Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento článek popisuje EDR v režimu blokování, který pomáhá chránit zařízení, na kterých běží antivirové řešení jiné společnosti než Microsoft (s Microsoft Defender Antivirus v pasivním režimu).
Požadavky
Podporované operační systémy
- Windows
Co je EDR v režimu blokování?
Detekce a reakce koncových bodů (EDR) v režimu blokování poskytuje přidanou ochranu před škodlivými artefakty, když Microsoft Defender Antivirus není primární antivirový produkt a běží v pasivním režimu. EDR v režimu blokování je k dispozici v Defenderu for Endpoint Plan 2.
Důležité
EDR v režimu blokování nemůže poskytovat veškerou dostupnou ochranu, pokud je Microsoft Defender Antivirová ochrana v reálném čase v pasivním režimu. Některé funkce, které závisí na tom, že Microsoft Defender Antivirová ochrana bude aktivním antivirovým řešením, nebudou fungovat, například následující příklady:
- Ochrana v reálném čase, včetně kontroly přístupu, není k dispozici, pokud je Microsoft Defender Antivirus v pasivním režimu. Další informace o nastavení zásad ochrany v reálném čase najdete v tématu Povolení a konfigurace trvalé ochrany Microsoft Defender Antivirová ochrana.
- Funkce, jako je ochrana sítě a pravidla a indikátory omezení potenciální oblasti útoku (hodnota hash souboru, IP adresa, adresa URL a certifikáty), jsou dostupné jenom v případě, že Microsoft Defender Antivirus běží v aktivním režimu. Očekává se, že vaše antivirové řešení od jiných společností než Microsoft zahrnuje tyto funkce.
EDR v režimu blokování funguje na pozadí a opravuje škodlivé artefakty zjištěné funkcemi EDR. Tyto artefakty mohly být vynechány primárním antivirovým produktem, který není společností Microsoft. EDR v režimu blokování umožňuje Microsoft Defender Antivirus provádět akce při detekci EDR po porušení zabezpečení a chování.
EDR v režimu blokování je integrovaný s možnostmi správy ohrožení zabezpečení & ohrožení zabezpečení . Bezpečnostní tým vaší organizace dostane doporučení zabezpečení, aby EDR zapnul v režimu blokování, pokud ještě není povolený.
Tip
Pokud chcete získat nejlepší ochranu, nezapomeňte nasadit Microsoft Defender for Endpoint směrné plány.
V tomto videu se dozvíte, proč a jak zapnout detekci a odezvu koncového bodu (EDR) v režimu blokování, povolit blokování chování a omezení v každé fázi od předběžného porušení až po následné porušení zabezpečení.
Co se stane, když se něco zjistí?
Když je EDR v režimu blokování zapnutý a zjistí se škodlivý artefakt, Defender for Endpoint tento artefakt napraví. Váš tým pro operace zabezpečení uvidí stav detekce jako Blokované nebo Prevented v Centru akcí, který je uvedený jako dokončené akce. Následující obrázek ukazuje instanci nežádoucího softwaru, která byla zjištěna a napravena prostřednictvím EDR v režimu blokování:
Povolení EDR v režimu blokování
Důležité
- Než zapnete EDR v režimu blokování, ujistěte se, že jsou splněné požadavky .
- Licence defenderu for Endpoint Plan 2 jsou povinné.
- Od verze platformy 4.18.2202.X můžete nastavit EDR v režimu blokování tak, aby cílil na konkrétní skupiny zařízení pomocí Intune CSP. Na portálu Microsoft Defender můžete dál nastavit EDR v režimu blokování pro celého tenanta.
- EDR v režimu blokování se doporučuje hlavně pro zařízení, na kterých běží Microsoft Defender Antivirus v pasivním režimu (na zařízení je nainstalované a aktivní antivirové řešení jiného výrobce než Microsoft).
Portál Microsoft Defender
Přejděte na portál Microsoft Defender (https://security.microsoft.com/) a přihlaste se.
Zvolte Nastavení>Koncové body>Obecné>pokročilé funkce.
Posuňte se dolů a zapněte povolit EDR v režimu blokování.
Intune
Pokud chcete vytvořit vlastní zásadu v Intune, přečtěte si téma Nasazení OMA-URIs pro cílení na CSP prostřednictvím Intune a porovnání s místním prostředím.
Další informace o programu Defender CSP používaném pro EDR v režimu blokování najdete v části Konfigurace/Pasivní obnovení v části Defender CSP.
Zásady skupiny
K povolení EDR v režimu blokování můžete použít Zásady skupiny.
Na počítači pro správu Zásady skupiny otevřete Konzolu pro správu zásad skupiny.
Klikněte pravým tlačítkem na Zásady skupiny objekt, který chcete nakonfigurovat, a pak vyberte Upravit.
V editoru pro správu Zásady skupiny přejděte na Konfigurace počítače a pak vyberte Šablony pro správu.
Rozbalte strom na Součásti> systému Windows Microsoft Defender Antivirové>funkce.
Poklikejte na Povolit EDR v režimu blokování a nastavte možnost na Povoleno.
Vyberte OK.
Požadavky na EDR v režimu blokování
Následující tabulka uvádí požadavky na EDR v režimu blokování:
| Požadavek | Podrobnosti |
|---|---|
| Oprávnění | V Microsoft Entra ID musíte mít přiřazenou roli globálního správce nebo správce zabezpečení. Další informace najdete v tématu Základní oprávnění. |
| Operační systém | Na zařízeních musí běžet jedna z následujících verzí Windows: - Windows 11 - Windows 10 (všechny verze) - Windows Server 2019 nebo novější – Windows Server verze 1803 nebo novější – Windows Server 2016 a Windows Server 2012 R2 (s novým jednotným klientským řešením) |
| Plán 2 pro Microsoft Defender pro koncový bod | Zařízení musí být onboardovaná do Defenderu for Endpoint. Projděte si následující články: - Minimální požadavky na Microsoft Defender for Endpoint - Onboarding zařízení a konfigurace možností Microsoft Defender for Endpoint - Onboarding serverů Windows do služby Defender for Endpoint - Nové funkce Windows Server 2012 R2 a 2016 v moderním sjednocené řešení (Viz Podporuje se EDR v režimu blokování na Windows Server 2016 a Windows Server 2012 R2?) |
| Antivirová ochrana v Microsoft Defenderu | Zařízení musí mít nainstalovanou Microsoft Defender Antivirovou ochranu v aktivním nebo pasivním režimu. Ověřte, Microsoft Defender je Antivirová ochrana v aktivním nebo pasivním režimu. |
| Cloudová ochrana | Microsoft Defender Antivirus musí být nakonfigurovaný tak, aby byla povolená cloudová ochrana. |
| Microsoft Defender Antivirová platforma | Zařízení musí být aktuální. Pokud to chcete ověřit, spusťte pomocí PowerShellu rutinu Get-MpComputerStatus jako správce. Na řádku AMProductVersion byste měli vidět 4.18.2001.10 nebo vyšší. Další informace najdete v tématu Správa aktualizací antivirové ochrana v programu Microsoft Defender a použití směrných plánů. |
| modul Microsoft Defender Antivirus | Zařízení musí být aktuální. Pokud to chcete ověřit, spusťte pomocí PowerShellu rutinu Get-MpComputerStatus jako správce. Na řádku AMEngineVersion byste měli vidět 1.1.16700.2 nebo vyšší. Další informace najdete v tématu Správa aktualizací antivirové ochrana v programu Microsoft Defender a použití směrných plánů. |
Důležité
Pokud chcete získat nejlepší hodnotu ochrany, ujistěte se, že je vaše antivirové řešení nakonfigurované tak, aby dostávalo pravidelné aktualizace a základní funkce, a že jsou nakonfigurovaná vyloučení. EDR v režimu blokování respektuje vyloučení definovaná pro Microsoft Defender Antivirus, ale ne indikátory definované pro Microsoft Defender for Endpoint.
Microsoft doporučuje používat role s co nejmenším počtem oprávnění. To pomáhá zlepšit zabezpečení vaší organizace. Globální správce je vysoce privilegovaná role, která by měla být omezená na nouzové scénáře, když nemůžete použít existující roli.