Program antywirusowy Microsoft Defender w systemie Windows — omówienie
Artykuł
Dotyczy:
Ochrona punktu końcowego w usłudze Microsoft Defender – plan 1 i 2
Microsoft Defender dla Firm
Program antywirusowy Microsoft Defender
Platformy
System Windows
Program antywirusowy Microsoft Defender jest dostępny w systemach Windows 10 i Windows 11 oraz w wersjach systemu Windows Server.
Program antywirusowy Microsoft Defender jest głównym składnikiem ochrony nowej generacji w ochronie punktu końcowego w usłudze Microsoft Defender. Ta ochrona łączy uczenie maszynowe, analizę danych big data, szczegółowe badania odporności na zagrożenia oraz infrastrukturę chmury firmy Microsoft, aby chronić urządzenia (lub punkty końcowe) w organizacji. Program antywirusowy Microsoft Defender jest wbudowany w system Windows i współpracuje z ochroną punktu końcowego w usłudze Microsoft Defender dla zapewnienia ochrony na urządzeniu i w chmurze.
funkcje programu antywirusowego Microsoft Defender
Microsoft Defender Antivirus zapewnia wykrywanie anomalii— warstwę ochrony przed złośliwym oprogramowaniem, która nie pasuje do żadnego wstępnie zdefiniowanego wzorca. Monitory wykrywania anomalii pod kątem zdarzeń tworzenia procesów lub plików pobranych z Internetu. Dzięki uczeniu maszynowemu i ochronie dostarczanej w chmurze program antywirusowy Microsoft Defender może wyprzedzić osoby atakujące. Wykrywanie anomalii jest domyślnie włączone i może pomóc zablokować ataki, takie jak alert zabezpieczeń 3CX dla aplikacji electron systemu Windows. Microsoft Defender program antywirusowy zaczął blokować to złośliwe oprogramowanie cztery dni przed zarejestrowaniem ataku w programie VirusTotal.
Nowoczesne złośliwe oprogramowanie wymaga nowoczesnych rozwiązań. W 2015 r. program antywirusowy Microsoft Defender odszedł od używania statycznego aparatu opartego na podpisach do modelu, który korzysta z technologii predykcyjnych, takich jak uczenie maszynowe, nauka stosowana i sztuczna inteligencja, ponieważ jest to niezbędne, aby zapewnić bezpieczeństwo Tobie i Twoim organizacjom przed złożonością stale rozwijającego się krajobrazu złośliwego oprogramowania.
Microsoft Defender Program antywirusowy może blokować prawie wszystkie złośliwe oprogramowanie od pierwszego wejrzenia, w milisekundach.
Zaprojektowaliśmy również nasze rozwiązanie antywirusowe, aby działało zarówno w scenariuszach online, jak i offline. W przypadku scenariuszy offline najnowsza dynamiczna analiza z programu Intelligence Security Graph jest regularnie aprowizowana w punkcie końcowym przez cały dzień. Po nawiązaniu połączenia z chmurą jest ona dostarczana w czasie rzeczywistym z usługi Intelligent Security Graph.
Microsoft Defender Program antywirusowy może również zatrzymać zagrożenia na podstawie ich zachowań i drzew przetwarzania nawet wtedy, gdy zagrożenie rozpoczęło wykonywanie. Typowym przykładem tego rodzaju ataków jest złośliwe oprogramowanie bez plików. Funkcje ochrony następnej generacji firmy Microsoft współpracują ze sobą w celu identyfikowania i blokowania złośliwego oprogramowania na podstawie nietypowego zachowania. Aby dowiedzieć się więcej, zobacz Blokowanie behawioralne i hermetyzowanie.
Zgodność z innymi produktami antywirusowymi
Jeśli korzystasz z produktu antywirusowego/chroniącego przed złośliwym oprogramowaniem firmy innej niż Microsoft na urządzeniu, możesz uruchomić program antywirusowy Microsoft Defender w trybie pasywnym obok rozwiązania antywirusowego firmy innej niż Microsoft. Zależy to od używanego systemu operacyjnego i od tego, czy urządzenie zostało dołączone do usługi ochrony punktu końcowego w usłudze Microsoft Defender. Aby dowiedzieć się więcej, zobacz Zgodność programu antywirusowego Microsoft Defender.
Microsoft Defender procesy i usługi antywirusowe
Poniższa tabela zawiera podsumowanie Microsoft Defender procesów i usług antywirusowych. Można je wyświetlić w Menedżerze zadań w systemie Windows.
Proces lub usługa
Gdzie wyświetlić jego stan
usługa Microsoft Defender Antivirus Core (MdCoreSvc)
- Karta Procesy:Antimalware Core Service
- Karta Szczegóły:MpDefenderCoreService.exe
-
Karta Usługi : Microsoft Defender Core Service
usługa antywirusowa Microsoft Defender (WinDefend)
- Karta Procesy:Antimalware Service Executable
- Karta Szczegóły:MsMpEng.exe
-
Karta Usługi : Microsoft Defender Antivirus
Microsoft Defender usługa inspekcji sieci antywirusowej w czasie rzeczywistym (WdNisSvc)
- Karta Procesy:Microsoft Network Realtime Inspection Service
- Karta Szczegóły:NisSrv.exe
-
Karta Usługi : Microsoft Defender Antivirus Network Inspection Service
narzędzie wiersza polecenia programu antywirusowego Microsoft Defender
- Karta Procesy: N/A
- Karta Szczegóły:MpCmdRun.exe
-
Karta Usługi : N/A
Narzędzie konfiguracji zasad klienta zabezpieczeń firmy Microsoft
- Karta Procesy: N/A
- Karta Szczegóły:ConfigSecurityPolicy.exe
-
Karta Usługi : N/A
Usługa DLP punktu końcowego firmy Microsoft (MDDlpSvc)
- Karta Procesy:MpDlpService.exe
- Karta Szczegóły:MpDlpService.exe
-
Karta Usługi : Microsoft Data Loss Prevention Service
Narzędzie wiersza polecenia DLP punktu końcowego firmy Microsoft
- Karta Procesy: N/A
- Karta Szczegóły:MpDlpCmd.exe
-
Karta Usługi : N/A
Porównywanie trybu aktywnego, pasywnego i wyłączonego
W poniższej tabeli opisano, czego można oczekiwać, gdy program antywirusowy Microsoft Defender jest w trybie aktywnym, pasywnym lub wyłączonym.
Tryb
Efekt
Tryb aktywny
W trybie aktywnym program antywirusowy Microsoft Defender jest używany jako podstawowa aplikacja antywirusowa na urządzeniu. Pliki są skanowane, zagrożenia są usuwane, a wykryte zagrożenia są wyświetlane w raportach zabezpieczeń organizacji i w Twojej aplikacji Zabezpieczenia Windows.
Tryb pasywny
W trybie pasywnym program antywirusowy Microsoft Defender nie jest używany jako podstawowa aplikacja antywirusowa na urządzeniu. Pliki są skanowane i zgłaszane są wykryte zagrożenia, ale zagrożenia nie są korygowane przez program antywirusowy Microsoft Defender.
Po wyłączeniu lub odinstalowaniu program antywirusowy Microsoft Defender nie jest używany. Pliki nie są skanowane, a zagrożenia nie są korygowane. Ogólnie rzecz biorąc, nie zalecamy wyłączania ani odinstalowywania programu antywirusowego Microsoft Defender.
Sprawdź stan programu antywirusowego Microsoft Defender na urządzeniu
Możesz użyć jednej z kilku metod, takich jak aplikacja Zabezpieczenia Windows lub program Windows PowerShell, aby sprawdzić stan programu antywirusowego Microsoft Defender na urządzeniu.
Ważne
Począwszy od platformy w wersji 4.18.2208.0 lub nowszej: jeśli serwer został dołączony do Ochrona punktu końcowego w usłudze Microsoft Defender, ustawienie zasad grupy "Wyłącz usługę Windows Defender" nie będzie już całkowicie wyłączać Program antywirusowy Defender systemu Windows Windows Server 2012 R2 i nowsze. Zamiast tego umieści go w trybie pasywnym. Ponadto funkcja ochrony przed naruszeniami umożliwi przełączenie do trybu aktywnego, ale nie na tryb pasywny.
Jeśli "Wyłącz usługę Windows Defender" jest już w miejscu przed dołączeniem do Ochrona punktu końcowego w usłudze Microsoft Defender, nie będzie żadnych zmian i Program antywirusowy Defender pozostaną wyłączone.
Aby przełączyć Program antywirusowy Defender na tryb pasywny, nawet jeśli został on wyłączony przed dołączeniem, można zastosować konfigurację ForceDefenderPassiveMode z 1wartością . Aby umieścić ją w trybie aktywnym, przełącz tę wartość na 0 zamiast tego.
Zwróć uwagę na zmodyfikowaną logikę po ForceDefenderPassiveMode włączeniu ochrony przed naruszeniami: po przełączeniu programu antywirusowego Microsoft Defender antywirusowego do trybu aktywnego ochrona przed naruszeniami uniemożliwi powrót do trybu pasywnego nawet wtedy, gdy ForceDefenderPassiveMode jest ustawiona na 1wartość .
Sprawdzanie stanu programu antywirusowego Microsoft Defender za pomocą aplikacji Zabezpieczenia Windows
Na urządzeniu z systemem Windows wybierz menu Start i zacznij wpisywać Security. Następnie otwórz aplikację Zabezpieczenia Windows w wynikach.
Wybierz pozycję Ochrona przed wirusami i zagrożeniami.
W obszarze Kto mnie chroni? wybierz pozycję Zarządzaj dostawcami.
Nazwa rozwiązania antywirusowego/chroniącego przed złośliwym kodem będzie widoczna na stronie dostawców zabezpieczeń.
Sprawdzanie stanu programu antywirusowego Microsoft Defender za pomocą programu PowerShell
Wybierz menu Start i zacznij wpisywać PowerShell. Następnie otwórz program Windows PowerShell w wynikach.
Typ: Get-MpComputerStatus.
Na liście wyników przyjrzyj się wierszowi AMRunningMode.
Normalny oznacza, że program antywirusowy Microsoft Defender działa w trybie aktywnym.
Tryb pasywny oznacza, że program antywirusowy Microsoft Defender działa, ale nie jest podstawowym produktem antywirusowym/chroniącym przed złośliwym kodem na urządzeniu. Tryb pasywny jest dostępny tylko dla urządzeń dołączonych do ochrony punktu końcowego w usłudze Microsoft Defender. Aby dowiedzieć się więcej, zobacz Wymagania dotyczące uruchamiania programu antywirusowego Microsoft Defender w trybie pasywnym.
EDR w trybie blokowania oznacza, że program antywirusowy Microsoft Defender jest uruchomiony i Wykrycie i odpowiedź punktu końcowego (EDR) w trybie blokowania, funkcja ochrony punktu końcowego w usłudze Microsoft Defender, jest włączona. Sprawdź klucz rejestru ForceDefenderPassiveMode . Jeśli jego wartość to 0, jest ona uruchomiona w trybie normalnym; W przeciwnym razie działa w trybie pasywnym.
Tryb pasywny SxS oznacza, że program antywirusowy Microsoft Defender działa razem z innym oprogramowaniem antywirusowym/oprogramowaniem chroniącym przed złośliwym kodem i jest używane ograniczone okresowe skanowanie.
Porada
Aby dowiedzieć się więcej o poleceniu cmdlet Get-MpComputerStatus programu PowerShell, zobacz artykuł referencyjny Get-MpComputerStatus.
Porada
Porada dotycząca wydajności Ze względu na różne czynniki (przykłady wymienione poniżej) Microsoft Defender Program antywirusowy, podobnie jak inne oprogramowanie antywirusowe, może powodować problemy z wydajnością na urządzeniach punktu końcowego. W niektórych przypadkach może być konieczne dostosowanie wydajności programu antywirusowego Microsoft Defender w celu złagodzenia tych problemów z wydajnością.
Analizator wydajności firmy Microsoft to narzędzie wiersza polecenia programu PowerShell, które pomaga określić, które pliki, ścieżki plików, procesy i rozszerzenia plików mogą powodować problemy z wydajnością; Oto kilka przykładów:
Najważniejsze ścieżki wpływające na czas skanowania
Najważniejsze pliki, które mają wpływ na czas skanowania
Najważniejsze procesy wpływające na czas skanowania
Najważniejsze rozszerzenia plików, które mają wpływ na czas skanowania
Pobierz aktualizacje platformy antywirusowej/chroniącej przed złośliwym oprogramowaniem
Ważne jest, aby program antywirusowy Microsoft Defender lub dowolne rozwiązanie antywirusowe/chroniące przed złośliwym oprogramowaniem były aktualne. Firma Microsoft udostępnia regularne aktualizacje, aby zapewnić, że twoje urządzenia mają najnowszą technologię chroniącą przed nowym złośliwym oprogramowaniem i technikami ataków. Aby dowiedzieć się więcej, zobacz Zarządzanie aktualizacji programu antywirusowego Microsoft Defender i stosowanie punktów odniesienia.
Porada
Jeśli szukasz informacji dotyczących programu antywirusowego dla innych platform, zobacz:
Plan and execute an endpoint deployment strategy, using essential elements of modern management, co-management approaches, and Microsoft Intune integration.