Область применения:
Можно ли указать исключения для EDR в режиме блокировки?
При получении ложноположительного результата файл можно отправить на анализ на сайте отправки портал для обнаружения угроз (Microsoft).
Вы также можете определить исключение для антивирусной программы Microsoft Defender. См. раздел Настройка и проверка исключений для проверки Microsoft Defender антивирусной программы.
Нужно ли включать EDR в режиме блокировки, если на устройствах запущена Microsoft Defender антивирусная программа?
Да, корпорация Майкрософт рекомендует включить EDR в режиме блокировки, даже если основной антивирусной программой в системе является Microsoft Defender антивирусная программа. Основная цель EDR в режиме блокировки — исправление случаев обнаружения нарушений, которые были пропущены антивирусным продуктом сторонних разработчиков. Однако существуют сценарии, в которых EDR в режиме блокировки может оказаться полезным, например, если Microsoft Defender антивирусная программа настроена неправильно или если защита от puA не включена. В таких случаях EDR в блочном режиме может автоматически исправлять такие обнаружения, как PUA.
Повлияет ли EDR в режиме блокировки на антивирусную защиту пользователя?
EDR в режиме блокировки не влияет на антивирусную защиту сторонних разработчиков, запущенную на устройствах пользователей. EDR в режиме блокировки работает, если основное антивирусное решение что-то пропустит или если имеется обнаружение после нарушения безопасности. EDR в блочном режиме работает так же, как Microsoft Defender антивирусная программа в пассивном режиме, за исключением того, что EDR в блочном режиме также блокирует и исправляет обнаруженные вредоносные артефакты или поведение.
Зачем нужно обновлять антивирусную программу Microsoft Defender?
Так как антивирусная программа Microsoft Defender обнаруживает и исправляет вредоносные элементы, важно поддерживать их в актуальном состоянии. Чтобы обеспечить эффективность EDR в блочном режиме, в нем используются новейшие модели обучения устройств, обнаружения поведения и эвристика. Стек возможностей Defender для конечной точки работает интегрированным образом. Чтобы получить оптимальное значение защиты, следует поддерживать Microsoft Defender антивирусной программы в актуальном состоянии. См. статью Управление обновлениями антивирусной программы Microsoft Defender и применение базовых показателей.
Зачем нужна облачная защита (MAPS)?
Чтобы включить функцию на устройстве, необходима облачная защита. Облачная защита позволяет Defender для конечной точки обеспечить последнюю и максимальную защиту на основе нашей широты и глубины аналитики безопасности, а также моделей обучения поведения и устройств.
В чем разница между активным и пассивным режимами?
Для конечных точек под управлением Windows 10, Windows 11, Windows Server версии 1803 или более поздней, Windows Server 2019 или Windows Server 2022, когда антивирусная программа Microsoft Defender находится в активном режиме, она используется в качестве основной антивирусной программы на устройстве. При работе в пассивном режиме антивирусная программа Microsoft Defender не является основным антивирусным продуктом. В этом случае угрозы не устраняются антивирусной программой Microsoft Defender в режиме реального времени.
Примечание.
антивирусная программа Microsoft Defender может работать в пассивном режиме, только если устройство подключено к Microsoft Defender для конечной точки.
Дополнительные сведения см. в разделе совместимость антивирусной программы Microsoft Defender.
Разделы справки подтвердить, Microsoft Defender антивирусная программа находится в активном или пассивном режиме?
Чтобы проверить, работает ли антивирусная программа Microsoft Defender в активном или пассивном режиме, можно использовать командную строку или PowerShell на устройстве под управлением Windows.
| Метод | Procedure |
|---|---|
| PowerShell | 1. Выберите меню Пуск, начните вводить PowerShell, а затем откройте Windows PowerShell в результатах.2. Введите Get-MpComputerStatus.3. В списке результатов в строке AMRunningMode найдите одно из следующих значений: - Normal- Passive ModeДополнительные сведения см. в разделе Get-MpComputerStatus. |
| Командная строка |
|
Разделы справки убедиться, что EDR в режиме блокировки включен с Microsoft Defender антивирусной программы в пассивном режиме?
Вы можете использовать PowerShell, чтобы убедиться, что EDR в режиме блокировки включен с Microsoft Defender Антивирусная программа работает в пассивном режиме.
Выберите меню Пуск, начните вводить
PowerShell, а затем откройте Windows PowerShell в результатах.Тип
Get-MPComputerStatus|select AMRunningMode.Убедитесь,
EDR Block Modeчто отображается результат , .
Совет
Если Microsoft Defender антивирусная программа находится в активном режиме, вместо отображается NormalEDR Block Mode. Дополнительные сведения см. в разделе Get-MpComputerStatus.
Поддерживается ли EDR в режиме блокировки на Windows Server 2016 и Windows Server 2012 R2?
Если антивирусная программа Microsoft Defender работает в активном или пассивном режиме, EDR в блочном режиме поддерживается в следующих версиях Windows:
- Windows 11
- Windows 10 (все выпуски)
- Windows Server версии 1803 или более поздней
- Windows Server 2022
- Windows Server 2019
- Windows Server 2016 и Windows Server 2012 R2 (с новым решением унифицированного клиента)
С помощью нового единого клиентского решения для Windows Server 2016 и Windows Server 2012 R2 можно запускать EDR в блочном режиме в пассивном или активном режиме.
Примечание.
Windows Server 2016 и Windows Server 2012 R2 должны быть подключены с помощью инструкций в разделе Подключение серверов Windows, чтобы эта функция работала.
Сколько времени требуется для отключения EDR в блочном режиме?
Если вы решили отключить EDR в режиме блокировки, это может занять до 30 минут, чтобы система отключила эту возможность.