Slå på blokk ved første blikk
Gjelder for:
- Microsoft Defender for endepunkt plan 1
- Microsoft Defender for endepunkt plan 2
- Microsoft Defender Antivirus
Plattformer
- Windows
Denne artikkelen beskriver en funksjon for antivirus-/beskyttelse mot skadelig programvare kjent som «blokk ved første blikk», og beskriver hvordan du aktiverer blokk ved første blikk for organisasjonen.
Tips
Denne artikkelen er beregnet på bedriftsadministratorer og IT-eksperter som administrerer sikkerhetsinnstillinger for organisasjoner. Hvis du ikke er bedriftsadministrator eller IT-ekspert, men du har spørsmål om blokk ved første blikk, kan du se delen Ikke en bedriftsadministrator eller IT-ekspert?
Hva er "blokk ved første blikk"?
Blokk ved første blikk er en trusselbeskyttelsesfunksjon for neste generasjons beskyttelse som oppdager ny skadelig programvare og blokkerer den i løpet av sekunder. Blokk ved første øyekast aktiveres når visse sikkerhetsinnstillinger er aktivert:
- Skybeskyttelse er aktivert.
- Eksempelinnsending er konfigurert for at eksempler skal sendes automatisk. og
- Microsoft Defender Antivirus er oppdatert på enheter.
I de fleste bedriftsorganisasjoner er innstillingene som kreves for å aktivere blokk ved første øyekast, konfigurert med Microsoft Defender Antivirus-distribusjoner. Se Slå på skybeskyttelse i Microsoft Defender Antivirus.
Slik fungerer det
Når Microsoft Defender Antivirus støter på en mistenkelig, men ikke-oppdaget fil, spør den om støtte for skybeskyttelse. Bakserveren i skyen bruker heuristikk, maskinlæring og automatisert analyse av filen for å finne ut om filene er skadelige eller ikke.
Microsoft Defender Antivirus bruker flere teknologier for gjenkjenning og forebygging for å levere nøyaktig, intelligent og sanntidsbeskyttelse.
Tips
Hvis du vil ha mer informasjon, kan du se (Blogg) Bli kjent med den avanserte teknologien i kjernen av Neste generasjons Beskyttelse for Microsoft Defender for Endpoint.
Et par ting du bør vite om blokk ved første blikk
Blokk ved første øyekast kan blokkere ikke-bærbare kjørbare filer (for eksempel JS, VBS eller makroer) og kjørbare filer, som kjører den nyeste Defender antimalware-plattformen på Windows eller Windows Server.
Blokk ved første blikk bruker bare skybeskyttelsesstøtten for kjørbare filer og ikke-bærbare kjørbare filer som lastes ned fra Internett, eller som kommer fra Internett-sonen. En hash-verdi for
.exe
filen kontrolleres via skyens serverdel for å finne ut om filen er en tidligere ubeskyttet fil.Hvis serverdel for skyen ikke klarer å bestemme seg, låser Microsoft Defender Antivirus filen og laster opp en kopi til skyen. Skyen utfører mer analyse for å nå en bestemmelse før den enten tillater filen å kjøre eller blokkerer den i alle fremtidige møter, avhengig av om den bestemmer at filen skal være skadelig eller ikke.
I mange tilfeller kan denne prosessen redusere responstiden for ny skadelig programvare fra timer til sekunder.
Du kan angi hvor lenge en fil skal hindres i å kjøre , mens den skybaserte beskyttelsestjenesten analyserer filen. Du kan også tilpasse meldingen som vises på brukernes skrivebord når en fil blokkeres. Du kan endre firmanavn, kontaktinformasjon og nettadresse for meldinger.
Slå på blokk ved første blikk med Microsoft Intune
Gå til Sikkerhets antivirus for endepunkt> i administrasjonssenteret for Microsoft Intune().https://intune.microsoft.com
Velg en eksisterende policy, eller opprett en ny policy ved hjelp av profiltypen Microsoft Defender Antivirus . I vårt eksempel valgte vi Windows 10, Windows 11 eller Windows Server for plattformen.
Angi Tillat skybeskyttelse til Tillatt. Aktiverer Cloud Protection.
Rull ned for å sende inn eksempelsamtykke, og velg en av følgende innstillinger:
- Send alle eksempler automatisk
- Send sikre eksempler automatisk
Bruk Microsoft Defender Antivirus-profilen på en gruppe, for eksempel Alle brukere, Alle enheter eller Alle brukere og enheter.
Slå på blokk ved første øyekast med gruppepolicy
Obs!
Vi anbefaler at du bruker Intune eller Microsoft Configuration Manager til å slå på blokk ved første blikk.
Åpne konsollen for gruppepolicybehandling på datamaskinen for gruppepolicybehandling, høyreklikk gruppepolicyobjektet du vil konfigurere, og velg Rediger.
Bruk redigeringsprogrammet for gruppepolicybehandling til å gå tilAdministrative maler> for datamaskinkonfigurasjon>for Windows-komponenter>Microsoft Defender Antivirus>MAPS.
Dobbeltklikk på Konfigurer funksjonen Blokker ved første blikk i KART-delen, og angi den til Aktivert, og velg deretter OK.
Viktig
Hvis du angir Spør alltid (0), reduseres beskyttelsestilstanden for enheten. Hvis du angir aldri send (2), betyr det at blokk ved første øyekast ikke vil fungere.
Dobbeltklikk Send fileksempler i KART-delen når det kreves ytterligere analyse, og angi det til Aktivert. Velg Send alle eksemplerunder Send fileksempler når ytterligere analyse er nødvendig, og velg deretter OK.
Redistribuer gruppepolicyobjektet på nytt på tvers av nettverket slik du vanligvis gjør.
Bekreft at blokk ved første øyekast er aktivert på individuelle klientenheter
Du kan bekrefte at blokk ved første øyekast er aktivert på individuelle klientenheter ved hjelp av Windows Security-appen. Blokk ved første øyekast aktiveres automatisk så lenge beskyttelse i skyen og automatisk innsending av eksempler er aktivert.
Bruk Windows Security-appen.
Velg Virus & trusselbeskyttelse, og velg deretter Behandle innstillinger under Virus & trusselbeskyttelse.
Bekreft at både skybasert beskyttelse og automatisk innsending av eksempler er aktivert.
Obs!
- Hvis forutsetningsinnstillingene er konfigurert og distribuert ved hjelp av gruppepolicy, vil innstillingene som er beskrevet i denne delen, være nedtonet og utilgjengelige for bruk på individuelle endepunkter.
- Endringer som gjøres via et gruppepolicyobjekt, må først distribueres til individuelle endepunkter før innstillingen oppdateres i Windows-innstillinger.
Slå av blokk ved første blikk
Forsiktig!
Hvis du slår av blokk ved første øyekast, reduseres beskyttelsestilstanden for enheten(e) og nettverket. Vi anbefaler ikke at du deaktiverer blokk ved første blikkbeskyttelse permanent.
Slå av blokk ved første blikk med Microsoft Intune
Gå til administrasjonssenteret for Microsoft Intune (https://intune.microsoft.com) og logg på.
Gå tilantivirusprogrammet for endepunktsikkerhet>, og velg deretter Microsoft Defender Antivirus-policyen.
Velg Egenskaper under Behandle.
Velg Rediger ved siden av Konfigurasjonsinnstillinger.
Sett Tillat skybeskyttelse til Ikke tillatt. Deaktiverer Cloud Protection.
Se gjennom og lagre innstillingene.
Slå av blokk ved første øyekast med gruppepolicy
Åpne konsollen for gruppepolicybehandling på datamaskinen for gruppepolicybehandling, høyreklikk gruppepolicyobjektet du vil konfigurere, og velg deretter Rediger.
Bruk redigeringsprogrammet for gruppepolicybehandling til å gå til Datamaskinkonfigurasjon og velge Administrative maler.
Utvid treet gjennom Windows-komponentene>Microsoft Defender Antivirus>MAPS.
Dobbeltklikk konfigurer funksjonen Blokker ved første blikk, og angi alternativet Deaktivert.
Obs!
Deaktivering av blokk ved første øyekast deaktiverer eller endrer ikke de nødvendige gruppepolicyene.
Er du ikke bedriftsadministrator eller IT-ekspert?
Hvis du ikke er bedriftsadministrator eller IT-ekspert, men du har spørsmål om blokk ved første blikk, er denne delen for deg. Blokk ved første øyekast er en funksjon for trusselbeskyttelse som oppdager og blokkerer skadelig programvare i løpet av sekunder. Selv om det ikke finnes en bestemt innstilling kalt «Blokker ved første øyekast», aktiveres funksjonen når bestemte innstillinger er konfigurert på enheten.
Slik administrerer du blokk ved første blikk på eller av på din egen enhet
Hvis du har en personlig enhet som ikke administreres av en organisasjon, lurer du kanskje på hvordan du slår blokk ved første blikk på eller av. Du kan bruke Windows Security-appen til å administrere blokk ved første øyekast.
Åpne Windows Security-appen på Windows 10- eller Windows 11-datamaskinen.
Velg Virus- og trusselbeskyttelse.
Velg Administrer innstillingerunder Virus & trusselbeskyttelse.
Gjør ett av følgende:
Hvis du vil aktivere blokk ved første øyekast, må du kontrollere at både skybasert beskyttelse og automatisk innsending av eksempler er aktivert.
Hvis du vil deaktivere blokk ved første øyekast, deaktiverer du skybasert beskyttelse eller automatisk eksempelinnsending.
Forsiktig!
Hvis du slår av blokk ved første øyekast, reduseres beskyttelsesnivået for enheten. Vi anbefaler ikke permanent deaktivering av blokk ved første øyekast.
Se også
- Microsoft Defender Antivirus i Windows 10
- Aktiver skybasert beskyttelse
- Forbli beskyttet med Windows Sikkerhet
- Innebygde enheter som ikke er Windows-enheter
Tips
Vil du lære mer? Engasjer deg med Microsoft Security-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender for Endpoint Tech Community.