Windows 10 中的 Microsoft Defender 防病毒
适用于:
- Microsoft Defender for Endpoint 计划 1 和 2
- Microsoft Defender 商业版
- Microsoft Defender 防病毒
平台
- Windows
Microsoft Defender 防病毒在 Windows 10 和 Windows 11 以及 Windows Server 的多个版本中提供。
Microsoft Defender 防病毒是 Microsoft Defender for Endpoint 中下一代保护的主要组件。 此保护结合了机器学习、大数据分析、深度威胁抵御研究和 Microsoft 云基础结构来保护组织中的设备(或终结点)。 Microsoft Defender 防病毒内置于 Windows 中,与 Microsoft Defender for Endpoint 一起在设备上和云中提供保护。
与其他防病毒软件产品的兼容性
如果正在设备上使用非 Microsoft 防病毒/反恶意软件产品,可能可以在使用非 Microsoft 防病毒软件解决方案的同时以被动模式运行 Microsoft Defender 防病毒。 具体取决于所使用的操作系统,以及设备是否已加入 Defender for Endpoint。 要了解详细信息,请参阅 Microsoft Defender 防病毒。
比较主动模式、被动模式和已禁用模式
下表介绍了 Microsoft Defender 防病毒处于主动模式、被动模式或已禁用模式下应发生的情况。
| 模式 | 发生的情况 |
|---|---|
| 主动模式 | 在主动模式下,Microsoft Defender 防病毒用作设备上的主防病毒应用。 将扫描文件,修正威胁,并将检测到的威胁列在组织的安全报告中和 Windows 安全中心应用中。 |
| 被动模式 | 在被动模式下,不将 Microsoft Defender 防病毒用作设备上的主防病毒应用。 将扫描文件,并报告检测到的威胁,但 Microsoft Defender 防病毒不会修正威胁。 重要: Microsoft Defender 防病毒只能在载入到 Microsoft Defender for Endpoint 的终结点上以被动模式运行。 请参阅 在被动模式中运行Microsoft Defender 防病毒的要求。 |
| 已禁用或卸载 | 在已禁用或卸载时,不使用 Microsoft Defender 防病毒。 不会扫描文件,并且不会修正威胁。 通常,我们不建议禁用或卸载 Microsoft Defender 防病毒。 |
要了解详细信息,请参阅 Microsoft Defender 防病毒。
检查设备上的 Microsoft Defender 防病毒状态
要检查设备上的 Microsoft Defender 防病毒软件的状态,可以使用几种方法之一,例如 Windows 安全中心应用或 Windows PowerShell。
重要
从平台版本 4.18.2208.0 及更高版本开始:如果服务器已载入Microsoft Defender for Endpoint,“关闭Windows Defender”组策略设置将不再完全禁用Windows Defender防病毒Windows Server 2012 R2 及更高版本。 相反,它会将其置于被动模式。 此外, 篡改防护 功能将允许切换到主动模式,但不允许切换到被动模式。
- 如果在加入Microsoft Defender for Endpoint之前已“关闭Windows Defender”,则不会发生任何更改,并且 Defender 防病毒将保持禁用状态。
- 若要将 Defender 防病毒切换到被动模式,即使它在载入前已禁用,也可以应用值为 的
1ForceDefenderPassiveMode 配置。 若要将其置于活动模式,请改为将此值0切换到 。
请注意启用篡改防护时修改ForceDefenderPassiveMode的逻辑:一旦Microsoft Defender防病毒切换到主动模式,篡改保护将阻止它回到被动模式,即使 ForceDefenderPassiveMode 设置为 1。
使用 Windows 安全中心应用检查 Microsoft Defender 防病毒软件状态
在 Windows 设备上,选择“开始”菜单,然后开始键入
Security。 然后在结果中打开 Windows 安全中心应用。选择“ 病毒 & 威胁防护”。
在“谁在保护我?”下,选择“管理提供程序”。
安全提供程序页面上将显示防病毒/反恶意软件解决方案的名称。
使用 PowerShell 检查 Microsoft Defender 防病毒软件状态
选择“开始”菜单,然后开始键入
PowerShell。 然后在结果中打开 Windows PowerShell。类型
Get-MpComputerStatus。在结果列表中,查看 AMRunningMode 行。
正常 表示 Microsoft Defender 防病毒在主动模式下运行。
被动模式 表示 Microsoft Defender 防病毒正在运行,但不是设备上的主要防病毒/反恶意软件产品。 被动模式仅适用于已载入 Microsoft Defender for Endpoint 且满足特定要求的设备。 若要了解详细信息,请参阅 Microsoft Defender 防病毒在被动模式运行的要求。
EDR 阻止模式 意味着Microsoft Defender 防病毒正在运行,并且在阻止模式下 终结点检测和响应 (EDR),(Microsoft Defender for Endpoint 中的功能)已启用。 检查 ForceDefenderPassiveMode 注册表项。 如果其值为 0,则表示它在正常模式下运行;否则,它将在被动模式下运行。
SxS 被动模式意味着Microsoft Defender防病毒与另一个防病毒/反恶意软件产品一起运行,并且使用有限的定期扫描。
提示
要了解 Get-MpComputerStatus PowerShell cmdlet 的详细信息,请参阅参考文章 get-MpComputerStatus。
提示
性能提示由于多种因素 (下面列出的示例) Microsoft Defender防病毒和其他防病毒软件一样,可能会导致终结点设备上的性能问题。 在某些情况下,可能需要优化Microsoft Defender防病毒的性能,以缓解这些性能问题。 Microsoft 的性能分析器 是一种 PowerShell 命令行工具,可帮助确定哪些文件、文件路径、进程和文件扩展名可能导致性能问题;一些示例包括:
- 影响扫描时间的首要路径
- 影响扫描时间的热门文件
- 影响扫描时间的顶级进程
- 影响扫描时间的热门文件扩展名
- 组合 - 例如:
- 每个扩展名的排名靠前的文件数
- 每个扩展的顶部路径
- 每个路径的顶级进程数
- 每个文件的顶级扫描数
- 每个进程的每个文件扫描数
可以使用性能分析器收集的信息来更好地评估性能问题并应用修正操作。 请参阅:Microsoft Defender防病毒的性能分析器。
获取防病毒/反恶意软件平台更新
请务必确保 Microsoft Defender 防病毒软件(或任何防病毒/反恶意软件解决方案)保持最新。 Microsoft 定期发布更新,以帮助确保你的设备具有最新技术来防范新的恶意软件和攻击技术。 要了解详细信息,请参阅 管理 Microsoft Defender 防病毒更新和应用基线。
提示
如果要查找其他平台的防病毒相关信息,请参阅:
- 设置 macOS 上 Microsoft Defender for Endpoint 的首选项
- Mac 上的 Microsoft Defender for Endpoint
- 适用于 Intune 的 Microsoft Defender 防病毒软件的 macOS 防病毒程序策略设置
- 设置 Linux 上 Microsoft Defender for Endpoint 的首选项
- Microsoft Defender for Endpoint on Linux
- 在 Android 功能上配置 Defender for Endpoint
- 在 iOS 功能上配置 Microsoft Defender for Endpoint