Czy mogę określić wykluczenia dla EDR w trybie bloku?
Jeśli otrzymasz wynik fałszywie dodatni, możesz przesłać plik do analizy w witrynie przesyłania Microsoft Security Intelligence.
Można również zdefiniować wykluczenie dla programu antywirusowego Microsoft Defender. Zobacz Konfigurowanie i weryfikowanie wykluczeń dla skanowania programu antywirusowego Microsoft Defender.
Czy muszę włączyć funkcję EDR w trybie bloku, jeśli na urządzeniach jest uruchomiony program antywirusowy Microsoft Defender?
Tak, firma Microsoft zaleca włączenie EDR w trybie bloku, nawet jeśli podstawowe oprogramowanie antywirusowe w systemie jest Microsoft Defender antywirusowe. Głównym celem EDR w trybie bloku jest korygowanie wykryć po naruszeniu zabezpieczeń, które zostały pominięte przez produkt antywirusowy firmy innej niż Microsoft. Istnieją jednak scenariusze, w których EDR w trybie bloku może być korzystne, na przykład jeśli program antywirusowy Microsoft Defender jest nieprawidłowo skonfigurowany lub ochrona pua nie jest włączona. W takich przypadkach EDR w trybie bloku może automatycznie korygować wykrycia, takie jak PUA.
Czy program EDR w trybie bloku wpłynie na ochronę antywirusową użytkownika?
Funkcja EDR w trybie bloku nie ma wpływu na ochronę antywirusową inną niż Microsoft działającą na urządzeniach użytkowników. EDR w trybie bloku działa, jeśli podstawowe rozwiązanie antywirusowe coś przegapi lub jeśli istnieje wykrywanie po naruszeniu zabezpieczeń. EDR w trybie bloku działa podobnie jak program antywirusowy Microsoft Defender w trybie pasywnym, z tą różnicą, że EDR w trybie bloku blokuje i koryguje wykryte złośliwe artefakty lub zachowania.
Dlaczego muszę być na bieżąco Microsoft Defender programem antywirusowym?
Ponieważ program antywirusowy Microsoft Defender wykrywa i koryguje złośliwe elementy, ważne jest, aby być na bieżąco. Aby EDR w trybie blokowym był skuteczny, używa najnowszych modeli uczenia urządzenia, wykrywania zachowań i heurystyki. Stos możliwości usługi Defender for Endpoint działa w sposób zintegrowany. Aby uzyskać najlepszą wartość ochrony, należy zachować aktualną Microsoft Defender program antywirusowy. Zobacz Zarządzanie aktualizacjami programu antywirusowego Microsoft Defender i stosowanie punktów odniesienia.
Dlaczego potrzebujemy ochrony w chmurze (MAPS)?
Ochrona w chmurze jest potrzebna do włączenia funkcji na urządzeniu. Ochrona w chmurze umożliwia usłudze Defender for Endpoint zapewnienie najnowszej i największej ochrony w oparciu o naszą rozległość i głębię analizy zabezpieczeń, a także modele uczenia behawioralnego i urządzenia.
Jaka jest różnica między trybem aktywnym i pasywnym?
W przypadku punktów końcowych z systemem Windows 10, Windows 11, Windows Server w wersji 1803 lub nowszej, Windows Server 2019 lub Windows Server 2022, gdy program antywirusowy Microsoft Defender jest w trybie aktywnym, jest używany jako podstawowy program antywirusowy na urządzeniu. W przypadku uruchamiania w trybie pasywnym program antywirusowy Microsoft Defender nie jest podstawowym produktem antywirusowym. W takim przypadku zagrożenia nie są korygowane przez program antywirusowy Microsoft Defender w czasie rzeczywistym.
Uwaga
Microsoft Defender program antywirusowy może działać w trybie pasywnym tylko wtedy, gdy urządzenie jest dołączone do Ochrona punktu końcowego w usłudze Microsoft Defender.
Aby uzyskać więcej informacji, zobacz Microsoft Defender Zgodność z programem antywirusowym.
Jak mogę potwierdzić, Microsoft Defender program antywirusowy jest w trybie aktywnym lub pasywnym?
Aby sprawdzić, czy program antywirusowy Microsoft Defender działa w trybie aktywnym, czy pasywnym, możesz użyć wiersza polecenia lub programu PowerShell na urządzeniu z systemem Windows.
| Metoda | Procedura |
|---|---|
| PowerShell | 1. Wybierz menu Start, rozpocznij wpisywanie PowerShell, a następnie otwórz Windows PowerShell w wynikach.2. Wpisz Get-MpComputerStatus.3. Na liście wyników w wierszu AMRunningMode poszukaj jednej z następujących wartości: - Normal- Passive ModeAby dowiedzieć się więcej, zobacz Get-MpComputerStatus. |
| Wiersz polecenia |
|
Jak mogę potwierdzić, że funkcja EDR w trybie bloku jest włączona z programem antywirusowym Microsoft Defender w trybie pasywnym?
Za pomocą programu PowerShell możesz potwierdzić, że program EDR w trybie bloku jest włączony z programem antywirusowym Microsoft Defender działającym w trybie pasywnym.
Wybierz menu Start, rozpocznij wpisywanie
PowerShell, a następnie otwórz Windows PowerShell w wynikach.Typ:
Get-MPComputerStatus|select AMRunningMode.Upewnij się,
EDR Block Modeże jest wyświetlany wynik , .
Porada
Jeśli Microsoft Defender program antywirusowy jest w trybie aktywnym, zobaczysz Normal zamiast EDR Block Mode. Aby dowiedzieć się więcej, zobacz Get-MpComputerStatus.
Czy funkcja EDR w trybie bloku jest obsługiwana w Windows Server 2016 i Windows Server 2012 R2?
Jeśli program antywirusowy Microsoft Defender działa w trybie aktywnym lub pasywnym, program EDR w trybie bloku jest obsługiwany w następujących wersjach systemu Windows:
- System Windows 11
- Windows 10 (wszystkie wersje)
- Windows Server, wersja 1803 lub nowsza
- Windows Server 2022
- Windows Server 2019
- Windows Server 2016 i Windows Server 2012 R2 (z nowym ujednoliconym rozwiązaniem klienckim)
Dzięki nowemu ujednoliconemu rozwiązaniu klienckiemu dla Windows Server 2016 i Windows Server 2012 R2 można uruchomić program EDR w trybie bloku w trybie pasywnym lub aktywnym.
Uwaga
Windows Server 2016 i Windows Server 2012 R2 muszą zostać dołączone przy użyciu instrukcji w temacie Dołączanie serwerów z systemem Windows, aby ta funkcja działała.
Ile czasu zajmuje wyłączenie EDR w trybie bloku?
Jeśli zdecydujesz się wyłączyć funkcję EDR w trybie bloku, wyłączenie tej możliwości przez system może potrwać do 30 minut.