Обзор антивирусной программы Microsoft Defender в Windows
Область применения:
- Microsoft Defender для конечной точки, планы 1 и 2
- Microsoft Defender для бизнеса
- Антивирусная программа в Microsoft Defender
Платформы
- Windows
Антивирусная программа в Microsoft Defender доступна в Windows 10 и Windows 11, а также в версиях Windows Server.
Антивирусная программа в Microsoft Defender — это основной компонент защиты нового поколения в Microsoft Defender для конечной точки. Эта защита сочетает машинное обучение, анализ больших данных, углубленные исследования устойчивости к угрозам и облачную инфраструктуру Майкрософт для защиты устройств (или конечных точек) в организации. Антивирусная программа в Microsoft Defender встроена в Windows и работает с Microsoft Defender для конечной точки для обеспечения защиты на вашем устройстве и в облаке.
возможности антивирусной программы Microsoft Defender
антивирусная программа Microsoft Defender обеспечивает обнаружение аномалий— уровень защиты от вредоносных программ, который не соответствует ни одному предопределенному шаблону. Мониторы обнаружения аномалий для событий создания процесса или файлов, скачанных из Интернета. Благодаря машинному обучению и облачной защите Microsoft Defender антивирусная программа может оставаться на шаг впереди злоумышленников. Обнаружение аномалий по умолчанию включено и может помочь блокировать такие атаки, как оповещение системы безопасности 3CX для приложения Electron Windows. Microsoft Defender антивирусная программа начала блокировать эту вредоносную программу за четыре дня до регистрации атаки в VirusTotal.
Для современных вредоносных программ требуются современные решения. В 2015 году Microsoft Defender Антивирусная программа отошла от использования статического механизма на основе сигнатуры к модели, которая использует прогнозные технологии, такие как машинное обучение, прикладная наука и искусственный интеллект, так как это необходимо для защиты вас и ваших организаций от сложности постоянно развивающегося ландшафта вредоносных программ.
Microsoft Defender антивирусная программа может блокировать практически все вредоносные программы на первый взгляд, в миллисекундах.
Мы также разработали антивирусное решение для работы как в сетевых, так и в автономных сценариях. Для автономных сценариев последняя динамическая аналитика из Графа интеллектуальной безопасности подготавливается к конечной точке регулярно в течение дня. При подключении к облаку он получает аналитические данные в режиме реального времени из Intelligent Security Graph.
антивирусная программа Microsoft Defender также может останавливать угрозы на основе их поведения и деревьев процессов, даже если угроза запущена. Распространенный пример таких атак — это нефайловые вредоносные программы. Функции защиты следующего поколения Корпорации Майкрософт совместно выявляют и блокируют вредоносные программы на основе аномального поведения. Дополнительные сведения см. в разделе Поведенческая блокировка и сдерживание.
Совместимость с другими антивирусными продуктами
Если на вашем устройстве используется антивирусная или антивредоносная программа стороннего поставщика, возможно, вы можете запустить антивирусную программу в Microsoft Defender в пассивном режиме вместе с антивирусным решением стороннего поставщика. Это зависит от используемой операционной системы и от того, подключено ли ваше устройство к Defender для конечной точки. Дополнительные сведения см. в статье Совместимость Антивирусной программы в Microsoft Defender.
Процессы и службы антивирусной программы Microsoft Defender
В следующей таблице приведены Microsoft Defender антивирусных процессов и служб. Их можно просмотреть в диспетчере задач в Windows.
| Процесс или служба | Где просмотреть его состояние |
|---|---|
| Microsoft Defender антивирусная служба ( MdCoreSvc) |
- Вкладка "Процессы ": Antimalware Core Service - Вкладка "Сведения ": MpDefenderCoreService.exe - Вкладка "Службы": Microsoft Defender Core Service |
| Служба антивирусной программы Microsoft Defender ( WinDefend) |
- Вкладка "Процессы ": Antimalware Service Executable - Вкладка "Сведения ": MsMpEng.exe - Вкладка "Службы": Microsoft Defender Antivirus |
| Служба проверки антивирусной сети в реальном времени Microsoft Defender ( WdNisSvc) |
- Вкладка "Процессы ": Microsoft Network Realtime Inspection Service - Вкладка "Сведения ": NisSrv.exe - Вкладка "Службы": Microsoft Defender Antivirus Network Inspection Service |
| служебная программа командной строки антивирусной программы Microsoft Defender | - Вкладка "Процессы": Н/Д - Вкладка "Сведения ": MpCmdRun.exe - Вкладка "Службы": Н/Д |
| Средство настройки политики клиента безопасности (Майкрософт) | - Вкладка "Процессы": Н/Д - Вкладка "Сведения ": ConfigSecurityPolicy.exe - Вкладка "Службы": Н/Д |
В следующей таблице описаны процессы и службы для защиты от потери данных в конечной точке Майкрософт (DLP). Их можно просмотреть в диспетчере задач в Windows.
| Процесс или служба | Где просмотреть его состояние |
|---|---|
| Служба защиты от потери данных конечной точки Майкрософт ( MDDlpSvc) |
- Вкладка "Процессы ": MpDlpService.exe - Вкладка "Сведения ": MpDlpService.exe - Вкладка "Службы": Microsoft Data Loss Prevention Service |
| Служебная программа командной строки для конечной точки Microsoft DLP | - Вкладка "Процессы": Н/Д - Вкладка "Сведения ": MpDlpCmd.exe - Вкладка "Службы": Н/Д |
служба Microsoft Defender Core
Чтобы повысить безопасность конечных точек, корпорация Майкрософт выпускает службу Microsoft Defender Core, чтобы обеспечить стабильность и производительность антивирусной программы Microsoft Defender. Для клиентов, которые используют службу защиты от потери данных в конечных точках Майкрософт в небольших, средних и корпоративных секторах, корпорация Майкрософт разделяет базу кода на собственную службу.
Служба Microsoft Defender Core выпускается с Microsoft Defender антивирусной платформы версии 4.18.23110.2009.
Развертывание начинается в ноябре 2023 г. для предварительной подготовки клиентов и планируется выпустить все корпоративные клиенты в ближайшие месяцы.
Корпоративные клиенты должны разрешить следующие URL-адреса:
*.events.data.microsoft.com*.endpoint.security.microsoft.com*.ecs.office.com
Корпоративные клиенты для государственных организаций США должны разрешить следующие URL-адреса:
*.events.data.microsoft.com*.endpoint.security.microsoft.us (GCC-H & DoD)*.gccmod.ecs.office.com (GCC-M)*.config.ecs.gov.teams.microsoft.us (GCC-H)*.config.ecs.dod.teams.microsoft.us (DoD)
Если вы используете управление приложениями для Windows или используете антивирусную программу сторонних разработчиков или программное обеспечение для обнаружения и реагирования конечных точек, обязательно добавьте описанные выше процессы в список разрешений.
Потребители не должны предпринимать никаких действий для подготовки.
Сравнение активного, пассивного и отключенного режимов
В следующей таблице описано, чего следует ожидать, когда антивирусная программа в Microsoft Defender находится в активном, пассивном или отключенном режимах.
| Режим | Что происходит |
|---|---|
| Активный режим | В активном режиме антивирусная программа в Microsoft Defender используется в качестве основного антивирусного приложения на устройстве. Файлы проверяются, угрозы устраняются, а обнаруженные угрозы перечислены в отчетах о безопасности вашей организации и в приложении "Безопасность Windows". |
| Пассивный режим | В пассивном режиме антивирусная программа в Microsoft Defender не используется в качестве основного антивирусного приложения на устройстве. Файлы проверяются, и об обнаруженных угрозах сообщается, но угрозы не устраняются антивирусной программой в Microsoft Defender. ВАЖНО. Антивирусная программа в Microsoft Defender может работать в пассивном режиме только на конечных точках, подключенных к Microsoft Defender для конечной точки. См. статью Требования к запуску антивирусной программы в Microsoft Defender в пассивном режиме. |
| Отключено или удалено | При отключении или удалении антивирусная программа в Microsoft Defender не используется. Файлы не проверяются, угрозы не устраняются. Как правило, не рекомендуется отключать и удалять антивирусную программу в Microsoft Defender. |
Дополнительные сведения см. в статье Совместимость Антивирусной программы в Microsoft Defender.
Проверка состояния антивирусной программы в Microsoft Defender на вашем устройстве
Проверить состояние антивирусной программы в Microsoft Defender на вашем устройстве можно разными способами. Например, можно использовать приложение "Безопасность Windows" или Windows PowerShell.
Важно!
Начиная с версии платформы 4.18.2208.0 и более поздних версий: если сервер подключен к Microsoft Defender для конечной точки, параметр групповой политики "Отключить Защитник Windows" больше не будет полностью отключать антивирусную программу Защитник Windows Windows Server 2012 R2 и более поздних версий. Вместо этого он переместит его в пассивный режим. Кроме того, функция защиты от незаконного изменения позволит переключиться в активный режим, но не в пассивный режим.
- Если перед подключением к Microsoft Defender для конечной точки уже установлен параметр "Отключить Защитник Windows", изменения не будут изменены, и антивирусная программа Defender останется отключенной.
- Чтобы переключить антивирусную программу Defender в пассивный режим, даже если она была отключена перед подключением, можно применить конфигурацию ForceDefenderPassiveMode со значением
1. Чтобы перевести его в активный режим, переключите это значение0на .
Обратите внимание на измененную логику при ForceDefenderPassiveMode включенной защите от незаконного изменения. После того как Microsoft Defender антивирусная программа переключится в активный режим, защита от незаконного изменения не позволит вернуться в пассивный режим, даже если ForceDefenderPassiveMode для параметра задано значение 1.
Проверка состояния антивирусной программы в Microsoft Defender с помощью приложения "Безопасность Windows"
На устройстве с Windows выберите нажмите кнопку Пуск и начните вводить
Security. Затем откройте приложение "Безопасность Windows" в результатах.Выберите Защита от вирусов и угроз.
В разделе Кто защищает меня? выберите Управление поставщиками.
На странице поставщиков решений безопасности вы увидите имя вашего антивируса или решения для защиты от вредоносных программ.
Проверка состояния антивирусной программы в Microsoft Defender с помощью PowerShell
Нажмите кнопку Пуск и начните вводить
PowerShell. Затем откройте Windows PowerShell в результатах.Тип
Get-MpComputerStatus.В списке результатов посмотрите на строку AMRunningMode.
Обычный означает, что антивирусная программа в Microsoft Defender работает в активном режиме.
Пассивный режим означает, что антивирусная программа в Microsoft Defender запущена, но не является основным антивирусным или антивредоносным продуктом на вашем устройстве. Пассивный режим доступен только для устройств, которые были доступны в Microsoft Defender для конечной точки и отвечают определенным требованиям. Дополнительные сведения см. в статье Требования к запуску антивирусной программы в Microsoft Defender в пассивном режиме.
Режим блокировки EDR означает, что антивирусная программа в Microsoft Defender запущена и в Microsoft Defender для конечной точки включена функция, которая называется Выявление и нейтрализация атак на конечные точки в режиме блокировки. Проверьте раздел реестра ForceDefenderPassiveMode . Если его значение равно 0, он работает в обычном режиме; В противном случае он работает в пассивном режиме.
Пассивный режим SxS означает, Microsoft Defender антивирусная программа работает вместе с другим антивирусным или антивредоносным продуктом, и используется ограниченное периодическое сканирование.
Совет
Дополнительные информацию о командлете Get-MpComputerStatus PowerShell см. в справочной статье Get-MpComputerStatus.
Совет
Совет по производительности Из-за различных факторов (примеры приведены ниже) Microsoft Defender антивирусная программа, как и другие антивирусные программы, может вызвать проблемы с производительностью на конечных точках устройств. В некоторых случаях может потребоваться настроить производительность антивирусной программы Microsoft Defender, чтобы устранить эти проблемы с производительностью. Анализатор производительности Корпорации Майкрософт — это средство командной строки PowerShell, которое помогает определить, какие файлы, пути к файлам, процессы и расширения файлов могут вызывать проблемы с производительностью. Ниже приведены некоторые примеры:
- Основные пути, влияющие на время сканирования
- Основные файлы, влияющие на время сканирования
- Основные процессы, влияющие на время сканирования
- Основные расширения файлов, влияющие на время сканирования
- Сочетания— например:
- top files per extension
- верхние пути на расширение
- top процессов на путь
- большее число сканирований на файл
- большее число сканирований на файл на каждый процесс
Сведения, собранные с помощью анализатора производительности, можно использовать для более эффективной оценки проблем с производительностью и применения действий по исправлению. См. статью Анализатор производительности для антивирусной Microsoft Defender.
Получите обновления для антивирусной и антивредоносной платформ
Важно постоянно обновлять антивирусную программу в Microsoft Defender (или любой другой антивирус или решение для защиты от вредоносных программ). Корпорация Майкрософт выпускает регулярные обновления, чтобы убедиться, что ваши устройства оснащены новейшими технологиями для защиты от новых вредоносных программ и методов атак. Дополнительные данные см. в разделе Управление обновлениями антивирусной программы в Microsoft Defender и применение базовых показателей.
Совет
Если вам нужны сведения об антивирусной программе для других платформ, см.:
- Установка параметров Microsoft Defender для конечной точки в macOS
- Microsoft Defender для конечной точки на Mac
- Параметры антивирусной политики macOS для антивирусной программы Microsoft Defender для Intune
- Установите параметры Microsoft Defender для конечной точки в Linux.
- Microsoft Defender для конечной точки в Linux
- Настройка функций Defender для конечной точки на Android
- Настройка защитника Майкрософт для конечной точки на функциях iOS
См. также
- Анализатор производительности для антивирусной Microsoft Defender
- Управление антивирусной программой в Microsoft Defender и ее настройка
- Оценка защиты антивирусной программы в Microsoft Defender
- Исключения для антивирусной программы Microsoft Defender для конечной точки и Microsoft Defender
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по