Windows 安全中心 应用中的病毒和威胁防护

应用对象
Windows 11 Windows 10

Windows 安全中心应用的“病毒和威胁防护”页面旨在帮助你保护设备免受各种威胁(如病毒、恶意软件和勒索软件)的侵害。 该页提供对多个功能和设置的访问权限,以确保全面保护,分为以下部分:

  • 当前威胁:此部分显示设备上当前发现的任何威胁、上次运行扫描的时间、花费的时间以及扫描的文件数。 还可以启动新的快速扫描,或从其他扫描选项中进行选择,以便进行更广泛的或自定义的扫描
  • 病毒 & 威胁防护设置:在本部分中,可以管理Microsoft Defender防病毒和第三方防病毒产品的设置
  • 病毒 & 威胁防护更新:本部分专用于确保设备使用最新的安全智能更新进行保护
  • 勒索软件防护:在本部分中,可以配置 受控文件夹访问,以防止未知应用更改受保护文件夹中的文件。 它还提供了配置 OneDrive 的选项,以帮助你从勒索软件攻击中恢复

在电脑上的“Windows 安全中心应用 DefenderApp”中,选择“病毒 & 威胁防护”,或使用以下快捷方式:

Windows 安全中心 应用的“病毒和威胁防护”页的屏幕截图。

当前威胁

“当前威胁 ”下,可以:

  • 查看设备上当前发现的任何威胁
  • 查看上次在设备上运行扫描的时间、花费的时间以及扫描的文件数
  • 启动新的快速扫描或打开 “扫描选项” 以运行更广泛或自定义的扫描
  • 查看在影响你之前已隔离的威胁,以及你已允许在设备上运行的任何威胁

扫描选项

即使 Windows 安全中心处于打开状态并自动扫描你的设备,你仍然可以在需要时执行其他扫描。

  • 快速扫描:当你不想花时间对所有文件和文件夹运行完全扫描时,此选项非常有用。 如果Windows 安全中心建议运行其他类型的扫描之一,则快速扫描完成后,系统会通知你

  • 完全扫描:扫描设备上的每个文件和程序

  • 自定义扫描:仅扫描你选择的文件和文件夹

  • Microsoft Defender防病毒 (脱机扫描) :使用最新定义扫描设备中的最新威胁。 这发生在重启后,无需加载 Windows,因此任何持久性恶意软件在隐藏或防御自身时都更加困难。 当你担心设备已受到恶意软件或病毒的攻击时,或者如果你想要扫描设备而不连接到 Internet,请运行它。 这将重启你的设备,所以请确保保存你可能需要打开的文件。 Microsoft Defender脱机将在 Windows 恢复环境中加载并执行电脑的快速扫描。 扫描完成后,你的电脑会自动重启

    注意

    若要查看脱机扫描的结果,请在 Windows 设备上打开Windows 安全中心应用 DefenderApp,然后选择“保护历史记录”。

允许的威胁

允许的威胁”页显示Windows 安全中心已标识为威胁但已选择允许的项目列表。 Windows 安全中心不会针对允许的威胁采取任何操作。

如果意外允许威胁并想要将其删除,请从列表中选择它,然后选择“ 不允许 ”按钮。 威胁将从列表中删除,Windows 安全中心将在下次看到此威胁时再次采取措施。

病毒 & 威胁防护设置

当你想要自定义保护级别、向 Microsoft 发送示例文件、从重复扫描中排除受信任的文件和文件夹或临时关闭保护时,请使用病毒和威胁防护设置

在电脑上Windows 安全中心应用 DefenderApp 中,选择“病毒 & 威胁防护>管理设置”或使用以下快捷方式:

“实时保护”

实时保护是 Windows 安全中心 应用中的一项功能,可持续监视设备中的潜在威胁,例如病毒、恶意软件和间谍软件。 此功能可确保设备在访问或执行时通过扫描文件和程序受到主动保护。 如果检测到任何可疑活动,实时保护会发出警报,并采取适当措施防止威胁造成伤害。

可以使用实时保护设置暂时将其关闭;但是,实时保护将在一小段时间后自动重新打开,以恢复对设备的保护。 实时保护处于关闭状态时,将不会对你打开或下载的文件扫描威胁。 请记住,如果你这样做,你的设备可能容易受到威胁,并且计划扫描将继续运行。 但是,在下一次计划扫描之前,不会扫描下载或安装的文件。

可以使用切换按钮打开或关闭实时保护。

注意

  • 如果只想从防病毒扫描中排除单个文件或文件夹,可以通过添加排除项来执行此操作。 这比关闭整个防病毒保护更安全
  • 如果安装兼容的非Microsoft防病毒程序Microsoft Defender防病毒将自动关闭
  • 如果 启用了篡改保护 ,则需要先将其关闭,然后才能关闭实时保护

开发驱动器保护

注意

Windows 10上不提供开发驱动器保护。

开发驱动器保护为开发人员提供了一个安全隔离的空间来存储和处理其代码,从而确保其开发环境免受潜在威胁和漏洞的影响。

开发驱动器保护包括异步扫描开发驱动器 的性能模式 。 这意味着安全扫描将推迟到文件操作完成后,而不是在处理文件操作时同步执行。 这种异步扫描模式在威胁防护和性能之间提供平衡,确保开发人员能够高效工作,而不会因安全扫描而出现重大延迟。

  • 可以使用切换按钮打开或关闭开发驱动器保护
  • 选择“ 查看卷 ”以查看启用了开发驱动器保护的卷列表

若要了解详细信息,请参阅 使用性能模式保护开发驱动器

云提供的保护

此设置允许Microsoft Defender在连接到 Internet 时从Microsoft获取不断更新的改进。 这将导致更准确地识别、阻止和修复威胁。

自动提交样本

如果使用云提供的保护连接到云,则可以让 Defender 自动将可疑文件发送到Microsoft,以检查它们是否存在潜在威胁。 Microsoft将通知你是否需要发送其他文件,如果请求的文件包含个人信息,则发出警报,以便决定是否要发送该文件。

如果你担心某个文件,并希望确保它已提交以供评估,则可以选择“ 手动提交示例 ”,向我们发送所需的任何文件。

篡改防护

篡改防护是一项有助于防止恶意应用更改重要Microsoft Defender防病毒设置的功能。 这包括实时保护和云提供的保护等设置。 通过确保这些设置保持不变,篡改防护有助于维护设备安全配置的完整性,并防止恶意应用禁用关键安全功能。

如果启用了篡改保护,并且你是设备上的管理员,你仍然可以在 Windows 安全中心 应用中更改这些设置。 但是,其他应用无法更改这些设置。

可以使用切换按钮打开或关闭篡改防护。

注意

篡改防护不会影响第三方防病毒应用的工作方式或它们向 Windows 安全中心 注册的方式。

受控文件夹访问权限

使用受控文件夹访问设置来管理不受信任的应用可以对其进行更改的文件夹。 还可以将其他应用添加到受信任列表,以便他们可以在这些文件夹中进行更改。 这是一个功能强大的工具,可让你的文件更安全地免受勒索软件的侵害。

启用受控文件夹访问后,默认会保护最常用的许多文件夹。 这意味着任何未知或不受信任的应用都无法访问或更改这些文件夹中的内容。 如果添加其他文件夹,它们也会受到保护。

了解有关使用受控文件夹访问权限的详细信息

排除

默认情况下,Microsoft Defender防病毒在后台运行,扫描打开或下载的文件和进程以查找恶意软件。

可能存在不希望实时扫描的特定文件或进程。 发生这种情况时,可以为该文件、文件类型、文件夹或进程添加排除项。

警告

向Windows 安全中心添加排除项意味着Microsoft Defender防病毒将不再检查这些类型的文件来应对威胁,这可能会使设备和数据易受攻击。 在继续操作之前,请确保确实想要执行此操作。

排除项仅适用于使用防病毒Microsoft Defender实时扫描。 使用 Microsoft Defender 防病毒或第三方反恶意软件产品进行的任何计划扫描仍可能扫描这些文件或进程。

添加排除项

  1. 选择“添加或删除排除项
  2. 根据尝试添加的排除类型,选择四个选项之一:
  • 文件: 排除特定文件

  • 文件夹: 排除特定文件夹 (以及该文件夹中的所有文件)

  • 文件类型: 排除指定类型的所有文件,例如 .docx 或 .pdf

  • 过程: 为进程添加排除项意味着该进程打开的任何文件都将从实时扫描中排除。 这些文件仍将由任何按需或计划扫描进行扫描,除非还创建了文件或文件夹排除项来免除这些文件

    提示

    建议使用完整路径和文件名来排除特定进程。 这使得恶意软件不太可能使用与受信任和排除的进程相同的文件名并逃避检测。

删除排除项

警告

从防病毒扫描中排除文件或进程可能会使设备或数据更容易受到攻击。 在继续操作之前,请务必执行此操作。

  1. 选择“添加或删除排除项
  2. 选择要删除的排除项,然后选择“删除

使用通配符或环境变量

可以使用通配符“”*来替换任意数量的字符。

  • 在文件类型排除中: 如果在文件扩展名中使用星号,它将充当任意数量的字符的通配符。 “*st”将排除 .test、.past、.invest 以及扩展名以 st 结尾的任何其他文件类型

  • 进程排除:

    • C:\MyProcess\* 将排除所有进程打开的文件(位于 C:\MyProcess 中)或 C:\MyProcess 的任何子文件夹
    • test.* 将排除所有名为 test 的进程打开的文件,而不考虑文件扩展名

还可以在进程排除项中使用环境变量。 例如:

  • %ALLUSERSPROFILE%\CustomLogFiles\test.exe

这将排除 C:\ProgramData\CustomLogFiles\test.exe 打开的任何文件。 有关 Windows 环境变量的完整列表,请参阅: 识别的环境变量

病毒 & 威胁防护更新

安全智能 (有时称为 定义) 包含有关可能感染设备的最新威胁的信息的文件。 每次运行扫描时,Windows 安全中心都会使用安全智能。

Windows 会自动下载最新的安全智能作为Windows 更新的一部分,但你也可以手动检查。

在电脑上的 Windows 安全中心 应用 DefenderApp 中,选择“病毒 & 威胁防护>更新>检查更新”或使用以下快捷方式:

勒索软件防护

Windows 安全中心中的“勒索软件防护”页具有针对勒索软件的防护设置,以及针对你碰巧受到攻击时恢复的设置。

在电脑上的Windows 安全中心应用 DefenderApp 中,选择“病毒 & 威胁防护>管理勒索软件防护”或使用以下快捷方式:

受控文件夹访问权限

受控文件夹访问旨在保护有价值的数据免受恶意应用和勒索软件等威胁的侵害。 此功能的工作原理是对照已知受信任的应用列表检查应用,并阻止未经授权的或不安全的应用访问或更改受保护文件夹中的文件。

启用受控文件夹访问后,它通过以下方式帮助保护数据:

  • 阻止未经授权的更改: 仅允许受信任的应用对受保护文件夹中的文件进行更改。 如果应用被确定为恶意或可疑应用,将阻止它进行任何更改
  • 保护重要文件夹: 默认情况下,受控文件夹访问保护常用文件夹,例如文档、图片、视频、音乐和桌面。 还可以添加要保护的其他文件夹
  • 提供通知: 如果阻止应用进行更改,你将收到通知,允许你采取适当的操作

若要添加或删除受保护的文件夹,请选择“ 受保护的文件夹 ”或使用以下快捷方式:

若要通过受控文件夹访问权限添加或删除应用,请选择“ 允许应用通过受控文件夹访问 ”或使用以下快捷方式:

警告

请深思熟虑添加哪些应用。 任何添加的应用都能够访问受保护文件夹中的文件,如果该应用遭到入侵,这些文件夹中的数据可能会面临风险。

如果在尝试使用熟悉的应用时收到消息“ 应用被阻止 ”,则可以使用以下步骤取消阻止:

  1. 记下被阻止的应用的路径
  2. 选择消息,然后选择“添加允许的应用
  3. 浏览要允许访问的程序

注意

如果你尝试将文件保存到某个文件夹,并且该文件夹被阻止,这意味着你使用的应用被阻止保存到该位置。 如果发生这种情况,请将文件保存到设备上的其他位置。 然后使用前面的步骤解除阻止应用,你将能够将文件保存到所需的位置。

有关受控文件夹访问权限的更多详细信息,请参阅 使用受控文件夹访问权限保护重要文件夹。

勒索软件数据恢复

勒索软件数据恢复部分旨在帮助你在受到勒索软件攻击时恢复文件。 它提供多个关键功能,以确保数据保持安全,并在数据被勒索软件加密或阻止时可以还原。

“勒索软件数据恢复”部分与 Microsoft OneDrive 集成。 这允许将重要文件备份到 OneDrive,确保数据的安全副本可在勒索软件攻击时还原。 如果文件受到勒索软件的影响,Windows 安全中心应用将指导你完成从 OneDrive 还原文件的过程。 这有助于快速恢复数据,而无需支付赎金。

如果检测到勒索软件或 OneDrive 备份存在任何问题,你将收到通知和警报。 这可确保始终了解数据保护的状态。