Översikt över Microsoft Defender Antivirus i Windows

Gäller för:

  • Microsoft Defender för Endpoint abonnemang 1 och 2
  • Microsoft Defender för företag
  • Microsoft Defender Antivirus

Plattformar

  • Windows

Microsoft Defender Antivirus finns i Windows 10, Windows 11 och i versioner av Windows Server.

Microsoft Defender Antivirus är en viktig komponent i nästa generations skydd i Microsoft Defender för Endpoint. Det här skyddet sammanför maskininlärning, stordataanalys, djupgående forskning om hotresistens och Microsofts molninfrastruktur för att skydda enheter (eller slutpunkter) i din organisation. Microsoft Defender Antivirus är inbyggt i Windows och fungerar med Microsoft Defender för Endpoint för att ge skydd på din enhet och i molnet.

Microsoft Defender antivirusfunktioner

Microsoft Defender Antivirus ger avvikelseidentifiering, ett skyddslager för skadlig kod som inte passar något fördefinierat mönster. Avvikelseidentifieringsövervakare för processskapande händelser eller filer som laddas ned från Internet. Genom maskininlärning och molnlevererad skydd kan Microsoft Defender Antivirus ligga steget före angripare. Avvikelseidentifiering är aktiverat som standard och kan hjälpa till att blockera attacker, till exempel 3CX-säkerhetsvarning för Electron Windows-appen. Microsoft Defender Antivirus började blockera den här skadliga koden fyra dagar innan attacken registrerades i VirusTotal.

Modern skadlig kod kräver moderna lösningar. År 2015 flyttade Microsoft Defender Antivirus från att använda en statisk signaturbaserad motor till en modell som använder förutsägande tekniker som maskininlärning, tillämpad vetenskap och artificiell intelligens eftersom detta är vad som är nödvändigt för att hålla dig och dina organisationer säkra från komplexiteten i dagens ständigt växande skadlig kodlandskap.

Microsoft Defender Antivirus kan blockera nästan all skadlig kod vid första anblicken, i millisekunder.

Vi har också utformat vår antiviruslösning så att den fungerar både online och offline. För offlinescenarier etableras den senaste dynamiska intelligensen från Intelligence Security Graph regelbundet till slutpunkten under dagen. När du är ansluten till molnet matas den med realtidsinformation från Intelligent Security Graph.

Microsoft Defender Antivirus kan också stoppa hot baserat på deras beteenden och bearbeta träd även när hotet har startat körningen. Ett vanligt exempel på den här typen av attacker är fillös skadlig kod. Microsofts nästa generations skyddsfunktioner fungerar tillsammans för att identifiera och blockera skadlig kod baserat på onormalt beteende. Mer information finns i Beteendeblockering och inneslutning.

Kompatibilitet med andra antivirusprodukter

Om du använder en antivirusprodukt som inte kommer från Microsoft på enheten kan du eventuellt köra Microsoft Defender Antivirus i passivt läge tillsammans med antiviruslösningen som inte kommer från Microsoft. Det beror på vilket operativsystem som används och om enheten är registrerad på Defender för Endpoint. Mer information finns i Kompatibilitet för Microsoft Defender Antivirus.

Microsoft Defender antivirusprocesser och -tjänster

I följande tabell sammanfattas Microsoft Defender antivirusprocesser och -tjänster. Du kan visa dem i Aktivitetshanteraren i Windows.

Process eller tjänst Var du kan visa dess status
Microsoft Defender Antivirus Core-tjänsten
(MdCoreSvc)
- Fliken Processer:Antimalware Core Service
- Fliken Information : MpDefenderCoreService.exe
- Fliken Tjänster : Microsoft Defender Core Service
Microsoft Defender antivirustjänst
(WinDefend)
- Fliken Processer:Antimalware Service Executable
- Fliken Information : MsMpEng.exe
- Fliken Tjänster : Microsoft Defender Antivirus
Microsoft Defender i realtidsgranskningstjänst för antivirusnätverk
(WdNisSvc)
- Fliken Processer:Microsoft Network Realtime Inspection Service
- Fliken Information : NisSrv.exe
- Fliken Tjänster : Microsoft Defender Antivirus Network Inspection Service
kommandoradsverktyget Microsoft Defender Antivirus - Fliken Processer: Ej tillämpligt
- Fliken Information : MpCmdRun.exe
- Fliken Tjänster : Ej tillämpligt
Konfigurationsverktyget för Microsoft Security Client Policy - Fliken Processer: Ej tillämpligt
- Fliken Information : ConfigSecurityPolicy.exe
- Fliken Tjänster : Ej tillämpligt

För Microsoft Endpoint Data Loss Prevention (Endpoint DLP) sammanfattar följande tabell processer och tjänster. Du kan visa dem i Aktivitetshanteraren i Windows.

Process eller tjänst Var du kan visa dess status
Microsoft Endpoint DLP-tjänst
(MDDlpSvc)
- Fliken Processer:MpDlpService.exe
- Fliken Information : MpDlpService.exe
- Fliken Tjänster : Microsoft Data Loss Prevention Service
Kommandoradsverktyg för Microsoft Endpoint DLP - Fliken Processer: Ej tillämpligt
- Fliken Information : MpDlpCmd.exe
- Fliken Tjänster : Ej tillämpligt

Microsoft Defender Core-tjänsten

För att förbättra din slutpunktssäkerhetsupplevelse släpper Microsoft Microsoft Defender Core-tjänsten för att hjälpa till med stabilitet och prestanda för Microsoft Defender Antivirus. För kunder som använder Microsoft Endpoint Data Loss Prevention inom små, medelstora och företagsspecifika sektorer delar Microsoft upp kodbasen till sin egen tjänst.

Tjänsten Microsoft Defender Core släpps med Microsoft Defender Antivirus-plattformen version 4.18.23110.2009.

  • Distributionen börjar i november 2023 för förhandsversion av kunder, med planer på att lanseras till alla företagskunder under de kommande månaderna.

  • Företagskunder bör tillåta följande URL:er:

    • *.events.data.microsoft.com
    • *.endpoint.security.microsoft.com
    • *.ecs.office.com
  • Enterprise U.S. Government-kunder bör tillåta följande URL:er:

    • *.events.data.microsoft.com
    • *.endpoint.security.microsoft.us (GCC-H & DoD)
    • *.gccmod.ecs.office.com (GCC-M)
    • *.config.ecs.gov.teams.microsoft.us (GCC-H)
    • *.config.ecs.dod.teams.microsoft.us (DoD)
  • Om du använder Programkontroll för Windows, eller om du kör antivirusprogram eller program för slutpunktsidentifiering och svar från andra användare än Microsoft, måste du lägga till de processer som nämnts tidigare i listan över tillåtna.

  • Konsumenterna behöver inte vidta några åtgärder för att förbereda sig.

Jämföra aktivt läge, passivt läge och inaktiverat läge

I följande tabell beskrivs vad du kan förvänta dig när Microsoft Defender Antivirus är i aktivt läge, passivt läge eller inaktiverat.

Mode Vad som händer
Aktivt läge I aktivt läge används Microsoft Defender Antivirus som den primära antivirusappen på enheten. Filer genomsöks, hot åtgärdas och identifierade hot visas i organisationens säkerhetsrapporter och i din app Windows-säkerhet.
Passivt läge I passivt läge används inte Microsoft Defender Antivirus som den primära antivirusappen på enheten. Filer genomsöks och identifierade hot rapporteras, men hot åtgärdas inte av Microsoft Defender Antivirus.

VIKTIGT: Microsoft Defender Antivirus kan endast köras i passivt läge på slutpunkter som är registrerade i Microsoft Defender för Endpoint. Gå till Krav för Microsoft Defender Antivirus som ska köras i passivt läge.
Inaktiverad eller avinstallerad När Microsoft Defender Antivirus inaktiveras eller avinstalleras används den inte. Filer genomsöks inte och hot åtgärdas inte. I allmänhet rekommenderar vi inte att du inaktiverar eller avinstallerar Microsoft Defender Antivirus.

Mer information finns i Kompatibilitet för Microsoft Defender Antivirus.

Kontrollera tillståndet för Microsoft Defender Antivirus på enheten

Du kan använda en av flera metoder, till exempel appen Windows-säkerhet eller Windows PowerShell, för att kontrollera tillståndet för Microsoft Defender Antivirus på enheten.

Viktigt

Från och med plattformsversion 4.18.2208.0 och senare: Om en server har registrerats för Microsoft Defender för Endpoint inaktiveras inte längre grupprincipinställningen "Inaktivera Windows Defender" helt Windows Defender Antivirus på Windows Server 2012 R2 och senare. I stället placerar den den i passivt läge. Dessutom tillåter manipulationsskyddsfunktionen en växling till aktivt läge men inte till passivt läge.

  • Om "Inaktivera Windows Defender" redan finns på plats innan du registrerar till Microsoft Defender för Endpoint kommer det inte att ske någon ändring och Defender Antivirus förblir inaktiverat.
  • Om du vill växla Defender Antivirus till passivt läge, även om det inaktiverades före registrering, kan du använda Konfigurationen ForceDefenderPassiveMode med värdet 1. Om du vill placera det i aktivt läge växlar du det här värdet till 0 i stället.

Observera den ändrade logiken för ForceDefenderPassiveMode när manipuleringsskydd är aktiverat: När Microsoft Defender Antivirus har växlats till aktivt läge förhindrar manipuleringsskydd att det återgår till passivt läge även när ForceDefenderPassiveMode är inställt på 1.

Använd appen Windows-säkerhet för att kontrollera status för Microsoft Defender Antivirus

  1. Välj Start-menyn på din Windows-enhet och börja skriva Security. Öppna sedan appen Windows-säkerhet i resultaten.

  2. Välj Skydd mot virus och hot.

  3. Under Vem skyddar mig?, väljer du Hantera providers.

Namnet på din antiviruslösning visas på sidan för säkerhetsleverantörer.

Använd PowerShell för att kontrollera status för Microsoft Defender Antivirus

  1. Välj Start-menyn och börja skriva PowerShell. Öppna sedan Windows PowerShell i resultaten.

  2. Skriv Get-MpComputerStatus.

  3. I resultatlistan tittar du på raden AMRunningMode.

    • Normal innebär att Microsoft Defender Antivirus körs i aktivt läge.

    • Passivt läge innebär att Microsoft Defender Antivirus körs, men är inte den primära antivirusprodukten på enheten. Passivt läge är endast tillgängligt för enheter som är registrerade i Microsoft Defender för Endpoint och som uppfyller vissa krav. Mer information finns i Krav för Microsoft Defender Antivirus som ska köras i passivt läge.

    • EDR-blockeringsläge innebär att Microsoft Defender Antivirus körs och Identifiering och åtgärd på slutpunkt (EDR) i blockeringsläge, som är en funktion i Microsoft Defender för Endpoint, är aktiverad. Kontrollera registernyckeln ForceDefenderPassiveMode . Om värdet är 0 körs det i normalt läge. Annars körs den i passivt läge.

    • Passivt SxS-läge innebär att Microsoft Defender Antivirus körs tillsammans med en annan produkt för antivirus/program mot skadlig kod, och begränsad regelbunden genomsökning används.

Tips

Mer information om PowerShell-cmdleten Get-MpComputerStatus finns i referensartikeln Get-MpComputerStatus.

Tips

Prestandatips På grund av en mängd olika faktorer (exempel som anges nedan) kan Microsoft Defender Antivirus, som andra antivirusprogram, orsaka prestandaproblem på slutpunktsenheter. I vissa fall kan du behöva justera prestanda för Microsoft Defender Antivirus för att lindra dessa prestandaproblem. Microsofts prestandaanalys är ett PowerShell-kommandoradsverktyg som hjälper dig att avgöra vilka filer, filsökvägar, processer och filnamnstillägg som kan orsaka prestandaproblem. Några exempel är:

  • De vanligaste sökvägarna som påverkar genomsökningstiden
  • De vanligaste filerna som påverkar genomsökningstiden
  • De vanligaste processerna som påverkar genomsökningstiden
  • De vanligaste filnamnstilläggen som påverkar genomsökningstiden
  • Kombinationer – till exempel:
    • de vanligaste filerna per tillägg
    • de översta sökvägarna per tillägg
    • de vanligaste processerna per sökväg
    • de vanligaste genomsökningarna per fil
    • de vanligaste genomsökningarna per fil per process

Du kan använda informationen som samlas in med hjälp av prestandaanalys för att bättre utvärdera prestandaproblem och tillämpa reparationsåtgärder. Se: Prestandaanalys för Microsoft Defender Antivirus.

Hämta uppdateringar för plattformen för antivirusprogrammet

Det är viktigt att hålla Microsoft Defender Antivirus (eller annat antivirusprogram) uppdaterade. Microsoft släpper regelbundna uppdateringar för att säkerställa att dina enheter har den senaste tekniken för att skydda mot ny skadlig kod och attacktekniker. Mer information finns i Hantera uppdateringar för Microsoft Defender Antivirus och tillämpa baslinjer.

Se även

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.