Stay protected with Windows Security

Windows 10 includes Windows Security, which provides the latest antivirus protection. Your device will be actively protected from the moment you start Windows 10. Windows Security continually scans for malware (malicious software), viruses, and security threats. In addition to this real-time protection, updates are downloaded automatically to help keep your device safe and protect it from threats.

Windows 10 in S mode

Some features will be a little different if you’re running Windows 10 in S mode. Because this mode is streamlined for tighter security, the Virus & threat protection area has fewer options. But don’t worry—the built-in security of this mode automatically prevents viruses and other threats from running on your device, and you’ll receive security updates automatically. For more info, see Windows 10 in S mode FAQ.

Important security info

Windows Security is built-in to Windows 10 and includes an antirvirus program called Microsoft Defender Antivirus. (In previous versions of Windows 10, Windows Security is called Windows Defender Security Center).

If you have another antivirus app installed and turned on, Microsoft Defender Antivirus will turn off automatically. If you uninstall the other app, Microsoft Defender Antivirus will turn back on automatically.

If you’re having problems receiving Windows Security updates, see Fix Windows Update errors and the Windows Update FAQ.

For info on how to uninstall an app, see Repair or remove an app in Windows 10.

To change your user account to an admin account, see Create a local user or administrator account in Windows 10.

Understand and customize Windows Security features

Windows Security is your home to manage the tools that protect your device and your data:

Virus & threat protection. Monitor threats to your device, run scans, and get updates to help detect the latest threats. (Some of these options are unavailable if you’re running Windows 10 in S mode.)

Account protection. Access sign-in options and account settings, including Windows Hello and dynamic lock.

Firewall & network protection. Manage firewall settings and monitor what’s happening with your networks and internet connections.

App & browser control. Update settings for Microsoft Defender SmartScreen to help protect your device against potentially dangerous apps, files, sites, and downloads. You’ll have exploit protection and you can customize protection settings for your devices.

Device security. Review built-in security options to help protect your device from attacks by malicious software.

Device performance & health. View status info about your device’s performance health, and keep your device clean and up to date with the latest version of Windows 10.

Family options. Keep track of your kids’ online activity and the devices in your household.

You can customize how your device is protected with these Windows Security features. To access them, select Start > Settings > Update & Security > Windows Security . Then select the feature you want to explore.
Open Windows Security settings

Status icons indicate your level of safety:

Green means your device is sufficiently protected and there aren’t any recommended actions.

Yellow means there is a safety recommendation for you.

Red is a warning that something needs your immediate attention.

Run a malware scan manually

When you’re concerned about risks to a specific file or folder, you can right-click the file or folder in File Explorer, then select Scan with Microsoft Defender.

If you suspect there’s malware or a virus on your device, you should immediately run a quick scan. This is much faster than running a full scan on all your files and folders.

Run a quick scan in Windows Security

Select Start > Settings > Update & Security > Windows Security and then Virus & threat protection.
Open Windows Security settings

Under Current threats, select Quick scan (or in previous versions of Windows 10, under Threat history, select Scan now).

If the scan doesn’t find any issues, but you’re still concerned, you may want to check your device more thoroughly.

Run an advanced scan in Windows Security

Select Start > Settings > Update & Security > Windows Security and then Virus & threat protection.

Under Current threats, select Scan options (or in previous versions of Windows 10, under Threat history, select Run a new advanced scan).

Select one of the scan options:

Full scan (check files and programs currently running on your device)

Custom scan (scan specific files or folders)

Microsoft Defender Offline scan (run this scan if your device has been, or could potentially be, infected by a virus or malware). Learn more about Microsoft Defender Offline

Select Scan now.

Note: Because of streamlined security, this process isn’t available if you’re running Windows 10 in S mode.

Schedule your own scan

Even though Windows Security is regularly scanning your device to keep it safe, you can also set when and how often the scans occur.

Schedule a scan

Select the Start button, type schedule tasks in the Search box, and in the list of results, select Task Scheduler.

In the left pane, select the arrow (>) next to Task Scheduler Library to expand it, do the same with Microsoft > Windows, and then scroll down and select the Windows Defender folder.

In the top-center pane, select Windows Defender Scheduled Scan. (Point to the choices to see the full names.)

In the Actions pane on the right, scroll down and then select Properties.

In the window that opens, select the Triggers tab, and then select New.

Set your preferred time and frequency, and then select OK.

Review the schedule and select OK.

Note: Because of streamlined security, this process isn’t available if you’re running Windows 10 in S mode.

Turn Microsoft Defender Antivirus real-time protection on or off

Sometimes you may need to briefly stop running real-time protection. While real-time protection is off, files you open or download won’t be scanned for threats. However, real-time protection will soon turn on automatically again to protect your device.

Turn real-time protection off temporarily

Select Start > Settings > Update & Security > Windows Security and then Virus & threat protection > Manage settings. (In previous versions of Windows 10, select Virus & threat protection > Virus & threat protection settings.)
Open Windows Security settings

Switch the Real-time protection setting to Off and choose Yes to verify.

Note: Because of streamlined security, this process isn’t available if you’re running Windows 10 in S mode.

5156(S). Платформа фильтрации Windows разрешила подключение. 5156(S): The Windows Filtering Platform has permitted a connection.

Относится к: Applies to

• Windows 10 Windows 10
• Windows Server 2016 Windows Server 2016

Описание события: Event Description:

Это событие создается, когда платформа фильтрации Windows разрешила подключение. This event generates when Windows Filtering Platform has allowed a connection.

Примечание. Рекомендации приведены в разделе Рекомендации по мониторингу безопасности для этого события. Note For recommendations, see Security Monitoring Recommendations for this event.

XML события: Event XML:

Необходимые роли сервера: нет. Required Server Roles: None.

Минимальная версия ОС: Windows Server 2008, Windows Vista. Minimum OS Version: Windows Server 2008, Windows Vista.

Версии события: 0. Event Versions: 0.

Описания полей: Field Descriptions:

Сведения о приложениях: Application Information:

ID процесса [Type = Pointer]: hexadecimal Process ID процесса, получивного подключение. Process ID [Type = Pointer]: hexadecimal Process ID of the process that received the connection. ИД процесса (PID)— это число, которое операционная система использует для идентификации активного процесса уникальным образом. Process ID (PID) is a number used by the operating system to uniquely identify an active process. Узнать значение PID для определенного процесса можно, например, в диспетчере задач (вкладка «Подробности», столбец «ИД процесса»): To see the PID for a specific process you can, for example, use Task Manager (Details tab, PID column):

Если преобразовать шестнадцатеричное значение в десятичное, можно сравнить его со значениями в диспетчере задач. If you convert the hexadecimal value to decimal, you can compare it to the values in Task Manager.

Кроме того, можно сопоставить этот ИД процесса с ИД процесса в других событиях, например в событии «4688: создан процесс» Информация о процессе\ ИД нового процесса. You can also correlate this process ID with a process ID in other events, for example, “4688: A new process has been created” Process Information\New Process ID.

Имя приложения [Type = UnicodeString]: полный путь и имя исполняемого для процесса. Application Name [Type = UnicodeString]: full path and the name of the executable for the process.

Логический диск отображается в формате \device\harddiskvolume#. Logical disk is displayed in format \device\harddiskvolume#. Вы можете получить все локальные номера тома с помощью утилиты diskpart. You can get all local volume numbers by using diskpart utility. Командой для получения номеров тома с помощью diskpart является «том списка»: The command to get volume numbers using diskpart is “list volume”:

Сведения о сети: Network Information:

Направление [Type = UnicodeString]: направление разрешенного подключения. Direction [Type = UnicodeString]: direction of allowed connection.

Входящий — для входящие подключения. Inbound – for inbound connections.

Исходящие — для неограниченых подключений. Outbound – for unbound connections.

Исходный адрес [Type = UnicodeString]: IP-адрес, с которого было инициировано подключение. Source Address [Type = UnicodeString]: IP address from which the connection was initiated.

Адрес IPv4 IPv4 Address

Адрес IPv6 IPv6 Address

:: — все IP-адреса в формате IPv6 :: — all IP addresses in IPv6 format

0.0.0.0 — все IP-адреса в формате IPv4 0.0.0.0 — all IP addresses in IPv4 format

127.0.0.1 , ::1 — localhost 127.0.0.1 , ::1 — localhost

Исходный порт [Type = UnicodeString]: номер порта, с которого было инициировано подключение. Source Port [Type = UnicodeString]: port number from which the connection was initiated.

Адрес назначения [Type = UnicodeString]: IP-адрес, где было получено подключение. Destination Address [Type = UnicodeString]: IP address where the connection was received.

Адрес IPv4 IPv4 Address

Адрес IPv6 IPv6 Address

:: — все IP-адреса в формате IPv6 :: — all IP addresses in IPv6 format

0.0.0.0 — все IP-адреса в формате IPv4 0.0.0.0 — all IP addresses in IPv4 format

127.0.0.1 , ::1 — localhost 127.0.0.1 , ::1 — localhost

Порт назначения [Type = UnicodeString]: номер порта, где было получено подключение. Destination Port [Type = UnicodeString]: port number where the connection was received.

Протокол [Type = UInt32]: номер используемого протокола. Protocol [Type = UInt32]: number of the protocol that was used.

Обслуживание Service	Номер протокола Protocol Number
Протокол сообщений управления Интернетом (ICMP) Internet Control Message Protocol (ICMP)	1 1
Протокол управления передачей (TCP) Transmission Control Protocol (TCP)	6 6
Протокол пользовательской datagram (UDP) User Datagram Protocol (UDP)	17 17
Общая инкапсуляция маршрутизации (данные PPTP по GRE) General Routing Encapsulation (PPTP data over GRE)	47 47
Загонщик проверки подлинности (AH) IPSec Authentication Header (AH) IPSec	51 51
IpSec безопасности инкапсуляции (ESP) Encapsulation Security Payload (ESP) IPSec	50 50
Протокол внешних шлюзов (EGP) Exterior Gateway Protocol (EGP)	8 8
Gateway-Gateway (GGP) Gateway-Gateway Protocol (GGP)	3 3
Протокол мониторинга хостов (HMP) Host Monitoring Protocol (HMP)	20 20
Протокол управления интернет-группой (IGMP) Internet Group Management Protocol (IGMP)	88 88
Удаленный виртуальный диск MIT (RVD) MIT Remote Virtual Disk (RVD)	66 66
OSPF Откройте кратчайший путь сначала OSPF Open Shortest Path First	89 89
Универсальный пакетный протокол PARC (PUP) PARC Universal Packet Protocol (PUP)	12 12
Надежный протокол datagram (RDP) Reliable Datagram Protocol (RDP)	27 27
Протокол бронирования (RSVP) QoS Reservation Protocol (RSVP) QoS	46 46

Сведения о фильтре: Filter Information:

Фильтрация Run-Time [Type = UInt64]: уникальный фильтр, разрешив подключение. Filter Run-Time ID [Type = UInt64]: unique filter ID that allowed the connection.

Чтобы найти определенный фильтр платформы фильтрации Windows по ID, запустите следующую команду: netsh wfp show filters. To find a specific Windows Filtering Platform filter by ID, run the following command: netsh wfp show filters. В результате этой команды будет filters.xml файл. As a result of this command, the filters.xml file will be generated. Откройте этот файл и найдите определенное подстройку с требуемой фильтрацией** ****например:** Open this file and find specific substring with required filter ID ( ), for example:

Имя слоя [Тип = UnicodeString]: имя слоя принудения уровня приложений. Layer Name [Type = UnicodeString]: Application Layer Enforcement layer name.

Идентификатор Run-Time [Type = UInt64]: идентификатор уровня платформы фильтрации Windows. Layer Run-Time ID [Type = UInt64]: Windows Filtering Platform layer identifier. Чтобы найти определенный ID уровня платформы фильтрации Windows, запустите следующую команду: состояние шоу wfp netsh. To find a specific Windows Filtering Platform layer ID, run the following command: netsh wfp show state. В результате этой команды будет wfpstate.xml файл. As a result of this command, the wfpstate.xml file will be generated. Откройте этот файл и найдите определенное подстройка с требуемой iD слоя** ****например:** Open this file and find specific substring with required layer ID ( ), for example:

Рекомендации по контролю безопасности Security Monitoring Recommendations

Для 5156 (S): Платформа фильтрации Windows разрешила подключение. For 5156(S): The Windows Filtering Platform has permitted a connection.

Если у вас есть заранее определенное приложение, которое должно использоваться для выполнения операции, о чем было овеяно этим событием, отслеживайте события с помощью приложения «Application», не равного вашему определенному приложению. If you have a predefined application that should be used to perform the operation that was reported by this event, monitor events with “Application” not equal to your defined application.

Вы можете отслеживать,**** нет ли «Приложение» в стандартной папке (например, не в System32 или Program Files) или в ограниченной папке (например, **** Временные файлы Интернета). You can monitor to see if “Application” is not in a standard folder (for example, not in System32 or Program Files) or is in a restricted folder (for example, Temporary Internet Files).

Если у вас есть заранее определенный список ограниченных подстройок или слов в именах приложений (например,«mimikatz» или** «cain.exe»), **проверьте эти подстройки в «Application». If you have a pre-defined list of restricted substrings or words in application names (for example, “mimikatz” or “cain.exe”), check for these substrings in “Application.”

Убедитесь,что «Исходный адрес» является одним из адресов, присвоенных компьютеру. Check that “Source Address” is one of the addresses assigned to the computer.

Если компьютер или устройство не должны иметь доступ к Интернету или содержат только приложения, не подключенные к Интернету, отслеживайте 5156 событий, в которых «Адресназначения» является IP-адресом из Интернета (не из частных диапазонов IP). If the computer or device should not have access to the Internet, or contains only applications that don’t connect to the Internet, monitor for 5156 events where “Destination Address” is an IP address from the Internet (not from private IP ranges).

Если вы знаете, что компьютер никогда не должен связываться или никогда не должен связываться с определенными сетевыми IP-адресами, отслеживайте эти адреса в «Адрес назначения. « If you know that the computer should never contact or should never be contacted by certain network IP addresses, monitor for these addresses in “Destination Address.”

Если у вас есть допустимый список IP-адресов, с которые компьютер или устройство должны связаться или с ними связаться, отслеживайте IP-адреса в «Адрес назначения», которые не находятся в списке допустимого. If you have an allow list of IP addresses that the computer or device is expected to contact or to be contacted by, monitor for IP addresses in “Destination Address” that are not in the allow list.

Если необходимо отслеживать все входящие подключения к определенному локальному порту, отслеживайте события 5156 с помощью этого «Source Port. « If you need to monitor all inbound connections to a specific local port, monitor for 5156 events with that “Source Port.”

Монитор для всех подключений с «номеромпротокола», который не является типичным для этого устройства или компьютера, например, ничего, кроме 1, 6 или 17. Monitor for all connections with a “Protocol Number” that is not typical for this device or computer, for example, anything other than 1, 6, or 17.

Если связь компьютера с «адресомназначения» всегда должна использовать определенный «Портназначения»,«монитор для любого другого «Порта назначения». If the computer’s communication with “Destination Address” should always use a specific “Destination Port,” monitor for any other “Destination Port.”