Del via


Registrering af slutpunkt og svar i bloktilstand

Gælder for:

Platforme

  • Windows

Vil du opleve Defender for Endpoint? Tilmeld dig en gratis prøveversion.

I denne artikel beskrives EDR i bloktilstand, som hjælper med at beskytte enheder, der kører en antivirusløsning, der ikke er Fra Microsoft (med Microsoft Defender Antivirus i passiv tilstand).

Hvad er EDR i blokeringstilstand?

EDR (Endpoint Detection and Response) i blokeringstilstand giver ekstra beskyttelse mod skadelige artefakter, når Microsoft Defender Antivirus ikke er det primære antivirusprodukt og kører i passiv tilstand. EDR i bloktilstand er tilgængelig i Defender for Endpoint Plan 2.

Vigtigt!

EDR i blokeringstilstand kan ikke give al tilgængelig beskyttelse, når Microsoft Defender Antivirus-beskyttelse i realtid er i passiv tilstand. Nogle funktioner, der afhænger af, at Microsoft Defender Antivirus er den aktive antivirusløsning, fungerer ikke, f.eks. følgende eksempler:

  • Beskyttelse i realtid, herunder scanning efter adgang og planlagt scanning, er ikke tilgængelig, når Microsoft Defender Antivirus er i passiv tilstand. Hvis du vil vide mere om indstillinger for beskyttelsespolitik i realtid, skal du se Aktivér og konfigurer Microsoft Defender Antivirus always-on protection.
  • Funktioner som netværksbeskyttelse og regler og indikatorer for reduktion af angrebsoverfladen (filhash, IP-adresse, URL-adresse og certifikater) er kun tilgængelige, når Microsoft Defender Antivirus kører i aktiv tilstand. Det forventes, at din antivirusløsning, der ikke er fra Microsoft, indeholder disse funktioner.

EDR i bloktilstand fungerer bag kulisserne for at afhjælpe skadelige artefakter, der blev registreret af EDR-funktioner. Sådanne artefakter kan være blevet overset af det primære antivirusprodukt, der ikke er fra Microsoft. EDR i bloktilstand gør det muligt for Microsoft Defender Antivirus at udføre handlinger på EDR-registreringer efter sikkerhedsbrud.

EDR i blokeringstilstand er integreret med funktioner til administration af trusler & sårbarheder . Organisationens sikkerhedsteam får en sikkerhedsanbefaling om at slå EDR til i blokeringstilstand, hvis det ikke allerede er aktiveret.

Anbefalingen om at slå EDR til i bloktilstand

Tip

Hvis du vil have den bedste beskyttelse, skal du sørge for at installere Microsoft Defender for Endpoint baselines.

Se denne video for at få mere at vide om, hvorfor og hvordan du slår EDR (endpoint detection and response) til i bloktilstand, aktiverer adfærdsblokering og indeslutning i alle faser fra før sikkerhedsbrud til efter sikkerhedsbrud.

Hvad sker der, når der registreres noget?

Når EDR i blokeringstilstand er slået til, og der registreres en skadelig artefakt, afhjælper Defender for Endpoint denne artefakt. Dit team af sikkerhedshandlinger får vist registreringsstatus som Blokeret eller Forhindret i Løsningscenter angivet som fuldførte handlinger. På følgende billede vises en forekomst af uønsket software, der blev registreret og afhjælpet via EDR i blokeringstilstand:

Registrering af EDR i bloktilstand

Aktivér EDR i bloktilstand

Vigtigt!

  • Sørg for, at kravene er opfyldt, før du aktiverer EDR i blokeringstilstand.
  • Der kræves Defender for Endpoint Plan 2-licenser.
  • Fra og med platformversion 4.18.2202.X kan du angive EDR i bloktilstand til at målrette bestemte enhedsgrupper ved hjælp af Intune-CSP'er. Du kan fortsætte med at angive EDR i blokeringstilstand for hele lejeren på Microsoft Defender-portalen.
  • EDR i bloktilstand anbefales primært til enheder, der kører Microsoft Defender Antivirus i passiv tilstand (en ikke-Microsoft-antivirusløsning er installeret og aktiv på enheden).

Microsoft Defender-portal

  1. Gå til Microsoft Defender-portalen (https://security.microsoft.com/), og log på.

  2. Vælg Indstillinger>Slutpunkter>Generelle>avancerede funktioner.

  3. Rul ned, og aktivér derefter Aktivér EDR i bloktilstand.

Intune

Hvis du vil oprette en brugerdefineret politik i Intune, skal du se Installér OMA-URIs til at målrette en CSP via Intune og en sammenligning med det lokale miljø.

Du kan få flere oplysninger om den Defender CSP, der bruges til EDR i blokeringstilstand, under "Configuration/PassiveRemediation" under Defender CSP.

Krav til EDR i bloktilstand

I følgende tabel vises kravene til EDR i bloktilstand:

Krav Detaljer
Tilladelser Du skal enten have rollen Global administrator eller Sikkerhedsadministrator tildelt i Microsoft Entra ID. Du kan få flere oplysninger under Grundlæggende tilladelser.
Operativsystem Enheder skal køre en af følgende versioner af Windows:
- Windows 11
- Windows 10 (alle udgivelser)
- Windows Server 2019 eller nyere
- Windows Server, version 1803 eller nyere
- Windows Server 2016 og Windows Server 2012 R2 (med den nye samlede klientløsning)
Microsoft Defender for Endpoint Plan 2 Enheder skal være onboardet til Defender for Endpoint. Se følgende artikler:
- Minimumkrav til Microsoft Defender for Endpoint
- Onboarde enheder, og konfigurer Microsoft Defender for Endpoint-funktioner
- Onboarder Windows-servere til Defender for Endpoint-tjenesten
- Ny Windows Server 2012 R2- og 2016-funktionalitet i den moderne samlede løsning
(Se Understøttes EDR i bloktilstand på Windows Server 2016 og Windows Server 2012 R2?)
Microsoft Defender Antivirus Microsoft Defender Antivirus skal være installeret og køre på enheder i enten aktiv eller passiv tilstand. Bekræft, at Microsoft Defender Antivirus er i aktiv eller passiv tilstand.
Skybaseret beskyttelse Microsoft Defender Antivirus skal konfigureres, så skybaseret beskyttelse er aktiveret.
Microsoft Defender Antivirus-platform Enheder skal være opdateret. Hvis du vil bekræfte dette, skal du køre Get-MpComputerStatus-cmdlet'en som administrator ved hjælp af PowerShell. På linjen AMProductVersion kan du se 4.18.2001.10 eller nyere.

Du kan få mere at vide under Administrer opdateringer til Microsoft Defender Antivirus og anvend oprindelige planer.
Microsoft Defender Antivirus-program Enheder skal være opdateret. Hvis du vil bekræfte dette, skal du køre Get-MpComputerStatus-cmdlet'en som administrator ved hjælp af PowerShell. På linjen AMEngineVersion kan du se 1.1.16700.2 eller nyere.

Du kan få mere at vide under Administrer opdateringer til Microsoft Defender Antivirus og anvend oprindelige planer.

Vigtigt!

Hvis du vil have den bedste beskyttelsesværdi, skal du sørge for, at din antivirusløsning er konfigureret til at modtage regelmæssige opdateringer og vigtige funktioner, og at dine undtagelser er konfigureret. EDR i blokeringstilstand respekterer undtagelser, der er defineret for Microsoft Defender Antivirus, men ikke indikatorer , der er defineret for Microsoft Defender for Endpoint.

Microsoft anbefaler, at du bruger roller med færrest tilladelser. Dette hjælper med at forbedre sikkerheden for din organisation. Global administrator er en yderst privilegeret rolle, der bør være begrænset til nødsituationer, når du ikke kan bruge en eksisterende rolle.

Se også

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender for Endpoint Tech Community.