přehled Microsoft Defender antivirové ochrany ve Windows

Platí pro:

  • Plán 1 a 2 pro Microsoft Defender for Endpoint
  • Microsoft Defender pro firmy
  • Antivirová ochrana v programu Microsoft Defender

Platformy

  • Windows

Antivirová ochrana v programu Microsoft Defender je k dispozici ve Windows 10 a Windows 11 a ve verzích Windows Serveru.

Antivirová ochrana v programu Microsoft Defender je hlavní součástí ochrany nové generace v programu Microsoft Defender for Endpoint. Tato ochrana spojuje strojové učení, analýzu velkých objemů dat, podrobný výzkum odolnosti vůči hrozbám a cloudovou infrastrukturu Microsoftu pro ochranu zařízení (nebo koncových bodů) ve vaší organizaci. Antivirová ochrana v programu Microsoft Defender je integrovaná do Windows a funguje s programem Microsoft Defender for Endpoint a poskytuje ochranu vašeho zařízení i v cloudu.

Tip

Jako doplněk k tomuto článku si projděte našeho průvodce nastavením analyzátoru zabezpečení , kde si projděte osvědčené postupy a naučte se posílit ochranu, zlepšit dodržování předpisů a s důvěrou se pohybovat v oblasti kybernetické bezpečnosti. Pokud chcete mít přizpůsobené prostředí založené na vašem prostředí, můžete získat přístup k průvodci automatizovaným nastavením analyzátoru zabezpečení v Centrum pro správu Microsoftu 365.

možnosti antivirové ochrany Microsoft Defender

Microsoft Defender Antivirus poskytuje detekci anomálií, vrstvu ochrany proti malwaru, která neodpovídá žádnému předdefinovanému vzoru. Detekce anomálií monitoruje události vytváření procesů nebo soubory, které se stahují z internetu. Díky strojovému učení a ochraně v cloudu může Microsoft Defender Antivirus zůstat o krok před útočníky. Detekce anomálií je ve výchozím nastavení zapnutá a může pomoct blokovat útoky, jako je výstraha zabezpečení 3CX pro aplikaci Electron pro Windows. Microsoft Defender Antivirus začal blokovat tento malware čtyři dny před tím, než byl útok zaregistrován v VirusTotal.

Moderní malware vyžaduje moderní řešení. V roce 2015 se Microsoft Defender Antivirus přesunula od statického modulu založeného na podpisech k modelu, který využívá prediktivní technologie, jako je strojové učení, aplikovaná věda a umělá inteligence, protože to je to, co je nezbytné k tomu, abyste vy a vaše organizace zůstali v bezpečí před složitostí dnešního neustále se vyvíjejícího malwaru.

Microsoft Defender Antivirus může blokovat téměř veškerý malware na první pohled, v milisekundách.

Naše antivirové řešení jsme také navrhli tak, aby fungovalo v online i offline scénářích. V případě offline scénářů se v průběhu dne v koncovém bodu pravidelně zřizují nejnovější dynamické inteligence ze služby Intelligence Security Graph. Po připojení ke cloudu se poskytuje inteligentní funkce v reálném čase z Intelligent Security Graphu.

Microsoft Defender Antivirus může také zastavit hrozby na základě jejich chování a stromy procesů, i když se hrozba spustila. Běžným příkladem těchto typů útoků je malware bez souborů. Funkce ochrany nové generace společnosti Microsoft spolupracují na identifikaci a blokování malwaru na základě neobvyklého chování. Další informace najdete v tématu Behaviorální blokování a omezování.

Kompatibilita s jinými antivirovými produkty

Pokud na svém zařízení používáte antivirový nebo antimalwarový produkt od jiných výrobců než Microsoftu, možná budete moct spustit antivirovou ochranu v programu Microsoft Defender v pasivním režimu společně s antivirovým řešením od jiných výrobců než Microsoftu. Záleží na používaném operačním systému a na tom, jestli je vaše zařízení onboardované do služby Defender for Endpoint. Další informace najdete v tématu Kompatibilita s antivirovou ochranou v programu Microsoft Defender.

procesy a služby Microsoft Defender Antivirus

Následující tabulka shrnuje Microsoft Defender antivirových procesů a služeb. Můžete je zobrazit ve Správci úloh ve Windows.

Proces nebo služba Kde zobrazit stav
služba Microsoft Defender Antivirus Core
(MdCoreSvc)
- Karta Procesy : Antimalware Core Service
- Karta Podrobnosti : MpDefenderCoreService.exe
- Karta Služby : Microsoft Defender Core Service
služba Microsoft Defender Antivirus
(WinDefend)
- Karta Procesy : Antimalware Service Executable
- Karta Podrobnosti : MsMpEng.exe
- Karta Služby : Microsoft Defender Antivirus
služba Microsoft Defender Antivirus Network Realtime Inspection
(WdNisSvc)
- Karta Procesy : Microsoft Network Realtime Inspection Service
- Karta Podrobnosti : NisSrv.exe
- Karta Služby : Microsoft Defender Antivirus Network Inspection Service
Nástroj příkazového řádku Microsoft Defender Antivirus - Karta Procesy: Není k dispozici
- Karta Podrobnosti : MpCmdRun.exe
- Karta Služby : Není k dispozici
Nástroj pro konfiguraci zásad klienta zabezpečení microsoftu - Karta Procesy: Není k dispozici
- Karta Podrobnosti : ConfigSecurityPolicy.exe
- Karta Služby : Není k dispozici

Další informace o službě Microsoft Defender Core najdete v přehledu služby Microsoft Defender Core.

V případě ochrany před únikem informací koncového bodu Microsoftu (Endpoint DLP) jsou v následující tabulce shrnuty procesy a služby. Můžete je zobrazit ve Správci úloh ve Windows.

Proces nebo služba Kde zobrazit stav
Služba Ochrany před únikem informací koncového bodu Microsoftu
(MDDlpSvc)
- Karta Procesy : MpDlpService.exe
- Karta Podrobnosti : MpDlpService.exe
- Karta Služby : Microsoft Data Loss Prevention Service
Nástroj příkazového řádku ochrany před únikem informací před únikem informací koncového bodu Microsoftu - Karta Procesy: Není k dispozici
- Karta Podrobnosti : MpDlpCmd.exe
- Karta Služby : Není k dispozici

Porovnání aktivního, pasivního a zakázaného režimu

Následující tabulka popisuje, co můžete očekávat, když je antivirová ochrana v programu Microsoft Defender v aktivním, pasivním nebo zakázaném režimu.

Režim Co se stane
Aktivní režim V aktivním režimu se antivirová ochrana v programu Microsoft Defender používá jako primární antivirová aplikace na zařízení. Soubory se kontrolují, hrozby se opravují a zjištěné hrozby jsou uvedené v sestavách zabezpečení vaší organizace a ve vaší aplikaci Zabezpečení Windows.
Pasivní režim V pasivním režimu se Microsoft Defender Antivirus nepoužívá jako primární antivirová aplikace na zařízení. Zkontrolují se soubory a hlásí se zjištěné hrozby, ale Microsoft Defender Antivirus hrozby nenapraví.

DŮLEŽITÉ: Antivirovou ochranu v programu Microsoft Defender lze spustit v pasivním režimu pouze na koncových bodech, které jsou onboardovány do programu Microsoft Defender for Endpoint. Viz Požadavky na spuštění antivirové ochrany v programu Microsoft Defender v pasivním režimu.
Zakázáno nebo odinstalováno Při zakázání nebo odinstalaci se Microsoft Defender Antivirus nepoužívá. Soubory se neprohledávají a hrozby se nenapravují. Obecně nedoporučujeme zakazovat ani odinstalovat Microsoft Defender Antivirovou ochranu.

Další informace najdete v tématu Kompatibilita s antivirovou ochranou v programu Microsoft Defender.

Kontrola stavu antivirové ochrany v programu Microsoft Defender na zařízení

Ke kontrole stavu programu Microsoft Defender Antivirus na vašem zařízení můžete použít jednu z několika metod, například aplikaci Zabezpečení systému Windows nebo Windows PowerShell.

Důležité

Počínaje platformou verze 4.18.2208.0 a novější: Pokud je server nasazený na Microsoft Defender for Endpoint, nastavení zásad skupiny Vypnout Windows Defender už úplně nezakáže Windows Antivirová ochrana v programu Defender zapnuté. Windows Server 2012 R2 a novější. Místo toho ho umístí do pasivního režimu. Kromě toho funkce ochrany před falšováním umožní přepnout do aktivního režimu, ale ne do pasivního režimu.

  • Pokud už před onboardingem do Microsoft Defender for Endpoint existuje možnost Vypnout Windows Defender, nedojde k žádné změně a Antivirová ochrana v programu Defender zůstane zakázaná.
  • Pokud chcete přepnout Antivirová ochrana v programu Defender do pasivního režimu, i když byl před onboardingem zakázán, můžete použít konfiguraci ForceDefenderPassiveMode s hodnotou 1. Pokud ji chcete přepnout do aktivního režimu, přepněte tuto hodnotu na 0 .

Všimněte si upravené logiky, ForceDefenderPassiveMode kdy je povolena ochrana před falšováním: Jakmile Microsoft Defender Antivirová ochrana přepne do aktivního režimu, ochrana proti neoprávněné manipulaci zabrání jejímu návratu do pasivního režimu, i když ForceDefenderPassiveMode je nastavená na 1hodnotu .

Kontrola stavu programu Microsoft Defender Antivirus pomocí aplikace Zabezpečení systému Windows

  1. Na zařízení s Windows vyberte nabídku Start a začněte psát Security. Ve výsledcích pak otevřete aplikaci Zabezpečení Windows.

  2. Vyberte Ochrana před viry a hrozbami.

  3. V části Kdo mě chrání?zvolte Spravovat poskytovatele.

Na stránce poskytovatelů zabezpečení uvidíte název antivirového/antimalwarového řešení.

Kontrola stavu programu Microsoft Defender Antivirus pomocí prostředí PowerShell

  1. Vyberte nabídku Start a začněte psát PowerShell. Ve výsledcích pak otevřete Windows PowerShell.

  2. Typ Get-MpComputerStatus.

  3. V seznamu výsledků se podívejte na řádek AMRunningMode.

    • Normální znamená, že antivirová ochrana v programu Microsoft Defender běží v aktivním režimu.

    • Pasivní režim znamená, že Microsoft Defender antivirový program běží, ale není primárním antivirovým nebo antimalwarovým produktem na vašem zařízení. Pasivní režim je k dispozici pouze pro zařízení, která jsou onboardována do programu Microsoft Defender for Endpoint a která splňují určité požadavky. Další informace, viz Požadavky na spuštění antivirové ochrany v programu Microsoft Defender v pasivním režimu.

    • Režim blokování pomocí EDR znamená, že běží antivirová ochrana v programu Microsoft Defender a je povolená Detekce a reakce koncového bodu (EDR) v režimu blokování, což je funkce v programu Microsoft Defender for Endpoint. Zkontrolujte klíč registru ForceDefenderPassiveMode . Pokud je jeho hodnota 0, běží v normálním režimu; v opačném případě běží v pasivním režimu.

    • Pasivní režim SxS znamená, že Microsoft Defender Antivirus běží společně s jiným antivirovým/antimalwarovým produktem a používá se omezená pravidelná kontrola.

Tip

Další informace o rutině Get-MpComputerStatus prostředí PowerShell najdete v referenčním článku Get-MpComputerStatus.

Tip

Tip k výkonu Vzhledem k různým faktorům (příklady uvedené níže) může Microsoft Defender Antivirus, stejně jako ostatní antivirový software, způsobovat problémy s výkonem koncových zařízení. V některých případech může být potřeba vyladit výkon Microsoft Defender Antivirové ochrany, aby se tyto problémy s výkonem zmírnily. Analyzátor výkonu od Microsoftu je nástroj příkazového řádku PowerShellu, který pomáhá určit, které soubory, cesty k souborům, procesy a přípony souborů můžou způsobovat problémy s výkonem. Mezi příklady patří:

  • Hlavní cesty, které mají vliv na dobu kontroly
  • Hlavní soubory, které mají vliv na dobu kontroly
  • Hlavní procesy, které mají vliv na dobu kontroly
  • Hlavní přípony souborů, které mají vliv na dobu kontroly
  • Kombinace – například:
    • top files per extension
    • top paths per extension
    • top processes per path
    • top scans per file
    • top scans per file per process

Informace shromážděné pomocí Analyzátoru výkonu můžete použít k lepšímu posouzení problémů s výkonem a k použití nápravných akcí. Viz Analyzátor výkonu pro Microsoft Defender Antivirus.

Získání antivirových/antimalwarových aktualizací

Je důležité udržovat program Microsoft Defender Antivirus (nebo jakékoli antivirové/antimalwarové řešení) aktualizovaný. Microsoft vydává pravidelné aktualizace, které pomáhají zajistit, aby vaše zařízení měla nejnovější technologie pro ochranu před novým malwarem a technikami útoku. Další informace najdete v tématu Správa aktualizací antivirové ochrana v programu Microsoft Defender a použití směrných plánů.

Viz také

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.