Übersicht über Microsoft Defender Antivirus in Windows
Gilt für:
- Microsoft Defender für Endpunkt-Pläne 1 und 2
- Microsoft Defender für Unternehmen
- Microsoft Defender Antivirus
Plattformen
- Windows
Microsoft Defender Antivirus ist in Windows 10 und Windows 11 sowie in Versionen von Windows Server verfügbar.
Microsoft Defender Antivirus ist eine wichtige Schutzkomponente der nächsten Generation in Microsoft Defender für Endpunkt. Dieser Schutz vereint maschinelles Lernen, Big Data-Analysen, tiefgehende Untersuchungen zur Bedrohungsresistenz und die Microsoft-Cloudinfrastruktur zum Schutz von Geräten (oder Endpunkten) in Ihrer Organisation. Microsoft Defender Antivirus ist in Windows integriert und sorgt in Kombination mit Microsoft Defender für Endpunkt für Schutz auf Ihrem Gerät und in der Cloud.
Tipp
Als Ergänzung zu diesem Artikel lesen Sie unseren Security Analyzer-Einrichtungsleitfaden , um bewährte Methoden zu überprüfen und zu erfahren, wie Sie die Verteidigung stärken, die Compliance verbessern und sicher in der Cybersicherheitslandschaft navigieren. Für eine angepasste Umgebung können Sie im Microsoft 365 Admin Center auf den Leitfaden zur automatisierten Einrichtung von Security Analyzer zugreifen.
Microsoft Defender Antivirusfunktionen
Microsoft Defender Antivirus bietet Anomalieerkennung, eine Schutzebene für Schadsoftware, die keinem vordefinierten Muster entspricht. Die Anomalieerkennung überwacht Ereignisse zur Prozesserstellung oder Dateien, die aus dem Internet heruntergeladen werden. Durch maschinelles Lernen und cloudgestützten Schutz kann Microsoft Defender Antivirus Angreifern einen Schritt voraus sein. Die Anomalieerkennung ist standardmäßig aktiviert und kann Dazu beitragen, Angriffe wie die 3CX-Sicherheitswarnung für die Electron-Windows-App zu blockieren. Microsoft Defender Antivirus begann, diese Malware vier Tage vor der Registrierung des Angriffs in VirusTotal zu blockieren.
Moderne Schadsoftware erfordert moderne Lösungen. Im Jahr 2015 hat Microsoft Defender Antivirus von der Verwendung einer statischen signaturbasierten Engine zu einem Modell gewechselt, das Vorhersagetechnologien wie maschinelles Lernen, angewandte Wissenschaft und künstliche Intelligenz verwendet, da dies notwendig ist, um Sie und Ihre Organisationen vor der Komplexität der sich ständig entwickelnden Malware-Landschaft von heute zu schützen.
Microsoft Defender Antivirus kann fast alle Schadsoftware auf den ersten Blick in Millisekunden blockieren.
Außerdem haben wir unsere Antivirenlösung so konzipiert, dass sie sowohl in Online- als auch offline-Szenarien funktioniert. Für Offlineszenarien wird die neueste dynamische Intelligenz aus dem Intelligence Security Graph den ganzen Tag über regelmäßig für den Endpunkt bereitgestellt. Wenn eine Verbindung mit der Cloud hergestellt wird, erhält sie Echtzeitintelligenz aus dem Intelligent Security Graph.
Microsoft Defender Antivirus kann Auch Bedrohungen basierend auf ihrem Verhalten und prozessbasierten Strukturen stoppen, selbst wenn die Ausführung der Bedrohung gestartet wurde. Ein gängiges Beispiel für diese Art von Angriffen ist dateilose Schadsoftware. Die Schutzfunktionen der nächsten Generation von Microsoft arbeiten zusammen, um Schadsoftware basierend auf ungewöhnlichem Verhalten zu identifizieren und zu blockieren. Weitere Informationen finden Sie unter Verhaltensblockierung und -eindämmung.
Kompatibilität mit anderen Antivirenprodukten
Wenn Sie auf Ihrem Gerät ein Antiviren-/Antischadsoftware-Produkt verwenden, das nicht von Microsoft stammt, können Sie möglicherweise Microsoft Defender Antivirus im passiven Modus zusammen mit dieser Antivirenlösung ausführen. Dies hängt vom verwendeten Betriebssystem und davon ab, ob Ihr Gerät in Defender für Endpunkt eingebunden ist. Weitere Informationen finden Sie unter Kompatibilität mit Microsoft Defender Antivirus.
Microsoft Defender Antivirus-Prozesse und -Dienste
In der folgenden Tabelle sind Microsoft Defender Antivirus-Prozesse und -Dienste zusammengefasst. Sie können sie im Task-Manager in Windows anzeigen.
Prozess oder Dienst | Wo kann die status angezeigt werden? |
---|---|
Microsoft Defender Antivirus Core-Dienst ( MdCoreSvc ) |
- Registerkarte "Prozesse":Antimalware Core Service - Registerkarte "Details": MpDefenderCoreService.exe - Registerkarte "Dienste": Microsoft Defender Core Service |
Microsoft Defender Antivirus-Dienst ( WinDefend ) |
- Registerkarte "Prozesse":Antimalware Service Executable - Registerkarte "Details": MsMpEng.exe - Registerkarte "Dienste": Microsoft Defender Antivirus |
Microsoft Defender Antivirus Network Realtime Inspection Service ( WdNisSvc ) |
- Registerkarte "Prozesse":Microsoft Network Realtime Inspection Service - Registerkarte "Details": NisSrv.exe - Registerkarte "Dienste": Microsoft Defender Antivirus Network Inspection Service |
Microsoft Defender Antivirus-Befehlszeilenprogramm |
- Registerkarte "Prozesse": N/A - Registerkarte "Details": MpCmdRun.exe - Registerkarte "Dienste": N/A |
Microsoft Security Client Policy Configuration Tool |
- Registerkarte "Prozesse": N/A - Registerkarte "Details": ConfigSecurityPolicy.exe - Registerkarte "Dienste": N/A |
Weitere Informationen zum Microsoft Defender Core-Dienst finden Sie unter Übersicht über Microsoft Defender Core-Dienst.
Für Microsoft Endpoint Data Loss Prevention (Endpoint DLP) sind in der folgenden Tabelle Prozesse und Dienste zusammengefasst. Sie können sie im Task-Manager in Windows anzeigen.
Prozess oder Dienst | Wo kann die status angezeigt werden? |
---|---|
Microsoft Endpoint DLP-Dienst ( MDDlpSvc ) |
- Registerkarte "Prozesse":MpDlpService.exe - Registerkarte "Details": MpDlpService.exe - Registerkarte "Dienste": Microsoft Data Loss Prevention Service |
Microsoft Endpoint DLP-Befehlszeilenprogramm |
- Registerkarte "Prozesse": N/A - Registerkarte "Details": MpDlpCmd.exe - Registerkarte "Dienste": N/A |
Vergleich von aktivem, passivem und deaktiviertem Modus
In der folgenden Tabelle wird erläutert, was zu erwarten ist, wenn sich Microsoft Defender Antivirus im aktiven, passiven oder deaktivierten Modus befindet.
Modus | Folge |
---|---|
Aktiver Modus | Im aktiven Modus wird Microsoft Defender Antivirus als primäre Antiviren-Anwendung auf dem Gerät verwendet. Dateien werden überprüft, Maßnahmen gegen Bedrohungen ergriffen, und erkannte Bedrohungen werden in den Sicherheitsberichten Ihrer Organisation und in Ihrer Windows-Sicherheit-App aufgeführt. |
Passiver Modus | Im passiven Modus wird Microsoft Defender Antivirus nicht als primäre Antiviren-App auf dem Gerät verwendet. Dateien werden gescannt, und erkannte Bedrohungen werden gemeldet, aber Bedrohungen werden nicht durch Microsoft Defender Antivirus behoben. WICHTIG: Microsoft Defender Antivirus kann im passiven Modus nur auf Endpunkten ausgeführt werden, die in Microsoft Defender für Endpunkt integriert sind. Weitere Informationen finden Sie unter Anforderungen für die Ausführung von Microsoft Defender Antivirus im passiven Modus. |
Deaktiviert oder deinstalliert | Wenn sie deaktiviert oder deinstalliert ist, wird Microsoft Defender Antivirus nicht verwendet. Dateien werden nicht überprüft, und Bedrohungen werden nicht behoben. Im Allgemeinen wird davon abgeraten, Microsoft Defender Antivirus zu deaktivieren oder zu deinstallieren. |
Weitere Informationen finden Sie unter Kompatibilität mit Microsoft Defender Antivirus.
Überprüfen des Status von Microsoft Defender Antivirus auf Ihrem Gerät
Sie können eine von mehreren Methoden verwenden, z. B. die Windows Sicherheits App oder Windows PowerShell, um den Status von Microsoft Defender Antivirus auf Ihrem Gerät zu überprüfen.
Wichtig
Ab Plattformversion 4.18.2208.0 und höher: Wenn ein Server in Microsoft Defender for Endpoint integriert wurde, deaktiviert die Gruppenrichtlinieneinstellung "Windows Defender deaktivieren" Windows Defender Antivirus auf Windows Server 2012 R2 und höher nicht mehr vollständig. Stattdessen wird es in den passiven Modus versetzt. Darüber hinaus ermöglicht das Manipulationsschutzfeature einen Wechsel in den aktiven Modus, aber nicht in den passiven Modus.
- Wenn "Windows Defender deaktivieren" bereits vor dem Onboarding in Microsoft Defender for Endpoint vorhanden ist, wird keine Änderung vorgenommen, und Defender Antivirus bleibt deaktiviert.
- Um Defender Antivirus in den passiven Modus zu wechseln, können Sie die ForceDefenderPassiveMode-Konfiguration mit dem Wert
1
anwenden, auch wenn er vor dem Onboarding deaktiviert wurde. Um ihn in den aktiven Modus zu versetzen, legen Sie diesen Wert stattdessen auf fest0
.
Beachten Sie die geänderte Logik fürForceDefenderPassiveMode
, wenn der Manipulationsschutz aktiviert ist: Sobald Microsoft Defender Antivirus in den aktiven Modus umgeschaltet wurde, verhindert der Manipulationsschutz, dass es wieder in den passiven Modus wechselt, auch wenn ForceDefenderPassiveMode
auf 1
festgelegt ist.
Die Windows Sicherheits App verwenden, um den Status von Microsoft Defender Antivirus zu überprüfen
Auf Ihrem Windows-Gerät das Startmenü wählen und mit der Eingabe von
Security
beginnen. Öffnen Sie dann die Windows-Sicherheit-App in den angezeigten Ergebnissen.Wählen Sie Viren- und Bedrohungsschutz aus.
Unter Wer schützt mich?, wählen Sie Anbieter verwalten.
Wählen Sie auf Ihrem Windows-Gerät das Startmenü und beginnen Sie mit der Eingabe von.
PowerShell verwenden, um den Status von Microsoft Defender Antivirus zu überprüfen
Das Startmenü wählen und mit der Eingabe von
PowerShell
beginnen. Öffnen Sie dann Windows PowerShell in den angezeigten Ergebnissen.Geben Sie
Get-MpComputerStatus
ein.Sehen Sie sich in der Ergebnisliste die Zeile AMRunningMode an.
Normal bedeutet, dass Microsoft Defender Antivirus im aktiven Modus ausgeführt wird.
Passiver Modus bedeutet Microsoft Defender Antivirus ausgeführt wird, aber nicht das primäre Antiviren-/Antischadsoftwareprodukt auf Ihrem Gerät ist. Der passive Modus ist nur für Geräte verfügbar, die in Microsoft Defender für Endpunkt integriert sind und bestimmte Anforderungen erfüllen. Weitere Informationen finden Sie unter Anforderungen für die Ausführung von Microsoft Defender Antivirus im passiven Modus.
EDR-Blockierungsmodus bedeutet, dass Microsoft Defender Antivirus ausgeführt wird und Endpunkterkennung und -antwort (Endpoint Detection and Response, EDR) im Blockmodusaktiviert ist, eine Funktion in Microsoft Defender für Endpunkt. Überprüfen Sie den Registrierungsschlüssel ForceDefenderPassiveMode . Wenn der Wert 0 ist, wird er im normalen Modus ausgeführt. Andernfalls wird sie im passiven Modus ausgeführt.
Der passive SxS-Modus bedeutet Microsoft Defender Antivirus zusammen mit einem anderen Antiviren-/Antischadsoftwareprodukt ausgeführt wird und eingeschränkte regelmäßige Überprüfungen verwendet werden.
Tipp
Weitere Informationen zum PowerShell-Cmdlet "Get-MpComputerStatus" finden Sie im Referenzartikel Get-MpComputerStatus.
Tipp
Leistungstipp Aufgrund einer Vielzahl von Faktoren (beispiele unten aufgeführt) kann Microsoft Defender Antivirus wie andere Antivirensoftware Leistungsprobleme auf Endpunktgeräten verursachen. In einigen Fällen müssen Sie möglicherweise die Leistung von Microsoft Defender Antivirus optimieren, um diese Leistungsprobleme zu beheben. Die Leistungsanalyse von Microsoft ist ein PowerShell-Befehlszeilentool, mit dem Sie ermitteln können, welche Dateien, Dateipfade, Prozesse und Dateierweiterungen Leistungsprobleme verursachen können. Einige Beispiele sind:
- Die wichtigsten Pfade, die sich auf die Überprüfungszeit auswirken
- Die wichtigsten Dateien, die sich auf die Überprüfungszeit auswirken
- Wichtigste Prozesse, die sich auf die Überprüfungszeit auswirken
- Die wichtigsten Dateierweiterungen, die sich auf die Überprüfungszeit auswirken
- Kombinationen – z. B.:
- Top-Dateien pro Erweiterung
- Top-Pfade pro Erweiterung
- Top-Prozesse pro Pfad
- Top-Scans pro Datei
- Top-Scans pro Datei und Prozess
Sie können die mit der Leistungsanalyse gesammelten Informationen verwenden, um Leistungsprobleme besser zu bewerten und Korrekturaktionen anzuwenden. Weitere Informationen finden Sie unter Leistungsanalyse für Microsoft Defender Antivirus.
Beziehen von Antiviren-/Antischadsoftware-Plattformupdates
Es ist wichtig, Microsoft Defender Antivirus (oder eine Antiviren-/Antimalwarelösung) auf dem neuesten Stand zu halten. Microsoft veröffentlicht regelmäßige Updates, um sicherzustellen, dass Ihre Geräte über die neueste Technologie zum Schutz vor neuer Schadsoftware und Angriffstechniken verfügen. Weitere Informationen finden Sie unter Verwalten von Microsoft Defender Antivirus-Updates und Anwenden von Baselines.
Tipp
Wenn Sie nach Informationen zu Antivirensoftware für andere Plattformen suchen, lesen Sie:
- Festlegen von Einstellungen für Microsoft Defender für Endpunkt unter macOS
- Microsoft Defender für Endpunkt für Mac
- macOS Antivirus-Richtlinieneinstellungen für Microsoft Defender Antivirus für Intune
- Festlegen von Einstellungen für Microsoft Defender für Endpunkt unter Linux
- Microsoft Defender für Endpunkt unter Linux
- Konfigurieren von Defender für Endpunkt unter Android-Features
- Konfigurieren von Microsoft Defender für Endpunkt unter iOS-Features
Siehe auch
- Leistungsanalyse für Microsoft Defender Antivirus
- Verwaltung und Konfiguration von Microsoft Defender Antivirus
- Microsoft Defender Antivirus-Schutz beurteilen
- Ausschlüsse für Microsoft Defender for Endpoint und Microsoft Defender Antivirus
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.