打开“首次看到时阻止”

适用于：

• Microsoft Defender for Endpoint 计划 1
• Microsoft Defender for Endpoint 计划 2
• Microsoft Defender 防病毒

平台

• Windows

此文章解释了名为“首次看到时阻止”的防病毒/防恶意软件功能，并介绍了如何为组织启用“首次看到时阻止”功能。

提示

此文章适合的读者为管理组织安全设置的企业管理员和 IT 专业人员。 如果你不是企业管理员或 IT 专业人员，但对第一眼看到阻止有疑问，请参阅 不是企业管理员还是 IT 专业人员？ 部分。

什么是“首次看到时阻止”？

“首次看到时阻止”是下一代保护的一种威胁保护功能，它能够在几秒内检测新的恶意软件并将其阻止。 启用某些安全设置后，将启用首次看到时阻止：

• 云保护 已打开;
• 示例提交 配置为自动发送示例;和
• Microsoft Defender防病毒在设备上是最新的。

在大多数企业组织中，需要启用“首次看到时阻止”的设置都已在部署 Microsoft Defender 防病毒时配置了。 请参阅在 Microsoft Defender 防病毒中启用云保护。

运作方式

当 Microsoft Defender 防病毒软件遇到未检测到的可疑文件时，它会查询云保护后端。 云后端将应用启发式、机器学习以及自动文件分析，以确定文件是恶意文件还是非威胁文件。

Microsoft Defender 防病毒使用多种检测和防护技术来提供准确、智能、实时的保护。

提示

若要了解更多信息，请参阅（博客）了解 Microsoft Defender for Endpoint 下一代保护的核心高级技术。

关于“首次看到时阻止”的一些须知

• 首次看到时阻止可以阻止不可移植的可执行文件 (，例如 JS、VBS 或宏) 和可执行文件，在 Windows 或 Windows Server 上运行 最新的 Defender 反恶意软件平台 。

• “首次看到时阻止”仅对从 Internet 下载或者源自 Internet 区域的可执行文件和不可移植的可执行文件使用云保护后端。 通过云后端检查文件的哈希值 .exe ，以确定该文件是否是以前未检测到的文件。

• 如果云后端无法做出决定，Microsoft Defender 防病毒会锁定该文件，同时将副本上传到云。 云将执行更多分析以得出结论：以后遇到该文件，是允许运行还是阻止（具体取决于它确定文件是恶意文件还是非威胁文件）。

• 在许多情况下，此过程可将对新恶意软件的响应时间从几小时减少到几秒。

• 你可以指定当基于云的保护服务在分析文件时，过多久后阻止文件运行。 另外，当文件被阻止时，你可以自定义用户桌面上显示的消息。 可更改公司名称、联系信息、消息 URL。

用 Microsoft Intune 打开“首次看到时阻止”

1. 在Microsoft Intune管理中心 (https://endpoint.microsoft.com) ，转到“终结点安全性>防病毒”。

2. 选择现有策略，或使用 Microsoft Defender 防病毒用户配置类型创建新策略。 在我们的示例中，我们为平台选择了Windows 10、Windows 11或 Windows Server。

   

3. 将 “允许云保护” 设置为 “允许”。打开云保护。

   

4. 向下滚动到 “提交示例同意”，然后选择以下设置之一：

   • 自动发送所有示例
   • 自动发送安全示例

5. 应用 Windows Defender 防病毒的用户配置到组，例如“所有用户”、“所有设备”或“所有用户和设备”。

使用组策略打开“首次看到时阻止”

注意

建议使用Intune或Microsoft Configuration Manager在第一眼看到时打开块。

1. 在组策略管理计算机上，打开组策略管理控制台，右键单击要配置的组策略对象，然后选择编辑。

2. 使用“组策略管理编辑器”转到“计算机配置”>“管理模板”>“Windows 组件”>“Microsoft Defender 防病毒”>“MAPS”。

3. 在“MAPS”节中，双击“配置“首次看到时阻止”功能”，将其设为“启用”，然后选择“OK”。

   重要

   设为始终提示 (0) 会降低设备的保护状态。 设为始终不发送 (2) 意味着“首次看到时阻止”将不起作用。

4. 在“MAPS”节中，双击“需要进一步分析时发送文件样本”，将其设为“启用”。 在“需要进一步分析时发送文件样本”下，选择“发送所有样本”，然后选择“OK”。

5. 如往常一样在网络上中心部署你的组策略对象。

在客户端上确认“首次看到时阻止”是否已启用

可以使用 Windows 安全应用来确认“首次看到时阻止”功能是否已在某个客户端设备上启用。 只要同时启用了云端保护和自动提交样本，就会自动启用“首次看到时阻止”。

1. 打开 Windows 安全应用。

2. 选择“病毒和威胁防护”，然后在“病毒和威胁防护设置”下选择“管理设置”。

   

3. 确认云端保护和自动提交样本已开启。

注意

• 如果已使用组策略配置并部署了先决条件设置，本部分所述的设置将灰显，并且在个别终结点上不可用。
• 通过组策略对象进行的更改必须先部署到个别终结点，然后 Windows 设置中的相关设置才会更新。

关闭“首次看到时阻止”

警告

关闭“首次看到时阻止”会降低设备和网络的保护状态。 我们不建议永久禁用第一眼保护块。

使用Microsoft Intune在第一次看到时关闭块

1. 转到Microsoft Intune管理中心，https://endpoint.microsoft.com () 并登录。

2. 转到“终结点安全”>“防病毒”，然后选择你的 Microsoft Defender 防病毒策略。

3. 在“管理”下，选择“属性”。

4. 选择“配置设置”旁的“编辑”。

5. 将 “允许云保护” 设置为 “不允许”。关闭云保护。

6. 检查并保存你的设置。

使用组策略关闭“首次看到时阻止”

1. 在组策略管理计算机上，打开组策略管理控制台，右键单击要配置的组策略对象，然后选择“编辑”。

2. 在策略管理编辑器中， 转到“计算机配置”并选择“管理模板”。

3. 将树展开到“Windows 组件”>“Windows Defender 防病毒”>“MAPS。

4. 双击“配置“首次看到时阻止”功能”，并将该选项设置为“禁用”。

   注意

   禁用“首次看到时阻止”不会禁用或更改先决条件组策略。

不是企业管理员或 IT 专业人士？

如果你不是企业管理员或 IT 专业人员，但你对“首次看到时阻止”有疑问的话，请阅读此节。 “首次看到时阻止”是一种威胁保护功能，它能够在几秒内检测和阻止恶意软件。 其实没有某个设置叫“首次看到时阻止”，此功能的启用是通过配置设备上的某些设置来实现的。

如果在自己的设备上管理“首次看到时阻止”的开启与关闭

如果你的个人设备不受组织管理，你可能想知道如何开启或关闭“首次看到时阻止”。 你可以使用 Windows 安全应用来管理“首次看到时阻止”。

1. 在你的 Windows 10 或 Windows 11 电脑上，打开 Windows 安全中心应用。

2. 选择“病毒和威胁防护”。

3. 在“病毒和威胁防护设置”下选择“管理设置”。

4. 采取以下步骤之一：

   • 若要启用“首次看到时阻止”，请确保同时启用了“云端保护”和“自动提交样本”。

   • 若要禁用启用“首次看到时阻止”，请禁用“云端保护”或“自动提交样本”。

     警告

     关闭“首次看到时阻止”会降低设备的保护级别。 我们不建议长期禁用“首次看到时阻止”。

另请参阅

• Windows 10 中的 Microsoft Defender 防病毒
• 启用云保护
• 通过 Windows 安全持续受到保护
• 载入非 Windows 设备

提示

想要了解更多信息？ Engage技术社区中的 Microsoft 安全社区：Microsoft Defender for Endpoint技术社区。