打开“首次看到时阻止”

适用于:

平台

  • Windows

此文章解释了名为“首次看到时阻止”的防病毒/防恶意软件功能,并介绍了如何为组织启用“首次看到时阻止”功能。

提示

此文章适合的读者为管理组织安全设置的企业管理员和 IT 专业人员。 如果你不是企业管理员或 IT 专业人员,但对第一眼看到阻止有疑问,请参阅 不是企业管理员还是 IT 专业人员? 部分。

什么是“首次看到时阻止”?

“首次看到时阻止”是下一代保护的一种威胁保护功能,它能够在几秒内检测新的恶意软件并将其阻止。 启用某些安全设置后,将启用首次看到时阻止:

在大多数企业组织中,需要启用“首次看到时阻止”的设置都已在部署 Microsoft Defender 防病毒时配置了。 请参阅 在 Microsoft Defender 防病毒中启用云保护

运作方式

当 Microsoft Defender 防病毒软件遇到未检测到的可疑文件时,它会查询云保护后端。 云后端将应用启发式、机器学习以及自动文件分析,以确定文件是恶意文件还是非威胁文件。

Microsoft Defender 防病毒使用多种检测和防护技术来提供准确、智能、实时的保护。

Microsoft Defender 防病毒引擎的列表

关于“首次看到时阻止”的一些须知

  • 首次看到时阻止可以阻止不可移植的可执行文件 (,例如 JS、VBS 或宏) 和可执行文件,在 Windows 或 Windows Server 上运行 最新的 Defender 反恶意软件平台

  • “首次看到时阻止”仅对从 Internet 下载或者源自 Internet 区域的可执行文件和不可移植的可执行文件使用云保护后端。 通过云后端检查文件的哈希值 .exe ,以确定该文件是否是以前未检测到的文件。

  • 如果云后端无法做出决定,Microsoft Defender 防病毒会锁定该文件,同时将副本上传到云。 云将执行更多分析以得出结论:以后遇到该文件,是允许运行还是阻止(具体取决于它确定文件是恶意文件还是非威胁文件)。

  • 在许多情况下,此过程可将对新恶意软件的响应时间从几小时减少到几秒。

  • 你可以指定当基于云的保护服务在分析文件时,过多久后阻止文件运行。 另外,当文件被阻止时,你可以自定义用户桌面上显示的消息。 可更改公司名称、联系信息、消息 URL。

用 Microsoft Intune 打开“首次看到时阻止”

  1. 在 Microsoft Intune 管理中心 (https://intune.microsoft.com) 中,转到 “终结点安全性>防病毒”。

  2. 选择现有策略,或使用 Microsoft Defender 防病毒用户配置类型创建新策略。 在我们的示例中,我们为平台选择了 Windows 10、Windows 11 或 Windows Server

    Intune 中新 MDAV 策略创建的屏幕截图。

  3. “允许云保护” 设置为 “允许”。打开云保护

    云保护设置为 Intune 中允许的屏幕截图。

  4. 向下滚动到 “提交示例同意”,然后选择以下设置之一:

    • 自动发送所有示例
    • 自动发送安全示例
  5. 应用 Windows Defender 防病毒的用户配置到组,例如“所有用户”、“所有设备”或“所有用户和设备”。

使用组策略打开“首次看到时阻止”

注意

建议使用 Intune 或 Microsoft Configuration Manager 在首次看到时打开块。

  1. 在组策略管理计算机上,打开组策略管理控制台,右键单击要配置的组策略对象,然后选择编辑

  2. 使用“组策略管理编辑器”转到“计算机配置”>“管理模板”>“Windows 组件”>“Microsoft Defender 防病毒”>“MAPS”。

  3. 在“MAPS”节中,双击“配置“首次看到时阻止”功能”,将其设为“启用”,然后选择“OK”。

    重要

    设为始终提示 (0) 会降低设备的保护状态。 设为始终不发送 (2) 意味着“首次看到时阻止”将不起作用。

  4. 在“MAPS”节中,双击“需要进一步分析时发送文件样本”,将其设为“启用”。 在“需要进一步分析时发送文件样本”下,选择“发送所有样本”,然后选择“OK”。

  5. 如往常一样在网络上中心部署你的组策略对象。

在客户端上确认“首次看到时阻止”是否已启用

可以使用 Windows 安全应用来确认“首次看到时阻止”功能是否已在某个客户端设备上启用。 只要同时启用了云端保护自动提交样本,就会自动启用“首次看到时阻止”。

  1. 打开 Windows 安全应用。

  2. 选择“病毒和威胁防护”,然后在“病毒和威胁防护设置”下选择“管理设置”。

    Windows 安全应用中的病毒和威胁防护设置标签

  3. 确认云端保护自动提交样本已开启。

注意

  • 如果已使用组策略配置并部署了先决条件设置,本部分所述的设置将灰显,并且在个别终结点上不可用。
  • 通过组策略对象进行的更改必须先部署到个别终结点,然后 Windows 设置中的相关设置才会更新。

关闭“首次看到时阻止”

警告

关闭“首次看到时阻止”会降低设备和网络的保护状态。 我们不建议永久禁用第一眼保护块。

使用 Microsoft Intune 关闭首次看到时阻止

  1. 转到 Microsoft Intune 管理中心, https://intune.microsoft.com () 并登录。

  2. 转到“终结点安全”>“防病毒”,然后选择你的 Microsoft Defender 防病毒策略。

  3. 在“管理”下,选择“属性”。

  4. 选择“配置设置”旁的“编辑”。

  5. “允许云保护” 设置为 “不允许”。关闭云保护

  6. 检查并保存你的设置。

使用组策略关闭“首次看到时阻止”

  1. 在组策略管理计算机上,打开组策略管理控制台,右键单击要配置的组策略对象,然后选择“编辑”。

  2. 策略管理编辑器中, 转到“计算机配置”并选择“管理模板”。

  3. 将树展开到“Windows 组件”>“Windows Defender 防病毒”>“MAPS

  4. 双击“配置“首次看到时阻止”功能”,并将该选项设置为“禁用”。

    注意

    禁用“首次看到时阻止”不会禁用或更改先决条件组策略。

不是企业管理员或 IT 专业人士?

如果你不是企业管理员或 IT 专业人员,但你对“首次看到时阻止”有疑问的话,请阅读此节。 “首次看到时阻止”是一种威胁保护功能,它能够在几秒内检测和阻止恶意软件。 其实没有某个设置叫“首次看到时阻止”,此功能的启用是通过配置设备上的某些设置来实现的。

如果在自己的设备上管理“首次看到时阻止”的开启与关闭

如果你的个人设备不受组织管理,你可能想知道如何开启或关闭“首次看到时阻止”。 你可以使用 Windows 安全应用来管理“首次看到时阻止”。

  1. 在你的 Windows 10 或 Windows 11 电脑上,打开 Windows 安全中心应用。

  2. 选择“病毒和威胁防护”。

  3. 在“病毒和威胁防护设置”下选择“管理设置”。

  4. 采取以下步骤之一:

    • 若要启用“首次看到时阻止”,请确保同时启用了“云端保护”和“自动提交样本”。

    • 若要禁用启用“首次看到时阻止”,请禁用“云端保护”或“自动提交样本”。

      警告

      关闭“首次看到时阻止”会降低设备的保护级别。 我们不建议长期禁用“首次看到时阻止”。

另请参阅

提示

想要了解更多信息? 在技术社区中与 Microsoft 安全社区互动: Microsoft Defender for Endpoint 技术社区