Nejčastější dotazy k detekci a odezvě koncových bodů (EDR) v režimu blokování

Pokud se zobrazí falešně pozitivní, můžete soubor odeslat k analýze na webu pro odeslání Microsoft Bezpečnostní analýza.

Můžete také definovat vyloučení pro Microsoft Defender Antivirus. Viz Konfigurace a ověření vyloučení pro Microsoft Defender antivirové kontroly.

Ano, Společnost Microsoft doporučuje povolit EDR v režimu blokování, i když je primární antivirový software v systému Microsoft Defender Antivirus. Detekce EDR je možné automaticky napravit ochranou PUA nebo automatizovaným vyšetřováním & nápravných funkcí v režimu blokování.

Primárním účelem EDR v režimu blokování je napravit detekce po porušení zabezpečení, které byly vynechány antivirovým produktem, který není společností Microsoft.

EDR v režimu blokování nemá vliv na antivirovou ochranu třetích stran spuštěnou na zařízeních uživatelů. EDR v režimu blokování funguje, pokud primární antivirové řešení něco vynechá nebo pokud dojde k detekci po porušení zabezpečení. EDR v režimu blokování funguje stejně jako Microsoft Defender Antivirus v pasivním režimu s tím rozdílem, že EDR v režimu blokování také blokuje a opravuje zjištěné škodlivé artefakty nebo chování.

Vzhledem k tomu, že Microsoft Defender Antivirus detekuje a opravuje škodlivé položky, je důležité udržovat je v aktualizovaném stavu. Aby byl EDR v režimu blokování efektivní, používá nejnovější modely učení zařízení, detekce chování a heuristiky. Sada funkcí defenderu for Endpoint funguje integrovaným způsobem. Pokud chcete dosáhnout nejlepších hodnot ochrany, měli byste mít Microsoft Defender Antivirus aktuální. Viz Správa aktualizací Microsoft Defender Antivirové ochrany a použití směrných plánů.

K zapnutí funkce na zařízení je potřeba cloudová ochrana. Cloudová ochrana umožňuje Defenderu for Endpoint poskytovat nejnovější a nejlepší ochranu na základě naší šířky a hloubky inteligentních informací o zabezpečení a také na modelech chování a učení zařízení.

Pro koncové body se systémem Windows 10, Windows 11, Windows Server verze 1803 nebo novější, Windows Server 2019 nebo Windows Server 2022, když je Microsoft Defender Antivirus v aktivním režimu, používá se jako primární antivirový program na zařízení. Při spuštění v pasivním režimu není Microsoft Defender Antivirus primárním antivirovým produktem. V tomto případě Microsoft Defender Antivirus v reálném čase nenapraví hrozby.

Další informace najdete v tématu Microsoft Defender kompatibilita antivirové ochrany.

Pokud chcete ověřit, jestli Microsoft Defender Antivirus běží v aktivním nebo pasivním režimu, můžete použít příkazový řádek nebo PowerShell na zařízení s Windows.

Pomocí PowerShellu můžete ověřit, jestli je EDR v režimu blokování zapnutý s Microsoft Defender Antivirový program spuštěný v pasivním režimu.

1. Vyberte nabídku Start, začněte psát PowerShella pak otevřete Windows PowerShell ve výsledcích.

2. Typ Get-MPComputerStatus|select AMRunningMode.

3. Potvrďte, EDR Block Modeže se zobrazí výsledek .

Pokud Microsoft Defender Antivirus běží v aktivním nebo pasivním režimu, podporuje se EDR v režimu blokování v následujících verzích Windows:

• Windows 11
• Windows 10 (všechny verze)
• Windows Server verze 1803 nebo novější
• Windows Server 2022
• Windows Server 2019
• Windows Server 2016 a Windows Server 2012 R2 (s novým sjednoceným klientským řešením)

S novým jednotným klientským řešením pro Windows Server 2016 a Windows Server 2012 R2 můžete spustit EDR v režimu blokování v pasivním nebo aktivním režimu.

Pokud se rozhodnete zakázat EDR v režimu blokování, může trvat až 30 minut, než systém tuto funkci zakáže.

• Detekce koncových bodů a odezva v režimu blokování
• Blog technické komunity: Představení EDR v režimu blokování: Zastavení útoků v jejich stopách
• Behaviorální blokování a izolace