Обзор антивирусной программы Microsoft Defender в Windows
Область применения:
- Microsoft Defender для конечной точки, планы 1 и 2
- Microsoft Defender для бизнеса
- Антивирусная программа в Microsoft Defender
Платформы
- Windows
Антивирусная программа в Microsoft Defender доступна в Windows 10 и Windows 11, а также в версиях Windows Server.
Антивирусная программа в Microsoft Defender — это основной компонент защиты нового поколения в Microsoft Defender для конечной точки. Эта защита сочетает машинное обучение, анализ больших данных, углубленные исследования устойчивости к угрозам и облачную инфраструктуру Майкрософт для защиты устройств (или конечных точек) в организации. Антивирусная программа в Microsoft Defender встроена в Windows и работает с Microsoft Defender для конечной точки для обеспечения защиты на вашем устройстве и в облаке.
Совет
В качестве компаньона к этой статье ознакомьтесь с руководством по настройке анализатора безопасности , чтобы ознакомиться с рекомендациями и научиться укреплять защиту, повышать соответствие требованиям и уверенно перемещаться по ландшафту кибербезопасности. Чтобы настроить интерфейс на основе вашей среды, вы можете получить доступ к руководству по автоматической настройке анализатора безопасности в Центре администрирования Microsoft 365.
Возможности антивирусной программы в Microsoft Defender
Антивирусная программа в Microsoft Defender обеспечивает обнаружение аномалий— уровень защиты от вредоносных программ, которые не соответствуют ни одному предопределенному шаблону. Мониторы обнаружения аномалий для событий создания процесса или файлов, скачанных из Интернета. Благодаря машинному обучению и облачной защите антивирусная программа Microsoft Defender может оставаться на шаг впереди злоумышленников. Обнаружение аномалий по умолчанию включено и может помочь блокировать такие атаки, как оповещение системы безопасности 3CX для приложения Electron Windows. Антивирусная программа Microsoft Defender начала блокировать эту вредоносную программу за четыре дня до того, как атака была зарегистрирована в VirusTotal.
Для современных вредоносных программ требуются современные решения. В 2015 году антивирусная программа Microsoft Defender отошла от использования статического обработчика на основе сигнатуры к модели, которая использует прогнозные технологии, такие как машинное обучение, прикладная наука и искусственный интеллект, так как это необходимо для защиты вас и ваших организаций от сложности постоянно развивающегося ландшафта вредоносных программ.
Антивирусная программа в Microsoft Defender может блокировать практически все вредоносные программы с первого взгляда в миллисекундах.
Мы также разработали антивирусное решение для работы как в сетевых, так и в автономных сценариях. Для автономных сценариев последняя динамическая аналитика из Графа интеллектуальной безопасности подготавливается к конечной точке регулярно в течение дня. При подключении к облаку он получает аналитические данные в режиме реального времени из Intelligent Security Graph.
Антивирусная программа Microsoft Defender также может останавливать угрозы на основе их поведения и деревьев процессов, даже если угроза запущена. Распространенный пример таких атак — это нефайловые вредоносные программы. Функции защиты следующего поколения Корпорации Майкрософт совместно выявляют и блокируют вредоносные программы на основе аномального поведения. Дополнительные сведения см. в разделе Поведенческая блокировка и сдерживание.
Совместимость с другими антивирусными продуктами
Если на вашем устройстве используется антивирусная или антивредоносная программа стороннего поставщика, возможно, вы можете запустить антивирусную программу в Microsoft Defender в пассивном режиме вместе с антивирусным решением стороннего поставщика. Это зависит от используемой операционной системы и от того, подключено ли ваше устройство к Defender для конечной точки. Дополнительные сведения см. в статье Совместимость Антивирусной программы в Microsoft Defender.
Процессы и службы антивирусной программы в Microsoft Defender
В следующей таблице перечислены процессы и службы антивирусной программы в Microsoft Defender. Их можно просмотреть в диспетчере задач в Windows.
| Процесс или служба | Где просмотреть его состояние |
|---|---|
| Основная служба антивирусной программы в Microsoft Defender ( MdCoreSvc) |
- Вкладка "Процессы ": Antimalware Core Service - Вкладка "Сведения ": MpDefenderCoreService.exe - Вкладка "Службы": Microsoft Defender Core Service |
| Антивирусная служба Microsoft Defender ( WinDefend) |
- Вкладка "Процессы ": Antimalware Service Executable - Вкладка "Сведения ": MsMpEng.exe - Вкладка "Службы": Microsoft Defender Antivirus |
| Служба проверки антивирусной сети в Реальном времени в Microsoft Defender ( WdNisSvc) |
- Вкладка "Процессы ": Microsoft Network Realtime Inspection Service - Вкладка "Сведения ": NisSrv.exe - Вкладка "Службы": Microsoft Defender Antivirus Network Inspection Service |
| Программа командной строки антивирусной программы Microsoft Defender | - Вкладка "Процессы": Н/Д - Вкладка "Сведения ": MpCmdRun.exe - Вкладка "Службы": Н/Д |
| Средство настройки политики клиента безопасности (Майкрософт) | - Вкладка "Процессы": Н/Д - Вкладка "Сведения ": ConfigSecurityPolicy.exe - Вкладка "Службы": Н/Д |
Дополнительные сведения о службе Microsoft Defender Core см. на странице Обзор службы Microsoft Defender Core.
В следующей таблице описаны процессы и службы для защиты от потери данных в конечной точке Майкрософт (DLP). Их можно просмотреть в диспетчере задач в Windows.
| Процесс или служба | Где просмотреть его состояние |
|---|---|
| Служба защиты от потери данных конечной точки Майкрософт ( MDDlpSvc) |
- Вкладка "Процессы ": MpDlpService.exe - Вкладка "Сведения ": MpDlpService.exe - Вкладка "Службы": Microsoft Data Loss Prevention Service |
| Служебная программа командной строки для конечной точки Microsoft DLP | - Вкладка "Процессы": Н/Д - Вкладка "Сведения ": MpDlpCmd.exe - Вкладка "Службы": Н/Д |
Сравнение активного, пассивного и отключенного режимов
В следующей таблице описано, чего следует ожидать, когда антивирусная программа в Microsoft Defender находится в активном, пассивном или отключенном режимах.
| Режим | Что происходит |
|---|---|
| Активный режим | В активном режиме антивирусная программа в Microsoft Defender используется в качестве основного антивирусного приложения на устройстве. Файлы проверяются, угрозы устраняются, а обнаруженные угрозы перечислены в отчетах о безопасности вашей организации и в приложении "Безопасность Windows". |
| Пассивный режим | В пассивном режиме антивирусная программа в Microsoft Defender не используется в качестве основного антивирусного приложения на устройстве. Файлы проверяются, и об обнаруженных угрозах сообщается, но угрозы не устраняются антивирусной программой в Microsoft Defender. ВАЖНО. Антивирусная программа в Microsoft Defender может работать в пассивном режиме только на конечных точках, подключенных к Microsoft Defender для конечной точки. См. статью Требования к запуску антивирусной программы в Microsoft Defender в пассивном режиме. |
| Отключено или удалено | При отключении или удалении антивирусная программа в Microsoft Defender не используется. Файлы не проверяются, угрозы не устраняются. Как правило, не рекомендуется отключать и удалять антивирусную программу в Microsoft Defender. |
Дополнительные сведения см. в статье Совместимость Антивирусной программы в Microsoft Defender.
Проверка состояния антивирусной программы в Microsoft Defender на вашем устройстве
Проверить состояние антивирусной программы в Microsoft Defender на вашем устройстве можно разными способами. Например, можно использовать приложение "Безопасность Windows" или Windows PowerShell.
Важно!
Начиная с версии платформы 4.18.2208.0 и более поздних версий: если сервер подключен к Microsoft Defender для конечной точки, параметр групповой политики "Отключить Защитник Windows" больше не будет полностью отключать антивирусную программу "Защитник Windows" в Windows Server 2012 R2 и более поздних версиях. Вместо этого он переместит его в пассивный режим. Кроме того, функция защиты от незаконного изменения позволит переключиться в активный режим, но не в пассивный режим.
- Если перед подключением к Microsoft Defender для конечной точки уже установлен параметр "Отключить Защитник Windows", изменения не будут изменены, а антивирусная программа "Защитник" останется отключенной.
- Чтобы переключить антивирусную программу Defender в пассивный режим, даже если она была отключена перед подключением, можно применить конфигурацию ForceDefenderPassiveMode со значением
1. Чтобы перевести его в активный режим, переключите это значение0на .
Обратите внимание на измененную логику для ForceDefenderPassiveMode включения защиты от незаконного изменения. После переключения антивирусной программы Microsoft Defender в активный режим защита от незаконного изменения не позволит вернуться в пассивный режим, даже если ForceDefenderPassiveMode для параметра задано значение 1.
Проверка состояния антивирусной программы в Microsoft Defender с помощью приложения "Безопасность Windows"
На устройстве с Windows выберите нажмите кнопку Пуск и начните вводить
Security. Затем откройте приложение "Безопасность Windows" в результатах.Выберите Защита от вирусов и угроз.
В разделе Кто защищает меня? выберите Управление поставщиками.
На странице поставщиков решений безопасности вы увидите имя вашего антивируса или решения для защиты от вредоносных программ.
Проверка состояния антивирусной программы в Microsoft Defender с помощью PowerShell
Нажмите кнопку Пуск и начните вводить
PowerShell. Затем откройте Windows PowerShell в результатах.Тип
Get-MpComputerStatus.В списке результатов посмотрите на строку AMRunningMode.
Обычный означает, что антивирусная программа в Microsoft Defender работает в активном режиме.
Пассивный режим означает, что антивирусная программа в Microsoft Defender запущена, но не является основным антивирусным или антивредоносным продуктом на вашем устройстве. Пассивный режим доступен только для устройств, которые были доступны в Microsoft Defender для конечной точки и отвечают определенным требованиям. Дополнительные сведения см. в статье Требования к запуску антивирусной программы в Microsoft Defender в пассивном режиме.
Режим блокировки EDR означает, что антивирусная программа в Microsoft Defender запущена и в Microsoft Defender для конечной точки включена функция, которая называется Выявление и нейтрализация атак на конечные точки в режиме блокировки. Проверьте раздел реестра ForceDefenderPassiveMode . Если его значение равно 0, он работает в обычном режиме; В противном случае он работает в пассивном режиме.
Пассивный режим SxS означает, что антивирусная программа Microsoft Defender работает вместе с другим антивирусным или антивредоносным продуктом, и используется ограниченное периодическое сканирование.
Совет
Дополнительные информацию о командлете Get-MpComputerStatus PowerShell см. в справочной статье Get-MpComputerStatus.
Совет
Совет по производительности Из-за различных факторов (примеры приведены ниже), антивирусная программа в Microsoft Defender, как и другие антивирусные программы, может вызвать проблемы с производительностью на конечных точках устройств. В некоторых случаях может потребоваться настроить производительность антивирусной программы Microsoft Defender, чтобы устранить эти проблемы с производительностью. Анализатор производительности Корпорации Майкрософт — это средство командной строки PowerShell, которое помогает определить, какие файлы, пути к файлам, процессы и расширения файлов могут вызывать проблемы с производительностью. Ниже приведены некоторые примеры:
- Основные пути, влияющие на время сканирования
- Основные файлы, влияющие на время сканирования
- Основные процессы, влияющие на время сканирования
- Основные расширения файлов, влияющие на время сканирования
- Сочетания— например:
- top files per extension
- верхние пути на расширение
- top процессов на путь
- большее число сканирований на файл
- большее число сканирований на файл на каждый процесс
Сведения, собранные с помощью анализатора производительности, можно использовать для более эффективной оценки проблем с производительностью и применения действий по исправлению. См. статью Анализатор производительности для антивирусной программы Microsoft Defender.
Получите обновления для антивирусной и антивредоносной платформ
Важно постоянно обновлять антивирусную программу в Microsoft Defender (или любой другой антивирус или решение для защиты от вредоносных программ). Корпорация Майкрософт выпускает регулярные обновления, чтобы убедиться, что ваши устройства оснащены новейшими технологиями для защиты от новых вредоносных программ и методов атак. Дополнительные данные см. в разделе Управление обновлениями антивирусной программы в Microsoft Defender и применение базовых показателей.
Совет
Если вам нужны сведения об антивирусной программе для других платформ, см.:
- Установка параметров Microsoft Defender для конечной точки в macOS
- Microsoft Defender для конечной точки на Mac
- Параметры антивирусной политики macOS для антивирусной программы Microsoft Defender для Intune
- Установите параметры Microsoft Defender для конечной точки в Linux.
- Microsoft Defender для конечной точки в Linux
- Настройка функций Defender для конечной точки на Android
- Настройка защитника Майкрософт для конечной точки на функциях iOS
См. также
- Анализатор производительности для антивирусной программы Microsoft Defender
- Управление антивирусной программой в Microsoft Defender и ее настройка
- Оценка защиты антивирусной программы в Microsoft Defender
- Исключения для Microsoft Defender для конечной точки и антивирусной программы Microsoft Defender
Совет
Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в техническом сообществе Microsoft Defender для конечной точки Tech Community.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по