Endpunkterkennung und -reaktion (Endpoint Detection and Response, EDR) im Blockmodus
Gilt für:
- Microsoft Defender für Endpunkt Plan 2
- Microsoft 365 Defender
- Microsoft Defender Antivirus
Plattformen
- Windows
Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion
Was ist EDR im Blockmodus?
Endpoint Detection and Response (EDR) im Blockmodus bietet zusätzlichen Schutz vor schädlichen Artefakten, wenn Microsoft Defender Antivirus (MDAV) nicht das primäre Antivirenprodukt ist und im passiven Modus ausgeführt wird. EDR im Blockmodus arbeitet im Hintergrund, um schädliche Artefakte zu beheben, die von EDR-Funktionen erkannt wurden. Solche Artefakte wurden möglicherweise vom primären, nicht von Microsoft stammenden Antivirenprodukt übersehen. EDR im Blockmodus ermöglicht es Microsoft Defender Antivirus, Maßnahmen auf EDR-Erkennungen nach einer Sicherheitsverletzung zu ergreifen. Weitere Informationen finden Sie im Abschnitt Muss ich EDR im Blockmodus aktivieren, wenn ich Microsoft Defender Antivirus habe? im Abschnitt Häufig gestellte Fragen.
Wichtig
EDR im Blockmodus bietet nicht den gesamten Verfügbaren Schutz, wenn Microsoft Defender Antivirus-Echtzeitschutz aktiviert ist. Einige Funktionen, die von Microsoft Defender Antivirus als aktive Antivirenlösung abhängen, funktionieren nicht, z. B. die folgenden Beispiele:
- Echtzeitschutz, einschließlich der Überprüfung bei Zugriff, ist nicht verfügbar, wenn sich Microsoft Defender Antivirus im passiven Modus befindet. Weitere Informationen zu Echtzeit-Schutzrichtlinieneinstellungen finden Sie unter Aktivieren und Konfigurieren Microsoft Defender Antivirus Always-On-Schutz.
- Features wie Netzwerkschutz und Regeln zur Verringerung der Angriffsfläche sind nur verfügbar, wenn Microsoft Defender Antivirus im aktiven Modus ausgeführt wird.
Es wird erwartet, dass Ihre Nicht-Microsoft-Antivirenlösung diese Funktionen enthält.
EDR im Blockmodus ist in Funktionen zur Verwaltung von Bedrohungen & für Sicherheitsrisiken integriert. Das Sicherheitsteam Ihrer Organisation erhält eine Sicherheitsempfehlung , um EDR im Blockmodus zu aktivieren, wenn er noch nicht aktiviert ist. Diese Empfehlung gilt in erster Linie für Geräte, die eine aktive Nicht-Microsoft-Antivirenlösung (mit Microsoft Defender Antivirus im passiven Modus) verwenden. Die Aktivierung von EDR im Blockmodus bietet wenig Vorteile, wenn Microsoft Defender Antivirus die primäre Antivirenlösung auf Geräten ist.
Tipp
Stellen Sie sicher, dass Sie Microsoft Defender for Endpoint Baselines bereitstellen, um den besten Schutz zu erhalten.
Schauen Sie sich dieses Video an, um zu erfahren, warum und wie Sie die Endpunkterkennung und -reaktion (EDR) im Blockmodus aktivieren, verhaltensbasierte Blockierung und Eindämmung in jeder Phase von der Vorverletzung bis zur Nachverletzung aktivieren.
Was geschieht, wenn etwas erkannt wird?
Wenn EDR im Blockmodus aktiviert ist und ein schädliches Artefakt erkannt wird, wird dieses Artefakt von Defender für Endpunkt behoben. Ihr Sicherheitsteam sieht den Erkennungsstatus Blockiert oder Verhindert im Info-Center, das als abgeschlossene Aktionen aufgeführt ist. Die folgende Abbildung zeigt eine Instanz unerwünschter Software, die über EDR im Blockmodus erkannt und behoben wurde:
Aktivieren von EDR im Blockmodus
Wichtig
Ab Plattformversion 4.18.2202.X können Sie EDR im Blockmodus festlegen, um bestimmte Gerätegruppen mithilfe von Intune CSPs als Ziel festzulegen. Sie können EDR weiterhin mandantenweit im Blockmodus im Microsoft 365 Defender-Portal festlegen. EDR im Blockmodus wird hauptsächlich für Geräte empfohlen, auf denen Microsoft Defender Antivirus im passiven Modus ausgeführt wird (eine Nicht-Microsoft-Antivirenlösung ist auf dem Gerät installiert und aktiv).
Tipp
Stellen Sie sicher, dass die Anforderungen erfüllt sind, bevor Sie EDR im Blockmodus aktivieren.
Hinweis
Die Erstellung von Gerätegruppen wird in Defender für Endpunkt Plan 1 und Plan 2 unterstützt.
Sicherheitsportal
- Wechseln Sie zum Microsoft 365 Defender-Portal (https://security.microsoft.com/), und melden Sie sich an.
- Wählen Sie Einstellungen>Endpunkte>Allgemein>Erweiterte Features aus.
- Scrollen Sie nach unten, und aktivieren Sie EDR im Blockmodus aktivieren.
Intune
Informationen zum Erstellen einer benutzerdefinierten Richtlinie in Intune finden Sie unter Bereitstellen OMA-URIs für einen CSP als Ziel über Intune und einen Vergleich mit der lokalen Umgebung.
Weitere Informationen zum Defender-CSP, der für EDR im Blockmodus verwendet wird, finden Sie unter "Configuration/PassiveRemediation" unter Defender CSP.
Anforderungen für EDR im Blockmodus
In der folgenden Tabelle sind die Anforderungen für EDR im Blockmodus aufgeführt:
| Anforderung | Details |
|---|---|
| Berechtigungen | Ihnen muss die Rolle "Globaler Administrator" oder "Sicherheitsadministrator" in Azure Active Directory zugewiesen sein. Weitere Informationen finden Sie unter Grundlegende Berechtigungen. |
| Betriebssystem | Auf Geräten muss eine der folgenden Versionen von Windows ausgeführt werden:
|
| Microsoft Defender für Endpunkt | Geräte müssen in Defender für Endpunkt integriert werden. Lesen Sie die folgenden Artikel: - Mindestanforderungen für Microsoft Defender for Endpoint - Integrieren von Geräten und Konfigurieren Microsoft Defender for Endpoint Funktionen - Integrieren von Windows-Servern in den Defender für Endpunkt-Dienst - Neue Windows Server 2012 R2- und 2016-Funktionalität in der modernen einheitlichen Lösung (Vorschau) |
| Microsoft Defender Antivirus | Auf Geräten muss Microsoft Defender Antivirus installiert sein und entweder im aktiven oder passiven Modus ausgeführt werden. Vergewissern Sie sich Microsoft Defender Antivirus im aktiven oder passiven Modus ist. |
| Aus der Cloud gelieferter Schutz | Microsoft Defender Antivirus muss so konfiguriert werden, dass der in der Cloud bereitgestellte Schutz aktiviert ist. |
| Microsoft Defender Antivirus-Plattform | Geräte müssen auf dem neuesten Stand sein. Führen Sie zur Bestätigung mithilfe von PowerShell das Cmdlet Get-MpComputerStatus als Administrator aus. In der Zeile AMProductVersion sollte 4.18.2001.10 oder höher angezeigt werden. Weitere Informationen finden Sie unter Verwalten von Microsoft Defender Antivirus-Updates und Anwenden von Baselines. |
| Microsoft Defender Antivirus-Engine | Geräte müssen auf dem neuesten Stand sein. Führen Sie zur Bestätigung mithilfe von PowerShell das Cmdlet Get-MpComputerStatus als Administrator aus. In der Zeile AMEngineVersion sollte 1.1.16700.2 oder höher angezeigt werden. Weitere Informationen finden Sie unter Verwalten von Microsoft Defender Antivirus-Updates und Anwenden von Baselines. |
(1) Siehe Wird EDR im Blockmodus auf Windows Server 2016 und Windows Server 2012 R2 unterstützt?
Wichtig
Um den besten Schutzwert zu erzielen, stellen Sie sicher, dass Ihre Antivirenlösung so konfiguriert ist, dass sie regelmäßige Updates und wichtige Features erhält, und dass Ihre Ausschlüsse konfiguriert sind. EDR im Blockmodus berücksichtigt Ausschlüsse, die für Microsoft Defender Antivirus definiert sind, aber keine Indikatoren, die für Microsoft Defender for Endpoint definiert sind.
Häufig gestellte Fragen
Kann ich Ausschlüsse für EDR im Blockmodus angeben?
Wenn Sie ein falsch positives Ergebnis erhalten, können Sie die Datei zur Analyse auf der Microsoft Security Intelligence-Übermittlungswebsite übermitteln.
Sie können auch einen Ausschluss für Microsoft Defender Antivirus definieren. Weitere Informationen finden Sie unter Konfigurieren und Überprüfen von Ausschlüssen für Microsoft Defender Antivirus-Überprüfungen.
Muss ich EDR im Blockmodus aktivieren, wenn Microsoft Defender Antivirus auf Geräten ausgeführt wird?
Der Hauptzweck von EDR im Blockmodus besteht darin, Erkennungen nach Sicherheitsverletzungen zu beheben, die von einem Nicht-Microsoft-Antivirenprodukt übersehen wurden. Die Aktivierung von EDR im Blockmodus, wenn sich Microsoft Defender Antivirus im aktiven Modus befindet, bietet nur einen minimalen Vorteil, da von Echtzeitschutz zunächst Erkennungen abgefangen und behoben werden sollen. Es wird empfohlen, EDR im Blockmodus auf Endpunkten zu aktivieren, auf denen Microsoft Defender für Antivirus im passiven Modus ausgeführt wird. EDR-Erkennungen können automatisch durch PUA-Schutz oder durch automatisierte Untersuchungswartungsfunktionen & im Blockmodus behoben werden.
Wirkt sich EDR im Blockmodus auf den Antivirenschutz eines Benutzers aus?
EDR im Blockmodus wirkt sich nicht auf den Antivirenschutz von Drittanbietern aus, der auf den Geräten der Benutzer ausgeführt wird. EDR im Blockmodus funktioniert, wenn die primäre Antivirenlösung etwas verpasst oder nach einer Sicherheitsverletzung erkannt wird. EDR im Blockmodus funktioniert genau wie Microsoft Defender Antivirus im passiven Modus, mit der Ausnahme, dass EDR im Blockmodus auch schädliche Artefakte oder Verhaltensweisen blockiert und beseitigt, die erkannt werden.
Warum muss ich Microsoft Defender Antivirus auf dem neuesten Stand halten?
Da Microsoft Defender Antivirus schädliche Elemente erkennt und beseitigt, ist es wichtig, sie auf dem neuesten Stand zu halten. Damit EDR im Blockmodus effektiv ist, werden die neuesten Gerätelernmodelle, Verhaltenserkennungen und Heuristiken verwendet. Der Defender für Endpunkt-Funktionsstapel funktioniert auf integrierte Weise. Um den besten Schutzwert zu erhalten, sollten Sie Microsoft Defender Antivirus auf dem neuesten Stand halten. Weitere Informationen finden Sie unter Verwalten Microsoft Defender Antivirenupdates und Anwenden von Baselines.
Warum müssen Cloudschutz (MAPS) aktiviert sein?
Cloudschutz ist erforderlich, um das Feature auf dem Gerät zu aktivieren. Cloudschutz ermöglicht Es Defender für Endpunkt , den neuesten und größten Schutz basierend auf unserer Breite und Tiefe an Sicherheitsintelligenz sowie Verhaltens- und Gerätelernmodellen bereitzustellen.
Was ist der Unterschied zwischen aktivem und passivem Modus?
Für Endpunkte mit Windows 10, Windows 11, Windows Server, Version 1803 oder höher, Windows Server 2019 oder Windows Server 2022, wenn sich Microsoft Defender Antivirus im aktiven Modus befindet, wird es als primäres Antivirenprogramm auf dem Gerät verwendet. Wenn sie im passiven Modus ausgeführt wird, ist Microsoft Defender Antivirus nicht das primäre Antivirenprodukt. In diesem Fall werden Bedrohungen nicht von Microsoft Defender Antivirus in Echtzeit behoben.
Hinweis
Microsoft Defender Antivirus kann nur im passiven Modus ausgeführt werden, wenn das Gerät in Microsoft Defender for Endpoint integriert ist.
Weitere Informationen finden Sie unter Microsoft Defender Antivirus-Kompatibilität.
Gewusst wie bestätigen Microsoft Defender Antivirus im aktiven oder passiven Modus ist?
Um zu überprüfen, ob Microsoft Defender Antivirus im aktiven oder passiven Modus ausgeführt wird, können Sie die Eingabeaufforderung oder PowerShell auf einem Gerät verwenden, auf dem Windows ausgeführt wird.
| Methode | Verfahren |
|---|---|
| PowerShell | 1. Wählen Sie das Startmenü aus, beginnen Sie mit PowerShellder Eingabe von , und öffnen Sie dann Windows PowerShell in den Ergebnissen.2. Geben Sie ein Get-MpComputerStatus.3. Suchen Sie in der Ergebnisliste in der Zeile AMRunningMode nach einem der folgenden Werte: - Normal- Passive ModeWeitere Informationen finden Sie unter Get-MpComputerStatus. |
| Eingabeaufforderung |
|
Gewusst wie bestätigen, dass EDR im Blockmodus mit Microsoft Defender Antivirus im passiven Modus aktiviert ist?
Sie können PowerShell verwenden, um zu bestätigen, dass EDR im Blockmodus aktiviert ist, wenn Microsoft Defender Antivirus im passiven Modus ausgeführt wird.
Wählen Sie das Startmenü aus, beginnen Sie mit
PowerShellder Eingabe von , und öffnen Sie dann Windows PowerShell in den Ergebnissen.Geben Sie
Get-MPComputerStatus|select AMRunningModeein.Vergewissern Sie sich,
EDR Block Modedass das Ergebnis angezeigt wird.Tipp
Wenn sich Microsoft Defender Antivirus im aktiven Modus befindet, wird anstelle von
EDR Block ModeangezeigtNormal. Weitere Informationen finden Sie unter Get-MpComputerStatus.
Wird EDR im Blockmodus auf Windows Server 2016 und Windows Server 2012 R2 unterstützt?
Wenn Microsoft Defender Antivirus im aktiven oder passiven Modus ausgeführt wird, wird EDR im Blockmodus von den folgenden Versionen von Windows unterstützt:
- Windows 11
- Windows 10 (alle Releases)
- Windows Server, Version 1803 oder höher
- Windows Server 2022
- Windows Server 2019
- Windows Server 2016 und Windows Server 2012 R2 (mit der neuen einheitlichen Clientlösung)
Mit der neuen einheitlichen Clientlösung für Windows Server 2016 und Windows Server 2012 R2 können Sie EDR im Blockmodus entweder im passiven oder aktiven Modus ausführen.
Hinweis
Windows Server 2016 und Windows Server 2012 R2 müssen mithilfe der Anweisungen unter Onboarding von Windows-Servern integriert werden, damit dieses Feature funktioniert.
Wie lange dauert es, bis EDR im Blockmodus deaktiviert wird?
Wenn Sie EDR im Blockmodus deaktivieren, kann es bis zu 30 Minuten dauern, bis das System diese Funktion deaktiviert hat.