Microsoft Defender Antivirus i Oversikt over Windows

Gjelder for:

  • Abonnement 1 og 2 for Microsoft Defender for endepunkt
  • Microsoft Defender for Business
  • Microsoft Defender Antivirus

Plattformer

  • Windows

Microsoft Defender Antivirus er tilgjengelig i Windows 10 og Windows 11, og i versjoner av Windows Server.

Microsoft Defender Antivirus er en viktig komponent i neste generasjons beskyttelse i Microsoft Defender for endepunkt. Denne beskyttelsen samler maskinlæring, stordataanalyse, grundig forskning på trusselmotstand og Microsofts skyinfrastruktur for å beskytte enheter (eller endepunkter) i organisasjonen. Microsoft Defender Antivirus er innebygd i Windows, og det fungerer med Microsoft Defender for endepunkt for å gi beskyttelse på enheten og i skyen.

Microsoft Defender antivirusfunksjoner

Microsoft Defender Antivirus gir avviksregistrering, et lag med beskyttelse for skadelig programvare som ikke passer til noe forhåndsdefinert mønster. Avviksregistreringsskjermer for prosessopprettingshendelser eller filer som lastes ned fra Internett. Gjennom maskinlæring og skybasert beskyttelse kan Microsoft Defender Antivirus ligge ett skritt foran angripere. Avviksregistrering er aktivert som standard og kan bidra til å blokkere angrep som 3CX-sikkerhetsvarsel for Electron Windows-appen. Microsoft Defender Antivirus begynte å blokkere denne skadelige programvaren fire dager før angrepet ble registrert i VirusTotal.

Moderne skadelig programvare krever moderne løsninger. I 2015 flyttet Microsoft Defender Antivirus bort fra å bruke en statisk signaturbasert motor til en modell som bruker prediktive teknologier som maskinlæring, anvendt vitenskap og kunstig intelligens, da dette er det som er nødvendig for å holde deg og organisasjonene dine trygge fra kompleksiteten i dagens stadig voksende skadelig programvarelandskap.

Microsoft Defender Antivirus kan blokkere nesten all skadelig programvare ved første øyekast, i millisekunder.

Vi har også utformet antivirusløsningen vår slik at den fungerer både i tilkoblet og frakoblet modus. For frakoblede scenarier klargjøres den nyeste dynamiske intelligensen fra Intelligence Security Graph regelmessig til endepunktet i løpet av dagen. Når du er koblet til skyen, blir den matet sanntidsintelligens fra Intelligent Security Graph.

Microsoft Defender Antivirus kan også stoppe trusler basert på deres atferd og behandle trær selv når trusselen har startet kjøringen. Et vanlig eksempel på slike angrep er filløs skadelig programvare. Microsofts neste generasjons beskyttelsesfunksjoner arbeider sammen for å identifisere og blokkere skadelig programvare basert på unormal atferd. Hvis du vil ha mer informasjon, kan du se Blokkering og innesperring av virkemåte.

Kompatibilitet med andre antivirusprodukter

Hvis du bruker et antivirus-/beskyttelsesprodukt fra andre enn Microsoft på enheten, kan det hende du kan kjøre Microsoft Defender Antivirus i passiv modus sammen med antivirusløsningen som ikke er fra Microsoft. Det avhenger av operativsystemet som brukes, og om enheten er registrert i Microsoft Defender for endepunkt. Hvis du vil ha mer informasjon, kan du se Kompatibilitet med Microsoft Defender Antivirus.

Microsoft Defender antivirusprosesser og -tjenester

Tabellen nedenfor oppsummerer Microsoft Defender antivirusprosesser og -tjenester. Du kan vise dem i Oppgavebehandling i Windows.

Prosess eller tjeneste Her kan du vise statusen
Microsoft Defender Antivirus Core-tjeneste
(MdCoreSvc)
- Prosesser-fanen : Antimalware Core Service
- Detaljer-fanen : MpDefenderCoreService.exe
- Tjenester-fanen : Microsoft Defender Core Service
antivirustjeneste for Microsoft Defender
(WinDefend)
- Prosesser-fanen : Antimalware Service Executable
- Detaljer-fanen : MsMpEng.exe
- Tjenester-fanen : Microsoft Defender Antivirus
kontrolltjeneste for Microsoft Defender antivirusnettverk i sanntid
(WdNisSvc)
- Prosesser-fanen : Microsoft Network Realtime Inspection Service
- Detaljer-fanen : NisSrv.exe
- Tjenester-fanen : Microsoft Defender Antivirus Network Inspection Service
kommandolinjeverktøyet Microsoft Defender Antivirus - Prosesser-fanen : I/T
- Detaljer-fanen : MpCmdRun.exe
- Tjenester-fanen : I/T
Konfigurasjonsverktøy for Microsofts sikkerhetsklientpolicy - Prosesser-fanen : I/T
- Detaljer-fanen : ConfigSecurityPolicy.exe
- Tjenester-fanen : I/T

For Microsoft Endpoint Data Loss Prevention (Endpoint DLP) oppsummerer tabellen nedenfor prosesser og tjenester. Du kan vise dem i Oppgavebehandling i Windows.

Prosess eller tjeneste Her kan du vise statusen
Microsoft Endpoint DLP-tjeneste
(MDDlpSvc)
- Prosesser-fanen : MpDlpService.exe
- Detaljer-fanen : MpDlpService.exe
- Tjenester-fanen : Microsoft Data Loss Prevention Service
Kommandolinjeverktøy for Microsoft Endpoint DLP - Prosesser-fanen : I/T
- Detaljer-fanen : MpDlpCmd.exe
- Tjenester-fanen : I/T

Microsoft Defender Core-tjenesten

Microsoft lanserer Microsoft Defender Core-tjenesten for å forbedre sikkerhetsopplevelsen for endepunkt for å hjelpe deg med stabiliteten og ytelsen til Microsoft Defender Antivirus. For kunder som bruker Microsoft Endpoint Data Loss Prevention i små, mellomstore bedrifter og bedriftssektorer, deler Microsoft kodebasen til sin egen tjeneste.

Microsoft Defender Core-tjenesten lanseres med Microsoft Defender Antivirus-plattform versjon 4.18.23110.2009.

  • Utrullingen begynner i november 2023 for å forhåndsutleie kunder, med planer om å lansere til alle bedriftskunder i de kommende månedene.

  • Bedriftskunder bør tillate følgende URL-adresser:

    • *.events.data.microsoft.com
    • *.endpoint.security.microsoft.com
    • *.ecs.office.com
  • Enterprise US Government-kunder bør tillate følgende nettadresser:

    • *.events.data.microsoft.com
    • *.endpoint.security.microsoft.us (GCC-H & DoD)
    • *.gccmod.ecs.office.com (GCC-M)
    • *.config.ecs.gov.teams.microsoft.us (GCC-H)
    • *.config.ecs.dod.teams.microsoft.us (DoD)
  • Hvis du bruker programkontroll for Windows, eller du kjører antivirus- eller endepunktgjenkjennings- og svarprogramvare som ikke er fra Microsoft, må du legge til prosessene som er nevnt tidligere, i tillatelseslisten.

  • Forbrukerne trenger ikke gjøre noe for å forberede seg.

Sammenligne aktiv modus, passiv modus og deaktivert modus

Tabellen nedenfor beskriver hva du kan forvente når Microsoft Defender Antivirus er i aktiv modus, passiv modus eller deaktivert.

Modus Hva som skjer
Aktiv modus I aktiv modus brukes Microsoft Defender Antivirus som primær antivirusapp på enheten. Filer skannes, trusler utbedres og oppdagede trusler er oppført i organisasjonens sikkerhetsrapporter og i Windows Sikkerhet-appen.
Passiv modus I passiv modus brukes ikke Microsoft Defender Antivirus som primær antivirusapp på enheten. Filer skannes og oppdagede trusler rapporteres, men trusler utbedres ikke av Microsoft Defender Antivirus.

VIKTIG: Microsoft Defender Antivirus kan bare kjøre i passiv modus på endepunkter som er registrert i Microsoft Defender for endepunkt. Se Krav for at Microsoft Defender Antivirus skal kjøre i passiv modus.
Deaktivert eller avinstallert Når Microsoft Defender Antivirus deaktiveres eller avinstalleres, brukes ikke Microsoft Defender Antivirus. Filer skannes ikke, og trusler utbedres ikke. Generelt sett anbefaler vi ikke at du deaktiverer eller avinstallerer Microsoft Defender Antivirus.

Hvis du vil ha mer informasjon, kan du se Kompatibilitet med Microsoft Defender Antivirus.

Kontroller tilstanden til Microsoft Defender Antivirus på enheten

Hvis du vil kontrollere tilstanden til Microsoft Defender Antivirus på enheten, kan du bruke én av flere metoder, for eksempel Windows Sikkerhet-appen eller Windows PowerShell.

Viktig

Fra og med plattformversjon 4.18.2208.0 og nyere: Hvis en server er pålastet for å Microsoft Defender for endepunkt, deaktiveres ikke lenger gruppepolicyinnstillingen Slå av Windows Defender fullstendig Windows Defender Antivirus på Windows Server 2012 R2 og nyere. I stedet vil den plassere den i passiv modus. I tillegg vil manipuleringsbeskyttelsesfunksjonen tillate en bytting til aktiv modus, men ikke til passiv modus.

  • Hvis «Slå av Windows Defender» allerede er på plass før pålasting til Microsoft Defender for endepunkt, vil det ikke være noen endring, og Defender Antivirus forblir deaktivert.
  • Hvis du vil bytte Defender Antivirus til passiv modus, selv om det ble deaktivert før pålasting, kan du bruke ForceDefenderPassiveMode-konfigurasjonen med verdien .1 Hvis du vil plassere den i aktiv modus, bytter du denne verdien til 0 i stedet.

Legg merke til den endrede logikken for ForceDefenderPassiveMode når manipuleringsbeskyttelse er aktivert: Når Microsoft Defender Antivirus er vekslet til aktiv modus, hindrer manipuleringsbeskyttelse at den går tilbake til passiv modus selv når ForceDefenderPassiveMode den er satt til 1.

Bruk Windows Sikkerhet-appen til å kontrollere statusen for Microsoft Defender Antivirus

  1. Velg Start-menyen på Windows-enheten, og begynn å skrive Security. Deretter åpner du Windows Sikkerhet-appen i resultatene.

  2. Velg Virus- og trusselbeskyttelse.

  3. Velg Administrer leverandører under Hvem beskytter meg?

Du ser navnet på antivirus-/beskyttelsesløsningen for beskyttelse mot skadelig programvare på innstillingssiden.

Bruk PowerShell til å kontrollere statusen for Microsoft Defender Antivirus

  1. Velg Start-menyen og begynn å skrive PowerShell. Åpne deretter Windows PowerShell i resultatene.

  2. Skriv Get-MpComputerStatus.

  3. Se på raden AMRunningMode i resultatlisten.

    • Normal betyr at Microsoft Defender Antivirus kjører i aktiv modus.

    • Passiv modus betyr at Microsoft Defender Antivirus kjører, men er ikke det primære antivirus-/beskyttelsesproduktet på enheten. Passiv modus er bare tilgjengelig for enheter som er registrert i Microsoft Defender for endepunkt, og som oppfyller bestemte krav. Hvis du vil ha mer informasjon, kan du se Krav for at Microsoft Defender Antivirus skal kjøre i passiv modus.

    • EDR-blokkeringsmodus betyr at Microsoft Defender Antivirus kjører og Endepunktgjenkjenning og -svar (EDR) i blokkeringsmodus, en funksjon i Microsoft Defender for endepunkt, er aktivert. Kontroller Registernøkkelen ForceDefenderPassiveMode . Hvis verdien er 0, kjører den i normal modus. Ellers kjører den i passiv modus.

    • SxS Passiv modus betyr at Microsoft Defender Antivirus kjører sammen med et annet antivirus-/beskyttelsesprodukt, og begrenset periodisk skanning brukes.

Tips

Hvis du vil vite mer om Cmdleten Get-MpComputerStatus PowerShell, kan du se referanseartikkelen Get-MpComputerStatus.

Tips

Ytelsestips På grunn av en rekke faktorer (eksempler oppført nedenfor) kan Microsoft Defender Antivirus, som andre antivirusprogrammer, forårsake ytelsesproblemer på endepunktenheter. I noen tilfeller må du kanskje justere ytelsen til Microsoft Defender Antivirus for å unngå disse ytelsesproblemene. Microsofts ytelsesanalyse er et powershell-kommandolinjeverktøy som bidrar til å avgjøre hvilke filer, filbaner, prosesser og filtyper som kan forårsake ytelsesproblemer. noen eksempler er:

  • De øverste banene som påvirker skannetiden
  • Populære filer som påvirker skannetiden
  • De viktigste prosessene som påvirker skannetiden
  • De mest populære filtypene som påvirker skannetiden
  • Kombinasjoner – for eksempel:
    • toppfiler per filtype
    • øverste baner per utvidelse
    • øverste prosesser per bane
    • toppskanninger per fil
    • toppskanninger per fil per prosess

Du kan bruke informasjonen som samles inn ved hjelp av Ytelsesanalyse, til å vurdere ytelsesproblemer bedre og bruke utbedringshandlinger. Se: Ytelsesanalyse for Microsoft Defender Antivirus.

Få oppdateringer for antivirus-/beskyttelsesplattformen

Det er viktig å holde Microsoft Defender Antivirus (eller andre antivirus-/beskyttelsesløsninger) oppdatert. Microsoft lanserer jevnlige oppdateringer for å sikre at enhetene dine har den nyeste teknologien for å beskytte mot nye teknikker for skadelig programvare og angrep. Hvis du vil ha mer informasjon, kan du se Administrere Microsoft Defender Antivirus-oppdateringer og bruke opprinnelige grunnlinjer.

Se også

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.