Slå på blokk ved første blikk

Gjelder for:

• Microsoft Defender for endepunkt plan 1
• Microsoft Defender for endepunkt plan 2
• Microsoft Defender Antivirus

Plattformer

• Windows

Denne artikkelen beskriver en funksjon for antivirus-/beskyttelse mot skadelig programvare kjent som «blokk ved første blikk», og beskriver hvordan du aktiverer blokk ved første blikk for organisasjonen.

Tips

Denne artikkelen er beregnet på bedriftsadministratorer og IT-eksperter som administrerer sikkerhetsinnstillinger for organisasjoner. Hvis du ikke er bedriftsadministrator eller IT-ekspert, men du har spørsmål om blokk ved første blikk, kan du se delen Ikke en bedriftsadministrator eller IT-ekspert?

Hva er "blokk ved første blikk"?

Blokk ved første blikk er en trusselbeskyttelsesfunksjon for neste generasjons beskyttelse som oppdager ny skadelig programvare og blokkerer den i løpet av sekunder. Blokk ved første øyekast aktiveres når visse sikkerhetsinnstillinger er aktivert:

• Skybeskyttelse er aktivert.
• Eksempelinnsending er konfigurert for at eksempler skal sendes automatisk. Og
• Microsoft Defender Antivirus er oppdatert på enheter.

I de fleste bedriftsorganisasjoner er innstillingene som kreves for å aktivere blokk ved første øyekast konfigurert med Microsoft Defender Antivirus-distribusjoner. Se Slå på skybeskyttelse i Microsoft Defender Antivirus.

Slik fungerer det

Når Microsoft Defender Antivirus støter på en mistenkelig, men ikke-oppdaget fil, spør den om støtte for skybeskyttelse. Bakserveren i skyen bruker heuristikk, maskinlæring og automatisert analyse av filen for å finne ut om filene er skadelige eller ikke.

Microsoft Defender Antivirus bruker flere teknologier for gjenkjenning og forebygging for å levere nøyaktig, intelligent og sanntidsbeskyttelse.

Tips

Hvis du vil ha mer informasjon, kan du se (Blogg) Bli kjent med de avanserte teknologiene i kjernen av Microsoft Defender for endepunkt neste generasjons beskyttelse.

Et par ting du bør vite om blokk ved første blikk

• Blokk ved første øyekast kan blokkere ikke-bærbare kjørbare filer (for eksempel JS, VBS eller makroer) og kjørbare filer, som kjører den nyeste Defender antimalware-plattformen på Windows eller Windows Server.

• Blokk ved første blikk bruker bare skybeskyttelsesstøtten for kjørbare filer og ikke-bærbare kjørbare filer som lastes ned fra Internett, eller som kommer fra Internett-sonen. En hash-verdi for .exe filen kontrolleres via skyens serverdel for å finne ut om filen er en tidligere ubeskyttet fil.

• Hvis serverdel for skyen ikke klarer å bestemme seg, låser Microsoft Defender Antivirus filen og laster opp en kopi til skyen. Skyen utfører mer analyse for å nå en bestemmelse før den enten tillater filen å kjøre eller blokkerer den i alle fremtidige møter, avhengig av om den bestemmer at filen skal være skadelig eller ikke.

• I mange tilfeller kan denne prosessen redusere responstiden for ny skadelig programvare fra timer til sekunder.

• Du kan angi hvor lenge en fil skal hindres i å kjøre , mens den skybaserte beskyttelsestjenesten analyserer filen. Du kan også tilpasse meldingen som vises på brukernes skrivebord når en fil blokkeres. Du kan endre firmanavn, kontaktinformasjon og nettadresse for meldinger.

Slå på blokk ved første blikk med Microsoft Intune

1. Gå til endepunktsikkerhets> antivirus i administrasjonssenteret for Microsoft Intune().https://endpoint.microsoft.com

2. Velg en eksisterende policy, eller opprett en ny policy ved hjelp av profiltypen Microsoft Defender Antivirus. I eksemplet vårt valgte vi Windows 10, Windows 11 eller Windows Server for plattformen.

   

3. Angi Tillat skybeskyttelse til Tillatt. Aktiverer Cloud Protection.

   

4. Rull ned for å sende inn eksempelsamtykke, og velg en av følgende innstillinger:

   • Send alle eksempler automatisk
   • Send sikre eksempler automatisk

5. Bruk antivirusprofilen Microsoft Defender på en gruppe, for eksempel Alle brukere, Alle enheter eller Alle brukere og enheter.

Slå på blokk ved første blikk med gruppepolicy

Obs!

Vi anbefaler at du bruker Intune eller Microsoft Configuration Manager til å slå på blokk ved første blikk.

1. Åpne gruppepolicy Administrasjonskonsoll på gruppepolicy administrasjonsdatamaskinen, høyreklikk på gruppepolicy objektet du vil konfigurere, og velg Rediger.

2. Bruk gruppepolicy Management Redaktør gå tilWindows-komponenter for Windows-komponenter> for datamaskinkonfigurasjonskonfigurasjon>>Microsoft Defender Antivirus>MAPS.

3. Dobbeltklikk på Konfigurer funksjonen Blokker ved første blikk i KART-delen, og angi den til Aktivert, og velg deretter OK.

   Viktig

   Hvis du angir Spør alltid (0), reduseres beskyttelsestilstanden for enheten. Hvis du angir aldri send (2), betyr det at blokk ved første øyekast ikke vil fungere.

4. Dobbeltklikk Send fileksempler i KART-delen når det kreves ytterligere analyse, og angi det til Aktivert. Velg Send alle eksemplerunder Send fileksempler når ytterligere analyse er nødvendig, og velg deretter OK.

5. Redistribuer gruppepolicy-objektet på nytt på tvers av nettverket slik du vanligvis gjør.

Bekreft at blokk ved første øyekast er aktivert på individuelle klientenheter

Du kan bekrefte at blokk ved første øyekast er aktivert på individuelle klientenheter ved hjelp av Windows Sikkerhet-appen. Blokk ved første øyekast aktiveres automatisk så lenge beskyttelse i skyen og automatisk innsending av eksempler er aktivert.

1. Bruk Windows Security-appen.

2. Velg Virus & trusselbeskyttelse, og velg deretter Behandle innstillinger under Virus & trusselbeskyttelse.

   

3. Bekreft at både skybasert beskyttelse og automatisk innsending av eksempler er aktivert.

Obs!

• Hvis forutsetningsinnstillingene er konfigurert og distribuert ved hjelp av gruppepolicy, vil innstillingene som er beskrevet i denne delen, være nedtonet og utilgjengelige for bruk på individuelle endepunkter.
• Endringer som gjøres via et gruppepolicy-objekt, må først distribueres til individuelle endepunkter før innstillingen oppdateres i Windows-innstillinger.

Slå av blokk ved første blikk

Forsiktig!

Hvis du slår av blokk ved første øyekast, reduseres beskyttelsestilstanden for enheten(e) og nettverket. Vi anbefaler ikke at du deaktiverer blokk ved første blikkbeskyttelse permanent.

Slå av blokk ved første blikk med Microsoft Intune

1. Gå til administrasjonssenteret for Microsoft Intune (https://endpoint.microsoft.com) og logg på.

2. Gå tilantivirusprogrammet for endepunktsikkerhet>, og velg deretter antiviruspolicyen for Microsoft Defender.

3. Velg Egenskaper under Behandle.

4. Velg Rediger ved siden av Konfigurasjonsinnstillinger.

5. Sett Tillat skybeskyttelse til Ikke tillatt. Deaktiverer Cloud Protection.

6. Se gjennom og lagre innstillingene.

Slå av blokk ved første blikk med gruppepolicy

1. Åpne gruppepolicy Administrasjonskonsoll på gruppepolicy-administrasjonsdatamaskinen, høyreklikk på gruppepolicy objektet du vil konfigurere, og velg deretter Rediger.

2. Bruk gruppepolicy Management Redaktør gå til Datamaskinkonfigurasjon og velg Administrative maler.

3. Utvid treet gjennom Windows-komponenter>Microsoft Defender AntivirusKART>.

4. Dobbeltklikk konfigurer funksjonen Blokker ved første blikk, og angi alternativet Deaktivert.

   Obs!

   Deaktivering av blokk ved første øyekast deaktiverer eller endrer ikke de nødvendige gruppepolicyene.

Er du ikke bedriftsadministrator eller IT-ekspert?

Hvis du ikke er bedriftsadministrator eller IT-ekspert, men du har spørsmål om blokk ved første blikk, er denne delen for deg. Blokk ved første øyekast er en funksjon for trusselbeskyttelse som oppdager og blokkerer skadelig programvare i løpet av sekunder. Selv om det ikke finnes en bestemt innstilling kalt «Blokker ved første øyekast», aktiveres funksjonen når bestemte innstillinger er konfigurert på enheten.

Slik administrerer du blokk ved første blikk på eller av på din egen enhet

Hvis du har en personlig enhet som ikke administreres av en organisasjon, lurer du kanskje på hvordan du slår blokk ved første blikk på eller av. Du kan bruke Windows Sikkerhet-appen til å administrere blokk ved første blikk.

1. Åpne Windows Sikkerhet-appen på Windows 10- eller Windows 11-datamaskinen.

2. Velg Virus- og trusselbeskyttelse.

3. Velg Administrer innstillingerunder Virus & trusselbeskyttelse.

4. Gjør ett av følgende:

   • Hvis du vil aktivere blokk ved første øyekast, må du kontrollere at både skybasert beskyttelse og automatisk innsending av eksempler er aktivert.

   • Hvis du vil deaktivere blokk ved første øyekast, deaktiverer du skybasert beskyttelse eller automatisk eksempelinnsending.

     Forsiktig!

     Hvis du slår av blokk ved første øyekast, reduseres beskyttelsesnivået for enheten. Vi anbefaler ikke permanent deaktivering av blokk ved første øyekast.

Se også

• Microsoft Defender Antivirus i Windows 10
• Aktiver skybasert beskyttelse
• Hold deg beskyttet med Windows Sikkerhet
• Innebygde enheter som ikke er Windows-enheter

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.