终结点检测和响应 (EDR 在块模式下) 常见问题 (常见问题解答)

如果收到误报，可以在Microsoft 安全智能提交站点提交文件进行分析。

还可以为 Microsoft Defender 防病毒定义排除项。 请参阅配置和验证Microsoft Defender防病毒扫描的排除项。

是的，Microsoft建议在阻止模式下启用 EDR，即使系统上的主防病毒软件Microsoft Defender防病毒软件也是如此。 阻止模式下的 EDR 的主要用途是修正非Microsoft防病毒产品错过的违规后检测。 但是，在某些情况下，块模式下的 EDR 可能会带来好处，例如，Microsoft Defender防病毒配置错误，或者未启用 PUA 保护。 在这种情况下，处于块模式的 EDR 可以自动修正 PUA 等检测。

处于阻止模式的 EDR 不会影响在用户设备上运行的非Microsoft防病毒保护。 如果主防病毒解决方案缺少某些内容，或者存在违规后检测，则块模式下的 EDR 有效。 块模式下的 EDR 的工作方式与被动模式下的 Microsoft Defender 防病毒一样，但块模式下的 EDR 也会阻止并修正检测到的恶意项目或行为。

由于Microsoft Defender防病毒会检测并修正恶意项目，因此请务必使其保持最新状态。 若要使块模式下的 EDR 有效，它使用最新的设备学习模型、行为检测和启发式。 Defender for Endpoint 的功能堆栈以集成方式工作。 若要获得最佳保护值，应使防病毒Microsoft Defender保持最新状态。 请参阅管理Microsoft Defender防病毒更新和应用基线。

需要云保护才能打开设备上的功能。 云保护允许 Defender for Endpoint 基于安全智能的广度和深度以及行为和设备学习模型提供最新、最出色的保护。

对于运行 Windows 10、Windows 11、Windows Server 版本 1803 或更高版本、Windows Server 2019 或 Windows Server 2022 的终结点，当Microsoft Defender防病毒处于活动模式时，它将用作设备上的主防病毒。 在被动模式下运行时，Microsoft Defender防病毒不是主要防病毒产品。 在这种情况下，Microsoft Defender防病毒不会实时修正威胁。

有关详细信息，请参阅Microsoft Defender防病毒兼容性。

若要确认Microsoft Defender防病毒是在主动模式还是被动模式下运行，可以在运行 Windows 的设备上使用命令提示符或 PowerShell。

可以使用 PowerShell 确认在阻止模式下打开 EDR，并且Microsoft Defender防病毒在被动模式下运行。

1. 选择“开始”菜单，开始键入 PowerShell，然后在结果中打开Windows PowerShell。

2. 类型 Get-MPComputerStatus|select AMRunningMode。

3. 确认显示结果 EDR Block Mode。

如果Microsoft Defender防病毒在主动模式或被动模式下运行，则以下版本的 Windows 支持块模式下的 EDR：

• Windows 11
• Windows 10 (所有版本)
• Windows Server 版本 1803 或更高版本
• Windows Server 2022
• Windows Server 2019
• 使用新的统一客户端解决方案) Windows Server 2016和Windows Server 2012 R2 (

使用适用于 Windows Server 2016 和 Windows Server 2012 R2 的新统一客户端解决方案，可以在被动模式或主动模式下以块模式运行 EDR。

如果选择在块模式下禁用 EDR，系统最多可能需要 30 分钟才能禁用此功能。

• 阻止模式下的终结点检测和响应
• 技术社区博客：块模式下的 EDR 简介：停止其轨道中的攻击
• 行为阻止和控制