Panoramica di antivirus Microsoft Defender in Windows

Si applica a:

  • Microsoft Defender per endpoint piani 1 e 2
  • Microsoft Defender for Business
  • Antivirus Microsoft Defender

Piattaforme

  • Windows

Antivirus Microsoft Defender è disponibile in Windows 10 e Windows 11 e nelle versioni di Windows Server.

Antivirus Microsoft Defender è il componente principale della protezione di ultima generazione di Microsoft Defender per endpoint. Questa protezione raggruppa l'apprendimento automatico, l'analisi dei Big Data, la ricerca approfondita sulla resistenza alle minacce e l'infrastruttura cloud Microsoft per proteggere i dispositivi (o gli endpoint) dell'organizzazione. Antivirus Microsoft Defender è integrato in Windows e compatibile con Microsoft Defender per endpoint per garantire al protezione sul dispositivo e nel cloud.

Consiglio

Come complemento di questo articolo, vedere la guida alla configurazione dell'analizzatore della sicurezza per esaminare le procedure consigliate e imparare a rafforzare le difese, migliorare la conformità e esplorare il panorama della sicurezza informatica con fiducia. Per un'esperienza personalizzata basata sull'ambiente in uso, è possibile accedere alla guida alla configurazione automatica di Security Analyzer nel interfaccia di amministrazione di Microsoft 365.

Funzionalità antivirus Microsoft Defender

Microsoft Defender Antivirus fornisce il rilevamento anomalie, un livello di protezione per il malware che non rientra in alcun modello predefinito. Monitoraggio del rilevamento anomalie per gli eventi di creazione del processo o i file scaricati da Internet. Grazie all'apprendimento automatico e alla protezione fornita dal cloud, Microsoft Defender Antivirus può rimanere un passo avanti rispetto agli utenti malintenzionati. Il rilevamento anomalie è attivato per impostazione predefinita e può aiutare a bloccare attacchi come 3CX Security Alert for Electron Windows App. Microsoft Defender Antivirus ha iniziato a bloccare questo malware quattro giorni prima che l'attacco fosse registrato in VirusTotal.

Il malware moderno richiede soluzioni moderne. Nel 2015, Microsoft Defender Antivirus è passato dall'uso di un motore statico basato su firma a un modello che usa tecnologie predittive come machine learning, scienza applicata e intelligenza artificiale, perché questo è ciò che è necessario per proteggere te e le tue organizzazioni dalla complessità del panorama malware in continua evoluzione di oggi.

Microsoft Defender Antivirus può bloccare quasi tutto il malware a prima vista, in millisecondi.

Abbiamo anche progettato la nostra soluzione antivirus per funzionare sia in scenari online che offline. Per gli scenari offline, viene eseguito regolarmente il provisioning dell'intelligence dinamica più recente da Intelligence Security Graph all'endpoint durante il giorno. Quando si connette al cloud, viene alimentata l'intelligence in tempo reale da Intelligent Security Graph.

Microsoft Defender Antivirus può anche arrestare le minacce in base ai loro comportamenti ed elaborare gli alberi anche quando la minaccia ha avviato l'esecuzione. Un esempio comune di questi tipi di attacchi è il malware senza file. Le funzionalità di protezione di nuova generazione di Microsoft interagiscono per identificare e bloccare il malware in base a comportamenti anomali. Per altre informazioni, vedere Blocco e contenimento comportamentali.

Compatibilità con altri prodotti antivirus

Se si sta usando sul dispositivo un antivirus/prodotto antimalware non Microsoft, si potrebbe riuscire ad eseguire Antivirus Microsoft Defender in modalità passiva assieme alla soluzione antivirus non Microsoft. Ciò dipende dal sistema operativo usato e se per il dispositivo è stato eseguito l’onboarding su Defender per endpoint. Per altre informazioni, vedere Compatibilità con Antivirus Microsoft Defender.

Microsoft Defender processi e servizi antivirus

La tabella seguente riepiloga Microsoft Defender processi e servizi antivirus. È possibile visualizzarli in Gestione attività in Windows.

Processo o servizio Dove visualizzarne lo stato
servizio Antivirus Core Microsoft Defender
(MdCoreSvc)
- Scheda Processi : Antimalware Core Service
- Scheda Dettagli : MpDefenderCoreService.exe
- Scheda Servizi : Microsoft Defender Core Service
servizio antivirus Microsoft Defender
(WinDefend)
- Scheda Processi : Antimalware Service Executable
- Scheda Dettagli : MsMpEng.exe
- Scheda Servizi : Microsoft Defender Antivirus
servizio di ispezione in tempo reale della rete antivirus Microsoft Defender
(WdNisSvc)
- Scheda Processi : Microsoft Network Realtime Inspection Service
- Scheda Dettagli : NisSrv.exe
- Scheda Servizi : Microsoft Defender Antivirus Network Inspection Service
utilità della riga di comando di Microsoft Defender Antivirus - Scheda Processi : N/D
- Scheda Dettagli : MpCmdRun.exe
- Scheda Servizi : N/D
Strumento di configurazione dei criteri client di sicurezza Microsoft - Scheda Processi : N/D
- Scheda Dettagli : ConfigSecurityPolicy.exe
- Scheda Servizi : N/D

Per altre informazioni sul servizio Microsoft Defender Core, vedere Microsoft Defender Panoramica del servizio Core.

Per Microsoft Endpoint Data Loss Prevention (Endpoint DLP), la tabella seguente riepiloga i processi e i servizi. È possibile visualizzarli in Gestione attività in Windows.

Processo o servizio Dove visualizzarne lo stato
Servizio Microsoft Endpoint DLP
(MDDlpSvc)
- Scheda Processi : MpDlpService.exe
- Scheda Dettagli : MpDlpService.exe
- Scheda Servizi : Microsoft Data Loss Prevention Service
Utilità da riga di comando DLP di Microsoft Endpoint - Scheda Processi : N/D
- Scheda Dettagli : MpDlpCmd.exe
- Scheda Servizi : N/D

Confronto tra modalità attiva, modalità passiva e modalità di disattivazione

La tabella seguente descrive cosa aspettarsi quando Antivirus Microsoft Defender è in modalità attiva, modalità passiva o è disattivato.

Modalità Effetto
Modalità attiva In modalità attiva, Antivirus Microsoft Defender è usato sul dispositivo come app antivirus primaria. I file sono analizzati, le minacce corrette e le minacce rilevate sono elencate nei report sulla sicurezza dell’organizzazione e nell’app di sicurezza di Windows.
Modalità passiva In modalità passiva, Microsoft Defender Antivirus non viene usato come app antivirus primaria nel dispositivo. I file vengono analizzati e vengono segnalate minacce rilevate, ma le minacce non vengono risolte da Microsoft Defender Antivirus.

IMPORTANTE: Antivirus Microsoft Defender può essere eseguito in modalità passiva solo negli endpoint per cui è stato eseguito l'onboarding su Microsoft Defender per endpoint. Vedere Requisiti per l'esecuzione in modalità passiva di Antivirus Microsoft Defender.
Disattivato o disinstallato Se disabilitato o disinstallato, Microsoft Defender Antivirus non viene usato. I file non vengono analizzati e le minacce non vengono risolte. In generale, non è consigliabile disabilitare o disinstallare Microsoft Defender Antivirus.

Per altre informazioni, vedere Compatibilità con Antivirus Microsoft Defender.

Controllare lo stato di Antivirus Microsoft Defender sul dispositivo

Per controllare lo stato di Antivirus Microsoft Defender sul dispositivo, è possibile usare uno dei diversi metodi, ad esempio l’app di sicurezza di Windows o Windows PowerShell.

Importante

A partire dalla versione 4.18.2208.0 della piattaforma e versioni successive: se è stato eseguito l'onboarding di un server in Microsoft Defender per endpoint, l'impostazione dei criteri di gruppo "Disattiva Windows Defender" non disabiliterà più completamente Windows Antivirus Defender in Windows Server 2012 R2 e versioni successive. Al contrario, lo inserirà in modalità passiva. Inoltre, la funzionalità di protezione antimanomissione consentirà di passare alla modalità attiva, ma non alla modalità passiva.

  • Se "Disattiva Windows Defender" è già attivo prima dell'onboarding in Microsoft Defender per endpoint, non verranno apportate modifiche e Antivirus Defender rimarrà disabilitato.
  • Per passare Antivirus Defender alla modalità passiva, anche se è stato disabilitato prima dell'onboarding, è possibile applicare la configurazione ForceDefenderPassiveMode con un valore di 1. Per posizionarlo in modalità attiva, impostare invece questo valore su 0 .

Si noti la logica modificata per ForceDefenderPassiveMode quando è abilitata la protezione da manomissione: una volta che Microsoft Defender Antivirus è stato attivato, la protezione da manomissione impedirà il ripristino in modalità passiva anche quando ForceDefenderPassiveMode è impostato su 1.

Usare l’app di sicurezza di Windows per controllare lo stato di Antivirus Microsoft Defender.

  1. Sul dispositivo Windows, selezionare il menu Start e iniziare a digitare Security. Quindi aprire l’app di sicurezza di Windows nei risultati.

  2. Selezionare Protezione da virus e minacce.

  3. In Chi mi protegge? scegliere Gestisci provider.

Verrà visualizzato il nome della soluzione antivirus/antimalware nella pagina dei provider di sicurezza.

Usare PowerShell per controllare lo stato di Antivirus Microsoft Defender

  1. Selezionare il menu Start e iniziare a digitare PowerShell. Quindi aprire Windows PowerShell nei risultati.

  2. Tipo Get-MpComputerStatus.

  3. Nell’elenco dei risultati, osservare la riga AMRunningMode.

    • Normale indica che Antivirus Microsoft Defender è in esecuzione in modalità attiva.

    • La modalità passiva indica Microsoft Defender antivirus in esecuzione, ma non è il prodotto antivirus/antimalware primario nel dispositivo. La modalità passiva è disponibile solo per i dispositivi per cui è stato eseguito l'onboarding su Microsoft Defender per endpoint e che soddisfano determinati requisiti. Per altre informazioni, vedere Requisiti per l'esecuzione in modalità passiva di Antivirus Microsoft Defender.

    • Modalità di blocco EDR indica che Antivirus Microsoft Defender è in esecuzione e che Endpoint detection and response (EDR) in modalità di blocco, una funzionalità di Microsoft Defender per endpoint, è abilitato. Controllare la chiave del Registro di sistema ForceDefenderPassiveMode . Se il valore è 0, viene eseguito in modalità normale; in caso contrario, è in esecuzione in modalità passiva.

    • La modalità passiva SxS significa che Microsoft Defender antivirus è in esecuzione insieme a un altro prodotto antivirus/antimalware e viene usata una scansione periodica limitata.

Consiglio

Per ulteriori informazioni sul cmdlet Get-MpComputerStatus PowerShell, consultare l’articolo di riferimento Get-MpComputerStatus.

Consiglio

Suggerimento per le prestazioni A causa di una serie di fattori (esempi elencati di seguito) Microsoft Defender Antivirus, come altri software antivirus, può causare problemi di prestazioni nei dispositivi endpoint. In alcuni casi, potrebbe essere necessario ottimizzare le prestazioni di Microsoft Defender Antivirus per ridurre tali problemi di prestazioni. Analizzatore prestazioni di Microsoft è uno strumento da riga di comando di PowerShell che consente di determinare quali file, percorsi di file, processi ed estensioni di file potrebbero causare problemi di prestazioni; Alcuni esempi sono:

  • Percorsi principali che influiscono sul tempo di analisi
  • File principali che influiscono sul tempo di analisi
  • Principali processi che influiscono sul tempo di analisi
  • Principali estensioni di file che influiscono sul tempo di analisi
  • Combinazioni, ad esempio:
    • file principali per estensione
    • percorsi principali per estensione
    • processi principali per percorso
    • analisi principali per file
    • analisi principali per file per processo

È possibile usare le informazioni raccolte tramite Analizzatore prestazioni per valutare meglio i problemi di prestazioni e applicare azioni correttive. Vedere: Analizzatore prestazioni per Microsoft Defender Antivirus.

Ottenere gli aggiornamenti per la piattaforma antivirus/antimalware

È importante tenere aggiornato Antivirus Microsoft Defender (o qualsiasi soluzione antivirus/antimalware in uso). Microsoft rilascia aggiornamenti periodici per garantire che i dispositivi dispongano della tecnologia più recente per la protezione contro i nuovi malware e le tecniche di attacco più recenti. Per ulteriori informazioni, vedere Gestire gli aggiornamenti in Antivirus Microsoft Defender e applicare i valori di riferimento.

Vedere anche

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.