Panoramica di antivirus Microsoft Defender in Windows
Si applica a:
- Microsoft Defender per endpoint piani 1 e 2
- Microsoft Defender for Business
- Antivirus Microsoft Defender
Piattaforme
- Windows
Antivirus Microsoft Defender è disponibile in Windows 10 e Windows 11 e nelle versioni di Windows Server.
Antivirus Microsoft Defender è il componente principale della protezione di ultima generazione di Microsoft Defender per endpoint. Questa protezione raggruppa l'apprendimento automatico, l'analisi dei Big Data, la ricerca approfondita sulla resistenza alle minacce e l'infrastruttura cloud Microsoft per proteggere i dispositivi (o gli endpoint) dell'organizzazione. Antivirus Microsoft Defender è integrato in Windows e compatibile con Microsoft Defender per endpoint per garantire al protezione sul dispositivo e nel cloud.
Funzionalità antivirus Microsoft Defender
Microsoft Defender Antivirus fornisce il rilevamento anomalie, un livello di protezione per il malware che non rientra in alcun modello predefinito. Monitoraggio del rilevamento anomalie per gli eventi di creazione del processo o i file scaricati da Internet. Grazie all'apprendimento automatico e alla protezione fornita dal cloud, Microsoft Defender Antivirus può rimanere un passo avanti rispetto agli utenti malintenzionati. Il rilevamento anomalie è attivato per impostazione predefinita e può aiutare a bloccare attacchi come 3CX Security Alert for Electron Windows App. Microsoft Defender Antivirus ha iniziato a bloccare questo malware quattro giorni prima che l'attacco fosse registrato in VirusTotal.
Il malware moderno richiede soluzioni moderne. Nel 2015, Microsoft Defender Antivirus è passato dall'uso di un motore statico basato su firma a un modello che usa tecnologie predittive come machine learning, scienza applicata e intelligenza artificiale, perché questo è ciò che è necessario per proteggere te e le tue organizzazioni dalla complessità del panorama malware in continua evoluzione di oggi.
Microsoft Defender Antivirus può bloccare quasi tutto il malware a prima vista, in millisecondi.
Abbiamo anche progettato la nostra soluzione antivirus per funzionare sia in scenari online che offline. Per gli scenari offline, viene eseguito regolarmente il provisioning dell'intelligence dinamica più recente da Intelligence Security Graph all'endpoint durante il giorno. Quando si connette al cloud, viene alimentata l'intelligence in tempo reale da Intelligent Security Graph.
Microsoft Defender Antivirus può anche arrestare le minacce in base ai loro comportamenti ed elaborare gli alberi anche quando la minaccia ha avviato l'esecuzione. Un esempio comune di questi tipi di attacchi è il malware senza file. Le funzionalità di protezione di nuova generazione di Microsoft interagiscono per identificare e bloccare il malware in base a comportamenti anomali. Per altre informazioni, vedere Blocco e contenimento comportamentali.
Compatibilità con altri prodotti antivirus
Se si sta usando sul dispositivo un antivirus/prodotto antimalware non Microsoft, si potrebbe riuscire ad eseguire Antivirus Microsoft Defender in modalità passiva assieme alla soluzione antivirus non Microsoft. Ciò dipende dal sistema operativo usato e se per il dispositivo è stato eseguito l’onboarding su Defender per endpoint. Per altre informazioni, vedere Compatibilità con Antivirus Microsoft Defender.
Microsoft Defender processi e servizi antivirus
La tabella seguente riepiloga Microsoft Defender processi e servizi antivirus. È possibile visualizzarli in Gestione attività in Windows.
| Processo o servizio | Dove visualizzarne lo stato |
|---|---|
| servizio Antivirus Core Microsoft Defender ( MdCoreSvc) |
- Scheda Processi : Antimalware Core Service - Scheda Dettagli : MpDefenderCoreService.exe - Scheda Servizi : Microsoft Defender Core Service |
| servizio antivirus Microsoft Defender ( WinDefend) |
- Scheda Processi : Antimalware Service Executable - Scheda Dettagli : MsMpEng.exe - Scheda Servizi : Microsoft Defender Antivirus |
| servizio di ispezione in tempo reale della rete antivirus Microsoft Defender ( WdNisSvc) |
- Scheda Processi : Microsoft Network Realtime Inspection Service - Scheda Dettagli : NisSrv.exe - Scheda Servizi : Microsoft Defender Antivirus Network Inspection Service |
| utilità della riga di comando di Microsoft Defender Antivirus | - Scheda Processi : N/D - Scheda Dettagli : MpCmdRun.exe - Scheda Servizi : N/D |
| Strumento di configurazione dei criteri client di sicurezza Microsoft | - Scheda Processi : N/D - Scheda Dettagli : ConfigSecurityPolicy.exe - Scheda Servizi : N/D |
Per Microsoft Endpoint Data Loss Prevention (Endpoint DLP), la tabella seguente riepiloga i processi e i servizi. È possibile visualizzarli in Gestione attività in Windows.
| Processo o servizio | Dove visualizzarne lo stato |
|---|---|
| Servizio Microsoft Endpoint DLP ( MDDlpSvc) |
- Scheda Processi : MpDlpService.exe - Scheda Dettagli : MpDlpService.exe - Scheda Servizi : Microsoft Data Loss Prevention Service |
| Utilità da riga di comando DLP di Microsoft Endpoint | - Scheda Processi : N/D - Scheda Dettagli : MpDlpCmd.exe - Scheda Servizi : N/D |
servizio Microsoft Defender Core
Per migliorare l'esperienza di sicurezza degli endpoint, Microsoft rilascia il servizio Microsoft Defender Core per contribuire alla stabilità e alle prestazioni di Microsoft Defender Antivirus. Per i clienti che usano Microsoft Endpoint Data Loss Prevention nei settori aziendali di piccole, medie e grandi dimensioni, Microsoft suddivide la codebase nel proprio servizio.
Il servizio Microsoft Defender Core viene rilasciato con Microsoft Defender piattaforma Antivirus versione 4.18.23110.2009.
L'implementazione inizia a novembre 2023 per rendere disponibili i clienti, con l'intenzione di rilasciare tutti i clienti aziendali nei prossimi mesi.
I clienti aziendali devono consentire gli URL seguenti:
*.events.data.microsoft.com*.endpoint.security.microsoft.com*.ecs.office.com
I clienti enterprise del governo degli Stati Uniti devono consentire gli URL seguenti:
*.events.data.microsoft.com*.endpoint.security.microsoft.us (GCC-H & DoD)*.gccmod.ecs.office.com (GCC-M)*.config.ecs.gov.teams.microsoft.us (GCC-H)*.config.ecs.dod.teams.microsoft.us (DoD)
Se si usa il controllo delle applicazioni per Windows o si esegue software antivirus o di risposta non Microsoft, assicurarsi di aggiungere i processi indicati in precedenza all'elenco consenti.
I consumer non devono intraprendere alcuna azione per prepararsi.
Confronto tra modalità attiva, modalità passiva e modalità di disattivazione
La tabella seguente descrive cosa aspettarsi quando Antivirus Microsoft Defender è in modalità attiva, modalità passiva o è disattivato.
| Modalità | Effetto |
|---|---|
| Modalità attiva | In modalità attiva, Antivirus Microsoft Defender è usato sul dispositivo come app antivirus primaria. I file sono analizzati, le minacce corrette e le minacce rilevate sono elencate nei report sulla sicurezza dell’organizzazione e nell’app di sicurezza di Windows. |
| Modalità passiva | In modalità passiva, Antivirus Microsoft Defender non è usato sul dispositivo come app antivirus primaria. I file sono analizzati e le minacce rilevate sono segnalate ma non corrette da Antivirus Microsoft Defender. IMPORTANTE: Antivirus Microsoft Defender può essere eseguito in modalità passiva solo negli endpoint per cui è stato eseguito l'onboarding su Microsoft Defender per endpoint. Vedere Requisiti per l'esecuzione in modalità passiva di Antivirus Microsoft Defender. |
| Disattivato o disinstallato | Se disattivato o disabilitato, Antivirus Microsoft Defender non è in uso. I file non sono analizzati e le minacce non sono corrette. In generale, non si consiglia di disabilitare o disinstallare Antivirus Microsoft Defender. |
Per altre informazioni, vedere Compatibilità con Antivirus Microsoft Defender.
Controllare lo stato di Antivirus Microsoft Defender sul dispositivo
Per controllare lo stato di Antivirus Microsoft Defender sul dispositivo, è possibile usare uno dei diversi metodi, ad esempio l’app di sicurezza di Windows o Windows PowerShell.
Importante
A partire dalla versione 4.18.2208.0 e successive della piattaforma: se è stato eseguito l'onboarding di un server in Microsoft Defender per endpoint, l'impostazione dei criteri di gruppo "Disattiva Windows Defender" non disabiliterà completamente Windows Defender Antivirus in Windows Server 2012 R2 e versioni successive. Al contrario, lo inserirà in modalità passiva. Inoltre, la funzionalità di protezione antimanomissione consentirà di passare alla modalità attiva, ma non alla modalità passiva.
- Se "Disattiva Windows Defender" è già attivo prima dell'onboarding in Microsoft Defender per endpoint, non verranno apportate modifiche e Defender Antivirus rimarrà disabilitato.
- Per passare da Defender Antivirus alla modalità passiva, anche se è stato disabilitato prima dell'onboarding, è possibile applicare la configurazione ForceDefenderPassiveMode con un valore di
1. Per posizionarlo in modalità attiva, impostare invece questo valore su0.
Si noti la logica modificata per ForceDefenderPassiveMode quando è abilitata la protezione da manomissione: una volta che Microsoft Defender Antivirus è stato attivato, la protezione da manomissione impedirà il ripristino in modalità passiva anche quando ForceDefenderPassiveMode è impostato su 1.
Usare l’app di sicurezza di Windows per controllare lo stato di Antivirus Microsoft Defender.
Sul dispositivo Windows, selezionare il menu Start e iniziare a digitare
Security. Quindi aprire l’app di sicurezza di Windows nei risultati.Selezionare Protezione da virus e minacce.
In Chi mi protegge? scegliere Gestisci provider.
Verrà visualizzato il nome della soluzione antivirus/antimalware nella pagina dei provider di sicurezza.
Usare PowerShell per controllare lo stato di Antivirus Microsoft Defender
Selezionare il menu Start e iniziare a digitare
PowerShell. Quindi aprire Windows PowerShell nei risultati.Tipo
Get-MpComputerStatus.Nell’elenco dei risultati, osservare la riga AMRunningMode.
Normale indica che Antivirus Microsoft Defender è in esecuzione in modalità attiva.
Modalità passiva indica che Antivirus Microsoft Defender è in esecuzione, ma che non è l’antivirus/prodotto antimalware primario sul dispositivo. La modalità passiva è disponibile solo per i dispositivi per cui è stato eseguito l'onboarding su Microsoft Defender per endpoint e che soddisfano determinati requisiti. Per altre informazioni, vedere Requisiti per l'esecuzione in modalità passiva di Antivirus Microsoft Defender.
Modalità di blocco EDR indica che Antivirus Microsoft Defender è in esecuzione e che Endpoint detection and response (EDR) in modalità di blocco, una funzionalità di Microsoft Defender per endpoint, è abilitato. Controllare la chiave del Registro di sistema ForceDefenderPassiveMode . Se il valore è 0, è in esecuzione in modalità normale; in caso contrario, è in esecuzione in modalità passiva.
La modalità passiva SxS significa che Microsoft Defender antivirus è in esecuzione insieme a un altro prodotto antivirus/antimalware e viene usata una scansione periodica limitata.
Consiglio
Per ulteriori informazioni sul cmdlet Get-MpComputerStatus PowerShell, consultare l’articolo di riferimento Get-MpComputerStatus.
Consiglio
Suggerimento per le prestazioni A causa di una serie di fattori (esempi elencati di seguito) Microsoft Defender Antivirus, come altri software antivirus, può causare problemi di prestazioni nei dispositivi endpoint. In alcuni casi, potrebbe essere necessario ottimizzare le prestazioni di Microsoft Defender Antivirus per ridurre tali problemi di prestazioni. Analizzatore prestazioni di Microsoft è uno strumento da riga di comando di PowerShell che consente di determinare quali file, percorsi di file, processi ed estensioni di file potrebbero causare problemi di prestazioni; Alcuni esempi sono:
- Percorsi principali che influiscono sul tempo di analisi
- File principali che influiscono sul tempo di analisi
- Principali processi che influiscono sul tempo di analisi
- Principali estensioni di file che influiscono sul tempo di analisi
- Combinazioni, ad esempio:
- file principali per estensione
- percorsi principali per estensione
- processi principali per percorso
- analisi principali per file
- analisi principali per file per processo
È possibile usare le informazioni raccolte tramite Analizzatore prestazioni per valutare meglio i problemi di prestazioni e applicare azioni correttive. Vedere: Analizzatore prestazioni per Microsoft Defender Antivirus.
Ottenere gli aggiornamenti per la piattaforma antivirus/antimalware
È importante tenere aggiornato Antivirus Microsoft Defender (o qualsiasi soluzione antivirus/antimalware in uso). Microsoft rilascia aggiornamenti periodici per garantire che i dispositivi dispongano della tecnologia più recente per la protezione contro i nuovi malware e le tecniche di attacco più recenti. Per ulteriori informazioni, vedere Gestire gli aggiornamenti in Antivirus Microsoft Defender e applicare i valori di riferimento.
Consiglio
Se si cercano informazioni correlate all'antivirus per altre piattaforme, vedere:
- Impostare le preferenze per Microsoft Defender per endpoint su macOS
- Microsoft Defender per endpoint su Mac
- Impostazioni dei criteri antivirus macOS per Antivirus Microsoft Defender per Intune
- Impostare le preferenze per Microsoft Defender per endpoint su Linux
- Microsoft Defender per Endpoint su Linux
- Funzionalità di configurazione di Microsoft Defender per endpoint su Android
- Funzionalità di configurazione di Microsoft Defender per endpoint su iOS
Vedere anche
- Analizzatore prestazioni per Microsoft Defender Antivirus
- Gestione e configurazione di Antivirus Microsoft Defender
- Valutare la protezione di Antivirus Microsoft Defender
- Esclusioni per Microsoft Defender per endpoint e antivirus Microsoft Defender
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.
Commenti e suggerimenti
Presto disponibile: nel corso del 2024 verranno dismessi i problemi di GitHub come meccanismo di feedback per il contenuto e verranno sostituiti con un nuovo sistema di feedback. Per altre informazioni, vedere: https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per