Descrição Geral do Antivírus do Microsoft Defender no Windows

Aplica-se a:

  • Planos 1 e 2 do Microsoft Defender para Endpoint
  • Microsoft Defender para Empresas
  • Antivírus do Microsoft Defender

Plataformas

  • Windows

O Antivírus do Microsoft Defender está disponível no Windows 10 e Windows 11 e em versões do Windows Server.

O Antivírus do Microsoft Defender é um componente importante da sua proteção de próxima geração no Microsoft Defender para Ponto Final. Esta proteção reúne machine learning, análise de big data, investigação aprofundada de resistência a ameaças e a infraestrutura da nuvem da Microsoft para proteger dispositivos (ou pontos final) na sua organização. O Antivírus do Microsoft Defender está integrado no Windows e funciona com o Microsoft Defender para Ponto Final para fornecer proteção no seu dispositivo e na nuvem.

Sugestão

Como complemento deste artigo, consulte o nosso guia de configuração do Analisador de Segurança para rever as melhores práticas e aprender a fortalecer as defesas, melhorar a conformidade e navegar no panorama da cibersegurança com confiança. Para uma experiência personalizada com base no seu ambiente, pode aceder ao guia de configuração automatizada do Analisador de Segurança no centro de administração do Microsoft 365.

capacidades do Antivírus do Microsoft Defender

Microsoft Defender Antivírus fornece deteção de anomalias, uma camada de proteção contra software maligno que não se adequa a qualquer padrão predefinido. Monitores de deteção de anomalias para eventos ou ficheiros de criação de processos que são transferidos a partir da Internet. Através da machine learning e da proteção fornecida pela cloud, Microsoft Defender Antivírus podem ficar um passo à frente dos atacantes. A deteção de anomalias está ativada por predefinição e pode ajudar a bloquear ataques como o Alerta de Segurança 3CX para a Aplicação Electron do Windows. Microsoft Defender Antivírus começou a bloquear este software maligno quatro dias antes do ataque ser registado no VirusTotal.

O software maligno moderno requer soluções modernas. Em 2015, o Antivírus do Microsoft Defender afastou-se da utilização de um motor estático baseado em assinaturas para um modelo que utiliza tecnologias preditivas como, por exemplo, machine learning, ciência aplicada e inteligência artificial, pois é isso que é necessário para mantê-lo a si e às suas organizações a salvo da complexidade do atual cenário de malware em constante evolução.

Microsoft Defender Antivírus pode bloquear quase todo o software maligno à primeira vista, em milissegundos.

Também concebemos a nossa solução antivírus para trabalhar em cenários online e offline. Para cenários offline, a inteligência dinâmica mais recente do Graph de Segurança de Inteligência é aprovisionada para o ponto final regularmente ao longo do dia. Quando ligado à cloud, é alimentado com inteligência em tempo real a partir do Gráfico de Segurança Inteligente.

Microsoft Defender o Antivírus também pode parar ameaças com base nos seus comportamentos e processar árvores mesmo quando a ameaça começou a ser executada. Um exemplo comum destes tipos de ataques é software maligno sem ficheiros. As funcionalidades de proteção da próxima geração da Microsoft funcionam em conjunto para identificar e bloquear software maligno com base em comportamentos anormais. Para saber mais, veja Bloqueio comportamental e contenção.

Compatibilidade com outros produtos antivírus

Se estiver a utilizar um produto antivírus/antimalware que não seja da Microsoft no seu dispositivo, poderá conseguir executar o Antivírus do Microsoft Defender em modo passivo juntamente com a solução antivírus não Microsoft. Depende do sistema operativo utilizado e da integração do dispositivo no Defender para Ponto Final. Para saber mais, consulte Compatibilidade do Antivírus do Microsoft Defender.

Microsoft Defender processos e serviços antivírus

A tabela seguinte resume Microsoft Defender processos e serviços antivírus. Pode vê-los no Gestor de Tarefas no Windows.

Processo ou serviço Onde ver o respetivo estado
Microsoft Defender serviço Antivírus Core
(MdCoreSvc)
- Separador Processos : Antimalware Core Service
- Separador Detalhes : MpDefenderCoreService.exe
- Separador Serviços : Microsoft Defender Core Service
serviço Antivírus do Microsoft Defender
(WinDefend)
- Separador Processos : Antimalware Service Executable
- Separador Detalhes : MsMpEng.exe
- Separador Serviços : Microsoft Defender Antivirus
Microsoft Defender Serviço de Inspeção em Tempo Real da Rede antivírus
(WdNisSvc)
- Separador Processos : Microsoft Network Realtime Inspection Service
- Separador Detalhes : NisSrv.exe
- Separador Serviços : Microsoft Defender Antivirus Network Inspection Service
Microsoft Defender utilitário de linha de comandos antivírus - Separador Processos : N/D
- Separador Detalhes : MpCmdRun.exe
- Separador Serviços : N/D
Ferramenta de Configuração da Política de Cliente de Segurança da Microsoft - Separador Processos : N/D
- Separador Detalhes : ConfigSecurityPolicy.exe
- Separador Serviços : N/D

Para saber mais sobre o serviço Microsoft Defender Core, veja Descrição geral do serviço Microsoft Defender Core.

Para a Prevenção de Perda de Dados do Ponto Final da Microsoft (DLP de Ponto Final), a tabela seguinte resume processos e serviços. Pode vê-los no Gestor de Tarefas no Windows.

Processo ou serviço Onde ver o respetivo estado
Serviço DLP do Microsoft Endpoint
(MDDlpSvc)
- Separador Processos : MpDlpService.exe
- Separador Detalhes : MpDlpService.exe
- Separador Serviços : Microsoft Data Loss Prevention Service
Utilitário da linha de comandos DLP do Ponto Final da Microsoft - Separador Processos : N/D
- Separador Detalhes : MpDlpCmd.exe
- Separador Serviços : N/D

Comparar modo ativo, modo passivo e modo desativado

A tabela seguinte descreve o que esperar quando o Antivírus do Microsoft Defender está no modo ativo, passivo ou desativado.

Modo O que acontece
Modo ativo No modo ativo, o Antivírus do Microsoft Defender é utilizado como a aplicação antivírus principal no dispositivo. Os ficheiros são digitalizados, as ameaças são remediadas e as ameaças detetadas são listadas nos relatórios de segurança da sua organização e na sua aplicação de Segurança do Windows.
Modo passivo No modo passivo, Microsoft Defender o Antivírus não é utilizado como a aplicação antivírus principal no dispositivo. Os ficheiros são analisados e as ameaças detetadas são reportadas, mas as ameaças não são remediadas pelo Antivírus Microsoft Defender.

IMPORTANTE: o Antivírus do Microsoft Defender só pode ser executado em modo passivo em pontos final que estão integrados no Microsoft Defender para Ponto Final. Consulte Requisitos para que o Antivírus do Microsoft Defender seja executado no modo passivo.
Desativado ou desinstalado Quando desativado ou desinstalado, não é utilizado Microsoft Defender Antivírus. Os ficheiros não são analisados e as ameaças não são remediadas. Em geral, não recomendamos desativar ou desinstalar Microsoft Defender Antivírus.

Para saber mais, consulte Compatibilidade do Antivírus do Microsoft Defender.

Verificar o estado do Antivírus do Microsoft Defender no seu dispositivo

Pode utilizar um dos vários métodos, como a aplicação Segurança do Windows ou o Windows PowerShell, para verificar o estado do Antivírus do Microsoft Defender no seu dispositivo.

Importante

A partir da versão da plataforma 4.18.2208.0 e posterior: se um servidor tiver sido integrado no Microsoft Defender para Endpoint, a definição de política de grupo "Desativar o Windows Defender" deixará de desativar completamente o Windows Antivírus do Defender no Windows Server 2012 R2 e posterior. Em vez disso, irá colocá-lo no modo passivo. Além disso, a funcionalidade de proteção contra adulteração permitirá mudar para o modo ativo, mas não para o modo passivo.

  • Se a opção "Desativar o Windows Defender" já estiver em vigor antes da integração no Microsoft Defender para Endpoint, não haverá alterações e Antivírus do Defender permanecerão desativadas.
  • Para mudar Antivírus do Defender para o modo passivo, mesmo que tenha sido desativado antes da integração, pode aplicar a configuração ForceDefenderPassiveMode com um valor de 1. Para colocá-lo no modo ativo, altere este valor para 0 .

Tenha em atenção a lógica modificada para ForceDefenderPassiveMode quando a proteção contra adulteração está ativada: assim que Microsoft Defender o Antivírus for ativado, a proteção contra adulteração impedirá que volte ao modo passivo mesmo quando ForceDefenderPassiveMode estiver definido como 1.

Utilizar a aplicação Segurança do Windows para verificar o estado do Antivírus do Microsoft Defender

  1. No seu dispositivo Windows, selecione o menu Iniciar e comece a escrever Security. Em seguida, abra a aplicação Segurança do Windows nos resultados.

  2. Selecione proteção contra vírus e ameaças.

  3. Em Quem está a proteger-me?, escolha Gerir Fornecedores.

Verá o nome da sua solução antivírus/antimalware na página de fornecedores de segurança.

Utilizar o PowerShell para verificar o estado do Antivírus do Microsoft Defender

  1. Selecione o menu Iniciar e comece a escrever PowerShell. Em seguida, abra o Windows PowerShell nos resultados.

  2. Tipo Get-MpComputerStatus.

  3. Na lista de resultados, veja a linha AMRunningMode.

    • Normal significa que o Antivírus do Microsoft Defender está em execução no modo ativo.

    • O modo passivo significa Microsoft Defender Antivírus em execução, mas não é o produto antivírus/antimalware principal no seu dispositivo. O modo passivo só está disponível para dispositivos que estão integrados no Microsoft Defender para Ponto Final e que cumprirem determinados requisitos. Para saber mais, consulte Requirements para que o Antivírus do Microsoft Defender seja executado no modo passivo.

    • EDR Block Mode significa que o Antivírus do Microsoft Defender está em execução e Deteção e resposta de ponto final (EDR) no modo de bloqueio, uma capacidade no Microsoft Defender para Ponto Final, está ativada. Verifique a chave de registo ForceDefenderPassiveMode . Se o respetivo valor for 0, está em execução no modo normal; caso contrário, está em execução no modo passivo.

    • O Modo Passivo SxS significa Microsoft Defender Antivírus está em execução juntamente com outro produto antivírus/antimalware e é utilizada uma análise periódica limitada.

Sugestão

Para saber mais sobre o cmdlet Get-MpComputerStatus do PowerShell, veja o artigo de referência Get-MpComputerStatus.

Sugestão

Sugestão de desempenho Devido a uma variedade de fatores (exemplos listados abaixo) Microsoft Defender o Antivírus, como outro software antivírus, pode causar problemas de desempenho em dispositivos de ponto final. Em alguns casos, poderá ter de ajustar o desempenho do Antivírus Microsoft Defender para aliviar esses problemas de desempenho. O Analisador de Desempenho da Microsoft é uma ferramenta de linha de comandos do PowerShell que ajuda a determinar que ficheiros, caminhos de ficheiros, processos e extensões de ficheiros podem estar a causar problemas de desempenho; alguns exemplos são:

  • Principais caminhos que afetam o tempo de análise
  • Ficheiros principais que afetam o tempo de análise
  • Principais processos que afetam o tempo de análise
  • Principais extensões de ficheiro que afetam o tempo de análise
  • Combinações – por exemplo:
    • ficheiros principais por extensão
    • principais caminhos por extensão
    • principais processos por caminho
    • análises principais por ficheiro
    • principais análises por ficheiro por processo

Pode utilizar as informações recolhidas através do Analisador de desempenho para avaliar melhor os problemas de desempenho e aplicar ações de remediação. Veja: Analisador de desempenho do Antivírus Microsoft Defender.

Obter as atualizações da plataforma antivírus/antimalware

É importante manter o Antivírus do Microsoft Defender (ou qualquer solução antivírus/antimalware) atualizada. A Microsoft lança atualizações regulares para ajudar a garantir que os seus dispositivos têm a tecnologia mais recente para proteger contra novas técnicas de ataque e software malicioso. Para saber mais, consulte Gerir atualizações do Antivírus do Microsoft Defender e aplicar linhas de base.

Consulte também

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.