Slutpunktsidentifiering och svar (EDR) i blockeringsläge vanliga frågor och svar

Om du får en falsk positiv identifiering kan du skicka filen för analys på Microsoft Säkerhetsinsikter inlämningswebbplats.

Du kan också definiera ett undantag för Microsoft Defender Antivirus. Se Konfigurera och validera undantag för Microsoft Defender Antivirus-genomsökningar.

Ja, Microsoft rekommenderar att du aktiverar EDR i blockeringsläge, även när det primära antivirusprogrammet i systemet är Microsoft Defender Antivirus. EDR-identifieringar kan automatiskt åtgärdas av PUA-skydd eller genom automatiserad undersökning & reparationsfunktioner i blockeringsläge.

Det primära syftet med EDR i blockeringsläge är att åtgärda identifieringar efter intrång som missats av en antivirusprodukt som inte kommer från Microsoft.

EDR i blockeringsläge påverkar inte antivirusskydd från tredje part som körs på användarnas enheter. EDR i blockeringsläge fungerar om den primära antiviruslösningen missar något, eller om det finns en identifiering efter intrång. EDR i blockeringsläge fungerar precis som Microsoft Defender Antivirus i passivt läge, förutom att EDR i blockeringsläge också blockerar och åtgärdar skadliga artefakter eller beteenden som identifieras.

Eftersom Microsoft Defender Antivirus identifierar och åtgärdar skadliga objekt är det viktigt att hålla det uppdaterat. För att EDR i blockeringsläge ska vara effektivt använder den de senaste enhetsinlärningsmodellerna, beteendeidentifieringar och heuristik. Defender för Endpoint-stacken med funktioner fungerar på ett integrerat sätt. För att få bästa möjliga skydd bör du hålla Microsoft Defender Antivirus uppdaterat. Se Hantera Microsoft Defender Antivirus-uppdateringar och tillämpa baslinjer.

Molnskydd krävs för att aktivera funktionen på enheten. Med molnskydd kan Defender för Endpoint leverera det senaste och bästa skyddet baserat på vår bredd och djup av säkerhetsinformation, tillsammans med beteende- och enhetsinlärningsmodeller.

För slutpunkter som kör Windows 10, Windows 11, Windows Server, version 1803 eller senare, Windows Server 2019 eller Windows Server 2022 när Microsoft Defender Antivirus är i aktivt läge används det som primärt antivirusprogram på enheten. När du kör i passivt läge är Microsoft Defender Antivirus inte den primära antivirusprodukten. I det här fallet åtgärdas inte hot av Microsoft Defender Antivirus i realtid.

Mer information finns i Microsoft Defender Antivirus-kompatibilitet.

Om du vill kontrollera om Microsoft Defender Antivirus körs i aktivt eller passivt läge kan du använda Kommandotolken eller PowerShell på en enhet som kör Windows.

Du kan använda PowerShell för att bekräfta att EDR i blockeringsläge är aktiverat med Microsoft Defender Antivirus som körs i passivt läge.

1. Välj Start-menyn, börja skriva PowerShelloch öppna sedan Windows PowerShell i resultatet.

2. Skriv Get-MPComputerStatus|select AMRunningMode.

3. Bekräfta att resultatet, EDR Block Mode, visas.

Om Microsoft Defender Antivirus körs i aktivt läge eller passivt läge stöds EDR i blockeringsläge av följande versioner av Windows:

• Windows 11
• Windows 10 (alla versioner)
• Windows Server version 1803 eller senare
• Windows Server 2022
• Windows Server 2019
• Windows Server 2016 och Windows Server 2012 R2 (med den nya enhetliga klientlösningen)

Med den nya enhetliga klientlösningen för Windows Server 2016 och Windows Server 2012 R2 kan du köra EDR i blockläge i antingen passivt läge eller aktivt läge.

Om du väljer att inaktivera EDR i blockeringsläge kan det ta upp till 30 minuter för systemet att inaktivera den här funktionen.

• Slutpunktsidentifiering och svar i blockeringsläge
• Tech Community-blogg: Introduktion till EDR i blockeringsläge: Stoppa attacker i deras spår
• Beteendeblockering och inneslutning