Endpoint Protection 客户端常见问题解答

适用于: Configuration Manager(current branch)

此常见问题解答适用于 IT 管理员已将 Windows Defender 或 Endpoint Protection 部署到其托管计算机的计算机用户。 此处的内容可能不适用于其他反恶意软件。 Microsoft System Center Endpoint Protection管理 Windows 10 或更高版本上的 Windows Defender。 它还可以在Windows 10之前将 Endpoint Protection 客户端部署到计算机并对其进行管理。 虽然本文介绍了 Windows Defender,但其信息也适用于 Endpoint Protection。

为什么需要防病毒和反间谍软件?

确保计算机运行的是可防范恶意软件的软件,这一点至关重要。 恶意软件(包括病毒、间谍软件或其他可能不需要的软件)可能会在连接到 Internet 时尝试在计算机上安装自身。 使用 CD、DVD 或其他可移动媒体安装程序时,它也可能感染计算机。 还可以将恶意软件编程为在意外时间运行,而不仅仅是在安装时运行。

Windows Defender 或 Endpoint Protection 提供了三种方法来帮助防止恶意软件感染计算机:

  • 使用实时保护 - 实时保护使 Windows Defender 能够始终监视你的计算机,并在恶意软件(包括病毒、间谍软件或其他可能不需要的软件)尝试在计算机上安装或运行时向你发出警报。 然后,Windows Defender 会暂停软件,并使你能够遵循其针对软件的建议或采取替代操作。

  • 扫描选项 - 可以使用 Windows Defender 扫描潜在威胁,例如病毒、间谍软件和其他可能使计算机面临风险的恶意软件。 还可以使用它来定期计划扫描,并删除扫描期间检测到的恶意软件。

  • Microsoft Active Protection Service 社区 - 在线Microsoft Active Protection 服务社区可帮助你了解其他人如何响应尚未分类风险的软件。 可以使用此信息来帮助你选择是否允许计算机上使用此软件。 反过来,如果你参与,你的选择将添加到社区评分,以帮助其他人决定该做什么。

如何判断我的计算机是否感染了恶意软件?

如果出现以下问题,则计算机上可能有某种形式的恶意软件,包括病毒、间谍软件或其他可能不需要的软件:

  • 你注意到未有意添加到 Web 浏览器的新工具栏、链接或收藏夹。

  • 主页、鼠标指针或搜索程序意外更改。

  • 你键入特定网站(如搜索引擎)的地址,但你已被带到另一个网站,而不另行通知。

  • 将自动从计算机中删除文件。

  • 你的计算机用于攻击其他计算机。

  • 即使你不在 Internet 上,你也会看到弹出广告。

  • 计算机突然开始运行速度比平常慢。 并非所有计算机性能问题都由恶意软件引起,但恶意软件(尤其是间谍软件)可能会导致明显的更改。

即使看不到任何症状,你的计算机上也可能存在恶意软件。 这种类型的软件可以在不知情或同意的情况下收集有关你和你的计算机的信息。 为了帮助保护你的隐私和计算机,应随时运行 Windows Defender 或 Endpoint Protection。

如何查找 Windows Defender 的版本?

若要查看计算机上运行的 Windows Defender 版本,请打开 Windows Defender (单击“ 开始 ”,然后搜索 Windows Defender) ,单击 “设置”,然后滚动到 Windows Defender 设置底部以查找 版本信息

如果 Windows Defender 或 Endpoint Protection 在我的计算机上检测到恶意软件,我该怎么办?

如果在使用实时保护监视计算机时或运行扫描 () 后,Windows Defender 在计算机上检测到恶意软件或可能不需要的软件,则会通过在屏幕右下角显示通知消息来通知你检测到的项目。

通知消息包括 “清理计算机 ”按钮和 “显示详细信息” 链接,用于查看有关检测到的项目的其他信息。 单击 “显示详细信息” 链接以打开 “潜在威胁详细信息 ”窗口,以获取有关检测到的项目的其他信息。 现在可以选择要应用于项目的操作,或单击“ 清理计算机”。 如果需要帮助确定要应用于检测到的项目的操作,请使用 Windows Defender 分配给该项目的警报级别作为指导 (有关详细信息,请参阅了解警报级别) 。

警报级别可帮助你选择如何响应病毒、间谍软件和其他可能不需要的软件。 虽然 Windows Defender 建议你删除所有病毒和间谍软件,但并非所有已标记的软件都是恶意的或不需要的软件。 以下信息可帮助你确定如果 Windows Defender 检测到计算机上可能不需要的软件时该怎么办。

根据警报级别,可以选择以下操作之一应用于检测到的项目:

  • 删除 - 此操作将从计算机中永久删除软件。

  • 隔离 - 此操作会隔离软件,使其无法运行。 当 Windows Defender 隔离软件时,它会将其移动到计算机上的另一个位置,然后阻止软件运行,直到你选择还原该软件或将其从计算机中删除。

  • 允许 - 此操作将软件添加到 Windows Defender 允许列表,并允许它在计算机上运行。 Windows Defender 将停止提醒你软件可能对你的隐私或计算机构成的风险。

    如果你为某个项目(如软件)选择 “允许” ,Windows Defender 将停止提醒你该软件可能对你的隐私或计算机构成的风险。 因此,仅当信任软件和软件发布者时,才将软件添加到允许列表。

如何删除可能有害的软件

若要快速轻松地删除 Windows Defender 检测到的所有不需要或可能有害的项目,请使用 “清理计算机” 选项。

  1. 当看到在“通知”区域中检测到潜在威胁后显示的通知消息时,请单击“ 清理计算机”。

  2. Windows Defender 会删除潜在的威胁 (或威胁) ,然后在清理完计算机后通知你。

  3. 若要了解有关检测到的威胁的详细信息,请单击“ 历史记录 ”选项卡,然后选择“ 所有检测到的项目”。

  4. 如果未看到所有检测到的项目,请单击“ 查看详细信息”。 如果系统提示输入管理员密码或确认,请键入密码或确认操作。

注意

在计算机清理期间,Windows Defender 尽可能仅删除文件的受感染部分,而不删除整个文件。

什么是病毒?

计算机病毒是旨在干扰计算机操作、记录、破坏或删除数据或感染整个 Internet 的其他计算机的软件程序。 病毒通常会减慢速度,并在此过程中导致其他问题。

什么是间谍软件?

间谍软件是可以自行安装或在计算机上运行的软件,无需获得你的同意或为你提供足够的通知或控制。 间谍软件在感染计算机后可能不会显示症状,但许多恶意或不需要的程序可能会影响计算机的运行方式。 例如,间谍软件可以监视你的在线行为或收集有关你的信息 (包括可以识别你的信息或其他敏感信息) 、更改计算机上的设置或导致计算机运行缓慢的信息。

病毒、间谍软件和其他潜在有害软件之间的区别是什么?

病毒和间谍软件都在你不知情的情况下安装在你的计算机上,它们都有可能具有侵入性和破坏性。 他们还能够捕获计算机上的信息并损坏或删除该信息。 它们都会对计算机的性能产生负面影响。

病毒和间谍软件之间的main区别在于它们在计算机上的行为方式。 病毒,如生物体,希望感染计算机,复制,然后传播到尽可能多的其他计算机。 然而,间谍软件更像是一个摩尔 - 它希望“移动到”你的计算机并尽可能长时间地呆在那里,将关于你的计算机的重要信息发送到外部源,而它在那里。

病毒、间谍软件和其他可能不需要的软件来自哪里?

不需要的软件(如病毒)可以由网站或下载的程序安装,也可以由你使用 CD、DVD、外部硬盘或设备安装的程序安装。 间谍软件最常通过免费软件安装,例如文件共享、屏幕保护程序或搜索工具栏。

我能否在不知情的情况下获取恶意软件?

是的,某些恶意软件可以通过网页中的嵌入式脚本或程序从网站安装。 某些恶意软件需要你的帮助才能安装它。 该软件使用要求你接受可下载文件的 Web 弹出窗口或免费软件。 但是,如果你Microsoft Windows® 保持最新状态,并且不减少安全设置,则可以最大程度地减少感染的可能性。

为什么在安装软件之前查看许可协议很重要?

访问网站时,请勿自动同意下载网站提供的任何内容。 如果下载免费软件(如文件共享程序或屏幕保护程序),请仔细阅读许可协议。 查找一些条款,指出你必须接受来自公司的广告和弹出窗口,或者软件会将某些信息发送回软件发布者。

Cookie 是网站放置在您的计算机上的小型文本文件,用于存储有关你和你的首选项的信息。 网站使用 Cookie 为你提供个性化的体验,并收集有关网站使用的信息。 Windows Defender 不会检测 Cookie,因为它不会将其视为对你的隐私或计算机安全的威胁。 大多数 Internet 浏览器程序都允许阻止 Cookie。

如何防止恶意软件?

当今计算机用户最关心的两个问题是病毒和间谍软件。 在这两种情况下,虽然这些问题都可能是个问题,但只需进行一点规划即可轻松防范:

  • 使计算机的软件保持最新状态,并记住安装所有修补程序。 请记住定期更新操作系统。

  • 请确保防病毒和反间谍软件 Windows Defender 再次使用最新更新, (查看如何实现使病毒和间谍软件定义保持最新状态?) 。 此外,请确保始终使用最新版本的 Windows Defender。

  • 仅从信誉良好的源下载更新。 对于 Windows 操作系统,请始终转到 Microsoft更新目录。 对于其他软件,请始终使用公司或生产该软件的人员的合法网站。

  • 如果收到带有附件的电子邮件,但不确定来源,则应立即将其删除。 不要从未知来源下载任何应用程序或文件,在与其他用户交易文件时要小心。

  • 安装和使用防火墙。 建议启用 Windows 防火墙。

什么是病毒和间谍软件定义?

使用 Windows Defender 或 Endpoint Protection 时,请务必提供最新的病毒和间谍软件定义。 定义是充当不断增长的潜在软件威胁百科全书的文件。 Windows Defender 或 Endpoint Protection 使用定义来确定它检测到的软件是否是病毒、间谍软件或其他可能不需要的软件,然后提醒你注意潜在风险。 为了帮助使定义保持最新,Windows Defender 或 Endpoint Protection 与 Microsoft 更新配合使用,在新定义发布时自动安装这些定义。 还可以在扫描之前将 Windows Defender 或 Endpoint Protection 设置为联机检查更新的定义。

如何实现使病毒和间谍软件定义保持最新?

病毒和间谍软件定义是充当已知恶意软件百科全书的文件,包括病毒、间谍软件和其他可能不需要的软件。 由于恶意软件不断开发,因此 Windows Defender 或 Endpoint Protection 依赖于最新的定义来确定尝试在计算机上安装、运行或更改设置的软件是否是病毒、间谍软件或其他可能不需要的软件。

  1. 单击通知区域中的图标或从 “开始 ”菜单启动它,打开 Windows Defender 或 Endpoint Protection 客户端。

  2. 单击 “设置”,然后单击“ 计划扫描”。

  3. 确保选中“在运行计划扫描检查之前检查最新的病毒和间谍软件定义”框,然后单击“保存更改”。 如果系统提示输入管理员密码或确认,请键入密码或确认操作。

手动检查新定义

Windows Defender 或 Endpoint Protection 会自动更新计算机上的病毒和间谍软件定义。 例如,如果定义已超过 7 天未更新 (,如果一周) 未打开计算机,则 Windows Defender 或 Endpoint Protection 将通知这些定义已过期。

  1. 单击通知区域中的图标或从 “开始 ”菜单启动它,打开 Windows Defender 或 Endpoint Protection 客户端。

  2. 若要手动检查新定义,请单击“更新”选项卡,然后单击“更新定义”。

如何实现删除或还原 Windows Defender 或 Endpoint Protection 隔离的项目?

当 Windows Defender 或 Endpoint Protection 隔离软件时,它会将软件移动到计算机上的另一个位置,然后阻止软件运行,直到你选择还原该软件或将其从计算机中删除。

对于此过程中提到的所有步骤,如果系统提示输入管理员密码或确认,请键入密码或提供确认。

删除或还原 Windows Defender 或 Endpoint Protection 隔离的项目

  1. 单击“ 历史记录 ”选项卡,选择“ 隔离的项目”,然后选择“ 已隔离项目 ”选项。

  2. 单击“ 查看详细信息 ”查看所有项。

  3. 查看每个项目,然后针对每个项目单击“ 删除” 或“ 还原”。 如果要从计算机中删除所有隔离项,请单击“ 全部删除”。

什么是实时保护?

实时保护使 Windows Defender 能够随时监视你的计算机,并在潜在威胁(如病毒和间谍软件)尝试自行安装或在计算机上运行时发出警报。 由于此功能是 Windows Defender 帮助保护计算机方式的一个重要元素,因此应确保始终启用实时保护。 如果关闭实时保护,Windows Defender 会通知你,并将计算机状态更改为 有风险

每当实时保护检测到威胁或潜在威胁时,Windows Defender 会显示通知。 现在可以从以下选项中进行选择:

  • 单击“ 清理计算机 ”以删除检测到的项目。 Windows Defender 会自动从计算机中删除该项目。

  • 单击“ 显示详细信息” 链接以显示“潜在威胁详细信息”窗口,然后选择要应用于检测到的项目的操作。

    可以选择希望 Windows Defender 监视的软件和设置,但我们建议启用实时保护并启用所有实时保护选项。 下表说明了可用的选项。

实时保护选项 用途
扫描所有下载 此选项监视下载的文件和程序,包括通过 Windows Internet Explorer 和Microsoft Outlook® Express 自动下载的文件,例如 ActiveX® 控件和软件安装程序。 这些文件可由浏览器本身下载、安装或运行。 恶意软件(包括病毒、间谍软件和其他可能不需要的软件)可以包含在这些文件中,并在你不知情的情况下安装。

使用实时保护选项,Windows Defender 会一直监视你的计算机,并检查你可能已下载的任何恶意文件或程序。 此监视功能意味着 Windows Defender 不需要通过要求检查你可能想要下载的任何文件或程序来降低浏览或电子邮件体验。
监视计算机上的文件和程序活动 此选项监视文件和程序何时开始在你的计算机上运行,然后它会提醒你它们执行的任何操作和对其执行的操作。 这一点很重要,因为恶意软件可以在你不知情的情况下使用已安装程序中的漏洞来运行恶意或不需要的软件。 例如,当你启动经常使用的程序时,间谍软件可以在后台运行。 Windows Defender 会监视你的程序,并在检测到可疑活动时向你发出警报。
启用行为监视 此选项监视传统防病毒检测方法可能无法检测到的可疑模式的行为集合。
启用网络检查系统 此选项有助于保护计算机免受已知漏洞的零日攻击,从而缩短发现漏洞和应用更新之间的时间窗口。

关闭实时保护

  1. 单击 “设置”,然后单击“ 实时保护”。

  2. 清除要关闭的实时保护选项,然后单击“ 保存更改”。 如果系统提示输入管理员密码或确认,请键入密码或确认操作。

如何实现知道我的计算机上正在运行 Windows Defender 或 Endpoint Protection?

在计算机上安装 Windows Defender 后,可以关闭main窗口,让 Windows Defender 在后台安静地运行。 Windows Defender 将继续在你的计算机上运行、对其进行监视,并帮助保护它免受威胁。

当然,每当 Windows Defender 在通知区域中显示通知消息时,你就会知道它正在运行。 这些通知会提醒你 Windows Defender 检测到的潜在威胁。

你还会收到其他警报通知,例如,如果由于某种原因,实时保护已关闭,如果你几天没有更新病毒和间谍软件定义,或者当程序升级可用时。 Windows Defender 还会短暂显示一条通知,告知你它正在扫描你的计算机。

提示

如果在通知区域中看不到 Windows Defender 图标,请单击通知区域中的箭头以显示隐藏的图标,包括 Windows Defender 图标。

图标颜色取决于计算机的当前状态:

  • 绿色表示计算机状态为“受保护”。

  • 黄色表示计算机状态为“可能未受保护”。

  • 红色表示计算机状态为“有风险”。

你能稍微描述一下受保护、潜在保护或有风险的含义吗?

根据是将 Defender 还是其他防病毒产品用作主要提供商,以上用颜色表示的常规状态显示设备安全状态的总体评估。 如果安全级别令人满意,将提供绿色标签。

“可能未受保护”状态主要是由于设置(不会直接影响检测)未设置为建议的安全级别。 例如,在 Defender 中,快速扫描在一段时间内未运行,或者云保护已关闭。 在另一种防病毒的情况下,这些状态通过安全中心报告,基本上可能属于以下类别 - 建议扫描、建议更改设置或建议更新。

“有风险”状态表示严重的安全问题,例如恶意软件检测、软件过期或防病毒软件根本不运行。 对于另一种可能意味着许可证已过期的防病毒。

如何设置 Windows Defender 或 Endpoint Protection 警报?

当 Windows Defender 在你的计算机上运行时,它会在检测到病毒、间谍软件或其他可能不需要的软件时自动向你发出警报。 你还可以将 Windows Defender 设置为在运行尚未分析的软件时发出警报,并且你可以选择在软件对计算机进行更改时收到警报。

设置警报

  1. 单击 “设置”,然后单击“ 实时保护”。

  2. 确保选中“打开实时保护 (建议) 检查”框。

  3. 选择要运行的实时保护选项旁边的检查框,然后单击“保存更改”。 如果系统提示输入管理员密码或确认,请键入密码或确认操作。