Vue d’ensemble de l’antivirus Microsoft Defender dans Windows

S’applique à :

  • Plans 1 et 2 de Microsoft Defender pour points de terminaison
  • Microsoft Defender pour les PME
  • Antivirus Microsoft Defender

Plateformes

  • Windows

L’Antivirus Microsoft Defender est disponible dans Windows 10 et Windows 11, et dans les versions de Windows Server.

Antivirus Microsoft Defender est un composant majeur de votre protection nouvelle génération dans Microsoft Defender pour point de terminaison. Cette protection regroupe le Machine Learning, l’analyse big data, la recherche approfondie sur la résistance aux menaces et l’infrastructure cloud Microsoft pour protéger les appareils (ou les points de terminaison) de votre organisation. Antivirus Microsoft Defender est intégré à Windows et fonctionne avec Microsoft Defender pour point de terminaison pour fournir une protection sur votre appareil et dans le cloud.

Conseil

En complément de cet article, consultez notre guide de configuration de l’analyseur de sécurité pour passer en revue les meilleures pratiques et apprendre à fortifier les défenses, à améliorer la conformité et à naviguer dans le paysage de la cybersécurité en toute confiance. Pour une expérience personnalisée basée sur votre environnement, vous pouvez accéder au guide de configuration automatisée de Security Analyzer dans le Centre d’administration Microsoft 365.

Fonctionnalités antivirus Microsoft Defender

Microsoft Defender Antivirus fournit la détection des anomalies, une couche de protection contre les programmes malveillants qui ne correspond à aucun modèle prédéfini. La détection d’anomalie surveille les événements de création de processus ou les fichiers téléchargés à partir d’Internet. Grâce au Machine Learning et à la protection fournie par le cloud, Microsoft Defender Antivirus peut avoir une longueur d’avance sur les attaquants. La détection d’anomalie est activée par défaut et peut aider à bloquer les attaques telles que l’alerte de sécurité 3CX pour l’application Windows Electron. Microsoft Defender Antivirus a commencé à bloquer ce programme malveillant quatre jours avant l’enregistrement de l’attaque dans VirusTotal.

Les programmes malveillants modernes nécessitent des solutions modernes. En 2015, Microsoft Defender Antivirus est passé d’un moteur statique basé sur des signatures à un modèle qui utilise des technologies prédictives telles que le machine learning, la science appliquée et l’intelligence artificielle, car c’est ce qui est nécessaire pour vous protéger, vous et vos organisations, de la complexité du paysage des programmes malveillants en constante évolution.

Microsoft Defender Antivirus peut bloquer presque tous les programmes malveillants à la première consultation, en millisecondes.

Nous avons également conçu notre solution antivirus pour fonctionner dans des scénarios en ligne et hors connexion. Pour les scénarios hors connexion, l’intelligence dynamique la plus récente du graphe de sécurité du renseignement est approvisionnée régulièrement sur le point de terminaison tout au long de la journée. Lorsqu’il est connecté au cloud, il est alimenté en temps réel par intelligent Security Graph.

Microsoft Defender antivirus peut également arrêter les menaces en fonction de leurs comportements et des arborescences de processus, même lorsque la menace a commencé l’exécution. Un exemple courant de ces types d’attaques est un programme malveillant sans fichier. Les fonctionnalités de protection nouvelle génération de Microsoft fonctionnent ensemble pour identifier et bloquer les programmes malveillants en fonction d’un comportement anormal. Pour plus d’informations, consultez Blocage comportemental et confinement.

Compatibilité avec d’autres produits antivirus

Si vous utilisez un produit antivirus/anti-programme malveillant non Microsoft sur votre appareil, vous pourrez peut-être exécuter Antivirus Microsoft Defender en mode passif en même temps que la solution antivirus non-Microsoft. Cela dépend du système d’exploitation utilisé et de l’intégration de votre appareil à Defender pour point de terminaison. Pour plus d’informations, consultez Compatibilité Antivirus Microsoft Defender.

processus et services antivirus Microsoft Defender

Le tableau suivant récapitule Microsoft Defender processus et services antivirus. Vous pouvez les afficher dans le Gestionnaire des tâches dans Windows.

Processus ou service Où afficher son status
Microsoft Defender Antivirus Core service
(MdCoreSvc)
- Onglet Processus : Antimalware Core Service
- Onglet Détails : MpDefenderCoreService.exe
- Onglet Services : Microsoft Defender Core Service
service antivirus Microsoft Defender
(WinDefend)
- Onglet Processus : Antimalware Service Executable
- Onglet Détails : MsMpEng.exe
- Onglet Services : Microsoft Defender Antivirus
service d’inspection en temps réel du réseau antivirus Microsoft Defender
(WdNisSvc)
- Onglet Processus : Microsoft Network Realtime Inspection Service
- Onglet Détails : NisSrv.exe
- Onglet Services : Microsoft Defender Antivirus Network Inspection Service
utilitaire de ligne de commande antivirus Microsoft Defender - Onglet Processus : N/A
- Onglet Détails : MpCmdRun.exe
- Onglet Services : N/A
Outil de configuration de la stratégie cliente Microsoft Security - Onglet Processus : N/A
- Onglet Détails : ConfigSecurityPolicy.exe
- Onglet Services : N/A

Pour en savoir plus sur le service Microsoft Defender Core, consultez vue d’ensemble du service Microsoft Defender Core.

Pour la protection contre la perte de données de point de terminaison Microsoft (DLP de point de terminaison), le tableau suivant récapitule les processus et les services. Vous pouvez les afficher dans le Gestionnaire des tâches dans Windows.

Processus ou service Où afficher son status
Service DLP de point de terminaison Microsoft
(MDDlpSvc)
- Onglet Processus : MpDlpService.exe
- Onglet Détails : MpDlpService.exe
- Onglet Services : Microsoft Data Loss Prevention Service
Utilitaire de ligne de commande DLP Microsoft Endpoint - Onglet Processus : N/A
- Onglet Détails : MpDlpCmd.exe
- Onglet Services : N/A

Comparaison du mode actif, du mode passif et du mode désactivé

Le tableau suivant décrit à quoi s’attendre lorsque Antivirus Microsoft Defender est en mode actif, passif ou désactivé.

Mode Action exécutée
Mode actif En mode actif, Antivirus Microsoft Defender est utilisé comme application antivirus principale sur l’appareil. Les fichiers sont analysés, les menaces corrigées et les menaces détectées sont répertoriées dans les rapports de sécurité de votre organisation et dans votre application Sécurité Windows.
Mode passif En mode passif, Microsoft Defender Antivirus n’est pas utilisé comme application antivirus principale sur l’appareil. Les fichiers sont analysés et les menaces détectées sont signalées, mais les menaces ne sont pas corrigées par Microsoft Defender Antivirus.

IMPORTANT : Microsoft Defender Antivirus peut fonctionner en mode passif uniquement sur les points d'extrémité qui sont intégrés à Microsoft Defender pour point de terminaison. Voir Configuration requise pour que Microsoft Defender Antivirus fonctionne en mode passif .
Désactivé ou désinstallé Lorsqu’il est désactivé ou désinstallé, Microsoft Defender Antivirus n’est pas utilisé. Les fichiers ne sont pas analysés et les menaces ne sont pas corrigées. En général, nous vous déconseillons de désactiver ou de désinstaller Microsoft Defender Antivirus.

Pour plus d’informations, consultez Compatibilité Antivirus Microsoft Defender.

Vérifier l’état des Antivirus Microsoft Defender sur votre appareil

Vous pouvez utiliser l’une des différentes méthodes, telles que l’application Sécurité Windows ou Windows PowerShell, pour vérifier l’état de Antivirus Microsoft Defender sur votre appareil.

Importante

À compter de la version de plateforme 4.18.2208.0 et ultérieures : si un serveur a été intégré à Microsoft Defender pour point de terminaison, le paramètre de stratégie de groupe « Désactiver Windows Defender » ne désactive plus complètement Windows Defender Antivirus sur Windows Server 2012 R2 et versions ultérieures. Au lieu de cela, il le place en mode passif. En outre, la fonctionnalité de protection contre les falsifications permet de passer en mode actif, mais pas en mode passif.

  • Si « Désactiver Windows Defender » est déjà en place avant l’intégration à Microsoft Defender pour point de terminaison, aucune modification n’est apportée et Defender Antivirus reste désactivée.
  • Pour basculer Defender Antivirus en mode passif, même s’il a été désactivé avant l’intégration, vous pouvez appliquer la configuration ForceDefenderPassiveMode avec la valeur 1. Pour la placer en mode actif, basculez cette valeur sur à la 0 place.

Notez la logique modifiée pour ForceDefenderPassiveMode l’activation de la protection contre les falsifications : une fois que Microsoft Defender antivirus est basculé en mode actif, la protection contre les falsifications l’empêche de revenir en mode passif, même lorsque ForceDefenderPassiveMode est défini sur 1.

Utiliser l’application Sécurité Windows pour vérifier l’état de Antivirus Microsoft Defender

  1. Sur votre appareil Windows, sélectionnez le menu Démarrer et commencez à taper Security. Ouvrez ensuite l’application Sécurité Windows dans les résultats.

  2. Sélectionnez Protection contre les virus et les menaces.

  3. Sous Qui me protège ?, choisissez Gérer les fournisseurs.

Le nom de votre solution antivirus/anti-programme malveillant apparaît sur la page des paramètres.

Utiliser PowerShell pour vérifier l’état de Antivirus Microsoft Defender

  1. Sélectionnez le menu Démarrer, puis commencez à taper PowerShell. Ouvrez ensuite Windows PowerShell dans les résultats.

  2. Tapez Get-MpComputerStatus.

  3. Dans la liste des résultats, examinez la ligne AMRunningMode.

    • Normal signifie que Antivirus Microsoft Defender s’exécute en mode actif.

    • Le mode passif signifie Microsoft Defender antivirus en cours d’exécution, mais n’est pas le produit antivirus/anti-programme malveillant principal sur votre appareil. Le mode passif est uniquement disponible pour les appareils qui sont intégrés à Microsoft Defender pour point de terminaison et qui répondent à certaines exigences. Pour en savoir plus, voir Configuration requise pour que Microsoft Defender Antivirus fonctionne en mode passif .

    • Le mode de blocage EDR signifie que Antivirus Microsoft Defender est en cours d’exécution et qu’une fonctionnalité de Microsoft Defender pour point de terminaison appelée EDR en mode bloc est activée. Vérifiez la clé de Registre ForceDefenderPassiveMode . Si sa valeur est 0, il s’exécute en mode normal ; sinon, il s’exécute en mode passif.

    • Le mode passif SxS signifie Microsoft Defender antivirus s’exécute en même temps qu’un autre produit antivirus/anti-programme malveillant, et une analyse périodique limitée est utilisée.

Conseil

Pour en savoir plus sur l’applet de commande PowerShell Get-MpComputerStatus, consultez l’article de référence Get-MpComputerStatus.

Conseil

Conseil sur les performances En raison de divers facteurs (exemples répertoriés ci-dessous), Microsoft Defender Antivirus, comme d’autres logiciels antivirus, peut entraîner des problèmes de performances sur les appareils de point de terminaison. Dans certains cas, vous devrez peut-être régler les performances de Microsoft Defender Antivirus pour atténuer ces problèmes de performances. L’analyseur de performances de Microsoft est un outil en ligne de commande PowerShell qui permet de déterminer quels fichiers, chemins d’accès de fichiers, processus et extensions de fichier peuvent être à l’origine de problèmes de performances . voici quelques exemples :

  • Principaux chemins d’accès qui ont un impact sur la durée d’analyse
  • Principaux fichiers qui ont un impact sur la durée de l’analyse
  • Principaux processus qui ont un impact sur le temps d’analyse
  • Principales extensions de fichier qui ont un impact sur la durée de l’analyse
  • Combinaisons : par exemple :
    • fichiers principaux par extension
    • principaux chemins d’accès par extension
    • principaux processus par chemin d’accès
    • principales analyses par fichier
    • principales analyses par fichier et par processus

Vous pouvez utiliser les informations collectées à l’aide de l’Analyseur de performances pour mieux évaluer les problèmes de performances et appliquer des actions de correction. Consultez : Analyseur de performances pour Microsoft Defender Antivirus.

Obtenir les mises à jour de votre plateforme antivirus/anti-programme malveillant

Il est important de maintenir à jour Antivirus Microsoft Defender (ou toute solution antivirus/anti-programme malveillant). Microsoft publie régulièrement des mises à jour pour vous assurer que vos appareils disposent des dernières technologies pour se protéger contre les nouveaux programmes malveillants et techniques d’attaque. Pour plus d’informations, consultez Gérer les mises à jour Antivirus Microsoft Defender et appliquer des lignes de base.

Voir aussi

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.