阻止模式下的终结点检测和响应

适用于:

平台

  • Windows

希望体验 Defender for Endpoint? 注册免费试用版

本文介绍块模式下的 EDR,这有助于保护运行非Microsoft防病毒解决方案的设备, (Microsoft Defender 防病毒处于被动模式) 。

什么是块模式下的 EDR?

当Microsoft Defender 防病毒不是主要防病毒产品且在被动模式下运行时, (EDR) 的终结点检测和响应可提供额外的保护,防止恶意项目。 在阻止模式下的 EDR 在 Defender for Endpoint 计划 2 中可用。

重要

当Microsoft Defender 防病毒实时保护处于被动模式时,块模式下的 EDR 无法提供所有可用的保护。 依赖于 Microsoft Defender 防病毒作为活动防病毒解决方案的某些功能将不起作用,例如以下示例:

  • 当Microsoft Defender 防病毒处于被动模式时,实时保护(包括按访问扫描)和计划扫描不可用。 若要详细了解实时保护策略设置,请参阅 启用和配置 Microsoft Defender 防病毒始终启用保护
  • 网络保护和攻击面减少规则和指示器 (文件哈希、IP 地址、URL 和证书) 仅在 Microsoft Defender 防病毒在活动模式下运行时可用。 非Microsoft防病毒解决方案应包括这些功能。

块模式下的 EDR 在后台工作,以修正 EDR 功能检测到的恶意项目。 主要非Microsoft防病毒产品可能错过了此类项目。 块模式下的 EDR 允许Microsoft Defender 防病毒对入侵后的行为 EDR 检测执行操作。

块模式下的 EDR 与 威胁 & 漏洞管理功能 集成。 如果尚未启用 EDR,则组织的安全团队会获得 安全建议 ,以在阻止模式下启用 EDR。

在块模式下打开 EDR 的建议

提示

若要获得最佳保护,请确保 部署 Microsoft Defender for Endpoint 基线

观看此视频,了解为何以及如何在阻止模式下启用终结点检测和响应 (EDR) ,在从入侵前到违规后的每个阶段启用行为阻止和遏制。

检测到某些内容时会发生什么情况?

当处于阻止模式的 EDR 处于打开状态时,检测到恶意项目时,Defender for Endpoint 会修正该项目。 安全运营团队在操作中心看到检测状态为“已阻止”或“已阻止”,并列为已完成的操作。 下图显示了在块模式下通过 EDR 检测到并修正的不需要的软件的实例:

EDR 在块模式下的检测

在块模式下启用 EDR

重要

  • 在块模式下打开 EDR 之前,请确保满足 要求
  • Defender for Endpoint 计划 2 许可证是必需的。
  • 平台版本 4.18.2202.X 开始,可以使用 Intune CSP 在块模式下将 EDR 设置为面向特定设备组。 可以在 Microsoft Defender 门户中继续在租户范围内以阻止模式设置 EDR。
  • 对于在被动模式下运行 Microsoft Defender 防病毒的设备, (设备) 上安装并处于活动状态的非Microsoft防病毒解决方案,则主要建议将 EDR 设置为块模式。

Microsoft Defender 门户

  1. 转到 Microsoft Defender 门户 (https://security.microsoft.com/) 并登录。

  2. 选择 “设置>终结点>常规>高级功能”。

  3. 向下滚动,然后打开“ 在块模式下启用 EDR”。

Intune

若要在 Intune 中创建自定义策略,请参阅 通过 Intune 部署 OMA-URIs 以将 CSP 作为目标,以及与本地的比较

有关在块模式下用于 EDR 的 Defender CSP 的详细信息,请参阅 Defender CSP 下的“配置/PassiveRemediation”。

块模式下 EDR 的要求

下表列出了块模式下 EDR 的要求:

要求 详细信息
权限 必须在 Entra ID Microsoft分配全局管理员或安全管理员角色。 有关详细信息,请参阅 基本权限
操作系统 设备必须运行以下 Windows 版本之一:
- Windows 11
- Windows 10 (所有版本)
- Windows Server 2019 或更高版本
- Windows Server 版本 1803 或更高版本
- Windows Server 2016 和 Windows Server 2012 R2 (新的 统一客户端解决方案)
Microsoft Defender for Endpoint 计划 2 设备必须载入到 Defender for Endpoint。 另请参阅以下文章:
- Microsoft Defender for Endpoint 的最低要求
- 载入设备并配置 Microsoft Defender for Endpoint 功能
- 将 Windows 服务器载入 Defender for Endpoint 服务
- 新式统一解决方案中的新 Windows Server 2012 R2 和 2016 功能
(请参阅 Windows Server 2016 和 Windows Server 2012 R2 是否支持块模式下的 EDR?)
Microsoft Defender 防病毒 设备必须安装Microsoft Defender 防病毒并在主动模式或被动模式下运行。 确认 defender 防病毒Microsoft处于主动或被动模式
云端保护 Microsoft必须配置 Defender 防病毒,以便 启用云提供的保护
Microsoft Defender 防病毒平台 设备必须是最新的。 若要确认,请使用 PowerShell,请以管理员身份运行 Get-MpComputerStatus cmdlet。 在 AMProductVersion 行中,应会看到 4.18.2001.10 或更高版本。

要了解详细信息,请参阅 管理 Microsoft Defender 防病毒更新和应用基线
Microsoft Defender 防病毒引擎 设备必须是最新的。 若要确认,请使用 PowerShell,请以管理员身份运行 Get-MpComputerStatus cmdlet。 在 AMEngineVersion 行中,应会看到 1.1.16700.2 或更高版本。

要了解详细信息,请参阅 管理 Microsoft Defender 防病毒更新和应用基线

重要

若要获得最佳保护价值,请确保防病毒解决方案配置为接收定期更新和基本功能,并且 已配置排除项。 块模式下的 EDR 遵循为 Microsoft Defender 防病毒定义的排除项,但不包括为 Microsoft Defender for Endpoint 定义的 指示器

Microsoft建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一种高特权角色,在无法使用现有角色时,应仅限于紧急情况。

另请参阅

提示

想要了解更多信息? 在技术社区中与 Microsoft 安全社区互动: Microsoft Defender for Endpoint 技术社区