Microsoft Defender Antivírus na visão geral do Windows

Aplica-se a:

  • Planos 1 e 2 do Microsoft Defender para Ponto de Extremidade
  • Microsoft Defender para Empresas
  • Microsoft Defender Antivírus

Plataformas

  • Windows

O Microsoft Defender Antivírus está disponível no Windows 10 e no Windows 11 e em versões do Windows Server.

O Microsoft Defender Antivírus é um componente importante da sua proteção da próxima geração no Microsoft Defender para Ponto de Extremidade. Essa proteção reúne o aprendizado de máquina, análise de big data, pesquisa aprofundada de resistência a ameaças e a infraestrutura de nuvem da Microsoft para proteger dispositivos (ou pontos de extremidade) em sua organização. O Microsoft Defender Antivírus está integrado ao Windows, e funciona com o Microsoft Defender para Ponto de Extremidade para fornecer proteção ao seu dispositivo e na nuvem.

Microsoft Defender recursos antivírus

Microsoft Defender Antivírus fornece detecção de anomalias, uma camada de proteção para malware que não se encaixa em nenhum padrão predefinido. Monitores de detecção de anomalias para eventos de criação de processo ou arquivos que são baixados da Internet. Por meio do machine learning e da proteção fornecida pela nuvem, Microsoft Defender Antivírus pode ficar um passo à frente dos invasores. A detecção de anomalias está ativada por padrão e pode ajudar a bloquear ataques como o Alerta de Segurança 3CX para o Aplicativo Windows Eletrônico. Microsoft Defender Antivírus começou a bloquear esse malware quatro dias antes do ataque ser registrado no VirusTotal.

O malware moderno requer soluções modernas. Em 2015, Microsoft Defender Antivírus se afastou do uso de um mecanismo estático baseado em assinatura para um modelo que usa tecnologias preditivas como machine learning, ciência aplicada e inteligência artificial, pois isso é necessário para manter você e suas organizações seguros contra a complexidade do cenário de malware em constante evolução de hoje.

Microsoft Defender Antivírus pode bloquear quase todos os malwares à primeira vista, em milissegundos.

Também projetamos nossa solução antivírus para funcionar em cenários online e offline. Para cenários offline, a inteligência dinâmica mais recente do Intelligence Security Graph é provisionada para o ponto de extremidade regularmente ao longo do dia. Quando conectado à nuvem, ele é alimentado com inteligência em tempo real do Grafo de Segurança Inteligente.

Microsoft Defender Antivírus também podem parar ameaças com base em seus comportamentos e processar árvores mesmo quando a ameaça tiver iniciado a execução. Um exemplo comum desses tipos de ataques é o malware sem arquivos. Os recursos de proteção de próxima geração da Microsoft trabalham juntos para identificar e bloquear malware com base em comportamento anormal. Para saber mais, confira Bloqueio comportamental e contenção.

Compatibilidade com outros produtos antivírus

Se estiver usando, em seu dispositivo, um produto antivírus/antimalware que não seja da Microsoft, você poderá executar o Microsoft Defender Antivírus no modo passivo junto com a solução de antivírus que não seja da Microsoft. Depende do sistema operacional utilizado e se seu dispositivo está integrado ao Defender para Ponto de extremidade. Para saber mais, consulte Compatibilidade do Microsoft Defender Antivírus.

Microsoft Defender processos e serviços antivírus

A tabela a seguir resume Microsoft Defender processos e serviços antivírus. Você pode exibi-los no Gerenciador de Tarefas no Windows.

Processo ou serviço Onde exibir seu status
Microsoft Defender serviço Antivírus Core
(MdCoreSvc)
- Guia Processos : Antimalware Core Service
- Guia Detalhes : MpDefenderCoreService.exe
- Guia Serviços : Microsoft Defender Core Service
serviço antivírus Microsoft Defender
(WinDefend)
- Guia Processos : Antimalware Service Executable
- Guia Detalhes : MsMpEng.exe
- Guia Serviços : Microsoft Defender Antivirus
Microsoft Defender serviço de Inspeção em Tempo Real da Rede Antivírus
(WdNisSvc)
- Guia Processos : Microsoft Network Realtime Inspection Service
- Guia Detalhes : NisSrv.exe
- Guia Serviços : Microsoft Defender Antivirus Network Inspection Service
utilitário de linha de comando Microsoft Defender Antivírus - Guia Processos : N/A
- Guia Detalhes : MpCmdRun.exe
- Guia Serviços : N/A
Ferramenta de Configuração da Política de Cliente de Segurança da Microsoft - Guia Processos : N/A
- Guia Detalhes : ConfigSecurityPolicy.exe
- Guia Serviços : N/A

Para a DLP (Microsoft Endpoint Data Loss Prevention ), a tabela a seguir resume processos e serviços. Você pode exibi-los no Gerenciador de Tarefas no Windows.

Processo ou serviço Onde exibir seu status
Serviço DLP do Microsoft Endpoint
(MDDlpSvc)
- Guia Processos : MpDlpService.exe
- Guia Detalhes : MpDlpService.exe
- Guia Serviços : Microsoft Data Loss Prevention Service
Utilitário de linha de comando DLP do Microsoft Endpoint - Guia Processos : N/A
- Guia Detalhes : MpDlpCmd.exe
- Guia Serviços : N/A

serviço Microsoft Defender Core

Para aprimorar sua experiência de segurança do ponto de extremidade, a Microsoft está lançando o serviço Microsoft Defender Core para ajudar com a estabilidade e o desempenho do Microsoft Defender Antivírus. Para clientes que estão usando a Prevenção de Perda de Dados do Microsoft Endpoint nos setores de pequenas, médias e empresariais, a Microsoft está dividindo a base de código para seu próprio serviço.

O serviço Microsoft Defender Core está sendo lançado com Microsoft Defender plataforma Antivírus versão 4.18.23110.2009.

  • A implantação começa em novembro de 2023 para pré-lançamento de clientes, com planos de liberar para todos os clientes corporativos nos próximos meses.

  • Os clientes corporativos devem permitir as seguintes URLs:

    • *.events.data.microsoft.com
    • *.endpoint.security.microsoft.com
    • *.ecs.office.com
  • Os clientes corporativos do governo dos EUA devem permitir as seguintes URLs:

    • *.events.data.microsoft.com
    • *.endpoint.security.microsoft.us (GCC-H & DoD)
    • *.gccmod.ecs.office.com (GCC-M)
    • *.config.ecs.gov.teams.microsoft.us (GCC-H)
    • *.config.ecs.dod.teams.microsoft.us (DoD)
  • Se você estiver usando o Controle de Aplicativo para Windows ou estiver executando softwares de detecção e resposta não microsoft antivírus ou ponto de extremidade, adicione os processos mencionados anteriormente à sua lista de permissões.

  • Os consumidores não precisam tomar nenhuma ação para se preparar.

Comparando o modo ativo, modo passivo e modo desabilitado

A tabela a seguir descreve o que esperar quando o Microsoft Defender Antivírus está em modo ativo, modo passivo ou desativado.

Modo O que acontece
Modo ativo No modo ativo, o Microsoft Defender Antivírus é usado como o principal aplicativo antivírus no dispositivo. Os arquivos são verificados, as ameaças são corrigidas e as ameaças detectadas são listadas nos relatórios de segurança da sua organização e no seu aplicativo de Segurança do Windows.
Modo passivo No modo passivo, o Microsoft Defender Antivírus não é usado como o principal aplicativo antivírus no dispositivo. Os arquivos são verificados e as ameaças detectadas são relatadas, mas as ameaças não são corrigidas pelo Microsoft Defender Antivírus.

importante: o Microsoft Defender Antivírus pode ser executado no modo passivo somente em pontos de extremidade integrados ao Microsoft Defender para Ponto de Extremidade. Consulte Requisitos para a execução do Microsoft Defender Antivírus no modo passivo.
Desativado ou desinstalado Quando desabilitado ou desinstalado, o Microsoft Defender Antivírus não é utilizado. Os arquivos não são verificados e as ameaças não são corrigidas. Em geral, não recomendamos desativar ou desinstalar o Microsoft Defender Antivírus.

Para saber mais, consulte Compatibilidade do Microsoft Defender Antivírus.

Verifique o estado do Microsoft Defender Antivírus no seu dispositivo

Você pode usar um dos vários métodos, como o aplicativo Windows Security ou o Windows PowerShell, para verificar o estado do Microsoft Defender Antivírus em seu dispositivo.

Importante

Começando com a versão da plataforma 4.18.2208.0 e posterior: se um servidor tiver sido integrado ao Microsoft Defender para Ponto de Extremidade, a configuração da política de grupo "Desativar Windows Defender" não desabilite completamente Windows Defender Antivírus no Windows Server 2012 R2 e posterior. Em vez disso, ele o colocará no modo passivo. Além disso, o recurso de proteção contra adulteração permitirá uma opção para o modo ativo, mas não para o modo passivo.

  • Se "Desativar Windows Defender" já estiver em vigor antes de integrar ao Microsoft Defender para Ponto de Extremidade, não haverá alteração e o Defender Antivírus permanecerá desabilitado.
  • Para alternar o Defender Antivírus para o modo passivo, mesmo que ele tenha sido desabilitado antes de integrar, você pode aplicar a configuração ForceDefenderPassiveMode com um valor de 1. Para colocá-lo no modo ativo, alterne esse valor para 0 em vez disso.

Observe a lógica modificada para quando a proteção contra ForceDefenderPassiveMode adulteração estiver habilitada: depois que Microsoft Defender Antivírus for alternado para o modo ativo, a proteção contra adulteração impedirá que ela volte ao modo passivo mesmo quando ForceDefenderPassiveMode estiver definida como 1.

Use o Aplicativo de Segurança do Windows para verificar o status do Microsoft Defender Antivírus

  1. No seu dispositivo Windows, selecione o menu Iniciar e comece a digitar Security. Em seguida, abra o aplicativo de Segurança do Windows nos resultados.

  2. Select Proteção contra vírus e ameaças.

  3. Em Quem está me protegendo?, escolha Gerenciar Provedores.

Você verá o nome de sua solução antivírus/antimalware na página de provedores de segurança.

Usar o PowerShell para verificar o status do Microsoft Defender Antivírus

  1. Selecione o menu Iniciar e comece a digitar PowerShell. Em seguida, abra o Windows PowerShell nos resultados.

  2. Digitar Get-MpComputerStatus.

  3. Na lista de resultados, observe a linha AMRunningMode.

    • Normal significa que o Microsoft Defender Antivírus está sendo executado no modo ativo.

    • Modo passivo significa que o Microsoft Defender Antivírus está em execução, mas não é o principal produto antivírus/antimalware do seu dispositivo. O modo passivo só está disponível para dispositivos integrados ao Microsoft Defender para Ponto de Extremidade e que atendem a determinados requisitos. Para saber mais, consulte Requisitos para a execução do Microsoft Defender Antivírus no modo passivo.

    • Modo de bloqueio EDR significa que o Microsoft Defender Antivírus está em execução e a EDR (Detecção e resposta de ponto de extremidade) no modo de bloqueio, uma funcionalidade no Microsoft Defender para Ponto de Extremidade, está habilitada. Verifique a chave do registro ForceDefenderPassiveMode . Se o valor for 0, ele será executado no modo normal; caso contrário, ele está em execução no modo passivo.

    • O Modo Passivo SxS significa que Microsoft Defender Antivírus está em execução junto com outro produto antivírus/antimalware e a verificação periódica limitada é usada.

Dica

Para saber mais sobre o cmdlet do PowerShell Get-MpComputerStatus, consulte o artigo de referência Get-MpComputerStatus.

Dica

Dica de desempenho Devido a uma variedade de fatores (exemplos listados abaixo) Microsoft Defender Antivírus, como outros softwares antivírus, podem causar problemas de desempenho em dispositivos de ponto de extremidade. Em alguns casos, talvez seja necessário ajustar o desempenho de Microsoft Defender Antivírus para aliviar esses problemas de desempenho. O analisador de desempenho da Microsoft é uma ferramenta de linha de comando do PowerShell que ajuda a determinar quais arquivos, caminhos de arquivo, processos e extensões de arquivo podem estar causando problemas de desempenho; alguns exemplos são:

  • Principais caminhos que afetam o tempo de verificação
  • Principais arquivos que afetam o tempo de verificação
  • Principais processos que afetam o tempo de verificação
  • Principais extensões de arquivo que afetam o tempo de verificação
  • Combinações – por exemplo:
    • arquivos superiores por extensão
    • caminhos superiores por extensão
    • principais processos por caminho
    • verificações superiores por arquivo
    • verificações superiores por arquivo por processo

Você pode usar as informações coletadas usando o analisador de desempenho para avaliar melhor os problemas de desempenho e aplicar ações de correção. Consulte: Analisador de desempenho para Microsoft Defender Antivírus.

Obtenha atualizações da plataforma de antivírus/antimalware

É importante manter o Microsoft Defender Antivírus (ou qualquer solução antivírus/antimalware) atualizado. A Microsoft lança atualizações regulares para ajudar a garantir que seus dispositivos tenham a tecnologia mais recente para proteção contra novos malwares e técnicas de ataque. Para saber mais, consulte Gerenciar atualizações do Microsoft Defender Antivírus e aplicar linhas de base.

Confira também

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.