-infrastruktuurin organisaation laitteiden (tai päätepisteiden) suojaamiseksi. Microsoft Defenderin virustentorjunta sisältyy Windowsiin, ja se toimii yhdessä Microsoft Defender for Endpointin kanssa tarjotakseen suojausta laitteessasi ja pilvipalvelussa.
Microsoft Defender virustentorjuntatoiminnot
Microsoft Defender virustentorjunta tarjoaa poikkeamien tunnistuksen, haittaohjelmien suojauskerroksen, joka ei vastaa mitään ennalta määritettyä kaavaa. Poikkeamien tunnistaminen valvoo prosessin luontitapahtumia tai Internetistä ladattuja tiedostoja. Koneoppimisen ja pilvipalveluun toimitetun suojauksen avulla Microsoft Defender virustentorjunta voi pysyä askeleen edellä hyökkääjiä. Poikkeamien tunnistaminen on oletusarvoisesti käytössä, ja se voi auttaa estämään hyökkäykset, kuten 3CX-suojaushälytyksen Electron Windows -sovellukselle. Microsoft Defender virustentorjuntaohjelma aloitti haittaohjelman estämisen neljä päivää ennen kuin hyökkäys rekisteröitiin VirusTotaliin.
Nykyaikaiset haittaohjelmat vaativat nykyaikaisia ratkaisuja. Vuonna 2015 Microsoft Defender Antivirus siirtyi staattisen allekirjoituspohjaisen moduulin käytöstä malliin, joka käyttää ennakoivia tekniikoita, kuten koneoppimista, soveltavaa tiedettä ja tekoälyä, koska tämä on tarpeen sinun ja organisaatiosi pitämiseksi turvassa nykypäivän alati kehittyvän haittaohjelmaympäristön monimutkaisuudesta.
Microsoft Defender virustentorjunta voi estää lähes kaikki haittaohjelmat ensi silmäyksellä millisekunteina.
Olemme myös suunnitelleet virustentorjuntaratkaisumme toimimaan sekä online- että offline-skenaarioissa. Offline-skenaarioissa uusimmat dynaamiset tiedot tiedustelutietojen suojauskaaviosta valmistellaan päätepisteeseen säännöllisesti koko päivän ajan. Kun yhteys pilvipalveluun on muodostettu, sille syötetään reaaliaikaisia tietoja älykkäästä suojauskaaviosta.
Microsoft Defender virustentorjunta voi myös pysäyttää uhkia niiden toiminnan perusteella ja käsitellä puita silloinkin, kun uhka on aloitettu. Yleinen esimerkki tällaisista hyökkäyksistä on tiedostoton haittaohjelma. Microsoftin seuraavan sukupolven suojausominaisuudet toimivat yhdessä haittaohjelmien tunnistamiseksi ja estämiseksi epänormaalin toiminnan perusteella. Lisätietoja on artikkelissa Toiminnan estäminen ja eristäminen.
Yhteensopivuus muiden virustentorjuntatuotteiden kanssa
Jos käytät laitteessasi muuta kuin Microsoftin virustentorjunta- tai haittaohjelmientorjuntatuotetta, voit ehkä suorittaa Microsoft Defenderin virustentorjuntaa passiivisessa tilassa muun kuin Microsoftin virustentorjuntaratkaisun rinnalla. Se riippuu käytetystä käyttöjärjestelmästä ja siitä, onko laitteesi otettu käyttöön Defender for Endpointissa. Lisätietoja on kohteessa Microsoft Defenderin virustentorjunnan yhteensopivuus.
Microsoft Defender virustentorjuntaprosessit ja -palvelut
Seuraavassa taulukossa on yhteenveto Microsoft Defender virustentorjuntaprosesseista ja palveluista. Voit tarkastella niitä Tehtävienhallinnassa Windowsissa.
| Prosessi tai palvelu | Missä voit tarkastella sen tilaa |
|---|---|
| Microsoft Defender virustentorjuntaohjelman ydinpalvelu ( MdCoreSvc) |
- Prosessit-välilehti : Antimalware Core Service - Tiedot-välilehti : MpDefenderCoreService.exe - Palvelut-välilehti : Microsoft Defender Core Service |
| Microsoft Defender virustentorjuntapalvelu ( WinDefend) |
- Prosessit-välilehti : Antimalware Service Executable - Tiedot-välilehti : MsMpEng.exe - Palvelut-välilehti : Microsoft Defender Antivirus |
| Microsoft Defender virustentorjuntaverkoston reaaliaikainen tarkastuspalvelu ( WdNisSvc) |
- Prosessit-välilehti : Microsoft Network Realtime Inspection Service - Tiedot-välilehti : NisSrv.exe - Palvelut-välilehti : Microsoft Defender Antivirus Network Inspection Service |
| Microsoft Defender virustentorjuntaohjelman komentoriviapuohjelma | - Prosessit-välilehti : Ei mikään - Tiedot-välilehti : MpCmdRun.exe - Palvelut-välilehti : Ei mikään |
| Microsoft Securityn asiakaskäytännön määritystyökalu | - Prosessit-välilehti : Ei mikään - Tiedot-välilehti : ConfigSecurityPolicy.exe - Palvelut-välilehti : Ei mikään |
Microsoft Endpoint Data Loss Prevention (Endpoint DLP) -käytännöllä seuraavassa taulukossa on yhteenveto prosesseista ja palveluista. Voit tarkastella niitä Tehtävienhallinnassa Windowsissa.
| Prosessi tai palvelu | Missä voit tarkastella sen tilaa |
|---|---|
| Microsoft Endpoint DLP -palvelu ( MDDlpSvc) |
- Prosessit-välilehti : MpDlpService.exe - Tiedot-välilehti : MpDlpService.exe - Palvelut-välilehti : Microsoft Data Loss Prevention Service |
| Microsoft Endpoint DLP -komentoriviapuohjelma | - Prosessit-välilehti : Ei mikään - Tiedot-välilehti : MpDlpCmd.exe - Palvelut-välilehti : Ei mikään |
Microsoft Defender Core -palvelu
Microsoft julkaisee Microsoft Defender Core -palvelun Microsoft Defender virustentorjunnan vakauden ja suorituskyvyn parantamiseksi. Asiakkaille, jotka käyttävät Microsoftin päätepisteen tietojen menetyksen estämistä pienillä, keskisuurilla ja yrityssektoreilla, Microsoft jakaa koodikannan omaan palveluunsa.
Microsoft Defender Core -palvelu julkaistaan Microsoft Defender virustentorjuntaympäristön versiolla 4.18.23110.2009.
Käyttöönotto alkaa marraskuussa 2023 asiakkaiden ennakkojulkaisua ja sen suunnitelmia julkaistaan kaikille yritysasiakkaille lähikuukausina.
Yritysasiakkaiden tulisi sallia seuraavat URL-osoitteet:
*.events.data.microsoft.com*.endpoint.security.microsoft.com*.ecs.office.com
Yhdysvaltain valtionhallinnon yritysasiakkaiden tulisi sallia seuraavat URL-osoitteet:
*.events.data.microsoft.com*.endpoint.security.microsoft.us (GCC-H & DoD)*.gccmod.ecs.office.com (GCC-M)*.config.ecs.gov.teams.microsoft.us (GCC-H)*.config.ecs.dod.teams.microsoft.us (DoD)
Jos käytät Windowsin sovellusten hallintaa tai jos käytössäsi on muu kuin Microsoftin virustentorjunta tai päätepisteen tunnistus- ja vastausohjelmisto, muista lisätä aiemmin mainitut prosessit sallittujen luetteloon.
Kuluttajien ei tarvitse tehdä mitään valmisteluja.
Aktiivisen tilan, passiivisen tilan ja käytöstä poistetun tilan vertailu
Seuraavassa taulukossa kuvataan, mitä on odotettavissa, kun Microsoft Defenderin virustentorjunta on aktiivisessa tilassa, passiivisessa tilassa tai poissa käytöstä.
| Tila | Mitä tapahtuu |
|---|---|
| Aktiivinen tila | Aktiivisessa tilassa Microsoft Defenderin virustentorjuntaa käytetään laitteen ensisijaisena virustentorjuntasovelluksena. Tiedostot tarkistetaan, uhat korjataan ja havaitut uhat luetellaan organisaatiosi suojausraporteissa ja Windowsin suojaus -sovelluksessa. |
| Passiivinen tila | Passiivisessa tilassa Microsoft Defenderin virustentorjuntaa ei käytetä laitteen ensisijaisena virustentorjuntasovelluksena. Tiedostot tarkistetaan ja havaitut uhat raportoidaan, mutta Microsoft Defenderin virustentorjunta ei korjaa uhkia. TÄRKEÄÄ: Microsoft Defenderin virustentorjunta voidaan suorittaa passiivisessa tilassa vain päätepisteissä, jotka on otettu käyttöön Microsoft Defender for Endpointissa. Katso passiivisessa tilassa suoritettavan Microsoft Defenderin virustentorjunnan vaatimukset. |
| Poistettu käytöstä tai asennus poistettu | Kun Microsoft Defenderin virustentorjunta on poistettu käytöstä tai sen asennus on poistettu, sitä ei käytetä. Tiedostoja ei tarkisteta, eikä uhkia korjata. Yleensä emme suosittele Microsoft Defenderin virustentorjunnan poistamista käytöstä tai sen asennuksen poistamista. |
Lisätietoja on kohteessa Microsoft Defenderin virustentorjunnan yhteensopivuus.
Tarkista Microsoft Defenderin virustentorjunnan tila laitteessasi
Jos haluat tarkistaa Microsoft Defenderin virustentorjunnan tilan laitteessasi, voit käyttää jotakin useista tavoista, kuten Windowsin suojaus -sovellus tai Windows PowerShell.
Tärkeää
Alustaversiosta 4.18.2208.0 alkaen: Jos palvelin on otettu käyttöön Microsoft Defender for Endpoint, Poista Windows Defender käytöstä -ryhmäkäytäntöasetus ei enää poista Windows Defender virustentorjuntaa käytöstä Windows Server 2012 R2:ssa ja sitä uudemmissa versioissa. Sen sijaan se sijoittaa sen passiivitilaan. Lisäksi peukaloinnin suojausominaisuus mahdollistaa siirtymisen aktiiviseen tilaan, mutta ei passiivitilaan.
- Jos "Poista Windows Defender käytöstä" on käytössä jo ennen Microsoft Defender for Endpoint perehdytystä, muutoksia ei tehdä ja Defenderin virustentorjunta pysyy poissa käytöstä.
- Jos haluat vaihtaa Defenderin virustentorjuntaohjelman passiivitilaan, vaikka se olisi poistettu käytöstä ennen perehdytystä
1, voit käyttää ForceDefenderPassiveMode-määritystä arvolla . Jos haluat sijoittaa sen aktiiviseen tilaan, vaihda sen sijaan tähän arvoon0.
Huomaa muokatun logiikan logiikkaForceDefenderPassiveMode, kun peukaloinnin suojaus on käytössä: Kun Microsoft Defender virustentorjunta on otettu käyttöön, peukaloinnin suojaus estää sen palaamisen passiivitilaan, vaikka ForceDefenderPassiveMode asetuksena 1olisi .
Microsoft Defenderin virustentorjunnan tilan tarkistaminen Windowsin suojaus -sovelluksen avulla
Valitse Windows-laitteessa aloitusvalikko ja ala kirjoittaa
Security. Avaa sitten Windowsin suojaus -sovellus tuloksista.Valitse Virusten ja uhkien torjunta.
Valitse Kuka suojaa minua? -kohdassa Hallitse palveluntarjoajia.
Virusten ja haittaohjelmien torjuntaratkaisun nimi näkyy suojauspalveluntarjoajien sivulla.
Microsoft Defenderin virustentorjunnan tilan tarkistaminen PowerShellin avulla
Valitse aloitusvalikko ja ala kirjoittaa
PowerShell. Avaa sitten Windows PowerShell tuloksista.Kirjoita
Get-MpComputerStatus.Tarkastele tulosluettelossa riviä AMRunningMode.
Normaali tarkoittaa, että Microsoft Defenderin virustentorjunta on käynnissä aktiivisessa tilassa.
Passiivinen tila tarkoittaa, että Microsoft Defenderin virustentorjunta käynnissä, mutta se ei ole laitteen ensisijainen virusten- ja haittaohjelmientorjuntaohjelma. Passiivinen tila on käytettävissä vain laitteissa, jotka on otettu käyttöön Microsoft Defender for Endpointissa ja jotka täyttävät tietyt vaatimukset. Katso lisätietoja kohteesta passiivisessa tilassa suoritettavan Microsoft Defenderin virustentorjunnan vaatimukset.
EDR-estotila tarkoittaa, että Microsoft Defenderin virustentorjunta on käynnissä ja päätepisteiden tunnistus ja käsittely (EDR) estotilassa, joka on Microsoft Defender for Endpoint -ominaisuus, on käytössä. Tarkista ForceDefenderPassiveMode-rekisteriavain . Jos sen arvo on 0, se suoritetaan normaalitilassa. muussa tapauksessa se suoritetaan passiivitilassa.
SxS-passiivitila tarkoittaa, Microsoft Defender virustentorjuntaa suoritetaan yhdessä toisen virustentorjunta- tai haittaohjelmistontorjuntatuotteen kanssa, ja käytetään rajoitettua säännöllistä skannausta.
Vihje
Lisätietoja PowerShellin cmdlet-komennosta Get-MpComputerStatus on artikkelissa Get-MpComputerStatus.
Vihje
Suorituskykyvihje Virustentorjunnan Microsoft Defender voi muiden virustentorjuntaohjelmistojen tavoin aiheuttaa suorituskykyongelmia päätepistelaitteissa monien eri tekijöiden vuoksi (alla luetellut esimerkit). Joissakin tapauksissa sinun on ehkä hienosäädettävä Microsoft Defender virustentorjuntaohjelman suorituskykyä näiden suorituskykyongelmien lievittämiseksi. Microsoftin Performance Analyzer on PowerShell-komentorivityökalu, joka auttaa määrittämään, mitkä tiedostot, tiedostopolut, prosessit ja tiedostotunnisteet saattavat aiheuttaa suorituskykyongelmia. esimerkkejä:
- Tärkeimmät skannausaikaan vaikuttavat polut
- Tärkeimmät tiedostot, jotka vaikuttavat tarkistusaikaan
- Tärkeimmät prosessit, jotka vaikuttavat skannausaikaan
- Suosituimmat tiedostotunnisteet, jotka vaikuttavat tarkistusaikaan
- Yhdistelmät – esimerkiksi:
- ylimmät tiedostot laajennusta kohti
- ylimmät polut laajennusta kohti
- parhaat prosessit polkua kohti
- suosituimmat tarkistukset tiedostoa kohden
- suosituimmat tarkistukset tiedostoa kohti prosessia kohti
Suorituskykyanalysaattorin avulla kerättyjen tietojen avulla voit arvioida suorituskykyongelmia ja ottaa käyttöön korjaustoimintoja. Katso: suorituskyvyn analysointi Microsoft Defender virustentorjuntaa varten.
Virustentorjunta- ja haittaohjelmientorjuntaympäristöjen päivitysten hankkiminen
On tärkeää pitää Microsoft Defenderin virustentorjunta (tai mikä tahansa virusten- tai haittaohjelmientorjuntaohjelma) ajan tasalla. Microsoft julkaisee säännöllisiä päivityksiä varmistaakseen, että laitteissasi on uusin tekniikka, joka suojaa uusilta haittaohjelmilta ja hyökkäystekniikoilta. Lisätietoja on artikkelissa Microsoft Defenderin virustentorjunnan päivitysten ja perusaikataulujen hallinta.
Vihje
Jos etsit virustentorjuntaan liittyviä tietoja muista ympäristöistä, katso:
- Asetusten määrittäminen Microsoft Defender for Endpoint Macissa
- Microsoft Defender for Endpoint Macissa
- macOS:n virustentorjuntakäytännön asetukset Microsoft Defenderin virustentorjunta Intunessa
- Asetusten määrittäminen Microsoft Defender for Endpoint Linuxissa
- Microsoft Defender for Endpoint Linuxissa
- Defender for Endpointin ominaisuuksien määrittäminen Androidissa
- Microsoft Defender for Endpointin ominaisuuksien määrittäminen iOS:ssä
Tutustu myös seuraaviin ohjeartikkeleihin:
- Suorituskyvyn analysointi Microsoft Defender virustentorjuntaa varten
- Microsoft Defenderin virustentorjunnan hallinta ja määritys
- Arvioi Microsoft Defenderin virustentorjunnan suojaus
- Microsoft Defender for Endpoint ja Microsoft Defender virustentorjuntaa koskevat poikkeukset
Vihje
Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.
Palaute
Tulossa pian: vuoden 2024 aikana poistamme GitHub Issues -palvelun vaiheittain sisällön palautemekanismina ja korvaamme sen uudella palautejärjestelmällä. Saat lisätietoja täältä: https://aka.ms/ContentUserFeedback.
Lähetä ja näytä palaute kohteelle