EDR (在封鎖模式中) 常見問題的端點偵測和回應 (常見問題)

如果您收到誤判，您可以在 Microsoft 安全情報 提交網站提交檔案以進行分析。

您也可以定義 Microsoft Defender 防病毒軟體的排除範圍。 請參閱設定和驗證 Microsoft Defender 防病毒軟體掃描的排除專案。

是，Microsoft 建議在封鎖模式中啟用 EDR，即使系統上的主要防病毒軟體 Microsoft Defender 防病毒軟體也一樣。 PUA 保護或自動化調查可自動補救 EDR 偵測，& 區塊模式中的補救功能。

EDR 在封鎖模式中的主要目的是補救非 Microsoft 防病毒軟體產品遺漏的入侵後偵測。

封鎖模式中的 EDR 不會影響使用者裝置上執行的第三方防病毒軟體保護。 如果主要防病毒軟體解決方案遺漏某些專案，或有入侵後偵測，則封鎖模式中的 EDR 可運作。 封鎖模式中的 EDR 運作方式與被動模式 Microsoft Defender 防病毒軟體一樣，不同之處在於封鎖模式中的 EDR 也會封鎖並補救偵測到的惡意成品或行為。

由於 Microsoft Defender 防病毒軟體會偵測並補救惡意專案，因此請務必保持最新狀態。 若要讓封鎖模式中的 EDR 生效，它會使用最新的裝置學習模型、行為偵測和啟發學習法。 適用於端點的Defender功能堆疊以整合方式運作。 若要取得最佳的保護值，您應該將 Microsoft Defender 防病毒軟體保持在最新狀態。 請參閱管理 Microsoft Defender 防病毒軟體更新和套用基準。

需要雲端保護，才能在裝置上開啟功能。 雲端保護可讓 適用於端點的 Defender 根據安全情報的廣度和深度，以及行為和裝置學習模型，提供最新且最強大的保護。

針對執行 Windows 10、Windows 11、Windows Server 版本 1803 或更新版本、Windows Server 2019 或 Windows Server 2022 的端點，當 Microsoft Defender 防病毒軟體處於作用中模式時，它會作為裝置上的主要防病毒軟體。 在被動模式中執行時，Microsoft Defender 防病毒軟體不是主要的防病毒軟體產品。 在此情況下，Microsoft Defender 防病毒軟體不會即時補救威脅。

如需詳細資訊，請參閱 Microsoft Defender 防病毒軟體相容性。

若要確認 Microsoft Defender 防病毒軟體是在主動或被動模式中執行，您可以在執行 Windows 的裝置上使用命令提示字元或 PowerShell。

您可以使用PowerShell來確認封鎖模式中的EDR已開啟，並 Microsoft Defender被動模式下執行的防病毒軟體。

1. 選取 [開始] 功能表，開始輸入 PowerShell，然後在結果中開啟 Windows PowerShell。

2. 輸入 Get-MPComputerStatus|select AMRunningMode。

3. 確認顯示結果 EDR Block Mode。

如果 Microsoft Defender 防病毒軟體是在主動模式或被動模式中執行，則下列 Windows 版本支持封鎖模式的 EDR：

• Windows 11
• Windows 10 (所有版本)
• Windows Server 版本 1803 或更新版本
• Windows Server 2022
• Windows Server 2019
• 使用新的整合客戶端解決方案 (Windows Server 2016 和 Windows Server 2012 R2)

使用適用於 Windows Server 2016 和 Windows Server 2012 R2 的新整合客戶端解決方案，您可以在被動模式或主動模式的區塊模式中執行 EDR。

如果您選擇在封鎖模式中停用 EDR，系統最多可能需要 30 分鐘的時間才能停用此功能。

• 封鎖模式中的端點偵測和回應
• 技術社群部落格：在封鎖模式中介紹 EDR：停止攻擊
• 行為封鎖和包含專案