Übersicht über Microsoft Defender Antivirus in Windows

Gilt für:

  • Microsoft Defender für Endpunkt-Pläne 1 und 2
  • Microsoft Defender für Unternehmen
  • Microsoft Defender Antivirus

Plattformen

  • Windows

Microsoft Defender Antivirus ist in Windows 10 und Windows 11 sowie in Versionen von Windows Server verfügbar.

Microsoft Defender Antivirus ist eine wichtige Schutzkomponente der nächsten Generation in Microsoft Defender für Endpunkt. Dieser Schutz vereint maschinelles Lernen, Big Data-Analysen, tiefgehende Untersuchungen zur Bedrohungsresistenz und die Microsoft-Cloudinfrastruktur zum Schutz von Geräten (oder Endpunkten) in Ihrer Organisation. Microsoft Defender Antivirus ist in Windows integriert und sorgt in Kombination mit Microsoft Defender für Endpunkt für Schutz auf Ihrem Gerät und in der Cloud.

Microsoft Defender Antivirusfunktionen

Microsoft Defender Antivirus bietet Anomalieerkennung, eine Schutzebene für Schadsoftware, die keinem vordefinierten Muster entspricht. Die Anomalieerkennung überwacht Ereignisse zur Prozesserstellung oder Dateien, die aus dem Internet heruntergeladen werden. Durch maschinelles Lernen und cloudgestützten Schutz kann Microsoft Defender Antivirus Angreifern einen Schritt voraus sein. Die Anomalieerkennung ist standardmäßig aktiviert und kann Dazu beitragen, Angriffe wie die 3CX-Sicherheitswarnung für die Electron-Windows-App zu blockieren. Microsoft Defender Antivirus begann, diese Malware vier Tage vor der Registrierung des Angriffs in VirusTotal zu blockieren.

Moderne Schadsoftware erfordert moderne Lösungen. Im Jahr 2015 hat Microsoft Defender Antivirus von der Verwendung einer statischen signaturbasierten Engine zu einem Modell gewechselt, das Vorhersagetechnologien wie maschinelles Lernen, angewandte Wissenschaft und künstliche Intelligenz verwendet, da dies notwendig ist, um Sie und Ihre Organisationen vor der Komplexität der sich ständig entwickelnden Malware-Landschaft von heute zu schützen.

Microsoft Defender Antivirus kann fast alle Schadsoftware auf den ersten Blick in Millisekunden blockieren.

Außerdem haben wir unsere Antivirenlösung so konzipiert, dass sie sowohl in Online- als auch offline-Szenarien funktioniert. Für Offlineszenarien wird die neueste dynamische Intelligenz aus dem Intelligence Security Graph den ganzen Tag über regelmäßig für den Endpunkt bereitgestellt. Wenn eine Verbindung mit der Cloud hergestellt wird, erhält sie Echtzeitintelligenz aus dem Intelligent Security Graph.

Microsoft Defender Antivirus kann Auch Bedrohungen basierend auf ihrem Verhalten und prozessbasierten Strukturen stoppen, selbst wenn die Ausführung der Bedrohung gestartet wurde. Ein gängiges Beispiel für diese Art von Angriffen ist dateilose Schadsoftware. Die Schutzfunktionen der nächsten Generation von Microsoft arbeiten zusammen, um Schadsoftware basierend auf ungewöhnlichem Verhalten zu identifizieren und zu blockieren. Weitere Informationen finden Sie unter Verhaltensblockierung und -eindämmung.

Kompatibilität mit anderen Antivirenprodukten

Wenn Sie auf Ihrem Gerät ein Antiviren-/Antischadsoftware-Produkt verwenden, das nicht von Microsoft stammt, können Sie möglicherweise Microsoft Defender Antivirus im passiven Modus zusammen mit dieser Antivirenlösung ausführen. Dies hängt vom verwendeten Betriebssystem und davon ab, ob Ihr Gerät in Defender für Endpunkt eingebunden ist. Weitere Informationen finden Sie unter Kompatibilität mit Microsoft Defender Antivirus.

Microsoft Defender Antivirus-Prozesse und -Dienste

In der folgenden Tabelle sind Microsoft Defender Antivirus-Prozesse und -Dienste zusammengefasst. Sie können sie im Task-Manager in Windows anzeigen.

Prozess oder Dienst Wo kann die status angezeigt werden?
Microsoft Defender Antivirus Core-Dienst
(MdCoreSvc)
- Registerkarte "Prozesse":Antimalware Core Service
- Registerkarte "Details":MpDefenderCoreService.exe
- Registerkarte "Dienste":Microsoft Defender Core Service
Microsoft Defender Antivirus-Dienst
(WinDefend)
- Registerkarte "Prozesse":Antimalware Service Executable
- Registerkarte "Details":MsMpEng.exe
- Registerkarte "Dienste":Microsoft Defender Antivirus
Microsoft Defender Antivirus Network Realtime Inspection Service
(WdNisSvc)
- Registerkarte "Prozesse":Microsoft Network Realtime Inspection Service
- Registerkarte "Details":NisSrv.exe
- Registerkarte "Dienste":Microsoft Defender Antivirus Network Inspection Service
Microsoft Defender Antivirus-Befehlszeilenprogramm - Registerkarte "Prozesse": N/A
- Registerkarte "Details":MpCmdRun.exe
- Registerkarte "Dienste": N/A
Microsoft Security Client Policy Configuration Tool - Registerkarte "Prozesse": N/A
- Registerkarte "Details":ConfigSecurityPolicy.exe
- Registerkarte "Dienste": N/A

Für Microsoft Endpoint Data Loss Prevention (Endpoint DLP) sind in der folgenden Tabelle Prozesse und Dienste zusammengefasst. Sie können sie im Task-Manager in Windows anzeigen.

Prozess oder Dienst Wo kann die status angezeigt werden?
Microsoft Endpoint DLP-Dienst
(MDDlpSvc)
- Registerkarte "Prozesse":MpDlpService.exe
- Registerkarte "Details":MpDlpService.exe
- Registerkarte "Dienste":Microsoft Data Loss Prevention Service
Microsoft Endpoint DLP-Befehlszeilenprogramm - Registerkarte "Prozesse": N/A
- Registerkarte "Details":MpDlpCmd.exe
- Registerkarte "Dienste": N/A

Microsoft Defender Core-Dienst

Um Ihre Endpunktsicherheit zu verbessern, veröffentlicht Microsoft den Microsoft Defender Core-Dienst, um die Stabilität und Leistung von Microsoft Defender Antivirus zu unterstützen. Für Kunden, die Microsoft Endpoint Data Loss Prevention in den Kleinen, Mittleren und Unternehmensbereichen verwenden, teilt Microsoft die Codebasis in seinen eigenen Dienst auf.

Der Microsoft Defender Core-Dienst wird mit Microsoft Defender Antivirus-Plattformversion 4.18.23110.2009 veröffentlicht.

  • Der Rollout beginnt im November 2023, um Kunden vorab zu veröffentlichen, wobei die Freigabe für alle Unternehmenskunden in den kommenden Monaten geplant ist.

  • Unternehmenskunden sollten die folgenden URLs zulassen:

    • *.events.data.microsoft.com
    • *.endpoint.security.microsoft.com
    • *.ecs.office.com
  • Unternehmenskunden für US-Behörden sollten die folgenden URLs zulassen:

    • *.events.data.microsoft.com
    • *.endpoint.security.microsoft.us (GCC-H & DoD)
    • *.gccmod.ecs.office.com (GCC-M)
    • *.config.ecs.gov.teams.microsoft.us (GCC-H)
    • *.config.ecs.dod.teams.microsoft.us (DoD)
  • Wenn Sie die Anwendungssteuerung für Windows verwenden oder nicht von Microsoft stammende Antivirensoftware oder Endpunkterkennungs- und -antwortsoftware ausführen, stellen Sie sicher, dass Sie die zuvor erwähnten Prozesse ihrer Zulassungsliste hinzufügen.

  • Verbraucher müssen keine Maßnahmen ergreifen, um sich vorzubereiten.

Vergleich von aktivem, passivem und deaktiviertem Modus

In der folgenden Tabelle wird erläutert, was zu erwarten ist, wenn sich Microsoft Defender Antivirus im aktiven, passiven oder deaktivierten Modus befindet.

Modus Folge
Aktiver Modus Im aktiven Modus wird Microsoft Defender Antivirus als primäre Antiviren-Anwendung auf dem Gerät verwendet. Dateien werden überprüft, Maßnahmen gegen Bedrohungen ergriffen, und erkannte Bedrohungen werden in den Sicherheitsberichten Ihrer Organisation und in Ihrer Windows-Sicherheit-App aufgeführt.
Passiver Modus Im passiven Modus wird Microsoft Defender Antivirus nicht als primäre Antiviren-Anwendung auf dem Gerät verwendet. Dateien werden überprüft, und erkannte Bedrohungen werden gemeldet jedoch nicht von Microsoft Defender Antivirus behoben.

WICHTIG: Microsoft Defender Antivirus kann im passiven Modus nur auf Endpunkten ausgeführt werden, die in Microsoft Defender für Endpunkt integriert sind. Weitere Informationen finden Sie unter Anforderungen für die Ausführung von Microsoft Defender Antivirus im passiven Modus.
Deaktiviert oder deinstalliert Bei Deaktivierung oder Deinstallation wird Microsoft Defender Antivirus nicht verwendet. Dateien werden nicht überprüft, und gegen Bedrohungen werden keine Maßnahmen ergriffen. Im Allgemeinen wird davon abgeraten, Microsoft Defender Antivirus zu deaktivieren oder zu deinstallieren.

Weitere Informationen finden Sie unter Kompatibilität mit Microsoft Defender Antivirus.

Überprüfen des Status von Microsoft Defender Antivirus auf Ihrem Gerät

Sie können eine von mehreren Methoden verwenden, z. B. die Windows Sicherheits App oder Windows PowerShell, um den Status von Microsoft Defender Antivirus auf Ihrem Gerät zu überprüfen.

Wichtig

Ab Plattformversion 4.18.2208.0 und höher: Wenn ein Server in Microsoft Defender for Endpoint integriert wurde, deaktiviert die Gruppenrichtlinieneinstellung "Windows Defender deaktivieren" Windows Defender Antivirus auf nicht mehr vollständig. Windows Server 2012 R2 und höher. Stattdessen wird es in den passiven Modus versetzt. Darüber hinaus ermöglicht das Manipulationsschutzfeature einen Wechsel in den aktiven Modus, aber nicht in den passiven Modus.

  • Wenn "Windows Defender deaktivieren" bereits vor dem Onboarding in Microsoft Defender for Endpoint vorhanden ist, wird keine Änderung vorgenommen, und Defender Antivirus bleibt deaktiviert.
  • Um Defender Antivirus in den passiven Modus zu wechseln, können Sie die ForceDefenderPassiveMode-Konfiguration mit dem Wert 1anwenden, auch wenn er vor dem Onboarding deaktiviert wurde. Um ihn in den aktiven Modus zu versetzen, legen Sie diesen Wert stattdessen auf fest 0 .

Beachten Sie die geänderte Logik fürForceDefenderPassiveMode, wenn der Manipulationsschutz aktiviert ist: Sobald Microsoft Defender Antivirus in den aktiven Modus umgeschaltet wurde, verhindert der Manipulationsschutz, dass es wieder in den passiven Modus wechselt, auch wenn ForceDefenderPassiveMode auf 1festgelegt ist.

Die Windows Sicherheits App verwenden, um den Status von Microsoft Defender Antivirus zu überprüfen

  1. Auf Ihrem Windows-Gerät das Startmenü wählen und mit der Eingabe von Security beginnen. Öffnen Sie dann die Windows-Sicherheit-App in den angezeigten Ergebnissen.

  2. Wählen Sie Viren- und Bedrohungsschutz aus.

  3. Unter Wer schützt mich?, wählen Sie Anbieter verwalten.

Wählen Sie auf Ihrem Windows-Gerät das Startmenü und beginnen Sie mit der Eingabe von.

PowerShell verwenden, um den Status von Microsoft Defender Antivirus zu überprüfen

  1. Das Startmenü wählen und mit der Eingabe von PowerShell beginnen. Öffnen Sie dann Windows PowerShell in den angezeigten Ergebnissen.

  2. Geben Sie Get-MpComputerStatus ein.

  3. Sehen Sie sich in der Ergebnisliste die Zeile AMRunningMode an.

Tipp

Weitere Informationen zum PowerShell-Cmdlet "Get-MpComputerStatus" finden Sie im Referenzartikel Get-MpComputerStatus.

Tipp

Leistungstipp Aufgrund einer Vielzahl von Faktoren (beispiele unten aufgeführt) kann Microsoft Defender Antivirus wie andere Antivirensoftware Leistungsprobleme auf Endpunktgeräten verursachen. In einigen Fällen müssen Sie möglicherweise die Leistung von Microsoft Defender Antivirus optimieren, um diese Leistungsprobleme zu beheben. Die Leistungsanalyse von Microsoft ist ein PowerShell-Befehlszeilentool, mit dem Sie ermitteln können, welche Dateien, Dateipfade, Prozesse und Dateierweiterungen Leistungsprobleme verursachen können. Einige Beispiele sind:

  • Die wichtigsten Pfade, die sich auf die Überprüfungszeit auswirken
  • Die wichtigsten Dateien, die sich auf die Überprüfungszeit auswirken
  • Wichtigste Prozesse, die sich auf die Überprüfungszeit auswirken
  • Die wichtigsten Dateierweiterungen, die sich auf die Überprüfungszeit auswirken
  • Kombinationen – z. B.:
    • Top-Dateien pro Erweiterung
    • Top-Pfade pro Erweiterung
    • Top-Prozesse pro Pfad
    • Top-Scans pro Datei
    • Top-Scans pro Datei und Prozess

Sie können die mit der Leistungsanalyse gesammelten Informationen verwenden, um Leistungsprobleme besser zu bewerten und Korrekturaktionen anzuwenden. Weitere Informationen finden Sie unter Leistungsanalyse für Microsoft Defender Antivirus.

Beziehen von Antiviren-/Antischadsoftware-Plattformupdates

Es ist wichtig, Microsoft Defender Antivirus (oder eine Antiviren-/Antimalwarelösung) auf dem neuesten Stand zu halten. Microsoft veröffentlicht regelmäßige Updates, um sicherzustellen, dass Ihre Geräte über die neueste Technologie zum Schutz vor neuer Schadsoftware und Angriffstechniken verfügen. Weitere Informationen finden Sie unter Verwalten von Microsoft Defender Antivirus-Updates und Anwenden von Baselines.

Siehe auch

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.