Microsoft Defender – встроенный антивирус Windows 11
В антивирусе Microsoft Defender предусмотрено 4 вида сканирования: быстрое, полное, настраиваемое и автономное. Автономное сканирование рассмотрено в статье Защита компьютера Windows 11 с помощью автономного модуля Microsoft Defender.
Быстрая проверка
Быстрое сканирование позволяет просмотреть базовые объекты, в которых наиболее часто обнаруживается вредоносное ПО (ключи реестра, отдельные папки ОС MS Windows 11). В большинстве случаев используется быстрая проверка.
Полное сканирование
Полное сканирование начинается с быстрого сканирования, а затем производится последовательная проверка всех файлов установленных носителей.
Полное сканирование может занять значительное время и зависит от количества и типа проверяемых данных.
Настраиваемое сканирование
Это быстрое сканирование, которое выполняется для директорий, указанных пользователем.
Настройка сканирования через графический интерфейс ОС MS Windows 11
- Открыть меню Пуск > Параметры
- Конфиденциальность и защита > Безопасность Windows
Рис.1 Раздел Конфиденциальность и защита
- Выбрать Защита от вирусов и угроз
Рис.2 Раздел Безопасность Windows
- В разделе Текущие угрозы выбрать Параметры сканирования
Рис.3 Раздел Защита от вирусов и угроз
- Выбрать один из 4 вариантов проверки и нажать кнопку Выполнить сканирование сейчас
Рис.4 Выбор варианта сканирования
Настройка сканирования с использованием командной строки в ОС MS Windows 11
Выполнить сканирование системы можно с помощью командной строки, выбрав один из трех режимов сканирования антивируса:
/ScanType 1 – быстрое сканирование
/ScanType 2 – полное сканирование
/ScanType 3 – пользовательское сканирование с указанием директорий, которые необходимо сканировать.
- Запустить командную строку от имени администратора
- Пуск > Все приложения
- Инструменты Windows
- Выбрать ПКМ командную строку и в контекстном меню выбрать Запуск от имени администратора
"%ProgramFiles%\Windows Defender\MpCmdRun.exe" /Scan /ScanType 1
Рис.5 Запуск быстрого сканирования с использованием командной строки
- Если необходимо выполнить полное сканирование, достаточно заменить в приведенной выше команде 1 на 2.
- Если необходимо выполнить пользовательское сканирование с указанием директории, которую необходимо проверить, ввести следующую команду
"%ProgramFiles%\Windows Defender\MpCmdRun.exe" /Scan /ScanType 3 /File "C:\Users\Admin\Desktop\TEST"
Рис.6 Запуск сканирования определенной директории с использованием командной строки
Настройка исключений для сканирования в антивирусе Microsoft Defender
Отдельные файлы, папки, процессы можно исключить из процедуры сканирования антивируса.
В данном примере статьи будет настроено исключение для проверки отдельной папки exceptions. Рационально создать отдельную директорию, где будут хранится файлы, которые по мнению пользователя являются безопасными, но могут быть удалены антивирусом Microsoft Defender. Чтобы данные файлы автоматически при сканировании системы не помещались в карантин, целесообразно настроить заранее исключения.
- Открыть Параметры >Защита от вирусов и угроз
- В разделе Параметры защиты от вирусов и других угроз выбрать Управление настройками
Рис.7 Раздел Параметры защиты от вирусов и других угроз
- В разделе Исключения выбрать Добавление или удаление исключений
Рис.8 Раздел Исключения
- Нажать Добавить исключение и выбрать в раскрывающемся списке добавляемый элемент
Рис.9 Добавление исключений для проверок антивирусной программы Microsoft Defender
- Указать путь к добавляемому элементу
После выполненных манипуляций можно добавлять в данную папку файлы, которые в автоматическом режиме будут исключены при сканировании Microsoft Defender.
Журнал защиты антивируса Windows 11
В журнале защиты отображается информация об обнаружениях антивирусной программы Microsoft Defender с детальной информацией об угрозах, а также возможностью выбрать действия, которые будут применены к заблокированному элементу.
При обнаружении угрозы в журнале событий можно выбрать действие, которое необходимо применить к заблокированному элементу, а именно Удалить, Поместить в карантин или Разрешить на устройстве.
- Удалить – заблокированный элемент безвозвратно удаляется из системы
- Поместить в карантин – заблокированный элемент перемещается в папку Карантин, доступ к элементу блокируется.
- Разрешить на устройстве – заблокированный элемент будет восстановлен в директории, где ранее находился.
Восстановление элементов, заблокированных антивирусом Microsoft Defender
- Открыть Параметры >Конфиденциальность и защита > Защита от вирусов и угроз
- Открыть Журнал защиты и выбрать элемент, который необходимо восстановить
- В меню действия выбрать Восстановить
Рис.10 Восстановление заблокированного элемента
При выборе действия Восстановить, заблокированный элемент будет восстановлен, а информация о нем будет отображаться в разделе Разрешенные угрозы.
Рис.11 Разрешенные угрозы
- Если элемент был удален, в меню действия необходимо выбрать Разрешить
Рис.12 Восстановление удаленного элемента
- В случае, если при обнаружении угрозы требуется принять меры, необходимо раскрыть меню Действие и выбрать Разрешить на устройстве
Рис.13 Выбор действия при обнаружении угрозы
Очистка Журнала защиты
Если в системе не фиксировались угрозы, то журнал будет полностью пустым. В ином случае журнал заполняется и может возникнуть необходимость его очистить, так как по умолчанию в автоматическом режиме информация об обнаруженных угрозах удаляется спустя 15 дней.
- Открыть проводник
- Перейти в директорию
C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service
- Очистить содержимое папки Service, либо ее удалить. При появлении информации в журнале о новой угрозе, папка автоматически будет создана.
Рис.14 Очистка журнала защиты Microsoft Defender
Изменение периода автоматической очистки журнала защиты.
- Запустить Windows Terminal от имени администратора, кликнув ПКМ по кнопке Пуск и выбрав Windows Terminal (Admin)
- Для отображения текущих настроек Microsoft Defender, в том числе времени хранения информации в журнале защиты можно воспользоваться командлетом Get-MpPreference
Рис.15 Вывод текущих настроек Microsoft Defender с использованием PowerShell
- Чтобы указать другое количество дней, необходимо ввести команду
Set-MpPreference -ScanPurgeItemsAfterDelay Х
Где X – это количество дней, после прошествия которых журнал будет очищен.
Рис.16 Изменение периода автоматической очистки журнала с использованием PowerShell
Антивирусная программа в Microsoft Defender в Windows
Антивирусная программа в Microsoft Defender доступна в Windows 10 и Windows 11, а также в версиях Windows Server.
Антивирусная программа в Microsoft Defender — это основной компонент защиты нового поколения в Microsoft Defender для конечной точки. Эта защита сочетает машинное обучение, анализ больших данных, углубленные исследования устойчивости к угрозам и облачную инфраструктуру Майкрософт для защиты устройств (или конечных точек) в организации. Антивирусная программа в Microsoft Defender встроена в Windows и работает с Microsoft Defender для конечной точки для обеспечения защиты на вашем устройстве и в облаке.
Совместимость с другими антивирусными продуктами
Если на вашем устройстве используется антивирусная или антивредоносная программа стороннего поставщика, возможно, вы можете запустить антивирусную программу в Microsoft Defender в пассивном режиме вместе с антивирусным решением стороннего поставщика. Это зависит от используемой операционной системы и от того, подключено ли ваше устройство к Defender для конечной точки. Дополнительные сведения см. в статье Совместимость Антивирусной программы в Microsoft Defender.
Сравнение активного, пассивного и отключенного режимов
В следующей таблице описано, чего следует ожидать, когда антивирусная программа в Microsoft Defender находится в активном, пассивном или отключенном режимах.
Проверка состояния антивирусной программы в Microsoft Defender на вашем устройстве
Проверить состояние антивирусной программы в Microsoft Defender на вашем устройстве можно разными способами. Например, можно использовать приложение “Безопасность Windows” или Windows PowerShell.
Начиная с версии платформы 4.18.2208.0 и более поздних версий: если сервер подключен к Microsoft Defender для конечной точки, параметр групповой политики “Отключить Защитник Windows” больше не будет полностью отключать антивирусную программу “Защитник Windows” в Windows Server 2012 R2 и более поздних версиях. Вместо этого он переместит его в пассивный режим. Кроме того, функция защиты от незаконного изменения позволит переключиться в активный режим, но не в пассивный режим.
- Если перед подключением к Microsoft Defender для конечной точки уже установлен параметр “Отключить Защитник Windows”, изменения не будут изменены, а антивирусная программа “Защитник” останется отключенной.
- Чтобы переключить антивирусную программу Defender в пассивный режим, даже если она была отключена перед подключением, можно применить конфигурацию ForceDefenderPassiveMode со значением 1 . Чтобы перевести его в активный режим, переключите это значение 0 на .
Обратите внимание на измененную логику при ForceDefenderPassiveMode включенной защите от незаконного изменения. После того как Microsoft Defender антивирусная программа переключится в активный режим, защита от незаконного изменения не позволит вернуться в пассивный режим, даже если ForceDefenderPassiveMode для параметра задано значение 1 .
Проверка состояния антивирусной программы в Microsoft Defender с помощью приложения “Безопасность Windows”
- На устройстве с Windows выберите нажмите кнопку Пуск и начните вводить Security . Затем откройте приложение “Безопасность Windows” в результатах.
- Выберите Защита & от вирусов.
- В разделе Кто защищает меня? выберите Управление поставщиками.
На странице поставщиков решений безопасности вы увидите имя вашего антивируса или решения для защиты от вредоносных программ.
Проверка состояния антивирусной программы в Microsoft Defender с помощью PowerShell
- Нажмите кнопку Пуск и начните вводить PowerShell . Затем откройте Windows PowerShell в результатах.
- Тип Get-MpComputerStatus .
- В списке результатов посмотрите на строку AMRunningMode.
- Обычный означает, что антивирусная программа в Microsoft Defender работает в активном режиме.
- Пассивный режим означает, что антивирусная программа в Microsoft Defender запущена, но не является основным антивирусным или антивредоносным продуктом на вашем устройстве. Пассивный режим доступен только для устройств, которые были доступны в Microsoft Defender для конечной точки и отвечают определенным требованиям. Дополнительные сведения см. в статье Требования к запуску антивирусной программы в Microsoft Defender в пассивном режиме.
- Режим блокировки EDR означает, что антивирусная программа в Microsoft Defender запущена и в Microsoft Defender для конечной точки включена функция, которая называется Выявление и нейтрализация атак на конечные точки в режиме блокировки. Проверьте раздел реестра ForceDefenderPassiveMode . Если его значение равно 0, он работает в обычном режиме; В противном случае он работает в пассивном режиме.
- Пассивный режим SxS означает, Microsoft Defender антивирусная программа работает вместе с другим антивирусным или антивредоносным продуктом, и используется ограниченное периодическое сканирование.
Дополнительные информацию о командлете Get-MpComputerStatus PowerShell см. в справочной статье Get-MpComputerStatus.
Совет по производительности Из-за различных факторов (примеры приведены ниже) Microsoft Defender антивирусная программа, как и другие антивирусные программы, может вызвать проблемы с производительностью на конечных точках устройств. В некоторых случаях может потребоваться настроить производительность антивирусной программы Microsoft Defender, чтобы устранить эти проблемы с производительностью. Анализатор производительности Корпорации Майкрософт — это средство командной строки PowerShell, которое помогает определить, какие файлы, пути к файлам, процессы и расширения файлов могут вызывать проблемы с производительностью. Ниже приведены некоторые примеры:
- Основные пути, влияющие на время сканирования
- Основные файлы, влияющие на время сканирования
- Основные процессы, влияющие на время сканирования
- Основные расширения файлов, влияющие на время сканирования
- Сочетания— например:
- top files per extension
- верхние пути на расширение
- top процессов на путь
- большее число сканирований на файл
- большее число сканирований на файл на каждый процесс
Сведения, собранные с помощью анализатора производительности, можно использовать для более эффективной оценки проблем с производительностью и применения действий по исправлению. См. статью Анализатор производительности для антивирусной Microsoft Defender.
Получите обновления для антивирусной и антивредоносной платформ
Важно постоянно обновлять антивирусную программу в Microsoft Defender (или любой другой антивирус или решение для защиты от вредоносных программ). Корпорация Майкрософт выпускает регулярные обновления, чтобы убедиться, что ваши устройства оснащены новейшими технологиями для защиты от новых вредоносных программ и методов атак. Дополнительные данные см. в разделе Управление обновлениями антивирусной программы в Microsoft Defender и применение базовых показателей.
Если вам нужны сведения об антивирусной программе для других платформ, см.:
- Установка параметров Microsoft Defender для конечной точки в macOS
- Microsoft Defender для конечной точки на Mac
- Параметры антивирусной политики macOS для антивирусной программы Microsoft Defender для Intune
- Установите параметры Microsoft Defender для конечной точки в Linux.
- Microsoft Defender для конечной точки в Linux
- Настройка функций Defender для конечной точки на Android
- Настройка защитника Майкрософт для конечной точки на функциях iOS
См. также
- Анализатор производительности для антивирусной Microsoft Defender
- Управление антивирусной программой в Microsoft Defender и ее настройка
- Оценка защиты антивирусной программы в Microsoft Defender
- Исключения для антивирусной программы Microsoft Defender для конечной точки и Microsoft Defender
Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в нашем техническом сообществе: Microsoft Defender для конечной точки технического сообщества.
«Защитник Windows»: надежная встроенная защита для Windows 10
В современном мире безопасность в Интернет-пространстве очень важна для каждого пользователя. Опасности возможно подвергнуться в любом месте «Всемирной паутины». Компания Microsoft всегда заботилась и заботится о безопасности своих пользователей. Неудивительно, что в новой операционной системе Windows 10 есть свой штатный борец с вирусами, троянами и другими угрозами — Защитник Windows. Это современное антивирусное программное обеспечение, которое ничем не уступает сторонним конкурентам, в некоторых компонентах даже лучше них. Я сегодня хочу более подробно познакомить своих читателей с антивирусным программным обеспечением Microsoft.
После большое обновления Creators Update механизм Защитника Windows 10 получил гораздо больше изменений, чем в предыдущем обновлении Anniversary Update. Тогда в Защитник Windows 10 добавили две новые функции — возможность использовать в качестве дополнительного средства защиты и работать в автономном режиме. В Windows 10 Creators Update организация штатной защиты системы кардинально изменилась: рабочие операции и настройки Защитника наконец оказались собранными в одном месте, но не в классической десктопной программе, как в Windows 7, 8.x и предыдущих версиях Windows 10, а в новом универсальном приложении «Центр безопасности Защитника Windows». Иными словами, компания Microsoft всячески старается отходить от классических форм настроек. Порадовал тот факт, что в приложение-новинку попали и другие системные возможности, прямо или косвенно касающихся безопасности.
Давайте разберемся, что же произошло с классической программой Защитника Windows? Она существует в прежнем формате и обеспечивает доступ к привычным функциям штатного антивируса — запуска сканирования по требованию, обновлению антивирусных баз, просмотра журнала заблокированных объектов. В универсальном же приложении «Центр безопасности Защитника Windows» все эти функции дублируются. А вот настроек Защитника, которые длительное время находились в разделе «Обновление и безопасность» штатного приложения “Настройки” Windows 10 на их прежнем месте в Creators Update больше нет. На их месте размещается ссылка, которая открывает универсальное приложение «Центр безопасности Защитника Windows». Доступ к последнему также можно получить в меню «Пуск» и с помощью системного поиска.
Сегодня хочу подробно рассмотреть, какие функции системы собраны в приложении «Центр безопасности Защитника Windows» и немного рассказать о его работе в автономном режиме.
Кабинет
Если Открыть Центр безопасности Защитника Windows, то сразу же попадаете в Кабинет. Это интересное нововведение, которое облегчает работу со штатным антивирусом. Вы увидите ярлыки-информеры о состоянии безопасности некоторых функций вашего устройства. Они могут быть зеленого или красного цвета, в зависимости от исправности устройства. Это очень удобно и практично.
Далее расскажу подробно о каждой опции Защитника Windows.
При подготовке материала использовались источники:
https://www.comss.ru/page.php?id=9367
https://learn.microsoft.com/ru-ru/microsoft-365/security/defender-endpoint/microsoft-defender-antivirus-windows?view=o365-worldwide
https://gagadget.com/windows/27926-zaschitnik-windows-nadezhnaya-vstroennaya-zaschita-dlya-windows-10/