Share via


Blokkeren bij eerste detectie inschakelen

Van toepassing op:

Platforms

  • Windows

In dit artikel wordt een antivirus-/antimalwarefunctie beschreven genaamd 'blokkeren bij eerste detectie' en wordt beschreven hoe u blokkeren bij eerste detectie in kunt schakelen voor uw organisatie.

Tip

Dit artikel is bedoeld voor bedrijfsbeheerders en IT-professionals die beveiligingsinstellingen voor organisaties beheren. Als u geen ondernemingsbeheerder of IT-professional bent, maar u vragen hebt over blokkeren op het eerste gezicht, raadpleegt u de sectie Geen ondernemingsbeheerder of IT-professional?

Wat is 'blokkeren bij eerste detectie'?

Blokkeren bij eerste detectie is een bedreigingsbeveiligingsfunctie van volgende generatie-beveiliging waarmee nieuwe malware wordt gedetecteerd en binnen enkele seconden wordt geblokkeerd. Blokkeren bij eerste detectie is ingeschakeld wanneer bepaalde beveiligingsinstellingen zijn ingeschakeld:

In de meeste ondernemingen zijn de instellingen geconfigureerd die nodig zijn om blokkeren bij eerste detectie mogelijk te maken met implementaties van Microsoft Defender Antivirus. Zie Cloudbeveiliging inschakelen in Microsoft Defender Antivirus.

Hoe het werkt

Als Microsoft Defender Antivirus een verdacht, maar niet-gedetecteerd bestand aantreft, wordt een query uitgevoerd op onze cloudbeveiligingsback-end. In de cloudback-end worden heuristische, machine learning- en geautomatiseerde analyses van het bestand toegepast om te bepalen of de bestanden schadelijk zijn dan wel geen bedreiging vormen.

Microsoft Defender Antivirus gebruikt meerdere technologieën voor detectie en preventie om nauwkeurige, intelligente en realtime bescherming te bieden.

De lijst met Microsoft Defender Antivirus-engines

Enkele dingen die u moet weten over blokkeren bij eerste detectie

  • Blokkeren bij eerste detectie kan niet-draagbare uitvoerbare bestanden (zoals JS, VBS of macro's) en uitvoerbare bestanden blokkeren, met het nieuwste Defender-antimalwareplatform op Windows of Windows Server.

  • Blokkeren bij eerste detectie maakt alleen gebruik van de cloudbeveiligingsback-end voor uitvoerbare bestanden en niet-draagbare uitvoerbare bestanden die van het internet worden gedownload of die afkomstig zijn uit de Internetzone. Een hash-waarde van het .exe bestand wordt gecontroleerd via de back-end van de cloud om te bepalen of het bestand een eerder niet-gedetecteerd bestand is.

  • Als er in de cloudback-end geen bepaling kan worden gemaakt, vergrendelt Microsoft Defender Antivirus het bestand en uploadt het een kopie naar de cloud. De cloud voert meer analyses uit om te bepalen of het bestand kan worden uitgevoerd dan wel dient te worden geblokkeerd in alle toekomstige gevallen, afhankelijk van of het bestand schadelijk is dan wel geen bedreiging vormt.

  • In veel gevallen kan dit proces de reactietijd voor nieuwe malware verminderen van uren tot seconden.

  • U kunt opgeven hoelang een bestand niet mag worden uitgevoerd terwijl de cloudbeveiligingsservice het bestand analyseert. En u kunt het bericht aanpassen dat wordt weergegeven op de desktopcomputers van gebruikers wanneer een bestand wordt geblokkeerd. U kunt de bedrijfsnaam, contactgegevens en bericht-URL wijzigen.

Blokkeren bij eerste detectie inschakelen met Microsoft Intune

  1. Ga in het Microsoft Intune-beheercentrum (https://intune.microsoft.com) naar Eindpuntbeveiliging>Antivirus.

  2. Selecteer een bestaand beleid of maak een nieuw beleid met het Microsoft Defender Antivirus-profieltype. In ons voorbeeld hebben we Windows 10, Windows 11 of Windows Server geselecteerd als platform.

    Schermopname van het maken van nieuw MDAV-beleid in Intune.

  3. Stel Cloudbeveiliging toestaan in op Toegestaan. Hiermee schakelt u Cloudbeveiliging in.

    Schermopname van Cloud Protection ingesteld op toegestaan in Intune.

  4. Schuif omlaag naar Toestemming voor voorbeelden verzenden en selecteer een van de volgende instellingen:

    • Alle voorbeelden automatisch verzenden
    • Veilige voorbeelden automatisch verzenden
  5. Pas het Microsoft Defender Antivirus-profiel toe op een groep, zoals Alle gebruikers, Alle apparatenof Alle gebruikers en apparaten.

Blokkeren bij eerste detectie inschakelen met Groepsbeleid

Opmerking

U wordt aangeraden Intune of Microsoft Configuration Manager te gebruiken om blokkeren bij eerste detectie in te schakelen.

  1. Open op uw computer voor groepsbeleidsbeheer de Groepsbeleidsbeheerconsole, klik met de rechtermuisknop op het groepsbeleidsobject dat u wilt configureren en selecteer Bewerken.

  2. Met de Groepsbeleidsbeheerseditor gaat u naar Computerconfiguratie>Beheersjablonen>Windows Components>Microsoft Defender Antivirus>MAPS.

  3. Dubbelklik in de sectie MAPS op De functie 'Blokkeren bij eerste detectie' configureren, stel deze in op Ingeschakelden selecteer vervolgens OK.

    Belangrijk

    Als u Altijd vragen (0) inschakelt, wordt de beveiligingstoestand van het apparaat verlaagd. Instellen op Verzend nooit (2) betekent dat blokkeren bij eerste detectie niet werkt.

  4. Dubbelklik in de sectie MAPS op Bestandsvoorbeelden verzenden wanneer verdere analyse vereist is en stel dit in op Ingeschakeld. Selecteer Bestandsvoorbeelden verzenden wanneer verdere analyse vereist isAlle voorbeelden verzenden en selecteer vervolgens OK.

  5. Implementeer uw groepsbeleidsobject opnieuw in uw netwerk, zoals u dat gewoonlijk doet.

Bevestigen dat blokkeren bij eerste detectie is ingeschakeld op afzonderlijke clientapparaten

U kunt met de app voor Windows-beveiliging bevestigen dat blokkeren bij eerste detectie is ingeschakeld op afzonderlijke clientapparaten. Blokkeren bij eerste detectie wordt automatisch ingeschakeld mits Cloudbeveiliging en Automatisch sample indienen beide zijn ingeschakeld.

  1. Open de app voor Windows-beveiliging.

  2. Selecteer Beveiliging tegen virussen en bedreigingenen selecteer vervolgens onder Instellingen voor virus- en bedreigingsbeveiligingde optie Instellingen beheren.

    Het instellingenlabel voor virus- en bedreigingsbeveiliging in de app voor Windows-beveiliging

  3. Controleer of Cloudbeveiliging en Automatisch sample indienen beide zijn ingeschakeld.

Opmerking

  • Als de vereiste instellingen zijn geconfigureerd en geïmplementeerd via groepsbeleid, worden de instellingen die in deze sectie worden beschreven, grijs gemaakt en zijn ze niet beschikbaar voor gebruik op afzonderlijke eindpunten.
  • Wijzigingen die zijn aangebracht via een groepsbeleidsobject, moeten eerst worden geïmplementeerd op afzonderlijke eindpunten voordat de instelling wordt bijgewerkt in de Windows-instellingen.

Blokkeren bij eerste detectie uitschakelen

Voorzichtigheid

Als u blokkeren bij eerste detectie uitschakelt, wordt de beveiligingstoestand van uw apparaat(en) en uw netwerk verlaagd. Het wordt afgeraden om blokkeren bij het eerste zicht permanent uit te schakelen.

Blokkeren bij eerste detectie uitschakelen met Microsoft Intune

  1. Ga naar het Microsoft Intune-beheercentrum (https://intune.microsoft.com) en meld u aan.

  2. Ga naar Eindpuntbeveiliging>Antivirusen selecteer vervolgens uw Microsoft Defender Antivirus-beleid.

  3. Klik onder Beheren op Eigenschappen.

  4. Kies na Configuratie-instellingende optie Bewerken.

  5. Stel Cloudbeveiliging toestaan in op Niet toegestaan. Hiermee schakelt u Cloudbeveiliging uit.

  6. Controleer uw instellingen en sla deze op.

Blokkeren bij eerste detectie uitschakelen met Groepsbeleid

  1. Open op uw computer voor groepsbeleidsbeheer de Groepsbeleidsbeheerconsole, klik met de rechtermuisknop op het groepsbeleidsobject dat u wilt configureren en selecteer vervolgens Bewerken.

  2. Ga via Groepsbeleidsbeheereditor naar Computerconfiguratie en selecteer Beheersjablonen.

  3. Vouw de boomstructuur uit via Windows-onderdelen>Microsoft Defender Antivirus>MAPS.

  4. Dubbelklik op De functie 'Blokkeren bij eerste detectie' configureren en stel de optie in op Uitgeschakeld.

    Opmerking

    Als u blokkeren bij eerste detectie uitschakelt, wordt het vereiste groepsbeleid niet uitgeschakeld of gewijzigd.

Bent u geen ondernemingsbeheerder of IT-professional?

Als u geen ondernemingsbeheerder of IT-professional bent, maar vragen hebt over blokkeren bij eerste detectie, is deze sectie voor u. Blokkeren bij eerste detectie is een bedreigingsbeveiligingsfunctie waarmee malware wordt gedetecteerd en geblokkeerd binnen enkele seconden. Hoewel er geen specifieke instelling met de naam 'Blokkeren bij eerste detectie' is, is de functie ingeschakeld wanneer bepaalde instellingen op uw apparaat zijn geconfigureerd.

Blokkeren bij eerste detectie met of zonder uw eigen apparaat beheren

Als u een persoonlijk apparaat hebt dat niet wordt beheerd door een organisatie, vraagt u zich misschien af hoe u blokkeren bij eerste detectie in- of uit moet schakelen. U kunt blokkeren bij eerste detectie beheren met de app voor Windows-beveiliging.

  1. Open de app Windows-beveiliging op uw Windows 10- of Windows 11-computer.

  2. Selecteer Virus- & bedreigingsbeveiliging.

  3. Selecteer onder Virus- & bedreigingsbeveiliging,Instellingen beheren.

  4. Voer een van de volgende stappen uit:

    • Als u blokkeren bij eerste detectie wilt inschakelen, moet u er voor zorgen dat Cloudbeveiliging en Automatisch sample indienen beide zijn ingeschakeld.

    • Als u blokkeren bij eerste detectie wilt uitschakelen, schakelt u Cloudbeveiliging of Automatisch sample indienen uit.

      Voorzichtigheid

      Door blokkeren bij eerste detectie uit te schakelen, verlaagt u het beveiligingsniveau voor uw apparaat. Het wordt echter afgeraden blokkeren bij eerste detectie permanent uit te uitschakelen.

Zie ook

Tip

Wil je meer weten? Neem contact op met de Microsoft Security-community in onze Tech Community: Microsoft Defender for Endpoint Tech Community.