Översikt över Microsoft Defender Antivirus i Windows
Gäller för:
- Microsoft Defender för Endpoint abonnemang 1 och 2
- Microsoft Defender för företag
- Microsoft Defender Antivirus
Plattformar
- Windows
Microsoft Defender Antivirus finns i Windows 10, Windows 11 och i versioner av Windows Server.
Microsoft Defender Antivirus är en viktig komponent i nästa generations skydd i Microsoft Defender för Endpoint. Det här skyddet sammanför maskininlärning, stordataanalys, djupgående forskning om hotresistens och Microsofts molninfrastruktur för att skydda enheter (eller slutpunkter) i din organisation. Microsoft Defender Antivirus är inbyggt i Windows och fungerar med Microsoft Defender för Endpoint för att ge skydd på din enhet och i molnet.
Tips
Som ett komplement till den här artikeln kan du läsa vår installationsguide för Security Analyzer för att granska metodtips och lära dig att stärka skydd, förbättra efterlevnaden och navigera i cybersäkerhetslandskapet med tillförsikt. För en anpassad upplevelse baserat på din miljö kan du komma åt den automatiserade installationsguiden för Security Analyzer i Administrationscenter för Microsoft 365.
Microsoft Defender antivirusfunktioner
Microsoft Defender Antivirus ger avvikelseidentifiering, ett skyddslager för skadlig kod som inte passar något fördefinierat mönster. Avvikelseidentifieringsövervakare för processskapande händelser eller filer som laddas ned från Internet. Genom maskininlärning och molnlevererad skydd kan Microsoft Defender Antivirus ligga steget före angripare. Avvikelseidentifiering är aktiverat som standard och kan hjälpa till att blockera attacker, till exempel 3CX-säkerhetsvarning för Electron Windows-appen. Microsoft Defender Antivirus började blockera den här skadliga koden fyra dagar innan attacken registrerades i VirusTotal.
Modern skadlig kod kräver moderna lösningar. År 2015 flyttade Microsoft Defender Antivirus från att använda en statisk signaturbaserad motor till en modell som använder förutsägande tekniker som maskininlärning, tillämpad vetenskap och artificiell intelligens eftersom detta är vad som är nödvändigt för att hålla dig och dina organisationer säkra från komplexiteten i dagens ständigt växande skadlig kodlandskap.
Microsoft Defender Antivirus kan blockera nästan all skadlig kod vid första anblicken, i millisekunder.
Vi har också utformat vår antiviruslösning så att den fungerar både online och offline. För offlinescenarier etableras den senaste dynamiska intelligensen från Intelligence Security Graph regelbundet till slutpunkten under dagen. När du är ansluten till molnet matas den med realtidsinformation från Intelligent Security Graph.
Microsoft Defender Antivirus kan också stoppa hot baserat på deras beteenden och bearbeta träd även när hotet har startat körningen. Ett vanligt exempel på den här typen av attacker är fillös skadlig kod. Microsofts nästa generations skyddsfunktioner fungerar tillsammans för att identifiera och blockera skadlig kod baserat på onormalt beteende. Mer information finns i Beteendeblockering och inneslutning.
Kompatibilitet med andra antivirusprodukter
Om du använder en antivirusprodukt som inte kommer från Microsoft på enheten kan du eventuellt köra Microsoft Defender Antivirus i passivt läge tillsammans med antiviruslösningen som inte kommer från Microsoft. Det beror på vilket operativsystem som används och om enheten är registrerad på Defender för Endpoint. Mer information finns i Kompatibilitet för Microsoft Defender Antivirus.
Microsoft Defender antivirusprocesser och -tjänster
I följande tabell sammanfattas Microsoft Defender antivirusprocesser och -tjänster. Du kan visa dem i Aktivitetshanteraren i Windows.
Process eller tjänst | Var du kan visa dess status |
---|---|
Microsoft Defender Antivirus Core-tjänsten ( MdCoreSvc ) |
- Fliken Processer:Antimalware Core Service - Fliken Information : MpDefenderCoreService.exe - Fliken Tjänster : Microsoft Defender Core Service |
Microsoft Defender antivirustjänst ( WinDefend ) |
- Fliken Processer:Antimalware Service Executable - Fliken Information : MsMpEng.exe - Fliken Tjänster : Microsoft Defender Antivirus |
Microsoft Defender i realtidsgranskningstjänst för antivirusnätverk ( WdNisSvc ) |
- Fliken Processer:Microsoft Network Realtime Inspection Service - Fliken Information : NisSrv.exe - Fliken Tjänster : Microsoft Defender Antivirus Network Inspection Service |
kommandoradsverktyget Microsoft Defender Antivirus |
- Fliken Processer: Ej tillämpligt - Fliken Information : MpCmdRun.exe - Fliken Tjänster : Ej tillämpligt |
Konfigurationsverktyget för Microsoft Security Client Policy |
- Fliken Processer: Ej tillämpligt - Fliken Information : ConfigSecurityPolicy.exe - Fliken Tjänster : Ej tillämpligt |
Mer information om Microsoft Defender Core-tjänsten finns i översikten över Microsoft Defender Core-tjänsten.
För Microsoft Endpoint Data Loss Prevention (Endpoint DLP) sammanfattar följande tabell processer och tjänster. Du kan visa dem i Aktivitetshanteraren i Windows.
Process eller tjänst | Var du kan visa dess status |
---|---|
Microsoft Endpoint DLP-tjänst ( MDDlpSvc ) |
- Fliken Processer:MpDlpService.exe - Fliken Information : MpDlpService.exe - Fliken Tjänster : Microsoft Data Loss Prevention Service |
Kommandoradsverktyg för Microsoft Endpoint DLP |
- Fliken Processer: Ej tillämpligt - Fliken Information : MpDlpCmd.exe - Fliken Tjänster : Ej tillämpligt |
Jämföra aktivt läge, passivt läge och inaktiverat läge
I följande tabell beskrivs vad du kan förvänta dig när Microsoft Defender Antivirus är i aktivt läge, passivt läge eller inaktiverat.
Mode | Vad som händer |
---|---|
Aktivt läge | I aktivt läge används Microsoft Defender Antivirus som den primära antivirusappen på enheten. Filer genomsöks, hot åtgärdas och identifierade hot visas i organisationens säkerhetsrapporter och i din app Windows-säkerhet. |
Passivt läge | I passivt läge används inte Microsoft Defender Antivirus som den primära antivirusappen på enheten. Filer genomsöks och identifierade hot rapporteras, men hot åtgärdas inte av Microsoft Defender Antivirus. VIKTIGT: Microsoft Defender Antivirus kan endast köras i passivt läge på slutpunkter som är registrerade i Microsoft Defender för Endpoint. Gå till Krav för Microsoft Defender Antivirus som ska köras i passivt läge. |
Inaktiverad eller avinstallerad | När Microsoft Defender Antivirus är inaktiverat eller avinstallerat används det inte. Filer genomsöks inte och hot åtgärdas inte. I allmänhet rekommenderar vi inte att du inaktiverar eller avinstallerar Microsoft Defender Antivirus. |
Mer information finns i Kompatibilitet för Microsoft Defender Antivirus.
Kontrollera tillståndet för Microsoft Defender Antivirus på enheten
Du kan använda en av flera metoder, till exempel appen Windows-säkerhet eller Windows PowerShell, för att kontrollera tillståndet för Microsoft Defender Antivirus på enheten.
Viktigt
Från och med plattformsversion 4.18.2208.0 och senare: Om en server har registrerats för Microsoft Defender för Endpoint kommer grupprincipinställningen "Inaktivera Windows Defender" inte längre att helt inaktivera Windows Defender Antivirus på Windows Server 2012 R2 och senare. I stället placerar den den i passivt läge. Dessutom tillåter manipulationsskyddsfunktionen en växling till aktivt läge men inte till passivt läge.
- Om "Stäng av Windows Defender" redan finns på plats innan du registrerar till Microsoft Defender för Endpoint kommer det inte att ske någon ändring och Defender Antivirus förblir inaktiverad.
- Om du vill växla Defender Antivirus till passivt läge, även om det inaktiverades före registrering, kan du använda konfigurationen ForceDefenderPassiveMode med värdet
1
. Om du vill placera det i aktivt läge växlar du det här värdet till0
i stället.
Observera den ändrade logiken för ForceDefenderPassiveMode
när manipuleringsskydd är aktiverat: När Microsoft Defender Antivirus har växlats till aktivt läge förhindrar manipuleringsskydd att det återgår till passivt läge även när ForceDefenderPassiveMode
är inställt på 1
.
Använd appen Windows-säkerhet för att kontrollera status för Microsoft Defender Antivirus
Välj Start-menyn på din Windows-enhet och börja skriva
Security
. Öppna sedan appen Windows-säkerhet i resultaten.Välj Skydd mot virus och hot.
Under Vem skyddar mig?, väljer du Hantera providers.
Namnet på din antiviruslösning visas på sidan för säkerhetsleverantörer.
Använd PowerShell för att kontrollera status för Microsoft Defender Antivirus
Välj Start-menyn och börja skriva
PowerShell
. Öppna sedan Windows PowerShell i resultaten.Skriv
Get-MpComputerStatus
.I resultatlistan tittar du på raden AMRunningMode.
Normal innebär att Microsoft Defender Antivirus körs i aktivt läge.
Passivt läge innebär Microsoft Defender Antivirus körs, men är inte den primära antivirus-/programskyddsprodukten på enheten. Passivt läge är endast tillgängligt för enheter som är registrerade i Microsoft Defender för Endpoint och som uppfyller vissa krav. Mer information finns i Krav för Microsoft Defender Antivirus som ska köras i passivt läge.
EDR-blockeringsläge innebär att Microsoft Defender Antivirus körs och Identifiering och åtgärd på slutpunkt (EDR) i blockeringsläge, som är en funktion i Microsoft Defender för Endpoint, är aktiverad. Kontrollera registernyckeln ForceDefenderPassiveMode . Om dess värde är 0 körs det i normalt läge. Annars körs den i passivt läge.
Passivt SxS-läge innebär att Microsoft Defender Antivirus körs tillsammans med en annan produkt för antivirus/program mot skadlig kod, och begränsad regelbunden genomsökning används.
Tips
Mer information om PowerShell-cmdleten Get-MpComputerStatus finns i referensartikeln Get-MpComputerStatus.
Tips
Prestandatips På grund av en mängd olika faktorer (exempel som anges nedan) kan Microsoft Defender Antivirus, som andra antivirusprogram, orsaka prestandaproblem på slutpunktsenheter. I vissa fall kan du behöva justera prestanda för Microsoft Defender Antivirus för att lindra dessa prestandaproblem. Microsofts prestandaanalys är ett PowerShell-kommandoradsverktyg som hjälper dig att avgöra vilka filer, filsökvägar, processer och filnamnstillägg som kan orsaka prestandaproblem. Några exempel är:
- De vanligaste sökvägarna som påverkar genomsökningstiden
- De vanligaste filerna som påverkar genomsökningstiden
- De vanligaste processerna som påverkar genomsökningstiden
- De vanligaste filnamnstilläggen som påverkar genomsökningstiden
- Kombinationer – till exempel:
- de vanligaste filerna per tillägg
- de översta sökvägarna per tillägg
- de vanligaste processerna per sökväg
- de vanligaste genomsökningarna per fil
- de vanligaste genomsökningarna per fil per process
Du kan använda informationen som samlas in med hjälp av prestandaanalys för att bättre utvärdera prestandaproblem och tillämpa reparationsåtgärder. Se: Prestandaanalys för Microsoft Defender Antivirus.
Hämta uppdateringar för plattformen för antivirusprogrammet
Det är viktigt att hålla Microsoft Defender Antivirus (eller annat antivirusprogram) uppdaterade. Microsoft släpper regelbundna uppdateringar för att säkerställa att dina enheter har den senaste tekniken för att skydda mot ny skadlig kod och attacktekniker. Mer information finns i Hantera uppdateringar för Microsoft Defender Antivirus och tillämpa baslinjer.
Tips
Om du letar efter antivirusrelaterad information för andra plattformar läser du:
- Ange inställningar för Microsoft Defender för Endpoint på macOS
- Microsoft Defender för Endpoint för Mac
- macOS Antivirus-principinställningar för Microsoft Defender Antivirus för Intune
- Ange inställningar för Microsoft Defender för Endpoint i Linux
- Microsoft Defender för Endpoint för Linux
- Konfigurera Defender för Endpoint för Android-funktioner
- Konfigurera Microsoft Defender för Endpoint på iOS-funktioner
Se även
- Prestandaanalys för Microsoft Defender Antivirus
- Hantering och konfiguration av Microsoft Defender Antivirus
- Utvärdera Microsoft Defender Antivirus skydd
- Undantag för Microsoft Defender för Endpoint och Microsoft Defender Antivirus
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.