Microsoft Defender Windows 中的防病毒軟體概觀

適用於:

  • 適用於端點的 Microsoft Defender 方案 1 和 方案 2
  • 適用於企業的 Microsoft Defender
  • Microsoft Defender 防毒軟體

平台

  • Windows

Microsoft Defender 防毒軟體可在 Windows 10 和 Windows 11 以及 Windows Server 版本中使用。

Microsoft Defender 防毒軟體是新一代適用於端點的 Microsoft Defender 的主要保護元件。 此保護結合機器學習、巨量資料分析、深度威脅抵禦研究和 Microsoft 雲端基礎結構來保護貴組織中的裝置 (或端點)。 Microsoft Defender 防毒軟體內建於 Windows,且可與適用於端點的 Microsoft Defender 一起運作,以在裝置和雲端提供保護。

Microsoft Defender 防病毒軟體功能

Microsoft Defender 防病毒軟體提供異常偵測,這是一層不適用於任何預先定義模式的惡意代碼保護。 異常偵測會監視從因特網下載的進程建立事件或檔案。 透過機器學習和雲端式保護,Microsoft Defender 防病毒軟體可以領先攻擊者一步。 異常偵測預設為開啟,可協助封鎖攻擊,例如 適用於電子 Windows 應用程式的 3CX 安全性警示。 Microsoft Defender 在 VirusTotal 中註冊攻擊前四天,防病毒軟體開始封鎖此惡意代碼。

新式惡意代碼需要新式解決方案。 在 2015 年,Microsoft Defender 防病毒軟體從使用靜態簽章型引擎移至使用預測性技術的模型,例如機器學習、套用科學和人工智慧,因為這是讓您和組織免於現今不斷演進惡意代碼環境複雜度的必要條件。

Microsoft Defender 防病毒軟體幾乎可以在初次看見時封鎖所有惡意代碼,以毫秒為單位。

我們也已設計防病毒軟體解決方案,以在在線和離線案例中運作。 針對離線案例,智慧安全性圖表中的最新動態情報會全天定期布建到端點。 連線到雲端時,它會從 Intelligent Security Graph 提供即時情報。

Microsoft Defender 防病毒軟體也可以根據威脅的行為和處理樹狀結構來停止威脅,即使威脅已開始執行也一樣。 這類攻擊的常見範例是無檔案惡意代碼。 Microsoft 的新一代保護功能會一起運作,以根據異常行為來識別和封鎖惡意代碼。 若要深入瞭解,請參閱 行為封鎖和內含專案

與其他防毒軟體產品的相容性

如果您在裝置上使用非 Microsoft 防毒軟體/反惡意程式碼軟體產品,您或許可以在被動模式中執行 Microsoft Defender 防毒軟體,以及非 Microsoft 防毒軟體解決方案。 這取決於您所使用的作業系統,以及您的裝置是否已加入適用於端點的 Microsoft Defender。 如需深入了解,請參閱 Microsoft Defender 防毒軟體相容性

Microsoft Defender 防病毒軟體程序和服務

下表摘要說明 Microsoft Defender 防病毒程序和服務。 您可以在 Windows 的 [任務管理器] 中檢視它們。

進程或服務 檢視其狀態的位置
Microsoft Defender 防病毒軟體核心服務
(MdCoreSvc)
- [行程] 索引 標籤: Antimalware Core Service
- 詳細資料索 引標籤: MpDefenderCoreService.exe
- [服務] 索引 標籤: Microsoft Defender Core Service
Microsoft Defender 防病毒軟體服務
(WinDefend)
- [行程] 索引 標籤: Antimalware Service Executable
- 詳細資料索 引標籤: MsMpEng.exe
- [服務] 索引 標籤: Microsoft Defender Antivirus
Microsoft Defender 防病毒軟體網路即時檢查服務
(WdNisSvc)
- [行程] 索引 標籤: Microsoft Network Realtime Inspection Service
- 詳細資料索 引標籤: NisSrv.exe
- [服務] 索引 標籤: Microsoft Defender Antivirus Network Inspection Service
Microsoft Defender 防病毒軟體命令行公用程式 - 進程索 引標籤:N/A
- 詳細資料索 引標籤: MpCmdRun.exe
- 服務索 引標籤:N/A
Microsoft 安全性客戶端原則設定工具 - 進程索 引標籤:N/A
- 詳細資料索 引標籤: ConfigSecurityPolicy.exe
- 服務索 引標籤:N/A

針對 Microsoft 端點數據外洩防護 (端點 DLP) ,下表摘要說明程式和服務。 您可以在 Windows 的 [任務管理器] 中檢視它們。

進程或服務 檢視其狀態的位置
Microsoft 端點 DLP 服務
(MDDlpSvc)
- [行程] 索引 標籤: MpDlpService.exe
- 詳細資料索 引標籤: MpDlpService.exe
- [服務] 索引 標籤: Microsoft Data Loss Prevention Service
Microsoft 端點 DLP 命令行公用程式 - 進程索 引標籤:N/A
- 詳細資料索 引標籤: MpDlpCmd.exe
- 服務索 引標籤:N/A

Microsoft Defender Core 服務

為了增強您的端點安全性體驗,Microsoft 正在發行 Microsoft Defender Core 服務,以協助 Microsoft Defender 防病毒軟體的穩定性和效能。 對於在小型、中型和企業營業單位中使用 Microsoft 端點數據外洩防護的客戶,Microsoft 會將程式代碼基底分割成自己的服務。

Microsoft Defender Core 服務隨 Microsoft Defender 防病毒軟體平臺 4.18.23110.2009 版一起發行。

  • 從 2023 年 11 月開始推出發行前版本客戶,並計劃在未來幾個月發行給所有企業客戶。

  • 企業客戶應該允許下列 URL:

    • *.events.data.microsoft.com
    • *.endpoint.security.microsoft.com
    • *.ecs.office.com
  • 企業美國政府客戶應允許下列 URL:

    • *.events.data.microsoft.com
    • *.endpoint.security.microsoft.us (GCC-H & DoD)
    • *.gccmod.ecs.office.com (GCC-M)
    • *.config.ecs.gov.teams.microsoft.us (GCC-H)
    • *.config.ecs.dod.teams.microsoft.us (DoD)
  • 如果您使用 適用於 Windows 的應用程控,或執行非 Microsoft 防病毒軟體或端點偵測和回應軟體,請務必將稍早提到的程式新增至您的允許清單。

  • 取用者不需要採取任何動作即可準備。

比較主動模式、被動模式和停用模式

下表說明 Microsoft Defender 防毒軟體處於主動模式、被動模式或停用模式時預期的情況。

模式 發生的情況
主動模式 在主動模式中,Microsoft Defender 防毒軟體會做為裝置上的主要防毒軟體應用程式。 系統會掃描檔案、補救威脅,並將偵測到的威脅列在貴組織的安全性報告和 Windows 安全性應用程式中。
被動模式 在被動模式中,Microsoft Defender 防毒軟體不會做為裝置上的主要防毒軟體應用程式。 系統會掃描檔案並報告偵測到的威脅,但 Microsoft Defender 防毒軟體不會補救威脅。

重要:Microsoft Defender 防毒軟體只能在已上線至適用于端點的 Microsoft Defender 的端點上以被動模式執行。 請參閱 Microsoft Defender 防毒軟體在被動模式中執行的需求
已停用或已解除安裝 已停用或已解除安裝時,系統不會使用 Microsoft Defender 防毒軟體。 系統不會掃描檔案,而且不會補救威脅。 一般而言,我們不建議停用或解除安裝 Microsoft Defender 防毒軟體。

如需深入了解,請參閱 Microsoft Defender 防毒軟體相容性

檢查您裝置上的 Microsoft Defender 防毒軟體狀態

您可以使用數種方法 (例如 Windows 安全性應用程式或 Windows PowerShell) 來檢查裝置上的 Microsoft Defender 防毒軟體狀態。

重要事項

平臺 4.18.2208.0 版和更新版本開始:如果伺服器已上線至 適用於端點的 Microsoft Defender,[關閉 Windows Defender] 策略設定將不再完全停用 Windows Defender 上的防病毒軟體 Windows Server 2012R2 和更新版本。 相反地,它會將其置於被動模式。 此外, 竄改保護 功能將允許切換至主動模式,但不允許切換至被動模式。

  • 如果 「關閉 Windows Defender」已在上架至 適用於端點的 Microsoft Defender 之前就緒,將不會有任何變更,且Defender防病毒軟體仍會保持停用狀態。
  • 若要將 Defender 防病毒軟體切換為被動模式,即使它在上線之前已停用,您也可以套用值為 的 1ForceDefenderPassiveMode 設定。 若要將它置於作用中模式,請改為將此值切換為 0

請注意啟用竄改保護時的已修改邏輯ForceDefenderPassiveMode:一旦 Microsoft Defender 防病毒軟體切換為主動模式,即使ForceDefenderPassiveMode設定為 1,竄改保護仍會防止它回到被動模式。

使用 Windows 安全性應用程式檢查 Microsoft Defender 防毒軟體的狀態

  1. 在您的 Windows 裝置上,選取 開始 功能表,然後開始輸入 Security。 然後在結果中開啟 Windows 安全性應用程式。

  2. 選取 [病毒與威脅防護]

  3. [誰在保護我?] 底下,選擇 [管理提供者]

您可以在安全性提供者頁面上看到防毒軟體/反惡意程式碼軟體解決方案的名稱。

使用 PowerShell 檢查 Microsoft Defender 防毒軟體的狀態

  1. 選取 開始 功能表,然後開始輸入 PowerShell。 然後在結果中開啟 Windows PowerShell。

  2. 輸入 Get-MpComputerStatus

  3. 在結果清單中,查看 AMRunningMode 資料列。

    • 標準表示 Microsoft Defender 防毒軟體正在以主動模式執行。

    • 被動模式表示 Microsoft Defender 防毒軟體執行中,但不是裝置上的主要防毒軟體/反惡意程式碼軟體產品。 被動模式僅適用于已上線至適用于端點的 Microsoft Defender 且符合特定需求的裝置。 若要深入瞭解,請參閱 Microsoft Defender 防毒軟體在被動模式中執行的需求

    • EDR 封鎖模式表示 Microsoft Defender 防毒軟體執行中,且封鎖模式的端點偵測和回應 (EDR)適用於端點的 Microsoft Defender 的功能已啟用。 檢查 ForceDefenderPassiveMode 登錄機碼。 如果其值為 0,則會以正常模式執行;否則,它會以被動模式執行。

    • SxS 被動模式表示 Microsoft Defender 防病毒軟體與另一個防病毒軟體/反惡意代碼產品一起執行,並使用有限的定期掃描

提示

若要深入了解 Get-MpComputerStatus PowerShell Cmdlet,請參閱參考文章 Get-MpComputerStatus

提示

效能提示由於各種因素 (下列範例) Microsoft Defender 防病毒軟體和其他防病毒軟體一樣,可能會在端點裝置上造成效能問題。 在某些情況下,您可能需要調整 Microsoft Defender 防病毒軟體的效能,以減輕這些效能問題。 Microsoft 的 效能分析器 是一種 PowerShell 命令行工具,可協助判斷哪些檔案、檔案路徑、程式和擴展名可能會造成效能問題;一些範例包括:

  • 影響掃描時間的最上層路徑
  • 影響掃描時間的熱門檔案
  • 影響掃描時間的熱門程式
  • 影響掃描時間的最上層擴展名
  • 組合 - 例如:
    • 每個擴充功能的頂端檔案
    • 每個擴充功能的最上層路徑
    • 每個路徑的前置進程
    • 每個檔案的最上層掃描
    • 每個進程每個檔案的掃描數目最高

您可以使用效能分析器所收集的信息,進一步評估效能問題並套用補救動作。 請參閱:Microsoft Defender 防病毒軟體的效能分析器

取得您的防毒軟體和反惡意程式碼軟體平台更新

將 Microsoft Defender 防毒軟體 (或任何防毒軟體/反惡意程式碼軟體解決方案) 保持在最新狀態非常重要。 Microsoft 會發行定期更新,確保您的裝置擁有最新的技術,以防範新的惡意程式碼軟體和攻擊技術。 若要深入了解,請參閱管理Microsoft Defender 防毒軟體更新及套用基準

另請參閱

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。