Overzicht van Microsoft Defender Antivirus in Windows

Van toepassing op:

  • Microsoft Defender voor eindpuntabonnementen 1 en 2
  • Microsoft Defender voor Bedrijven
  • Microsoft Defender Antivirus

Platforms

  • Windows

Microsoft Defender Antivirus is beschikbaar in Windows 10 en Windows 11 en in versies van Windows Server.

Microsoft Defender Antivirus is een belangrijk onderdeel voor de beveiliging van de volgende generatie in Microsoft Defender voor Eindpunt. Deze beveiliging brengt machine learning, big data-analyse, diepgaand onderzoek naar dreigingsweerstand en de Microsoft-cloudinfrastructuur samen om apparaten (of eindpunten) in je organisatie te beschermen. Microsoft Defender Antivirus is ingebouwd in Windows en werkt met Microsoft Defender voor Eindpunt om beveiliging op je apparaat en in de cloud te bieden.

Microsoft Defender Antivirus-mogelijkheden

Microsoft Defender Antivirus biedt anomaliedetectie, een beveiligingslaag voor malware die niet past bij een vooraf gedefinieerd patroon. Anomaliedetectie bewaakt gebeurtenissen voor het maken van processen of bestanden die worden gedownload van internet. Door middel van machine learning en cloudbeveiliging kan Microsoft Defender Antivirus aanvallers één stap voor blijven. Anomaliedetectie is standaard ingeschakeld en kan helpen bij het blokkeren van aanvallen zoals 3CX-beveiligingswaarschuwing voor Electron Windows-app. Microsoft Defender Antivirus is begonnen met het blokkeren van deze malware vier dagen voordat de aanval werd geregistreerd in VirusTotal.

Moderne malware vereist moderne oplossingen. In 2015 is Microsoft Defender Antivirus overgestapt van het gebruik van een engine op basis van statische handtekeningen naar een model dat gebruikmaakt van voorspellende technologieën zoals machine learning, toegepaste wetenschap en kunstmatige intelligentie, omdat dit nodig is om u en uw organisaties te beschermen tegen de complexiteit van het steeds veranderende malwarelandschap van vandaag.

Microsoft Defender Antivirus kan bijna alle malware op het eerste gezicht blokkeren, in milliseconden.

We hebben ook onze antivirusoplossing ontworpen voor gebruik in zowel online- als offlinescenario's. Voor offlinescenario's wordt de meest recente dynamische intelligentie van de Intelligence Security Graph gedurende de dag regelmatig voor het eindpunt ingericht. Wanneer deze is verbonden met de cloud, wordt realtime-informatie van intelligent beveiligingsgrafiek ingevoerd.

Microsoft Defender Antivirus kan bedreigingen ook stoppen op basis van hun gedrag en processtructuren, zelfs wanneer de bedreiging is gestart met de uitvoering. Een veelvoorkomend voorbeeld van dit soort aanvallen is bestandsloze malware. De beveiligingsfuncties van Microsoft van de volgende generatie werken samen om malware te identificeren en te blokkeren op basis van abnormaal gedrag. Zie Gedragsblokkering en insluiting voor meer informatie.

Compatibiliteit met andere antivirusproducten

Als je een antivirus-/antimalwareproduct van een andere leverancier dan Microsoft op je apparaat gebruikt, kun je mogelijk Microsoft Defender Antivirus in de passieve modus uitvoeren naast de antivirusoplossing van een andere leverancier dan Microsoft. Dit is afhankelijk van het gebruikte besturingssysteem en of Defender voor Eindpunt is geïmplementeerd op je apparaat. Raadpleeg voor meer informatie Compatibiliteit van Microsoft Defender Antivirus.

Microsoft Defender Antivirus-processen en -services

De volgende tabel bevat een overzicht van Microsoft Defender antivirusprocessen en -services. U kunt ze weergeven in Taakbeheer in Windows.

Proces of service Waar kan ik de status bekijken?
Microsoft Defender Antivirus Core-service
(MdCoreSvc)
- Tabblad Processen : Antimalware Core Service
- Tabblad Details : MpDefenderCoreService.exe
- Tabblad Services : Microsoft Defender Core Service
Microsoft Defender Antivirus-service
(WinDefend)
- Tabblad Processen : Antimalware Service Executable
- Tabblad Details : MsMpEng.exe
- Tabblad Services : Microsoft Defender Antivirus
realtime inspectieservice van Microsoft Defender Antivirus Network
(WdNisSvc)
- Tabblad Processen : Microsoft Network Realtime Inspection Service
- Tabblad Details : NisSrv.exe
- Tabblad Services : Microsoft Defender Antivirus Network Inspection Service
opdrachtregelprogramma Microsoft Defender Antivirus - Tabblad Processen : N.b.
- Tabblad Details : MpCmdRun.exe
- Tabblad Services : N.b.
Configuratieprogramma voor Microsoft-beveiligingsclientbeleid - Tabblad Processen : N.b.
- Tabblad Details : ConfigSecurityPolicy.exe
- Tabblad Services : N.b.

Voor Microsoft Endpoint Data Loss Prevention (Endpoint DLP) bevat de volgende tabel een overzicht van processen en services. U kunt ze weergeven in Taakbeheer in Windows.

Proces of service Waar kan ik de status bekijken?
Microsoft Endpoint DLP-service
(MDDlpSvc)
- Tabblad Processen : MpDlpService.exe
- Tabblad Details : MpDlpService.exe
- Tabblad Services : Microsoft Data Loss Prevention Service
Microsoft Endpoint DLP-opdrachtregelprogramma - Tabblad Processen : N.b.
- Tabblad Details : MpDlpCmd.exe
- Tabblad Services : N.b.

Microsoft Defender Core-service

Om uw ervaring met eindpuntbeveiliging te verbeteren, brengt Microsoft de Microsoft Defender Core-service uit om te helpen bij de stabiliteit en prestaties van Microsoft Defender Antivirus. Voor klanten die Microsoft Endpoint Data Loss Prevention gebruiken in de kleine, middelgrote en zakelijke sectoren, splitst Microsoft de codebasis op in een eigen service.

De Microsoft Defender Core-service wordt uitgebracht met Microsoft Defender Antivirus-platform versie 4.18.23110.2009.

  • De implementatie begint in november 2023 om klanten vooraf te implementeren, met plannen om in de komende maanden voor alle zakelijke klanten te worden uitgebracht.

  • Enterprise-klanten moeten de volgende URL's toestaan:

    • *.events.data.microsoft.com
    • *.endpoint.security.microsoft.com
    • *.ecs.office.com
  • Zakelijke klanten van de Amerikaanse overheid moeten de volgende URL's toestaan:

    • *.events.data.microsoft.com
    • *.endpoint.security.microsoft.us (GCC-H & DoD)
    • *.gccmod.ecs.office.com (GCC-M)
    • *.config.ecs.gov.teams.microsoft.us (GCC-H)
    • *.config.ecs.dod.teams.microsoft.us (DoD)
  • Als u Application Control voor Windows gebruikt of als u niet-Microsoft-antivirus- of eindpuntdetectie- en responssoftware gebruikt, moet u de eerder genoemde processen toevoegen aan uw acceptatielijst.

  • Consumenten hoeven geen actie te ondernemen om zich voor te bereiden.

Actieve modus, passieve modus en uitgeschakelde modus vergelijken

In de volgende tabel wordt beschreven wat je kunt verwachten wanneer Microsoft Defender Antivirus in de actieve modus, passieve modus of uitgeschakeld staat.

Modus Wat gebeurt er
Actieve modus In de actieve modus wordt Microsoft Defender Antivirus gebruikt als de primaire antivirusapp op het apparaat. Bestanden worden gescand, bedreigingen worden aangepakt en gedetecteerde bedreigingen worden vermeld in de beveiligingsrapporten van je organisatie en in de Windows-beveiliging-app.
Passieve modus In de passieve modus wordt Microsoft Defender Antivirus niet gebruikt als de primaire antivirusapp op het apparaat. Bestanden worden gescand en gedetecteerde bedreigingen worden gerapporteerd, maar bedreigingen worden niet aangepakt door Microsoft Defender Antivirus.

BELANGRIJK: Microsoft Defender Antivirus kan alleen in de passieve modus worden uitgevoerd op eindpunten die zijn toegevoegd aan Microsoft Defender voor Eindpunt. Zie Vereisten voor het uitvoeren van Microsoft Defender Antivirus in de passieve modus.
Uitgeschakeld of verwijderd Wanneer Microsoft Defender Antivirus is uitgeschakeld of verwijderd, wordt Microsoft Defender Antivirus niet gebruikt. Bestanden worden niet gescand en bedreigingen worden niet aangepakt. Over het algemeen raden we niet aan om Microsoft Defender Antivirus uit te schakelen of te verwijderen.

Raadpleeg voor meer informatie Compatibiliteit van Microsoft Defender Antivirus.

Controleer de status van Microsoft Defender Antivirus op je apparaat

U kunt de status van Microsoft Defender Antivirus op uw apparaat op verschillende manieren controleren, bijvoorbeeld via de app voor Windows-beveiliging of via Windows PowerShell.

Belangrijk

Vanaf platformversie 4.18.2208.0 en hoger: als een server is toegevoegd aan Microsoft Defender voor Eindpunt, wordt met de groepsbeleidsinstelling 'Windows Defender uitschakelen' Windows Defender Antivirus niet meer volledig uitgeschakeld Windows Server 2012 R2 en hoger. In plaats daarvan wordt deze in de passieve modus geplaatst. Bovendien staat de functie manipulatiebeveiliging een overschakeling naar de actieve modus toe, maar niet naar de passieve modus.

  • Als 'Windows Defender uitschakelen' al aanwezig is voordat u onboardt naar Microsoft Defender voor Eindpunt, verandert er niets en blijft Defender Antivirus uitgeschakeld.
  • Als u Defender Antivirus wilt overschakelen naar de passieve modus, zelfs als deze vóór de onboarding was uitgeschakeld, kunt u de configuratie ForceDefenderPassiveMode toepassen met de waarde .1 Als u deze in de actieve modus wilt plaatsen, schakelt u deze waarde over naar 0 in plaats daarvan.

Let op de gewijzigde logica voor ForceDefenderPassiveMode wanneer manipulatiebeveiliging is ingeschakeld: zodra Microsoft Defender Antivirus is ingeschakeld in de actieve modus, voorkomt manipulatiebeveiliging dat deze teruggaat naar de passieve modus, zelfs wanneer ForceDefenderPassiveMode is ingesteld op 1.

De app voor Windows-beveiliging gebruiken om de status van Microsoft Defender Antivirus te controleren

  1. Selecteer het Startmenu op het Windows-apparaat en begin Security te typen. Open vervolgens de Windows-beveiliging-app in de resultaten.

  2. Selecteer Virus- en bedreigingsbeveiliging.

  3. Ga naar Wie beveiligt mij? en kies Providers beheren.

U ziet de naam van uw antivirus-/antimalwareoplossing op de pagina Beveiligingsproviders.

PowerShell gebruiken om de status van Microsoft Defender Antivirus te controleren

  1. Selecteer het Startmenu en begin PowerShell te typen. Open vervolgens Windows PowerShell in de resultaten.

  2. Typ Get-MpComputerStatus.

  3. Bekijk in de lijst met resultaten de rij AMRunningMode.

    • Normaal betekent dat Microsoft Defender Antivirus wordt uitgevoerd in de actieve modus.

    • Passieve modus betekent dat Microsoft Defender Antivirus actief is, maar niet het primaire antivirus-/antimalwareproduct op het apparaat is. De passieve modus is alleen beschikbaar voor apparaten die zijn toegevoegd aan Microsoft Defender voor Eindpunt en die aan bepaalde vereisten voldoen. Zie voor meer informatie Vereisten voor het uitvoeren van Microsoft Defender Antivirus in de passieve modus.

    • EDR-blokkeringsmodus betekent dat Microsoft Defender Antivirus wordt uitgevoerd en dat Eindpunt detectie en reactie (EDR) in blokkeringsmodus, een functionaliteit in Microsoft Defender voor Eindpunt, is ingeschakeld. Controleer de registersleutel ForceDefenderPassiveMode . Als de waarde 0 is, wordt deze uitgevoerd in de normale modus; anders wordt deze in de passieve modus uitgevoerd.

    • De passieve SxS-modus betekent Microsoft Defender Antivirus naast een ander antivirus-/antimalwareproduct wordt uitgevoerd en dat er beperkte periodieke scans worden gebruikt.

Tip

Raadpleeg voor meer informatie over Get-MpComputerStatus PowerShell cmdlet het referentieartikel Get-MpComputerStatus.

Tip

Prestatietip Vanwege verschillende factoren (voorbeelden hieronder) kan Microsoft Defender Antivirus, net als andere antivirussoftware, prestatieproblemen veroorzaken op eindpuntapparaten. In sommige gevallen moet u mogelijk de prestaties van Microsoft Defender Antivirus afstemmen om deze prestatieproblemen te verhelpen. Performance Analyzer van Microsoft is een PowerShell-opdrachtregelprogramma waarmee u kunt bepalen welke bestanden, bestandspaden, processen en bestandsextensies prestatieproblemen kunnen veroorzaken. enkele voorbeelden zijn:

  • Belangrijkste paden die van invloed zijn op de scantijd
  • Belangrijkste bestanden die van invloed zijn op de scantijd
  • Belangrijkste processen die van invloed zijn op de scantijd
  • Belangrijkste bestandsextensies die van invloed zijn op de scantijd
  • Combinaties , bijvoorbeeld:
    • belangrijkste bestanden per extensie
    • bovenste paden per extensie
    • belangrijkste processen per pad
    • bovenste scans per bestand
    • topscans per bestand per proces

U kunt de informatie die is verzameld met Performance Analyzer gebruiken om prestatieproblemen beter te beoordelen en herstelacties toe te passen. Zie Prestatieanalyse voor Microsoft Defender Antivirus.

Updates voor je antivirus- en antimalwareplatform downloaden

Het is belangrijk om Microsoft Defender Antivirus (of een andere antivirus-/antimalwareoplossing) up-to-date te houden. Microsoft brengt regelmatig updates uit om ervoor te zorgen dat je apparaten over de nieuwste technologie beschikken ter bescherming tegen nieuwe malware en aanvalstechnieken. Raadpleeg voor meer informatie Updates voor Microsoft Defender Antivirus beheren en basislijnen toepassen.

Zie ook

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.