Windows 中的Microsoft Defender防病毒概述
适用于:
- Microsoft Defender for Endpoint 计划 1 和 2
- Microsoft Defender 商业版
- Microsoft Defender 防病毒
平台
- Windows
Microsoft Defender 防病毒在 Windows 10 和 Windows 11 以及 Windows Server 的多个版本中提供。
Microsoft Defender 防病毒是 Microsoft Defender for Endpoint 中下一代保护的主要组件。 此保护结合了机器学习、大数据分析、深度威胁抵御研究和 Microsoft 云基础结构来保护组织中的设备(或终结点)。 Microsoft Defender 防病毒内置于 Windows 中,与 Microsoft Defender for Endpoint 一起在设备上和云中提供保护。
提示
作为本文的配套内容,请参阅 我们的安全分析器设置指南 ,以查看最佳做法,并了解如何加强防御、提高合规性,并自信地应对网络安全环境。 若要获得基于环境的自定义体验,可以访问Microsoft 365 管理中心中的安全分析器自动设置指南。
Microsoft Defender防病毒功能
Microsoft Defender防病毒提供异常情况检测,这是针对不适合任何预定义模式的恶意软件的保护层。 异常情况检测监视进程创建事件或从 Internet 下载的文件。 通过机器学习和云提供的保护,Microsoft Defender防病毒可以领先攻击者一步。 默认情况下,异常情况检测处于启用状态,可帮助阻止 电子 Windows 应用的 3CX 安全警报等攻击。 Microsoft Defender防病毒在 VirusTotal 中注册攻击前四天开始阻止此恶意软件。
新式恶意软件需要新式解决方案。 2015 年,Microsoft Defender防病毒从使用基于静态签名的引擎转向使用预测技术(如机器学习、应用科学和人工智能)的模型,因为这是保护你和你的组织免受当今不断发展的恶意软件环境的复杂性所必需的。
Microsoft Defender防病毒一见即会阻止几乎所有恶意软件(以毫秒为单位)。
我们还设计了防病毒解决方案,以在联机和脱机方案中工作。 对于脱机方案,将全天定期将来自智能安全图的最新动态智能预配到终结点。 连接到云时,它会从 智能安全图中获取实时智能。
Microsoft Defender防病毒还可以根据威胁的行为和处理树来阻止威胁,即使威胁已开始执行也是如此。 此类攻击的常见示例是无文件恶意软件。 Microsoft的下一代保护功能协同工作,根据异常行为识别和阻止恶意软件。 若要了解详细信息,请参阅 行为阻止和包含。
与其他防病毒软件产品的兼容性
如果正在设备上使用非 Microsoft 防病毒/反恶意软件产品,可能可以在使用非 Microsoft 防病毒软件解决方案的同时以被动模式运行 Microsoft Defender 防病毒。 具体取决于所使用的操作系统,以及设备是否已加入 Defender for Endpoint。 要了解详细信息,请参阅 Microsoft Defender 防病毒。
Microsoft Defender防病毒过程和服务
下表汇总了Microsoft Defender防病毒过程和服务。 可以在 Windows 的任务管理器中查看它们。
进程或服务 | 查看其状态的位置 |
---|---|
Microsoft Defender防病毒核心服务 ( MdCoreSvc ) |
- “进程”选项卡:Antimalware Core Service - “详细信息 ”选项卡: MpDefenderCoreService.exe - “服务”选项卡: Microsoft Defender Core Service |
Microsoft Defender防病毒服务 ( WinDefend ) |
- “进程”选项卡:Antimalware Service Executable - “详细信息 ”选项卡: MsMpEng.exe - “服务”选项卡: Microsoft Defender Antivirus |
Microsoft Defender防病毒网络实时检查服务 ( WdNisSvc ) |
- “进程”选项卡:Microsoft Network Realtime Inspection Service - “详细信息 ”选项卡: NisSrv.exe - “服务”选项卡: Microsoft Defender Antivirus Network Inspection Service |
Microsoft Defender防病毒命令行实用工具 |
- “进程”选项卡:“不适用” - “详细信息 ”选项卡: MpCmdRun.exe - “服务”选项卡:“不适用” |
Microsoft安全客户端策略配置工具 |
- “进程”选项卡:“不适用” - “详细信息 ”选项卡: ConfigSecurityPolicy.exe - “服务”选项卡:“不适用” |
若要详细了解Microsoft Defender核心服务,请访问Microsoft Defender核心服务概述。
对于 Microsoft终结点数据丢失防护 (终结点 DLP) ,下表汇总了进程和服务。 可以在 Windows 的任务管理器中查看它们。
进程或服务 | 查看其状态的位置 |
---|---|
Microsoft终结点 DLP 服务 ( MDDlpSvc ) |
- “进程”选项卡:MpDlpService.exe - “详细信息 ”选项卡: MpDlpService.exe - “服务”选项卡: Microsoft Data Loss Prevention Service |
Microsoft终结点 DLP 命令行实用工具 |
- “进程”选项卡:“不适用” - “详细信息 ”选项卡: MpDlpCmd.exe - “服务”选项卡:“不适用” |
比较主动模式、被动模式和已禁用模式
下表介绍了 Microsoft Defender 防病毒处于主动模式、被动模式或已禁用模式下应发生的情况。
模式 | 发生的情况 |
---|---|
主动模式 | 在主动模式下,Microsoft Defender 防病毒用作设备上的主防病毒应用。 将扫描文件,修正威胁,并将检测到的威胁列在组织的安全报告中和 Windows 安全中心应用中。 |
被动模式 | 在被动模式下,Microsoft Defender防病毒不用作设备上的主防病毒应用。 扫描文件并报告检测到的威胁,但威胁不会由 Microsoft Defender 防病毒修正。 重要: Microsoft Defender 防病毒只能在载入到 Microsoft Defender for Endpoint 的终结点上以被动模式运行。 请参阅 在被动模式中运行Microsoft Defender 防病毒的要求。 |
已禁用或卸载 | 禁用或卸载时,不使用防病毒Microsoft Defender。 不会扫描文件,也不会修正威胁。 通常,不建议禁用或卸载防病毒Microsoft Defender。 |
要了解详细信息,请参阅 Microsoft Defender 防病毒。
检查设备上的 Microsoft Defender 防病毒状态
要检查设备上的 Microsoft Defender 防病毒软件的状态,可以使用几种方法之一,例如 Windows 安全中心应用或 Windows PowerShell。
重要
从平台版本 4.18.2208.0 及更高版本开始:如果服务器已载入到Microsoft Defender for Endpoint,“关闭 Windows Defender”组策略设置将不再在 Windows Server 2012 R2 及更高版本上完全禁用 Windows Defender 防病毒。 相反,它会将其置于被动模式。 此外, 篡改防护 功能将允许切换到主动模式,但不允许切换到被动模式。
- 如果在加入Microsoft Defender for Endpoint之前“关闭 Windows Defender”已到位,则不会有任何更改,Defender 防病毒将保持禁用状态。
- 若要将Defender 防病毒切换到被动模式,即使它在载入前已禁用,也可以应用值为 的
1
ForceDefenderPassiveMode 配置。 若要将其置于活动模式,请改为将此值0
切换到 。
请注意启用篡改防护时修改ForceDefenderPassiveMode
的逻辑:一旦Microsoft Defender防病毒切换到主动模式,篡改保护将阻止它回到被动模式,ForceDefenderPassiveMode
即使设置为 1
。
使用 Windows 安全中心应用检查 Microsoft Defender 防病毒软件状态
在 Windows 设备上,选择“开始”菜单,然后开始键入
Security
。 然后在结果中打开 Windows 安全中心应用。选择“病毒和威胁防护”。
在“谁在保护我?”下,选择“管理提供程序”。
安全提供程序页面上将显示防病毒/反恶意软件解决方案的名称。
使用 PowerShell 检查 Microsoft Defender 防病毒软件状态
选择“开始”菜单,然后开始键入
PowerShell
。 然后在结果中打开 Windows PowerShell。类型
Get-MpComputerStatus
。在结果列表中,查看 AMRunningMode 行。
正常 表示 Microsoft Defender 防病毒在主动模式下运行。
被动模式意味着Microsoft Defender防病毒正在运行,但不是设备上的主要防病毒/反恶意软件产品。 被动模式仅适用于已载入 Microsoft Defender for Endpoint 且满足特定要求的设备。 若要了解详细信息,请参阅 Microsoft Defender 防病毒在被动模式运行的要求。
EDR 阻止模式 意味着Microsoft Defender 防病毒正在运行,并且在阻止模式下 终结点检测和响应 (EDR),(Microsoft Defender for Endpoint 中的功能)已启用。 检查 ForceDefenderPassiveMode 注册表项。 如果其值为 0,则表示它在正常模式下运行;否则,它将在被动模式下运行。
SxS 被动模式意味着Microsoft Defender防病毒与另一个防病毒/反恶意软件产品一起运行,并且使用有限的定期扫描。
提示
要了解 Get-MpComputerStatus PowerShell cmdlet 的详细信息,请参阅参考文章 get-MpComputerStatus。
提示
性能提示由于多种因素 (下面列出的示例) Microsoft Defender 防病毒和其他防病毒软件一样,可能会导致终结点设备上的性能问题。 在某些情况下,可能需要优化Microsoft Defender防病毒的性能,以缓解这些性能问题。 Microsoft 的性能分析器 是一种 PowerShell 命令行工具,可帮助确定哪些文件、文件路径、进程和文件扩展名可能导致性能问题;一些示例包括:
- 影响扫描时间的首要路径
- 影响扫描时间的热门文件
- 影响扫描时间的顶级进程
- 影响扫描时间的热门文件扩展名
- 组合 - 例如:
- 每个扩展名的排名靠前的文件数
- 每个扩展的顶部路径
- 每个路径的顶级进程数
- 每个文件的顶级扫描数
- 每个进程的每个文件扫描数
可以使用性能分析器收集的信息来更好地评估性能问题并应用修正操作。 请参阅:Microsoft Defender防病毒的性能分析器。
获取防病毒/反恶意软件平台更新
请务必确保 Microsoft Defender 防病毒软件(或任何防病毒/反恶意软件解决方案)保持最新。 Microsoft 定期发布更新,以帮助确保你的设备具有最新技术来防范新的恶意软件和攻击技术。 要了解详细信息,请参阅 管理 Microsoft Defender 防病毒更新和应用基线。
提示
如果要查找其他平台的防病毒相关信息,请参阅:
- 设置 macOS 上 Microsoft Defender for Endpoint 的首选项
- Mac 上的 Microsoft Defender for Endpoint
- 适用于 Intune 的 Microsoft Defender 防病毒软件的 macOS 防病毒程序策略设置
- 设置 Linux 上 Microsoft Defender for Endpoint 的首选项
- Microsoft Defender for Endpoint on Linux
- 在 Android 功能上配置 Defender for Endpoint
- 在 iOS 功能上配置 Microsoft Defender for Endpoint
另请参阅
- 用于Microsoft Defender防病毒的性能分析器
- Microsoft Defender 防病毒管理和配置
- 评估 Microsoft Defender 防病毒保护
- Microsoft Defender for Endpoint和Microsoft Defender防病毒的排除项
提示
想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区。