Microsoft Defender 防毒軟體可在 Windows 10 和 Windows 11 以及 Windows Server 版本中使用。
Microsoft Defender 防毒軟體是新一代適用於端點的 Microsoft Defender 的主要保護元件。 此保護結合機器學習、巨量資料分析、深度威脅抵禦研究和 Microsoft 雲端基礎結構來保護貴組織中的裝置 (或端點)。 Microsoft Defender 防毒軟體內建於 Windows,且可與適用於端點的 Microsoft Defender 一起運作,以在裝置和雲端提供保護。
提示
作為本文的配套,請參閱我們的 安全分析器設置指南 ,檢視最佳實務並學習加強防禦、提升合規性,並自信地駕馭資安環境。 若想根據您的環境打造客製化體驗,您可以在 Microsoft 365 系統管理中心取得 Security Analyzer 自動設定指南。
必要條件
支援的作業系統
- Windows
Microsoft Defender 防毒軟體功能
Microsoft Defender 防毒軟體提供異常偵測,這是一層保護不符合預設模式的惡意軟體。 異常偵測會監控程序建立事件或從網際網路下載的檔案。 透過機器學習與雲端防護,Microsoft Defender 防毒軟體能領先攻擊者一步。 異常偵測預設開啟,能協助阻擋像是 Electron Windows 應用程式 的 3CX 安全警示等攻擊。 Microsoft Defender 防毒軟體在攻擊被 VirusTotal 登記前四天就開始封鎖此惡意軟體。
現代惡意軟體需要現代化的解決方案。 2015 年,Microsoft Defender 防毒軟體從靜態簽章引擎轉向採用預測技術——如機器學習、應用科學與人工智慧——的模式,因為這種轉變是保護您和您的組織免受當今不斷演變的惡意軟體複雜環境所必需的。
Microsoft Defender 防毒軟體幾乎能在毫秒內一見就阻擋所有惡意軟體。
我們設計的防毒解決方案能在線上與線下情境下運作。 對於離線情境,情報安全圖譜中最新的動態情報會全天定期分配到端點。 連接雲端後,即時情報會從 智慧安全圖譜中獲得。
Microsoft Defender 防毒軟體也能根據威脅的行為與程序樹阻止威脅,即使威脅已開始執行。 這類攻擊的常見例子是無檔案惡意軟體。 Microsoft 的次世代防護功能協同運作,根據異常行為識別並阻擋惡意軟體。 欲了解更多,請參閱 行為阻斷與控制。
與其他防毒軟體產品的相容性
如果你的裝置使用非 Microsoft 的防毒/防惡意軟體產品,你可能能同時以被動模式執行 Microsoft Defender 防毒軟體,搭配非 Microsoft 的防毒軟體。 這取決於您所使用的作業系統,以及您的裝置是否已加入適用於端點的 Microsoft Defender。 如需深入了解,請參閱 Microsoft Defender 防毒軟體相容性。
Microsoft Defender 防毒軟體流程與服務
下表總結了 Microsoft Defender 防毒軟體的流程與服務。 你可以在 Windows 的工作管理員中查看它們。
| 程序或服務 | 在哪裡可以查看其狀態 |
|---|---|
|
Microsoft Defender 防毒核心服務 ( MdCoreSvc) |
-
流程 標籤: Antimalware Core Service - 詳情 標籤: MpDefenderCoreService.exe - 服務 標籤: Microsoft Defender Core Service |
|
Microsoft Defender 防毒服務 ( WinDefend) |
-
流程 標籤: Antimalware Service Executable - 詳情 標籤: MsMpEng.exe - 服務 標籤: Microsoft Defender Antivirus |
|
Microsoft Defender 防毒網路即時檢查服務 ( WdNisSvc) |
-
流程 標籤: Microsoft Network Realtime Inspection Service - 詳情 標籤: NisSrv.exe - 服務 標籤: Microsoft Defender Antivirus Network Inspection Service |
| Microsoft Defender 防毒命令列工具 |
-
程序 標籤:不適用 - 詳情 標籤: MpCmdRun.exe - 服務 標籤:無資料 |
| Microsoft 安全用戶端政策設定工具 |
-
程序 標籤:不適用 - 詳情 標籤: ConfigSecurityPolicy.exe - 服務 標籤:無資料 |
想了解更多關於 Microsoft Defender Core 服務的資訊,請造訪 Microsoft Defender Core 服務總覽。
對於 Microsoft端點資料遺失防止 (端點資料防護(Endpoint DLP)) ,下表總結了流程與服務。 你可以在 Windows 的工作管理員中查看它們。
| 程序或服務 | 在哪裡可以查看其狀態 |
|---|---|
|
Microsoft Endpoint DLP 服務 ( MDDlpSvc) |
-
流程 標籤: MpDlpService.exe - 詳情 標籤: MpDlpService.exe - 服務 標籤: Microsoft Data Loss Prevention Service |
| Microsoft Endpoint DLP 命令列工具 |
-
程序 標籤:不適用 - 詳情 標籤: MpDlpCmd.exe - 服務 標籤:無資料 |
比較主動模式、被動模式和停用模式
下表說明 Microsoft Defender 防毒軟體處於主動模式、被動模式或停用模式時預期的情況。
| 模式 | 發生的情況 |
|---|---|
| 主動模式 | 在主動模式中,Microsoft Defender 防毒軟體會做為裝置上的主要防毒軟體應用程式。 系統會掃描檔案、補救威脅,並將偵測到的威脅列在貴組織的安全性報告和 Windows 安全性應用程式中。 |
| 被動模式 | 在被動模式下,Microsoft Defender 防毒軟體並非裝置上的主要防毒軟體。 Files 會被掃描,並回報偵測到的威脅,但威脅不會被 Microsoft Defender 防毒軟體修復。 重要:Microsoft Defender 防毒軟體只能在已上線至適用于端點的 Microsoft Defender 的端點上以被動模式執行。 請參閱 Microsoft Defender 防毒軟體在被動模式中執行的需求。 |
| 已停用或已解除安裝 | 停用或卸載後,Microsoft Defender 防毒軟體不會被使用。 Files 不會被掃描,威脅也不會被修復。 一般來說,我們不建議停用或卸載 Microsoft Defender 防毒軟體。 |
如需深入了解,請參閱 Microsoft Defender 防毒軟體相容性。
檢查您裝置上的 Microsoft Defender 防毒軟體狀態
您可以使用數種方法 (例如 Windows 安全性應用程式或 Windows PowerShell) 來檢查裝置上的 Microsoft Defender 防毒軟體狀態。
重要事項
從平台版本 4.18.2208.0 及以後開始:如果伺服器已接入 適用於端點的 Microsoft Defender,「關閉 Windows Defender」群組政策設定將不再完全停用 Windows Server 2012 R2 及以後版本的 Windows Defender 防毒軟體。 相反地,它會讓它進入被動模式。 此外,防 篡改 功能可切換到主動模式,但無法切換到被動模式。
- 如果在適用於端點的 Microsoft Defender上線前已經設定了「關閉 Windows Defender」,則不會有改變,Defender 防毒軟體 會維持停用狀態。
- 要將 Defender 防毒軟體切換為被動模式,即使啟用前已停用,你也可以套用 ForceDefenderPassiveMode 設定,值為
1。 要將它切換到主動模式,請將此值0改為
請注意啟用防篡改時的修改邏輯ForceDefenderPassiveMode:一旦 Microsoft Defender 防毒軟體切換為主動模式,即使ForceDefenderPassiveMode設定為 1,防篡改也會防止它回到被動模式。
使用 Windows 安全性應用程式檢查 Microsoft Defender 防毒軟體的狀態
在您的 Windows 裝置上,選取 開始 功能表,然後開始輸入
Security。 然後在結果中開啟 Windows 安全性應用程式。選取 [病毒與威脅防護]。
在 [誰在保護我?] 底下,選擇 [管理提供者]。
你會在安全提供者頁面看到你的防毒/防惡意軟體解決方案名稱。
使用 PowerShell 檢查 Microsoft Defender 防毒軟體的狀態
選取 開始 功能表,然後開始輸入
PowerShell。 然後在結果中開啟 Windows PowerShell。輸入
Get-MpComputerStatus。在結果清單中,查看 AMRunningMode 資料列。
標準表示 Microsoft Defender 防毒軟體正在以主動模式執行。
被動模式是指 Microsoft Defender 防毒軟體正在運行,但不是你裝置上的主要防毒/防惡意軟體產品。 被動模式僅適用于已上線至適用于端點的 Microsoft Defender 且符合特定需求的裝置。 若要深入瞭解,請參閱 Microsoft Defender 防毒軟體在被動模式中執行的需求。
EDR 封鎖模式表示 Microsoft Defender 防毒軟體執行中,且封鎖模式的端點偵測和回應 (EDR)適用於端點的 Microsoft Defender 的功能已啟用。 檢查 ForceDefenderPassiveMode 登錄檔金鑰。 如果值為 0,表示它在正常模式下運行;否則,它就是被動模式。
SxS 被動模式表示 Microsoft Defender 防毒軟體會與另一款防毒/反惡意軟體產品同時運行,並使用有限的定期掃描。
提示
若要深入了解 Get-MpComputerStatus PowerShell Cmdlet,請參閱參考文章 Get-MpComputerStatus。
提示
效能提示由於多種因素 (以下列出的例子) Microsoft Defender 防毒軟體和其他防毒軟體一樣,可能會在終端裝置上造成效能問題。 在某些情況下,您可能需要調整 Microsoft Defender 防毒軟體的效能來緩解這些效能問題。 Microsoft 的效能分析器 是一款 PowerShell 命令列工具,幫助判斷哪些檔案、檔案路徑、程序及副檔名可能造成效能問題;以下是一些例子:
- 影響掃描時間的頂尖路徑
- 影響掃描時間的頂尖檔案
- 影響掃描時間的主要流程
- 影響掃描時間的頂尖檔案副檔名
- 組合——例如:
- 每個擴充功能最熱門檔案
- 每個擴展的頂層路徑
- 各路徑頂尖程序
- 每個檔案的頂掃描次數
- 每個檔案、每個程序的頂掃描次數
你可以利用效能分析器收集的資訊,更好地評估效能問題並執行修復措施。 參見:Microsoft Defender 防毒效能分析器。
取得你的防毒/防惡意軟體平台更新
保持防毒 (Microsoft Defender或任何防毒/防惡意軟體解決方案) 更新非常重要。 Microsoft 會發行定期更新,確保您的裝置擁有最新的技術,以防範新的惡意程式碼軟體和攻擊技術。 若要深入了解,請參閱管理Microsoft Defender 防毒軟體更新及套用基準。
提示
如果您在尋找其他平台適用的防毒軟體相關資訊,請參閱:
注意事項
安裝最新的 Microsoft Defender 防毒平台或引擎更新後,某些登錄檔項目可能無法自動更新。 為確保登錄檔反映當前版本,管理員應手動使用 登錄檔編輯器 (regedit) 或支援的部署腳本來驗證並更新相關金鑰。