Vue d’ensemble de l’antivirus Microsoft Defender dans Windows
S’applique à :
- Plans 1 et 2 de Microsoft Defender pour points de terminaison
- Microsoft Defender pour les PME
- Antivirus Microsoft Defender
Plateformes
- Windows
L’Antivirus Microsoft Defender est disponible dans Windows 10 et Windows 11, et dans les versions de Windows Server.
Antivirus Microsoft Defender est un composant majeur de votre protection nouvelle génération dans Microsoft Defender pour point de terminaison. Cette protection regroupe le Machine Learning, l’analyse big data, la recherche approfondie sur la résistance aux menaces et l’infrastructure cloud Microsoft pour protéger les appareils (ou les points de terminaison) de votre organisation. Antivirus Microsoft Defender est intégré à Windows et fonctionne avec Microsoft Defender pour point de terminaison pour fournir une protection sur votre appareil et dans le cloud.
Fonctionnalités antivirus Microsoft Defender
Microsoft Defender Antivirus fournit la détection des anomalies, une couche de protection contre les programmes malveillants qui ne correspond à aucun modèle prédéfini. La détection d’anomalie surveille les événements de création de processus ou les fichiers téléchargés à partir d’Internet. Grâce au Machine Learning et à la protection fournie par le cloud, Microsoft Defender Antivirus peut avoir une longueur d’avance sur les attaquants. La détection d’anomalie est activée par défaut et peut aider à bloquer les attaques telles que l’alerte de sécurité 3CX pour l’application Windows Electron. Microsoft Defender Antivirus a commencé à bloquer ce programme malveillant quatre jours avant l’enregistrement de l’attaque dans VirusTotal.
Les programmes malveillants modernes nécessitent des solutions modernes. En 2015, Microsoft Defender Antivirus est passé d’un moteur statique basé sur des signatures à un modèle qui utilise des technologies prédictives telles que le machine learning, la science appliquée et l’intelligence artificielle, car c’est ce qui est nécessaire pour vous protéger, vous et vos organisations, de la complexité du paysage des programmes malveillants en constante évolution.
Microsoft Defender Antivirus peut bloquer presque tous les programmes malveillants à la première consultation, en millisecondes.
Nous avons également conçu notre solution antivirus pour fonctionner dans des scénarios en ligne et hors connexion. Pour les scénarios hors connexion, l’intelligence dynamique la plus récente du graphe de sécurité du renseignement est approvisionnée régulièrement sur le point de terminaison tout au long de la journée. Lorsqu’il est connecté au cloud, il est alimenté en temps réel par intelligent Security Graph.
Microsoft Defender antivirus peut également arrêter les menaces en fonction de leurs comportements et des arborescences de processus, même lorsque la menace a commencé l’exécution. Un exemple courant de ces types d’attaques est un programme malveillant sans fichier. Les fonctionnalités de protection nouvelle génération de Microsoft fonctionnent ensemble pour identifier et bloquer les programmes malveillants en fonction d’un comportement anormal. Pour plus d’informations, consultez Blocage comportemental et confinement.
Compatibilité avec d’autres produits antivirus
Si vous utilisez un produit antivirus/anti-programme malveillant non Microsoft sur votre appareil, vous pourrez peut-être exécuter Antivirus Microsoft Defender en mode passif en même temps que la solution antivirus non-Microsoft. Cela dépend du système d’exploitation utilisé et de l’intégration de votre appareil à Defender pour point de terminaison. Pour plus d’informations, consultez Compatibilité Antivirus Microsoft Defender.
processus et services antivirus Microsoft Defender
Le tableau suivant récapitule Microsoft Defender processus et services antivirus. Vous pouvez les afficher dans le Gestionnaire des tâches dans Windows.
| Processus ou service | Où afficher son status |
|---|---|
| Microsoft Defender Antivirus Core service ( MdCoreSvc) |
- Onglet Processus : Antimalware Core Service - Onglet Détails : MpDefenderCoreService.exe - Onglet Services : Microsoft Defender Core Service |
| service antivirus Microsoft Defender ( WinDefend) |
- Onglet Processus : Antimalware Service Executable - Onglet Détails : MsMpEng.exe - Onglet Services : Microsoft Defender Antivirus |
| service d’inspection en temps réel du réseau antivirus Microsoft Defender ( WdNisSvc) |
- Onglet Processus : Microsoft Network Realtime Inspection Service - Onglet Détails : NisSrv.exe - Onglet Services : Microsoft Defender Antivirus Network Inspection Service |
| utilitaire de ligne de commande antivirus Microsoft Defender | - Onglet Processus : N/A - Onglet Détails : MpCmdRun.exe - Onglet Services : N/A |
| Outil de configuration de la stratégie cliente Microsoft Security | - Onglet Processus : N/A - Onglet Détails : ConfigSecurityPolicy.exe - Onglet Services : N/A |
Pour la protection contre la perte de données de point de terminaison Microsoft (DLP de point de terminaison), le tableau suivant récapitule les processus et les services. Vous pouvez les afficher dans le Gestionnaire des tâches dans Windows.
| Processus ou service | Où afficher son status |
|---|---|
| Service DLP de point de terminaison Microsoft ( MDDlpSvc) |
- Onglet Processus : MpDlpService.exe - Onglet Détails : MpDlpService.exe - Onglet Services : Microsoft Data Loss Prevention Service |
| Utilitaire de ligne de commande DLP Microsoft Endpoint | - Onglet Processus : N/A - Onglet Détails : MpDlpCmd.exe - Onglet Services : N/A |
service Microsoft Defender Core
Pour améliorer l’expérience de sécurité de votre point de terminaison, Microsoft publie le service Microsoft Defender Core pour améliorer la stabilité et les performances de Microsoft Defender Antivirus. Pour les clients qui utilisent la protection contre la perte de données de point de terminaison Microsoft dans les secteurs des petites, moyennes et entreprises, Microsoft divise le code base en son propre service.
Le service Microsoft Defender Core est publié avec Microsoft Defender plateforme antivirus version 4.18.23110.2009.
Le déploiement commence en novembre 2023 pour préversion des clients, avec des plans de publication pour tous les clients d’entreprise dans les mois à venir.
Les clients d’entreprise doivent autoriser les URL suivantes :
*.events.data.microsoft.com*.endpoint.security.microsoft.com*.ecs.office.com
Les clients Enterprise U.S. Government doivent autoriser les URL suivantes :
*.events.data.microsoft.com*.endpoint.security.microsoft.us (GCC-H & DoD)*.gccmod.ecs.office.com (GCC-M)*.config.ecs.gov.teams.microsoft.us (GCC-H)*.config.ecs.dod.teams.microsoft.us (DoD)
Si vous utilisez Le contrôle d’application pour Windows, ou si vous exécutez un antivirus ou un logiciel de détection de point de terminaison non-Microsoft, veillez à ajouter les processus mentionnés précédemment à votre liste verte.
Les consommateurs n’ont pas besoin de prendre des mesures pour se préparer.
Comparaison du mode actif, du mode passif et du mode désactivé
Le tableau suivant décrit à quoi s’attendre lorsque Antivirus Microsoft Defender est en mode actif, passif ou désactivé.
| Mode | Action exécutée |
|---|---|
| Mode actif | En mode actif, Antivirus Microsoft Defender est utilisé comme application antivirus principale sur l’appareil. Les fichiers sont analysés, les menaces corrigées et les menaces détectées sont répertoriées dans les rapports de sécurité de votre organisation et dans votre application Sécurité Windows. |
| Mode passif | En mode passif, Antivirus Microsoft Defender n’est pas utilisé comme application antivirus principale sur l’appareil. Les fichiers sont analysés et les menaces détectées sont signalées, mais les menaces ne sont pas corrigées par Antivirus Microsoft Defender. IMPORTANT : Microsoft Defender Antivirus peut fonctionner en mode passif uniquement sur les points d'extrémité qui sont intégrés à Microsoft Defender pour point de terminaison. Voir Configuration requise pour que Microsoft Defender Antivirus fonctionne en mode passif . |
| Désactivé ou désinstallé | En cas de désinstallation ou de désinstallation, Antivirus Microsoft Defender n’est pas utilisé. Les fichiers ne sont pas analysés et les menaces ne sont pas corrigées. En général, nous vous déconseillons de désactiver ou de désinstaller Antivirus Microsoft Defender. |
Pour plus d’informations, consultez Compatibilité Antivirus Microsoft Defender.
Vérifier l’état des Antivirus Microsoft Defender sur votre appareil
Vous pouvez utiliser l’une des différentes méthodes, telles que l’application Sécurité Windows ou Windows PowerShell, pour vérifier l’état de Antivirus Microsoft Defender sur votre appareil.
Importante
À compter de la version de plateforme 4.18.2208.0 et versions ultérieures : si un serveur a été intégré à Microsoft Defender pour point de terminaison, le paramètre de stratégie de groupe « Désactiver Windows Defender » ne désactive plus complètement Windows Defender Antivirus sur Windows Server 2012 R2 et versions ultérieures. Au lieu de cela, il le place en mode passif. En outre, la fonctionnalité de protection contre les falsifications permet de passer en mode actif, mais pas en mode passif.
- Si l’option « Désactiver Windows Defender » est déjà en place avant l’intégration à Microsoft Defender pour point de terminaison, aucune modification n’est apportée et l’antivirus Defender reste désactivé.
- Pour passer de l’antivirus Defender en mode passif, même s’il a été désactivé avant l’intégration, vous pouvez appliquer la configuration ForceDefenderPassiveMode avec la valeur
1. Pour la placer en mode actif, basculez cette valeur sur à la0place.
Notez la logique modifiée pour ForceDefenderPassiveMode l’activation de la protection contre les falsifications : une fois que Microsoft Defender antivirus est basculé en mode actif, la protection contre les falsifications l’empêche de revenir en mode passif, même lorsque ForceDefenderPassiveMode est défini sur 1.
Utiliser l’application Sécurité Windows pour vérifier l’état de Antivirus Microsoft Defender
Sur votre appareil Windows, sélectionnez le menu Démarrer et commencez à taper
Security. Ouvrez ensuite l’application Sécurité Windows dans les résultats.Sélectionnez Protection contre les virus et les menaces.
Sous Qui me protège ?, choisissez Gérer les fournisseurs.
Le nom de votre solution antivirus/anti-programme malveillant apparaît sur la page des paramètres.
Utiliser PowerShell pour vérifier l’état de Antivirus Microsoft Defender
Sélectionnez le menu Démarrer, puis commencez à taper
PowerShell. Ouvrez ensuite Windows PowerShell dans les résultats.Tapez
Get-MpComputerStatus.Dans la liste des résultats, examinez la ligne AMRunningMode.
Normal signifie que Antivirus Microsoft Defender s’exécute en mode actif.
Le mode passif signifie Antivirus Microsoft Defender en cours d’exécution, mais n’est pas le produit antivirus/anti-programme malveillant principal sur votre appareil. Le mode passif est uniquement disponible pour les appareils qui sont intégrés à Microsoft Defender pour point de terminaison et qui répondent à certaines exigences. Pour en savoir plus, voir Configuration requise pour que Microsoft Defender Antivirus fonctionne en mode passif .
Le mode de blocage EDR signifie que Antivirus Microsoft Defender est en cours d’exécution et qu’une fonctionnalité de Microsoft Defender pour point de terminaison appelée EDR en mode bloc est activée. Vérifiez la clé de Registre ForceDefenderPassiveMode . Si sa valeur est 0, il s’exécute en mode normal ; sinon, il s’exécute en mode passif.
Le mode passif SxS signifie Microsoft Defender antivirus s’exécute en même temps qu’un autre produit antivirus/anti-programme malveillant, et une analyse périodique limitée est utilisée.
Conseil
Pour en savoir plus sur l’applet de commande PowerShell Get-MpComputerStatus, consultez l’article de référence Get-MpComputerStatus.
Conseil
Conseil sur les performances En raison de divers facteurs (exemples répertoriés ci-dessous), Microsoft Defender Antivirus, comme d’autres logiciels antivirus, peut entraîner des problèmes de performances sur les appareils de point de terminaison. Dans certains cas, vous devrez peut-être régler les performances de Microsoft Defender Antivirus pour atténuer ces problèmes de performances. L’analyseur de performances de Microsoft est un outil en ligne de commande PowerShell qui permet de déterminer quels fichiers, chemins d’accès de fichiers, processus et extensions de fichier peuvent être à l’origine de problèmes de performances . voici quelques exemples :
- Principaux chemins d’accès qui ont un impact sur la durée d’analyse
- Principaux fichiers qui ont un impact sur la durée de l’analyse
- Principaux processus qui ont un impact sur le temps d’analyse
- Principales extensions de fichier qui ont un impact sur la durée de l’analyse
- Combinaisons : par exemple :
- fichiers principaux par extension
- principaux chemins d’accès par extension
- principaux processus par chemin d’accès
- principales analyses par fichier
- principales analyses par fichier et par processus
Vous pouvez utiliser les informations collectées à l’aide de l’Analyseur de performances pour mieux évaluer les problèmes de performances et appliquer des actions de correction. Consultez : Analyseur de performances pour Microsoft Defender Antivirus.
Obtenir les mises à jour de votre plateforme antivirus/anti-programme malveillant
Il est important de maintenir à jour Antivirus Microsoft Defender (ou toute solution antivirus/anti-programme malveillant). Microsoft publie régulièrement des mises à jour pour vous assurer que vos appareils disposent des dernières technologies pour se protéger contre les nouveaux programmes malveillants et techniques d’attaque. Pour plus d’informations, consultez Gérer les mises à jour Antivirus Microsoft Defender et appliquer des lignes de base.
Conseil
Si vous recherchez des informations relatives à l’antivirus pour d’autres plateformes, consultez :
- Définir les préférences pour Microsoft Defender pour point de terminaison sur macOS
- Microsoft Defender pour point de terminaison sur Mac
- Paramètres de stratégie antivirus macOS pour Antivirus Microsoft Defender pour Intune
- Définir les préférences pour Microsoft Defender pour point de terminaison sur Linux
- Microsoft Defender pour point de terminaison Linux
- Configurer Defender pour point de terminaison pour des fonctionnalités Android
- configurer Microsoft Defender pour point de terminaison sur les fonctionnalités iOS
Voir aussi
- Analyseur de performances pour Microsoft Defender Antivirus
- Configuration et gestion d’Antivirus Microsoft Defender
- Évaluer la protection de l’Antivirus Microsoft Defender
- Exclusions pour Microsoft Defender pour point de terminaison et antivirus Microsoft Defender
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour