Program antywirusowy Microsoft Defender w systemie Windows — omówienie
Dotyczy:
- Ochrona punktu końcowego w usłudze Microsoft Defender – plan 1 i 2
- Microsoft Defender dla Firm
- Program antywirusowy Microsoft Defender
Platformy
- System Windows
Program antywirusowy Microsoft Defender jest dostępny w systemach Windows 10 i Windows 11 oraz w wersjach systemu Windows Server.
Program antywirusowy Microsoft Defender jest głównym składnikiem ochrony nowej generacji w ochronie punktu końcowego w usłudze Microsoft Defender. Ta ochrona łączy uczenie maszynowe, analizę danych big data, szczegółowe badania odporności na zagrożenia oraz infrastrukturę chmury firmy Microsoft, aby chronić urządzenia (lub punkty końcowe) w organizacji. Program antywirusowy Microsoft Defender jest wbudowany w system Windows i współpracuje z ochroną punktu końcowego w usłudze Microsoft Defender dla zapewnienia ochrony na urządzeniu i w chmurze.
funkcje programu antywirusowego Microsoft Defender
Microsoft Defender Antivirus zapewnia wykrywanie anomalii— warstwę ochrony przed złośliwym oprogramowaniem, która nie pasuje do żadnego wstępnie zdefiniowanego wzorca. Monitory wykrywania anomalii pod kątem zdarzeń tworzenia procesów lub plików pobranych z Internetu. Dzięki uczeniu maszynowemu i ochronie dostarczanej w chmurze program antywirusowy Microsoft Defender może wyprzedzić osoby atakujące. Wykrywanie anomalii jest domyślnie włączone i może pomóc zablokować ataki, takie jak alert zabezpieczeń 3CX dla aplikacji electron systemu Windows. Microsoft Defender program antywirusowy zaczął blokować to złośliwe oprogramowanie cztery dni przed zarejestrowaniem ataku w programie VirusTotal.
Nowoczesne złośliwe oprogramowanie wymaga nowoczesnych rozwiązań. W 2015 r. program antywirusowy Microsoft Defender odszedł od używania statycznego aparatu opartego na podpisach do modelu, który korzysta z technologii predykcyjnych, takich jak uczenie maszynowe, nauka stosowana i sztuczna inteligencja, ponieważ jest to niezbędne, aby zapewnić bezpieczeństwo Tobie i Twoim organizacjom przed złożonością stale rozwijającego się krajobrazu złośliwego oprogramowania.
Microsoft Defender Program antywirusowy może blokować prawie wszystkie złośliwe oprogramowanie od pierwszego wejrzenia, w milisekundach.
Zaprojektowaliśmy również nasze rozwiązanie antywirusowe, aby działało zarówno w scenariuszach online, jak i offline. W przypadku scenariuszy offline najnowsza dynamiczna analiza z programu Intelligence Security Graph jest regularnie aprowizowana w punkcie końcowym przez cały dzień. Po nawiązaniu połączenia z chmurą jest ona dostarczana w czasie rzeczywistym z usługi Intelligent Security Graph.
Microsoft Defender Program antywirusowy może również zatrzymać zagrożenia na podstawie ich zachowań i drzew przetwarzania nawet wtedy, gdy zagrożenie rozpoczęło wykonywanie. Typowym przykładem tego rodzaju ataków jest złośliwe oprogramowanie bez plików. Funkcje ochrony następnej generacji firmy Microsoft współpracują ze sobą w celu identyfikowania i blokowania złośliwego oprogramowania na podstawie nietypowego zachowania. Aby dowiedzieć się więcej, zobacz Blokowanie behawioralne i hermetyzowanie.
Zgodność z innymi produktami antywirusowymi
Jeśli korzystasz z produktu antywirusowego/chroniącego przed złośliwym oprogramowaniem firmy innej niż Microsoft na urządzeniu, możesz uruchomić program antywirusowy Microsoft Defender w trybie pasywnym obok rozwiązania antywirusowego firmy innej niż Microsoft. Zależy to od używanego systemu operacyjnego i od tego, czy urządzenie zostało dołączone do usługi ochrony punktu końcowego w usłudze Microsoft Defender. Aby dowiedzieć się więcej, zobacz Zgodność programu antywirusowego Microsoft Defender.
Microsoft Defender procesy i usługi antywirusowe
Poniższa tabela zawiera podsumowanie Microsoft Defender procesów i usług antywirusowych. Można je wyświetlić w Menedżerze zadań w systemie Windows.
| Proces lub usługa | Gdzie wyświetlić jego stan |
|---|---|
| usługa Microsoft Defender Antivirus Core ( MdCoreSvc) |
- Karta Procesy:Antimalware Core Service - Karta Szczegóły: MpDefenderCoreService.exe - Karta Usługi : Microsoft Defender Core Service |
| usługa antywirusowa Microsoft Defender ( WinDefend) |
- Karta Procesy:Antimalware Service Executable - Karta Szczegóły: MsMpEng.exe - Karta Usługi : Microsoft Defender Antivirus |
| Microsoft Defender usługa inspekcji sieci antywirusowej w czasie rzeczywistym ( WdNisSvc) |
- Karta Procesy:Microsoft Network Realtime Inspection Service - Karta Szczegóły: NisSrv.exe - Karta Usługi : Microsoft Defender Antivirus Network Inspection Service |
| narzędzie wiersza polecenia programu antywirusowego Microsoft Defender | - Karta Procesy: N/A - Karta Szczegóły: MpCmdRun.exe - Karta Usługi : N/A |
| Narzędzie konfiguracji zasad klienta zabezpieczeń firmy Microsoft | - Karta Procesy: N/A - Karta Szczegóły: ConfigSecurityPolicy.exe - Karta Usługi : N/A |
W przypadku rozwiązania Microsoft Endpoint Data Loss Prevention (Endpoint DLP) poniższa tabela zawiera podsumowanie procesów i usług. Można je wyświetlić w Menedżerze zadań w systemie Windows.
| Proces lub usługa | Gdzie wyświetlić jego stan |
|---|---|
| Usługa DLP punktu końcowego firmy Microsoft ( MDDlpSvc) |
- Karta Procesy:MpDlpService.exe - Karta Szczegóły: MpDlpService.exe - Karta Usługi : Microsoft Data Loss Prevention Service |
| Narzędzie wiersza polecenia DLP punktu końcowego firmy Microsoft | - Karta Procesy: N/A - Karta Szczegóły: MpDlpCmd.exe - Karta Usługi : N/A |
usługa Microsoft Defender Core
Aby ulepszyć środowisko zabezpieczeń punktu końcowego, firma Microsoft udostępnia usługę Microsoft Defender Core, aby ułatwić stabilność i wydajność programu antywirusowego Microsoft Defender. W przypadku klientów korzystających z usługi Microsoft Endpoint Data Loss Prevention w małych, średnich i korporacyjnych sektorach biznesowych firma Microsoft dzieli bazę kodu na własną usługę.
Usługa Microsoft Defender Core jest udostępniana z platformą antywirusową Microsoft Defender w wersji 4.18.23110.2009.
Wdrożenie rozpocznie się w listopadzie 2023 r. w celu wstępnego udostępnienia klientom, a w najbliższych miesiącach planuje udostępnić go wszystkim klientom korporacyjnym.
Klienci korporacyjni powinni zezwalać na następujące adresy URL:
*.events.data.microsoft.com*.endpoint.security.microsoft.com*.ecs.office.com
Klienci korporacyjni dla instytucji rządowych USA powinni zezwalać na następujące adresy URL:
*.events.data.microsoft.com*.endpoint.security.microsoft.us (GCC-H & DoD)*.gccmod.ecs.office.com (GCC-M)*.config.ecs.gov.teams.microsoft.us (GCC-H)*.config.ecs.dod.teams.microsoft.us (DoD)
Jeśli używasz kontroli aplikacji dla systemu Windows lub korzystasz z oprogramowania antywirusowego lub oprogramowania do wykrywania i reagowania punktów końcowych innych niż Microsoft, pamiętaj o dodaniu wspomnianych wcześniej procesów do listy dozwolonych.
Konsumenci nie muszą podejmować żadnych działań w celu przygotowania.
Porównywanie trybu aktywnego, pasywnego i wyłączonego
W poniższej tabeli opisano, czego można oczekiwać, gdy program antywirusowy Microsoft Defender jest w trybie aktywnym, pasywnym lub wyłączonym.
| Tryb | Efekt |
|---|---|
| Tryb aktywny | W trybie aktywnym program antywirusowy Microsoft Defender jest używany jako podstawowa aplikacja antywirusowa na urządzeniu. Pliki są skanowane, zagrożenia są usuwane, a wykryte zagrożenia są wyświetlane w raportach zabezpieczeń organizacji i w Twojej aplikacji Zabezpieczenia Windows. |
| Tryb pasywny | W trybie pasywnym program antywirusowy Microsoft Defender nie jest używany jako podstawowa aplikacja antywirusowa na urządzeniu. Pliki są skanowane i raportowane są wykryte zagrożenia, ale program antywirusowy Microsoft Defender nie usuwa zagrożeń. WAŻNE: Program antywirusowy Microsoft Defender może działać w trybie pasywnym tylko w punktach końcowych dołączonych do ochrony punktu końcowego w usłudze Microsoft Defender. Zobacz Wymagania, aby program antywirusowy Microsoft Defender działał w trybie pasywnym. |
| Wyłączone lub odinstalowane | Po wyłączeniu lub odinstalowaniu program antywirusowy Microsoft Defender nie jest używany. Pliki nie są skanowane, a zagrożenia nie są usuwane. Zasadniczo nie zalecamy wyłączania ani odinstalowywania programu antywirusowego Microsoft Defender. |
Aby dowiedzieć się więcej, zobacz Zgodność programu antywirusowego Microsoft Defender.
Sprawdź stan programu antywirusowego Microsoft Defender na urządzeniu
Możesz użyć jednej z kilku metod, takich jak aplikacja Zabezpieczenia Windows lub program Windows PowerShell, aby sprawdzić stan programu antywirusowego Microsoft Defender na urządzeniu.
Ważna
Począwszy od platformy w wersji 4.18.2208.0 lub nowszej: jeśli serwer został dołączony do Ochrona punktu końcowego w usłudze Microsoft Defender, ustawienie zasad grupy "Wyłącz Windows Defender" nie będzie już całkowicie wyłączać programu antywirusowego Windows Defender w programie antywirusowym Windows Server 2012 R2 i nowsze. Zamiast tego umieści go w trybie pasywnym. Ponadto funkcja ochrony przed naruszeniami umożliwi przełączenie do trybu aktywnego, ale nie na tryb pasywny.
- Jeśli "Wyłącz Windows Defender" jest już w miejscu przed dołączeniem do Ochrona punktu końcowego w usłudze Microsoft Defender, nie będzie żadnych zmian, a program antywirusowy Defender pozostanie wyłączony.
- Aby przełączyć program antywirusowy Defender na tryb pasywny, nawet jeśli został wyłączony przed dołączeniem, można zastosować konfigurację ForceDefenderPassiveMode z
1wartością . Aby umieścić ją w trybie aktywnym, przełącz tę wartość na0zamiast tego.
Zwróć uwagę na zmodyfikowaną logikę po ForceDefenderPassiveMode włączeniu ochrony przed naruszeniami: po przełączeniu programu antywirusowego Microsoft Defender antywirusowego do trybu aktywnego ochrona przed naruszeniami uniemożliwi powrót do trybu pasywnego nawet wtedy, gdy ForceDefenderPassiveMode jest ustawiona na 1wartość .
Sprawdzanie stanu programu antywirusowego Microsoft Defender za pomocą aplikacji Zabezpieczenia Windows
Na urządzeniu z systemem Windows wybierz menu Start i zacznij wpisywać
Security. Następnie otwórz aplikację Zabezpieczenia Windows w wynikach.Wybierz pozycję Ochrona przed wirusami i zagrożeniami.
W obszarze Kto mnie chroni? wybierz pozycję Zarządzaj dostawcami.
Nazwa rozwiązania antywirusowego/chroniącego przed złośliwym kodem będzie widoczna na stronie dostawców zabezpieczeń.
Sprawdzanie stanu programu antywirusowego Microsoft Defender za pomocą programu PowerShell
Wybierz menu Start i zacznij wpisywać
PowerShell. Następnie otwórz program Windows PowerShell w wynikach.Typ:
Get-MpComputerStatus.Na liście wyników przyjrzyj się wierszowi AMRunningMode.
Normalny oznacza, że program antywirusowy Microsoft Defender działa w trybie aktywnym.
Tryb pasywny oznacza, że program antywirusowy Microsoft Defender działa, ale nie jest podstawowym produktem antywirusowym/chroniącym przed złośliwym oprogramowaniem na urządzeniu. Tryb pasywny jest dostępny tylko dla urządzeń dołączonych do ochrony punktu końcowego w usłudze Microsoft Defender. Aby dowiedzieć się więcej, zobacz Wymagania dotyczące uruchamiania programu antywirusowego Microsoft Defender w trybie pasywnym.
EDR w trybie blokowania oznacza, że program antywirusowy Microsoft Defender jest uruchomiony i Wykrycie i odpowiedź punktu końcowego (EDR) w trybie blokowania, funkcja ochrony punktu końcowego w usłudze Microsoft Defender, jest włączona. Sprawdź klucz rejestru ForceDefenderPassiveMode . Jeśli jego wartość to 0, jest uruchomiona w trybie normalnym; W przeciwnym razie działa w trybie pasywnym.
Tryb pasywny SxS oznacza, że program antywirusowy Microsoft Defender działa razem z innym oprogramowaniem antywirusowym/oprogramowaniem chroniącym przed złośliwym kodem i jest używane ograniczone okresowe skanowanie.
Porada
Aby dowiedzieć się więcej o poleceniu cmdlet Get-MpComputerStatus programu PowerShell, zobacz artykuł referencyjny Get-MpComputerStatus.
Porada
Porada dotycząca wydajności Ze względu na różne czynniki (przykłady wymienione poniżej) Microsoft Defender Program antywirusowy, podobnie jak inne oprogramowanie antywirusowe, może powodować problemy z wydajnością na urządzeniach punktu końcowego. W niektórych przypadkach może być konieczne dostosowanie wydajności programu antywirusowego Microsoft Defender w celu złagodzenia tych problemów z wydajnością. Analizator wydajności firmy Microsoft to narzędzie wiersza polecenia programu PowerShell, które pomaga określić, które pliki, ścieżki plików, procesy i rozszerzenia plików mogą powodować problemy z wydajnością; Oto kilka przykładów:
- Najważniejsze ścieżki wpływające na czas skanowania
- Najważniejsze pliki, które mają wpływ na czas skanowania
- Najważniejsze procesy wpływające na czas skanowania
- Najważniejsze rozszerzenia plików, które mają wpływ na czas skanowania
- Kombinacje — na przykład:
- najważniejsze pliki na rozszerzenie
- górne ścieżki na rozszerzenie
- najważniejsze procesy na ścieżkę
- najczęściej skanuje na plik
- najczęściej skanuje na plik na proces
Informacje zebrane przy użyciu analizatora wydajności umożliwiają lepszą ocenę problemów z wydajnością i stosowanie akcji korygowania. Zobacz: Analizator wydajności dla programu antywirusowego Microsoft Defender.
Pobierz aktualizacje platformy antywirusowej/chroniącej przed złośliwym oprogramowaniem
Ważne jest, aby program antywirusowy Microsoft Defender lub dowolne rozwiązanie antywirusowe/chroniące przed złośliwym oprogramowaniem były aktualne. Firma Microsoft udostępnia regularne aktualizacje, aby zapewnić, że twoje urządzenia mają najnowszą technologię chroniącą przed nowym złośliwym oprogramowaniem i technikami ataków. Aby dowiedzieć się więcej, zobacz Zarządzanie aktualizacji programu antywirusowego Microsoft Defender i stosowanie punktów odniesienia.
Porada
Jeśli szukasz informacji dotyczących programu antywirusowego dla innych platform, zobacz:
- Ustaw preferencje dla ochrony punktu końcowego usługi Microsoft Defender w systemie macOS
- Ochrona punktu końcowego w usłudze Microsoft Defender na komputerze Mac
- Ustawienia zasad ochrony antywirusowej systemu macOS dla programu antywirusowego Microsoft Defender dla usługi Intune
- Ustaw preferencje dla ochrony punktu końcowego w usłudze Microsoft Defender w systemie Linux
- Ochrona punktu końcowego w usłudze Microsoft Defender na Linuxie
- Konfiguruj ochronę punktu końcowego w usłudze Microsoft Defender w opcjach systemu Android
- Konfiguruj ochronę punktu końcowego w usłudze Microsoft Defender w opcjach systemu iOS
Zobacz też
- Analizator wydajności dla programu antywirusowego Microsoft Defender
- Program antywirusowy Microsoft Defender — zarządzanie i konfiguracja
- Oceń ochronę programu antywirusowego Microsoft Defender
- Wykluczenia dla programu antywirusowego Ochrona punktu końcowego w usłudze Microsoft Defender i Microsoft Defender
Porada
Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla