È possibile specificare esclusioni per EDR in modalità blocco?
Se si ottiene un falso positivo, è possibile inviare il file per l'analisi nel sito di invio Intelligence di sicurezza Microsoft.
È anche possibile definire un'esclusione per Microsoft Defender Antivirus. Vedere Configurare e convalidare le esclusioni per le analisi antivirus Microsoft Defender.
È necessario attivare EDR in modalità blocco se è in esecuzione Microsoft Defender Antivirus nei dispositivi?
Sì, Microsoft consiglia di abilitare EDR in modalità blocco, anche quando il software antivirus primario nel sistema è Microsoft Defender Antivirus. I rilevamenti EDR possono essere corretti automaticamente dalla protezione PUA o da un'indagine automatizzata & funzionalità di correzione in modalità blocco.
Lo scopo principale di EDR in modalità blocco è correggere i rilevamenti post-violazione che sono stati persi da un prodotto antivirus non Microsoft.
EdR in modalità blocco influisce sulla protezione antivirus di un utente?
EDR in modalità blocco non influisce sulla protezione antivirus di terze parti in esecuzione nei dispositivi degli utenti. EDR in modalità blocco funziona se la soluzione antivirus primaria manca qualcosa o se è presente un rilevamento post-violazione. EDR in modalità blocco funziona esattamente come Microsoft Defender Antivirus in modalità passiva, ad eccezione del fatto che EDR in modalità blocco blocca e corregge anche gli artefatti o i comportamenti dannosi rilevati.
Perché è necessario mantenere aggiornato Microsoft Defender Antivirus?
Poiché Microsoft Defender Antivirus rileva e corregge gli elementi dannosi, è importante mantenerlo aggiornato. Per rendere efficace EDR in modalità blocco, usa i modelli di apprendimento dei dispositivi più recenti, i rilevamenti comportamentali e l'euristica. Lo stack di funzionalità di Defender per endpoint funziona in modo integrato. Per ottenere il miglior valore di protezione, è consigliabile mantenere aggiornato Microsoft Defender Antivirus. Vedere Gestire gli aggiornamenti di Microsoft Defender Antivirus e applicare le linee di base.
Perché è necessaria la protezione cloud (MAPS)?
La protezione cloud è necessaria per attivare la funzionalità nel dispositivo. La protezione cloud consente a Defender for Endpoint di offrire la protezione più recente e massima in base all'ampiezza e alla profondità dell'intelligence per la sicurezza, insieme ai modelli di apprendimento comportamentale e dei dispositivi.
Qual è la differenza tra la modalità attiva e quella passiva?
Per gli endpoint che eseguono Windows 10, Windows 11, Windows Server, versione 1803 o successiva, Windows Server 2019 o Windows Server 2022 quando Microsoft Defender Antivirus è in modalità attiva, viene usato come antivirus primario nel dispositivo. Quando viene eseguito in modalità passiva, Microsoft Defender Antivirus non è il prodotto antivirus principale. In questo caso, le minacce non vengono corrette da Microsoft Defender Antivirus in tempo reale.
Nota
Microsoft Defender Antivirus può essere eseguito in modalità passiva solo quando il dispositivo viene caricato in Microsoft Defender per endpoint.
Per altre informazioni, vedere Microsoft Defender Compatibilità dell'antivirus.
Ricerca per categorie verificare che Microsoft Defender antivirus sia in modalità attiva o passiva?
Per verificare se Microsoft Defender Antivirus è in esecuzione in modalità attiva o passiva, è possibile usare il prompt dei comandi o PowerShell in un dispositivo che esegue Windows.
| Metodo | Procedura |
|---|---|
| PowerShell | 1. Selezionare il menu Start, iniziare a digitare PowerShelle quindi aprire Windows PowerShell nei risultati.2. Digitare Get-MpComputerStatus.3. Nell'elenco dei risultati, nella riga AMRunningMode cercare uno dei valori seguenti: - Normal- Passive ModePer altre informazioni, vedere Get-MpComputerStatus. |
| Prompt dei comandi |
|
Ricerca per categorie verificare che EDR in modalità blocco sia attivato con Microsoft Defender Antivirus in modalità passiva?
È possibile usare PowerShell per verificare che EDR in modalità blocco sia attivato con Microsoft Defender Antivirus in esecuzione in modalità passiva.
Selezionare il menu Start, iniziare a digitare
PowerShelle quindi aprire Windows PowerShell nei risultati.Tipo
Get-MPComputerStatus|select AMRunningMode.Verificare che venga visualizzato il risultato ,
EDR Block Mode.
Consiglio
Se Microsoft Defender Antivirus è in modalità attiva, verrà visualizzato Normal invece di EDR Block Mode. Per altre informazioni, vedere Get-MpComputerStatus.
EDR in modalità blocco è supportato in Windows Server 2016 e Windows Server 2012 R2?
Se Microsoft Defender Antivirus è in esecuzione in modalità attiva o passiva, EDR in modalità blocco è supportato nelle versioni seguenti di Windows:
- Windows 11
- Windows 10 (tutte le versioni)
- Windows Server, versione 1803 o successiva
- Windows Server 2022
- Windows Server 2019
- Windows Server 2016 e Windows Server 2012 R2 (con la nuova soluzione client unificata)
Con la nuova soluzione client unificata per Windows Server 2016 e Windows Server 2012 R2, è possibile eseguire EDR in modalità blocco in modalità passiva o attiva.
Nota
Windows Server 2016 e Windows Server 2012 R2 devono essere caricati usando le istruzioni in Eseguire l'onboarding dei server Windows per consentire il funzionamento di questa funzionalità.
Quanto tempo è necessario per disabilitare EDR in modalità blocco?
Se si sceglie di disabilitare EDR in modalità blocco, possono essere necessari fino a 30 minuti perché il sistema disabiliti questa funzionalità.