Descrição Geral do Antivírus do Microsoft Defender no Windows

Aplica-se a:

  • Planos 1 e 2 do Microsoft Defender para Endpoint
  • Microsoft Defender para Empresas
  • Antivírus do Microsoft Defender

Plataformas

  • Windows

O Antivírus do Microsoft Defender está disponível no Windows 10 e Windows 11 e em versões do Windows Server.

O Antivírus do Microsoft Defender é um componente importante da sua proteção de próxima geração no Microsoft Defender para Ponto Final. Esta proteção reúne machine learning, análise de big data, investigação aprofundada de resistência a ameaças e a infraestrutura da nuvem da Microsoft para proteger dispositivos (ou pontos final) na sua organização. O Antivírus do Microsoft Defender está integrado no Windows e funciona com o Microsoft Defender para Ponto Final para fornecer proteção no seu dispositivo e na nuvem.

capacidades do Antivírus do Microsoft Defender

Microsoft Defender Antivírus fornece deteção de anomalias, uma camada de proteção contra software maligno que não se adequa a qualquer padrão predefinido. Monitores de deteção de anomalias para eventos ou ficheiros de criação de processos que são transferidos a partir da Internet. Através da machine learning e da proteção fornecida pela cloud, Microsoft Defender Antivírus podem ficar um passo à frente dos atacantes. A deteção de anomalias está ativada por predefinição e pode ajudar a bloquear ataques como o Alerta de Segurança 3CX para a Aplicação Electron do Windows. Microsoft Defender Antivírus começou a bloquear este software maligno quatro dias antes do ataque ser registado no VirusTotal.

O software maligno moderno requer soluções modernas. Em 2015, o Antivírus do Microsoft Defender afastou-se da utilização de um motor estático baseado em assinaturas para um modelo que utiliza tecnologias preditivas como, por exemplo, machine learning, ciência aplicada e inteligência artificial, pois é isso que é necessário para mantê-lo a si e às suas organizações a salvo da complexidade do atual cenário de malware em constante evolução.

Microsoft Defender Antivírus pode bloquear quase todo o software maligno à primeira vista, em milissegundos.

Também concebemos a nossa solução antivírus para trabalhar em cenários online e offline. Para cenários offline, a inteligência dinâmica mais recente do Graph de Segurança de Inteligência é aprovisionada para o ponto final regularmente ao longo do dia. Quando ligado à cloud, é alimentado com inteligência em tempo real a partir do Gráfico de Segurança Inteligente.

Microsoft Defender o Antivírus também pode parar ameaças com base nos seus comportamentos e processar árvores mesmo quando a ameaça começou a ser executada. Um exemplo comum destes tipos de ataques é software maligno sem ficheiros. As funcionalidades de proteção da próxima geração da Microsoft funcionam em conjunto para identificar e bloquear software maligno com base em comportamentos anormais. Para saber mais, veja Bloqueio comportamental e contenção.

Compatibilidade com outros produtos antivírus

Se estiver a utilizar um produto antivírus/antimalware que não seja da Microsoft no seu dispositivo, poderá conseguir executar o Antivírus do Microsoft Defender em modo passivo juntamente com a solução antivírus não Microsoft. Depende do sistema operativo utilizado e da integração do dispositivo no Defender para Ponto Final. Para saber mais, consulte Compatibilidade do Antivírus do Microsoft Defender.

Microsoft Defender processos e serviços antivírus

A tabela seguinte resume Microsoft Defender processos e serviços antivírus. Pode vê-los no Gestor de Tarefas no Windows.

Processo ou serviço Onde ver o respetivo estado
Microsoft Defender serviço Antivírus Core
(MdCoreSvc)
- Separador Processos : Antimalware Core Service
- Separador Detalhes : MpDefenderCoreService.exe
- Separador Serviços : Microsoft Defender Core Service
serviço Antivírus do Microsoft Defender
(WinDefend)
- Separador Processos : Antimalware Service Executable
- Separador Detalhes : MsMpEng.exe
- Separador Serviços : Microsoft Defender Antivirus
Microsoft Defender Serviço de Inspeção em Tempo Real da Rede antivírus
(WdNisSvc)
- Separador Processos : Microsoft Network Realtime Inspection Service
- Separador Detalhes : NisSrv.exe
- Separador Serviços : Microsoft Defender Antivirus Network Inspection Service
Microsoft Defender utilitário de linha de comandos antivírus - Separador Processos : N/D
- Separador Detalhes : MpCmdRun.exe
- Separador Serviços : N/D
Ferramenta de Configuração da Política de Cliente de Segurança da Microsoft - Separador Processos : N/D
- Separador Detalhes : ConfigSecurityPolicy.exe
- Separador Serviços : N/D

Para a Prevenção de Perda de Dados do Ponto Final da Microsoft (DLP de Ponto Final), a tabela seguinte resume processos e serviços. Pode vê-los no Gestor de Tarefas no Windows.

Processo ou serviço Onde ver o respetivo estado
Serviço DLP do Microsoft Endpoint
(MDDlpSvc)
- Separador Processos : MpDlpService.exe
- Separador Detalhes : MpDlpService.exe
- Separador Serviços : Microsoft Data Loss Prevention Service
Utilitário da linha de comandos DLP do Ponto Final da Microsoft - Separador Processos : N/D
- Separador Detalhes : MpDlpCmd.exe
- Separador Serviços : N/D

serviço Microsoft Defender Core

Para melhorar a sua experiência de segurança de ponto final, a Microsoft está a lançar o serviço Microsoft Defender Core para ajudar na estabilidade e no desempenho do Antivírus Microsoft Defender. Para os clientes que estão a utilizar a Prevenção de Perda de Dados do Ponto Final da Microsoft nos setores de pequenas, médias e grandes empresas, a Microsoft está a dividir a base de código para o seu próprio serviço.

O serviço Microsoft Defender Core está a ser lançado com Microsoft Defender versão 4.18.23110.2009 da plataforma Antivírus.

  • A implementação começa em novembro de 2023 para pré-lançamento de clientes, com planos de lançamento para todos os clientes empresariais nos próximos meses.

  • Os clientes empresariais devem permitir os seguintes URLs:

    • *.events.data.microsoft.com
    • *.endpoint.security.microsoft.com
    • *.ecs.office.com
  • Os clientes do Enterprise U.S. Government devem permitir os seguintes URLs:

    • *.events.data.microsoft.com
    • *.endpoint.security.microsoft.us (GCC-H & DoD)
    • *.gccmod.ecs.office.com (GCC-M)
    • *.config.ecs.gov.teams.microsoft.us (GCC-H)
    • *.config.ecs.dod.teams.microsoft.us (DoD)
  • Se estiver a utilizar o Controlo de Aplicações para Windows ou estiver a executar software antivírus ou de deteção e resposta de pontos finais não Microsoft, certifique-se de que adiciona os processos mencionados anteriormente à sua lista de permissões.

  • Os consumidores não precisam de tomar medidas para se prepararem.

Comparar modo ativo, modo passivo e modo desativado

A tabela seguinte descreve o que esperar quando o Antivírus do Microsoft Defender está no modo ativo, passivo ou desativado.

Modo O que acontece
Modo ativo No modo ativo, o Antivírus do Microsoft Defender é utilizado como a aplicação antivírus principal no dispositivo. Os ficheiros são digitalizados, as ameaças são remediadas e as ameaças detetadas são listadas nos relatórios de segurança da sua organização e na sua aplicação de Segurança do Windows.
Modo passivo No modo passivo, o Antivírus do Microsoft Defender não é utilizado como a aplicação antivírus principal no dispositivo. Os ficheiros são digitalizados e as ameaças detetadas são reportadas, mas as ameaças não são remediadas pelo Antivírus do Microsoft Defender.

IMPORTANTE: o Antivírus do Microsoft Defender só pode ser executado em modo passivo em pontos final que estão integrados no Microsoft Defender para Ponto Final. Consulte Requisitos para que o Antivírus do Microsoft Defender seja executado no modo passivo.
Desativado ou desinstalado Quando desativado ou desinstalado, o Antivírus do Microsoft Defender não é utilizado. Os ficheiros não são digitalizados e as ameaças não são remediadas. Em geral, não recomendamos a desativação ou desinstalação do Antivírus do Microsoft Defender.

Para saber mais, consulte Compatibilidade do Antivírus do Microsoft Defender.

Verificar o estado do Antivírus do Microsoft Defender no seu dispositivo

Pode utilizar um dos vários métodos, como a aplicação Segurança do Windows ou o Windows PowerShell, para verificar o estado do Antivírus do Microsoft Defender no seu dispositivo.

Importante

A partir da plataforma versão 4.18.2208.0 e posterior: se um servidor tiver sido integrado no Microsoft Defender para Endpoint, a definição de política de grupo "Desativar Windows Defender" deixará de desativar completamente Windows Defender Antivírus ativada Windows Server 2012 R2 e posterior. Em vez disso, irá colocá-lo no modo passivo. Além disso, a funcionalidade de proteção contra adulteração permitirá mudar para o modo ativo, mas não para o modo passivo.

  • Se a opção "Desativar Windows Defender" já estiver em vigor antes da inclusão no Microsoft Defender para Endpoint, não haverá alterações e o Antivírus do Defender permanecerá desativado.
  • Para mudar o Antivírus do Defender para o modo passivo, mesmo que tenha sido desativado antes da integração, pode aplicar a configuração ForceDefenderPassiveMode com um valor de 1. Para colocá-lo no modo ativo, altere este valor para 0 .

Tenha em atenção a lógica modificada para ForceDefenderPassiveMode quando a proteção contra adulteração está ativada: assim que Microsoft Defender o Antivírus for ativado, a proteção contra adulteração impedirá que volte ao modo passivo mesmo quando ForceDefenderPassiveMode estiver definido como 1.

Utilizar a aplicação Segurança do Windows para verificar o estado do Antivírus do Microsoft Defender

  1. No seu dispositivo Windows, selecione o menu Iniciar e comece a escrever Security. Em seguida, abra a aplicação Segurança do Windows nos resultados.

  2. Selecione proteção contra vírus e ameaças.

  3. Em Quem está a proteger-me?, escolha Gerir Fornecedores.

Verá o nome da sua solução antivírus/antimalware na página de fornecedores de segurança.

Utilizar o PowerShell para verificar o estado do Antivírus do Microsoft Defender

  1. Selecione o menu Iniciar e comece a escrever PowerShell. Em seguida, abra o Windows PowerShell nos resultados.

  2. Tipo Get-MpComputerStatus.

  3. Na lista de resultados, veja a linha AMRunningMode.

    • Normal significa que o Antivírus do Microsoft Defender está em execução no modo ativo.

    • Modo passivo significa que o Antivírus do Microsoft Defender está em execução, mas não é o produto antivírus/antimalware primário no seu dispositivo. O modo passivo só está disponível para dispositivos que estão integrados no Microsoft Defender para Ponto Final e que cumprirem determinados requisitos. Para saber mais, consulte Requirements para que o Antivírus do Microsoft Defender seja executado no modo passivo.

    • EDR Block Mode significa que o Antivírus do Microsoft Defender está em execução e Deteção e resposta de ponto final (EDR) no modo de bloqueio, uma capacidade no Microsoft Defender para Ponto Final, está ativada. Verifique a chave de registo ForceDefenderPassiveMode . Se o respetivo valor for 0, está em execução no modo normal; caso contrário, está em execução no modo passivo.

    • O Modo Passivo SxS significa Microsoft Defender Antivírus está em execução juntamente com outro produto antivírus/antimalware e é utilizada uma análise periódica limitada.

Sugestão

Para saber mais sobre o cmdlet Get-MpComputerStatus do PowerShell, veja o artigo de referência Get-MpComputerStatus.

Sugestão

Sugestão de desempenho Devido a uma variedade de fatores (exemplos listados abaixo) Microsoft Defender o Antivírus, como outro software antivírus, pode causar problemas de desempenho em dispositivos de ponto final. Em alguns casos, poderá ter de ajustar o desempenho do Antivírus Microsoft Defender para aliviar esses problemas de desempenho. O Analisador de Desempenho da Microsoft é uma ferramenta de linha de comandos do PowerShell que ajuda a determinar que ficheiros, caminhos de ficheiros, processos e extensões de ficheiros podem estar a causar problemas de desempenho; alguns exemplos são:

  • Principais caminhos que afetam o tempo de análise
  • Ficheiros principais que afetam o tempo de análise
  • Principais processos que afetam o tempo de análise
  • Principais extensões de ficheiro que afetam o tempo de análise
  • Combinações – por exemplo:
    • ficheiros principais por extensão
    • principais caminhos por extensão
    • principais processos por caminho
    • análises principais por ficheiro
    • principais análises por ficheiro por processo

Pode utilizar as informações recolhidas através do Analisador de desempenho para avaliar melhor os problemas de desempenho e aplicar ações de remediação. Veja: Analisador de desempenho do Antivírus Microsoft Defender.

Obter as atualizações da plataforma antivírus/antimalware

É importante manter o Antivírus do Microsoft Defender (ou qualquer solução antivírus/antimalware) atualizada. A Microsoft lança atualizações regulares para ajudar a garantir que os seus dispositivos têm a tecnologia mais recente para proteger contra novas técnicas de ataque e software malicioso. Para saber mais, consulte Gerir atualizações do Antivírus do Microsoft Defender e aplicar linhas de base.

Consulte também

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.