Vue d’ensemble de l’antivirus Microsoft Defender dans Windows
S’applique à :
- Plans 1 et 2 de Microsoft Defender pour points de terminaison
- Microsoft Defender pour les PME
- Antivirus Microsoft Defender
Plateformes
- Windows
L’Antivirus Microsoft Defender est disponible dans Windows 10 et Windows 11, et dans les versions de Windows Server.
Antivirus Microsoft Defender est un composant majeur de votre protection nouvelle génération dans Microsoft Defender pour point de terminaison. Cette protection regroupe le Machine Learning, l’analyse big data, la recherche approfondie sur la résistance aux menaces et l’infrastructure cloud Microsoft pour protéger les appareils (ou les points de terminaison) de votre organisation. Antivirus Microsoft Defender est intégré à Windows et fonctionne avec Microsoft Defender pour point de terminaison pour fournir une protection sur votre appareil et dans le cloud.
Conseil
En complément de cet article, consultez notre guide de configuration de l’analyseur de sécurité pour passer en revue les meilleures pratiques et apprendre à fortifier les défenses, à améliorer la conformité et à naviguer dans le paysage de la cybersécurité en toute confiance. Pour une expérience personnalisée basée sur votre environnement, vous pouvez accéder au guide de configuration automatisée de Security Analyzer dans le Centre d’administration Microsoft 365.
Fonctionnalités de l’antivirus Microsoft Defender
Antivirus Microsoft Defender fournit la détection des anomalies, une couche de protection contre les programmes malveillants qui ne correspond à aucun modèle prédéfini. La détection d’anomalie surveille les événements de création de processus ou les fichiers téléchargés à partir d’Internet. Grâce au Machine Learning et à la protection fournie par le cloud, Antivirus Microsoft Defender peut avoir une longueur d’avance sur les attaquants. La détection d’anomalie est activée par défaut et peut aider à bloquer les attaques telles que l’alerte de sécurité 3CX pour l’application Windows Electron. Antivirus Microsoft Defender a commencé à bloquer ce programme malveillant quatre jours avant l’enregistrement de l’attaque dans VirusTotal.
Les programmes malveillants modernes nécessitent des solutions modernes. En 2015, Antivirus Microsoft Defender est passé d’un moteur statique basé sur des signatures à un modèle qui utilise des technologies prédictives telles que le machine learning, la science appliquée et l’intelligence artificielle, car c’est ce qui est nécessaire pour vous protéger, vous et votre organisation, de la complexité du paysage des programmes malveillants en constante évolution.
Antivirus Microsoft Defender peut bloquer presque tous les programmes malveillants à la première consultation, en millisecondes.
Nous avons également conçu notre solution antivirus pour fonctionner dans des scénarios en ligne et hors connexion. Pour les scénarios hors connexion, l’intelligence dynamique la plus récente du graphe de sécurité du renseignement est approvisionnée régulièrement sur le point de terminaison tout au long de la journée. Lorsqu’il est connecté au cloud, il est alimenté en temps réel par intelligent Security Graph.
Antivirus Microsoft Defender peut également arrêter les menaces en fonction de leurs comportements et arborescences de processus, même lorsque la menace a commencé l’exécution. Un exemple courant de ces types d’attaques est un programme malveillant sans fichier. Les fonctionnalités de protection nouvelle génération de Microsoft fonctionnent ensemble pour identifier et bloquer les programmes malveillants en fonction d’un comportement anormal. Pour plus d’informations, consultez Blocage comportemental et confinement.
Compatibilité avec d’autres produits antivirus
Si vous utilisez un produit antivirus/anti-programme malveillant non Microsoft sur votre appareil, vous pourrez peut-être exécuter Antivirus Microsoft Defender en mode passif en même temps que la solution antivirus non-Microsoft. Cela dépend du système d’exploitation utilisé et de l’intégration de votre appareil à Defender pour point de terminaison. Pour plus d’informations, consultez Compatibilité Antivirus Microsoft Defender.
Processus et services de l’Antivirus Microsoft Defender
Le tableau suivant récapitule les processus et services de l’Antivirus Microsoft Defender. Vous pouvez les afficher dans le Gestionnaire des tâches dans Windows.
Processus ou service | Où afficher son état |
---|---|
Service Principal de l’Antivirus Microsoft Defender ( MdCoreSvc ) |
- Onglet Processus : Antimalware Core Service - Onglet Détails : MpDefenderCoreService.exe - Onglet Services : Microsoft Defender Core Service |
Service Antivirus Microsoft Defender ( WinDefend ) |
- Onglet Processus : Antimalware Service Executable - Onglet Détails : MsMpEng.exe - Onglet Services : Microsoft Defender Antivirus |
Service d’inspection en temps réel du réseau antivirus Microsoft Defender ( WdNisSvc ) |
- Onglet Processus : Microsoft Network Realtime Inspection Service - Onglet Détails : NisSrv.exe - Onglet Services : Microsoft Defender Antivirus Network Inspection Service |
Utilitaire de ligne de commande de l’Antivirus Microsoft Defender | - Onglet Processus : N/A - Onglet Détails : MpCmdRun.exe - Onglet Services : N/A |
Outil de configuration de la stratégie cliente Microsoft Security | - Onglet Processus : N/A - Onglet Détails : ConfigSecurityPolicy.exe - Onglet Services : N/A |
Pour en savoir plus sur le service Microsoft Defender Core, consultez Vue d’ensemble du service Microsoft Defender Core.
Pour la protection contre la perte de données de point de terminaison Microsoft (DLP de point de terminaison), le tableau suivant récapitule les processus et les services. Vous pouvez les afficher dans le Gestionnaire des tâches dans Windows.
Processus ou service | Où afficher son état |
---|---|
Service DLP de point de terminaison Microsoft ( MDDlpSvc ) |
- Onglet Processus : MpDlpService.exe - Onglet Détails : MpDlpService.exe - Onglet Services : Microsoft Data Loss Prevention Service |
Utilitaire de ligne de commande DLP Microsoft Endpoint | - Onglet Processus : N/A - Onglet Détails : MpDlpCmd.exe - Onglet Services : N/A |
Comparaison du mode actif, du mode passif et du mode désactivé
Le tableau suivant décrit à quoi s’attendre lorsque Antivirus Microsoft Defender est en mode actif, passif ou désactivé.
Mode | Action exécutée |
---|---|
Mode actif | En mode actif, Antivirus Microsoft Defender est utilisé comme application antivirus principale sur l’appareil. Les fichiers sont analysés, les menaces corrigées et les menaces détectées sont répertoriées dans les rapports de sécurité de votre organisation et dans votre application Sécurité Windows. |
Mode passif | En mode passif, Antivirus Microsoft Defender n’est pas utilisé comme application antivirus principale sur l’appareil. Les fichiers sont analysés et les menaces détectées sont signalées, mais les menaces ne sont pas corrigées par Antivirus Microsoft Defender. IMPORTANT : Microsoft Defender Antivirus peut fonctionner en mode passif uniquement sur les points d'extrémité qui sont intégrés à Microsoft Defender pour point de terminaison. Voir Configuration requise pour que Microsoft Defender Antivirus fonctionne en mode passif . |
Désactivé ou désinstallé | En cas de désinstallation ou de désinstallation, Antivirus Microsoft Defender n’est pas utilisé. Les fichiers ne sont pas analysés et les menaces ne sont pas corrigées. En général, nous vous déconseillons de désactiver ou de désinstaller Antivirus Microsoft Defender. |
Pour plus d’informations, consultez Compatibilité Antivirus Microsoft Defender.
Vérifier l’état des Antivirus Microsoft Defender sur votre appareil
Vous pouvez utiliser l’une des différentes méthodes, telles que l’application Sécurité Windows ou Windows PowerShell, pour vérifier l’état de Antivirus Microsoft Defender sur votre appareil.
Importante
À compter de la version de plateforme 4.18.2208.0 et ultérieures : si un serveur a été intégré à Microsoft Defender pour point de terminaison, le paramètre de stratégie de groupe « Désactiver Windows Defender » ne désactive plus complètement Antivirus Windows Defender sur Windows Server 2012 R2 et versions ultérieures. Au lieu de cela, il le place en mode passif. En outre, la fonctionnalité de protection contre les falsifications permet de passer en mode actif, mais pas en mode passif.
- Si « Désactiver Windows Defender » est déjà en place avant l’intégration à Microsoft Defender pour point de terminaison, aucune modification n’est apportée et l’Antivirus Defender reste désactivé.
- Pour passer de l’antivirus Defender en mode passif, même s’il a été désactivé avant l’intégration, vous pouvez appliquer la configuration ForceDefenderPassiveMode avec la valeur
1
. Pour la placer en mode actif, basculez cette valeur sur à la0
place.
Notez la logique modifiée pour ForceDefenderPassiveMode
l’activation de la protection contre les falsifications : une fois que l’Antivirus Microsoft Defender est basculé en mode actif, la protection contre les falsifications l’empêche de revenir en mode passif, même lorsque ForceDefenderPassiveMode
est défini sur 1
.
Utiliser l’application Sécurité Windows pour vérifier l’état de Antivirus Microsoft Defender
Sur votre appareil Windows, sélectionnez le menu Démarrer et commencez à taper
Security
. Ouvrez ensuite l’application Sécurité Windows dans les résultats.Sélectionnez Protection contre les virus et les menaces.
Sous Qui me protège ?, choisissez Gérer les fournisseurs.
Le nom de votre solution antivirus/anti-programme malveillant apparaît sur la page des paramètres.
Utiliser PowerShell pour vérifier l’état de Antivirus Microsoft Defender
Sélectionnez le menu Démarrer, puis commencez à taper
PowerShell
. Ouvrez ensuite Windows PowerShell dans les résultats.Tapez
Get-MpComputerStatus
.Dans la liste des résultats, examinez la ligne AMRunningMode.
Normal signifie que Antivirus Microsoft Defender s’exécute en mode actif.
Le mode passif signifie Antivirus Microsoft Defender en cours d’exécution, mais n’est pas le produit antivirus/anti-programme malveillant principal sur votre appareil. Le mode passif est uniquement disponible pour les appareils qui sont intégrés à Microsoft Defender pour point de terminaison et qui répondent à certaines exigences. Pour en savoir plus, voir Configuration requise pour que Microsoft Defender Antivirus fonctionne en mode passif .
Le mode de blocage EDR signifie que Antivirus Microsoft Defender est en cours d’exécution et qu’une fonctionnalité de Microsoft Defender pour point de terminaison appelée EDR en mode bloc est activée. Vérifiez la clé de Registre ForceDefenderPassiveMode . Si sa valeur est 0, il s’exécute en mode normal ; sinon, il s’exécute en mode passif.
Le mode passif SxS signifie que l’antivirus Microsoft Defender s’exécute avec un autre produit antivirus/anti-programme malveillant, et qu’une analyse périodique limitée est utilisée.
Conseil
Pour en savoir plus sur l’applet de commande PowerShell Get-MpComputerStatus, consultez l’article de référence Get-MpComputerStatus.
Conseil
Conseil sur les performances En raison de divers facteurs (exemples répertoriés ci-dessous), l’Antivirus Microsoft Defender, comme d’autres logiciels antivirus, peut entraîner des problèmes de performances sur les appareils de point de terminaison. Dans certains cas, vous devrez peut-être régler les performances de l’Antivirus Microsoft Defender pour atténuer ces problèmes de performances. L’analyseur de performances de Microsoft est un outil en ligne de commande PowerShell qui permet de déterminer quels fichiers, chemins d’accès de fichiers, processus et extensions de fichier peuvent être à l’origine de problèmes de performances . voici quelques exemples :
- Principaux chemins d’accès qui ont un impact sur la durée d’analyse
- Principaux fichiers qui ont un impact sur la durée de l’analyse
- Principaux processus qui ont un impact sur le temps d’analyse
- Principales extensions de fichier qui ont un impact sur la durée de l’analyse
- Combinaisons : par exemple :
- fichiers principaux par extension
- principaux chemins d’accès par extension
- principaux processus par chemin d’accès
- principales analyses par fichier
- principales analyses par fichier et par processus
Vous pouvez utiliser les informations collectées à l’aide de l’Analyseur de performances pour mieux évaluer les problèmes de performances et appliquer des actions de correction. Consultez : Analyseur de performances pour Antivirus Microsoft Defender.
Obtenir les mises à jour de votre plateforme antivirus/anti-programme malveillant
Il est important de maintenir à jour Antivirus Microsoft Defender (ou toute solution antivirus/anti-programme malveillant). Microsoft publie régulièrement des mises à jour pour vous assurer que vos appareils disposent des dernières technologies pour se protéger contre les nouveaux programmes malveillants et techniques d’attaque. Pour plus d’informations, consultez Gérer les mises à jour Antivirus Microsoft Defender et appliquer des lignes de base.
Conseil
Si vous recherchez des informations relatives à l’antivirus pour d’autres plateformes, consultez :
- Définir les préférences pour Microsoft Defender pour point de terminaison sur macOS
- Microsoft Defender pour point de terminaison sur Mac
- Paramètres de stratégie antivirus macOS pour Antivirus Microsoft Defender pour Intune
- Définir les préférences pour Microsoft Defender pour point de terminaison sur Linux
- Microsoft Defender pour point de terminaison Linux
- Configurer Defender pour point de terminaison pour des fonctionnalités Android
- configurer Microsoft Defender pour point de terminaison sur les fonctionnalités iOS
Voir aussi
- Analyseur de performances pour Antivirus Microsoft Defender
- Configuration et gestion d’Antivirus Microsoft Defender
- Évaluer la protection de l’Antivirus Microsoft Defender
- Exclusions pour Microsoft Defender pour point de terminaison et Antivirus Microsoft Defender
Conseil
Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.
Commentaires
https://aka.ms/ContentUserFeedback.
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultezEnvoyer et afficher des commentaires pour