Udostępnij za pośrednictwem


Program antywirusowy Microsoft Defender w systemie Windows — omówienie

Dotyczy:

  • Ochrona punktu końcowego w usłudze Microsoft Defender – plan 1 i 2
  • Microsoft Defender dla Firm
  • Program antywirusowy Microsoft Defender

Platformy

  • System Windows

Program antywirusowy Microsoft Defender jest dostępny w systemach Windows 10 i Windows 11 oraz w wersjach systemu Windows Server.

Program antywirusowy Microsoft Defender jest głównym składnikiem ochrony nowej generacji w ochronie punktu końcowego w usłudze Microsoft Defender. Ta ochrona łączy uczenie maszynowe, analizę danych big data, szczegółowe badania odporności na zagrożenia oraz infrastrukturę chmury firmy Microsoft, aby chronić urządzenia (lub punkty końcowe) w organizacji. Program antywirusowy Microsoft Defender jest wbudowany w system Windows i współpracuje z ochroną punktu końcowego w usłudze Microsoft Defender dla zapewnienia ochrony na urządzeniu i w chmurze.

Porada

Aby zapoznać się z tym artykułem, zapoznaj się z naszym przewodnikiem po konfiguracji analizatora zabezpieczeń , aby przejrzeć najlepsze rozwiązania i nauczyć się wzmacniać ochronę, poprawiać zgodność i z ufnością poruszać się po środowisku cyberbezpieczeństwa. Aby uzyskać dostosowane środowisko oparte na środowisku, możesz uzyskać dostęp do przewodnika automatycznej konfiguracji analizatora zabezpieczeń w centrum administracyjnym platformy Microsoft 365.

Możliwości programu antywirusowego Microsoft Defender

Program antywirusowy Microsoft Defender zapewnia wykrywanie anomalii— warstwę ochrony przed złośliwym oprogramowaniem, która nie pasuje do żadnego wstępnie zdefiniowanego wzorca. Monitory wykrywania anomalii pod kątem zdarzeń tworzenia procesów lub plików pobranych z Internetu. Dzięki uczeniu maszynowemu i ochronie dostarczanej w chmurze program antywirusowy Microsoft Defender może być o krok przed atakującymi. Wykrywanie anomalii jest domyślnie włączone i może pomóc zablokować ataki, takie jak alert zabezpieczeń 3CX dla aplikacji electron systemu Windows. Program antywirusowy Microsoft Defender zaczął blokować to złośliwe oprogramowanie cztery dni przed zarejestrowaniem ataku w aplikacji VirusTotal.

Nowoczesne złośliwe oprogramowanie wymaga nowoczesnych rozwiązań. W 2015 r. program antywirusowy Microsoft Defender odszedł od używania statycznego aparatu opartego na podpisach do modelu, który korzysta z technologii predykcyjnych, takich jak uczenie maszynowe, nauka stosowana i sztuczna inteligencja, ponieważ jest to niezbędne, aby zapewnić bezpieczeństwo Tobie i Twoim organizacjom przed złożonością stale rozwijającego się krajobrazu złośliwego oprogramowania.

Program antywirusowy Microsoft Defender może blokować niemal wszystkie złośliwe oprogramowanie od pierwszego wejrzenia w milisekundach.

Zaprojektowaliśmy również nasze rozwiązanie antywirusowe, aby działało zarówno w scenariuszach online, jak i offline. W przypadku scenariuszy offline najnowsza dynamiczna analiza z programu Intelligence Security Graph jest regularnie aprowizowana w punkcie końcowym przez cały dzień. Po nawiązaniu połączenia z chmurą jest ona dostarczana w czasie rzeczywistym z usługi Intelligent Security Graph.

Program antywirusowy Microsoft Defender może również zatrzymać zagrożenia na podstawie ich zachowań i przetwarzać drzewa nawet po rozpoczęciu wykonywania zagrożenia. Typowym przykładem tego rodzaju ataków jest złośliwe oprogramowanie bez plików. Funkcje ochrony następnej generacji firmy Microsoft współpracują ze sobą w celu identyfikowania i blokowania złośliwego oprogramowania na podstawie nietypowego zachowania. Aby dowiedzieć się więcej, zobacz Blokowanie behawioralne i hermetyzowanie.

Zgodność z innymi produktami antywirusowymi

Jeśli korzystasz z produktu antywirusowego/chroniącego przed złośliwym oprogramowaniem firmy innej niż Microsoft na urządzeniu, możesz uruchomić program antywirusowy Microsoft Defender w trybie pasywnym obok rozwiązania antywirusowego firmy innej niż Microsoft. Zależy to od używanego systemu operacyjnego i od tego, czy urządzenie zostało dołączone do usługi ochrony punktu końcowego w usłudze Microsoft Defender. Aby dowiedzieć się więcej, zobacz Zgodność programu antywirusowego Microsoft Defender.

Procesy i usługi programu antywirusowego Microsoft Defender

Poniższa tabela zawiera podsumowanie procesów i usług programu antywirusowego Microsoft Defender. Można je wyświetlić w Menedżerze zadań w systemie Windows.

Proces lub usługa Gdzie wyświetlić jego stan
Usługa Microsoft Defender Antivirus Core
(MdCoreSvc)
- Karta Procesy:Antimalware Core Service
- Karta Szczegóły:MpDefenderCoreService.exe
- Karta Usługi : Microsoft Defender Core Service
Usługa antywirusowa Microsoft Defender
(WinDefend)
- Karta Procesy:Antimalware Service Executable
- Karta Szczegóły:MsMpEng.exe
- Karta Usługi : Microsoft Defender Antivirus
Microsoft Defender Antivirus Network Realtime Inspection Service
(WdNisSvc)
- Karta Procesy:Microsoft Network Realtime Inspection Service
- Karta Szczegóły:NisSrv.exe
- Karta Usługi : Microsoft Defender Antivirus Network Inspection Service
Narzędzie wiersza polecenia programu antywirusowego Microsoft Defender - Karta Procesy: N/A
- Karta Szczegóły:MpCmdRun.exe
- Karta Usługi : N/A
Narzędzie konfiguracji zasad klienta zabezpieczeń firmy Microsoft - Karta Procesy: N/A
- Karta Szczegóły:ConfigSecurityPolicy.exe
- Karta Usługi : N/A

Aby dowiedzieć się więcej o usłudze Microsoft Defender Core, odwiedź stronę Omówienie usługi Microsoft Defender Core.

W przypadku rozwiązania Microsoft Endpoint Data Loss Prevention (Endpoint DLP) poniższa tabela zawiera podsumowanie procesów i usług. Można je wyświetlić w Menedżerze zadań w systemie Windows.

Proces lub usługa Gdzie wyświetlić jego stan
Usługa DLP punktu końcowego firmy Microsoft
(MDDlpSvc)
- Karta Procesy:MpDlpService.exe
- Karta Szczegóły:MpDlpService.exe
- Karta Usługi : Microsoft Data Loss Prevention Service
Narzędzie wiersza polecenia DLP punktu końcowego firmy Microsoft - Karta Procesy: N/A
- Karta Szczegóły:MpDlpCmd.exe
- Karta Usługi : N/A

Porównywanie trybu aktywnego, pasywnego i wyłączonego

W poniższej tabeli opisano, czego można oczekiwać, gdy program antywirusowy Microsoft Defender jest w trybie aktywnym, pasywnym lub wyłączonym.

Tryb Efekt
Tryb aktywny W trybie aktywnym program antywirusowy Microsoft Defender jest używany jako podstawowa aplikacja antywirusowa na urządzeniu. Pliki są skanowane, zagrożenia są usuwane, a wykryte zagrożenia są wyświetlane w raportach zabezpieczeń organizacji i w Twojej aplikacji Zabezpieczenia Windows.
Tryb pasywny W trybie pasywnym program antywirusowy Microsoft Defender nie jest używany jako podstawowa aplikacja antywirusowa na urządzeniu. Pliki są skanowane i raportowane są wykryte zagrożenia, ale program antywirusowy Microsoft Defender nie usuwa zagrożeń.

WAŻNE: Program antywirusowy Microsoft Defender może działać w trybie pasywnym tylko w punktach końcowych dołączonych do ochrony punktu końcowego w usłudze Microsoft Defender. Zobacz Wymagania, aby program antywirusowy Microsoft Defender działał w trybie pasywnym.
Wyłączone lub odinstalowane Po wyłączeniu lub odinstalowaniu program antywirusowy Microsoft Defender nie jest używany. Pliki nie są skanowane, a zagrożenia nie są usuwane. Zasadniczo nie zalecamy wyłączania ani odinstalowywania programu antywirusowego Microsoft Defender.

Aby dowiedzieć się więcej, zobacz Zgodność programu antywirusowego Microsoft Defender.

Sprawdź stan programu antywirusowego Microsoft Defender na urządzeniu

Możesz użyć jednej z kilku metod, takich jak aplikacja Zabezpieczenia Windows lub program Windows PowerShell, aby sprawdzić stan programu antywirusowego Microsoft Defender na urządzeniu.

Ważna

Począwszy od platformy w wersji 4.18.2208.0 lub nowszej: jeśli serwer został dołączony do usługi Microsoft Defender for Endpoint, ustawienie zasad grupy "Wyłącz usługę Windows Defender" nie będzie już całkowicie wyłączać programu antywirusowego Windows Defender w systemie Windows Server 2012 R2 i nowszych wersjach. Zamiast tego umieści go w trybie pasywnym. Ponadto funkcja ochrony przed naruszeniami umożliwi przełączenie do trybu aktywnego, ale nie na tryb pasywny.

  • Jeśli "Wyłącz usługę Windows Defender" jest już dostępna przed dołączeniem do usługi Microsoft Defender for Endpoint, nie będzie żadnych zmian, a program antywirusowy Defender pozostanie wyłączony.
  • Aby przełączyć program antywirusowy Defender na tryb pasywny, nawet jeśli został wyłączony przed dołączeniem, można zastosować konfigurację ForceDefenderPassiveMode z 1wartością . Aby umieścić ją w trybie aktywnym, przełącz tę wartość na 0 zamiast tego.

Zwróć uwagę na zmodyfikowaną logikę, ForceDefenderPassiveMode jeśli włączono ochronę przed naruszeniami: po przełączeniu programu antywirusowego Microsoft Defender na tryb aktywny ochrona przed naruszeniami uniemożliwi powrót do trybu pasywnego nawet wtedy, gdy ForceDefenderPassiveMode jest ustawiona na 1wartość .

Sprawdzanie stanu programu antywirusowego Microsoft Defender za pomocą aplikacji Zabezpieczenia Windows

  1. Na urządzeniu z systemem Windows wybierz menu Start i zacznij wpisywać Security. Następnie otwórz aplikację Zabezpieczenia Windows w wynikach.

  2. Wybierz pozycję Ochrona przed wirusami i zagrożeniami.

  3. W obszarze Kto mnie chroni? wybierz pozycję Zarządzaj dostawcami.

Nazwa rozwiązania antywirusowego/chroniącego przed złośliwym kodem będzie widoczna na stronie dostawców zabezpieczeń.

Sprawdzanie stanu programu antywirusowego Microsoft Defender za pomocą programu PowerShell

  1. Wybierz menu Start i zacznij wpisywać PowerShell. Następnie otwórz program Windows PowerShell w wynikach.

  2. Typ: Get-MpComputerStatus.

  3. Na liście wyników przyjrzyj się wierszowi AMRunningMode.

    • Normalny oznacza, że program antywirusowy Microsoft Defender działa w trybie aktywnym.

    • Tryb pasywny oznacza, że program antywirusowy Microsoft Defender działa, ale nie jest podstawowym produktem antywirusowym/chroniącym przed złośliwym oprogramowaniem na urządzeniu. Tryb pasywny jest dostępny tylko dla urządzeń dołączonych do ochrony punktu końcowego w usłudze Microsoft Defender. Aby dowiedzieć się więcej, zobacz Wymagania dotyczące uruchamiania programu antywirusowego Microsoft Defender w trybie pasywnym.

    • EDR w trybie blokowania oznacza, że program antywirusowy Microsoft Defender jest uruchomiony i Wykrycie i odpowiedź punktu końcowego (EDR) w trybie blokowania, funkcja ochrony punktu końcowego w usłudze Microsoft Defender, jest włączona. Sprawdź klucz rejestru ForceDefenderPassiveMode . Jeśli jego wartość to 0, jest uruchomiona w trybie normalnym; W przeciwnym razie działa w trybie pasywnym.

    • Tryb pasywny SxS oznacza, że program antywirusowy Microsoft Defender działa razem z innym oprogramowaniem antywirusowym/oprogramowaniem chroniącym przed złośliwym kodem i jest używane ograniczone okresowe skanowanie.

Porada

Aby dowiedzieć się więcej o poleceniu cmdlet Get-MpComputerStatus programu PowerShell, zobacz artykuł referencyjny Get-MpComputerStatus.

Porada

Porada dotycząca wydajności Ze względu na różne czynniki (przykłady wymienione poniżej) program antywirusowy Microsoft Defender, podobnie jak inne oprogramowanie antywirusowe, może powodować problemy z wydajnością na urządzeniach punktu końcowego. W niektórych przypadkach może być konieczne dostosowanie wydajności programu antywirusowego Microsoft Defender w celu złagodzenia tych problemów z wydajnością. Analizator wydajności firmy Microsoft to narzędzie wiersza polecenia programu PowerShell, które pomaga określić, które pliki, ścieżki plików, procesy i rozszerzenia plików mogą powodować problemy z wydajnością; Oto kilka przykładów:

  • Najważniejsze ścieżki wpływające na czas skanowania
  • Najważniejsze pliki, które mają wpływ na czas skanowania
  • Najważniejsze procesy wpływające na czas skanowania
  • Najważniejsze rozszerzenia plików, które mają wpływ na czas skanowania
  • Kombinacje — na przykład:
    • najważniejsze pliki na rozszerzenie
    • górne ścieżki na rozszerzenie
    • najważniejsze procesy na ścieżkę
    • najczęściej skanuje na plik
    • najczęściej skanuje na plik na proces

Informacje zebrane przy użyciu analizatora wydajności umożliwiają lepszą ocenę problemów z wydajnością i stosowanie akcji korygowania. Zobacz: Analizator wydajności dla programu antywirusowego Microsoft Defender.

Pobierz aktualizacje platformy antywirusowej/chroniącej przed złośliwym oprogramowaniem

Ważne jest, aby program antywirusowy Microsoft Defender lub dowolne rozwiązanie antywirusowe/chroniące przed złośliwym oprogramowaniem były aktualne. Firma Microsoft udostępnia regularne aktualizacje, aby zapewnić, że twoje urządzenia mają najnowszą technologię chroniącą przed nowym złośliwym oprogramowaniem i technikami ataków. Aby dowiedzieć się więcej, zobacz Zarządzanie aktualizacji programu antywirusowego Microsoft Defender i stosowanie punktów odniesienia.

Zobacz też

Porada

Chcesz dowiedzieć się więcej? Skontaktuj się ze społecznością zabezpieczeń firmy Microsoft w naszej społeczności technicznej: Microsoft Defender for Endpoint Tech Community.