Uit de resultaten van AV-Test, een softwarelab gespecialiseerd in antivirussoftware, blijkt duidelijk dat er bij Microsoft sinds het najaar van 2015 veel is gebeurd. Op dat moment, kort na het uitkomen van Windows 10, behaalde de meegeleverde virusscanner Windows Defender op het gebied van bescherming slechts 3,5 van de 6 mogelijke punten. In het voorjaar van 2018 haalde Defender echter een score van 5,5 en kwam daarmee op gelijke hoogte met producten van Avast, AVG en G Data. In de categorieën snelheid en gebruiksvriendelijkheid scoorde de meegeleverde scanner met 5,5 punten ook goed. Ook in de recente real-world-test van het Oostenrijkse testinstituut AV-Comparatives slaat Defender een goed figuur. Vergeleken met andere antivirussoftware dringt Windows Defender zich niet zo irritant aan je op, omdat het geen aankoop hoeft te rechtvaardigen. Kortom, is er weinig reden om onder Windows 10 een andere virusscanner te installeren.
Om te controleren of de bescherming tegen virussen actief is, bezoek je het Windows Defender-beveiligingscentrum. Daarvoor klik je op het pictogram van Defender (het schild) in het systeemvak op de taakbalk. Als het pictogram niet zichtbaar is, gaat het schuil achter het pijltje omhoog. Vervolgens kun je het met ingedrukte muisknop verslepen tot naast de klok, om de beveiligingsstatus altijd in beeld te hebben.
Het Windows Defender-beveiligingscentrum lijkt op het controlecentrum van commerciële antivirusprogramma’s en biedt een snel overzicht van de belangrijkste beschermingsfuncties. Controleer eerst bij ‘Virus- en bedreigingsbeveiliging / Updates van virus- en bedreigingsbeveiliging’ of de beveiligingsdefinities zijn bijgewerkt. Dit vormt de basis waarmee Defender rondwarend ongedierte detecteert. Bij ‘Virus- en bedreigingsbeveiliging / Instellingen voor virus- en bedreigingsbeveiliging’ moet ‘Realtime-beveiliging’ actief zijn. Dit is een on-access-scanner, die bestanden scant op het moment dat ze worden geopend. Activeer ook de cloudbeveiliging. Als dit is ingeschakeld, stuurt Defender de metagegevens van het te controleren bestand naar de Microsoft-cloud als de virusbescherming met de lokale controle daar onvoldoende zekerheid over krijgt. Als de cloud het bestand daarbij al kent van een eerdere beoordeling, krijgt Defender direct bericht of het bestand is geclassificeerd als goedaardig, kwaadaardig of verdacht.
Dit beschermingsmechanisme kan alleen volledig tot zijn recht komen als het automatisch indienen van samples actief is. Dit is voor de meeste thuisgebruikers geen probleem, omdat het meestal om uitvoerbare bestanden gaat, die bovendien afkomstig zijn van een openbare bron. Als het indienen is ingeschakeld, geeft Defender het te controleren bestand door aan de Microsoft-cloud als bij het bekijken van de metagegevens bleek dat het nog niet in de cloud werd onderzocht. Het bestand wordt daar dan uitgevoerd en bestudeerd met behulp van machine-learning.
Volgens Microsoft stuurt de cloud binnen een paar seconden een beoordeling terug. Defender blokkeert de toegang tot het bestand zolang. Het bedrijf verklaart dat het dankzij de cloud-bescherming binnen enkele seconden op virusuitbraken kan reageren en gebruikers kan beschermen. Maar pas wel op: als je werkt met zelfgeschreven scripts, macro’s of toepassingen, moet je er rekening mee houden dat deze bij Microsoft terecht komen als de optie actief is. Met name voor bedrijven kan dat een bezwaar zijn voor het gebruik van de functie. In dergelijke gevallen kan het automatisch indienen los van de cloudbescherming worden uitgeschakeld bij ‘Instellingen voor virus- en bedreigingsbeveiliging’. Standaard zijn beide functies actief.