Registrering af slutpunkt og svar i bloktilstand
Gælder for:
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
- Microsoft Defender Antivirus
Platforme
- Windows
Vil du opleve Defender for Endpoint? Tilmeld dig en gratis prøveversion.
I denne artikel beskrives EDR i bloktilstand, som hjælper med at beskytte enheder, der kører en antivirusløsning, der ikke er Fra Microsoft (med Microsoft Defender Antivirus i passiv tilstand).
Hvad er EDR i blokeringstilstand?
EDR (Endpoint Detection and Response) i bloktilstand giver ekstra beskyttelse mod skadelige artefakter, når Microsoft Defender Antivirus ikke er det primære antivirusprodukt og kører i passiv tilstand. EDR i bloktilstand er tilgængelig i Defender for Endpoint Plan 2.
Vigtigt!
EDR i blokeret tilstand kan ikke give al tilgængelig beskyttelse, når Microsoft Defender Antivirus-beskyttelse i realtid er i passiv tilstand. Nogle funktioner, der afhænger af, at Microsoft Defender Antivirus er den aktive antivirusløsning, fungerer ikke, f.eks. følgende eksempler:
- Beskyttelse i realtid, herunder scanning efter adgang, er ikke tilgængelig, når Microsoft Defender Antivirus er i passiv tilstand. Hvis du vil vide mere om indstillinger for beskyttelsespolitik i realtid, skal du se Aktivér og konfigurer Microsoft Defender Antivirus altid aktiveret beskyttelse.
- Funktioner som netværksbeskyttelse og regler og indikatorer for reduktion af angrebsoverfladen (filhash, IP-adresse, URL-adresse og certifikater) er kun tilgængelige, når Microsoft Defender Antivirus kører i aktiv tilstand. Det forventes, at din antivirusløsning, der ikke er fra Microsoft, indeholder disse funktioner.
EDR i bloktilstand fungerer bag kulisserne for at afhjælpe skadelige artefakter, der blev registreret af EDR-funktioner. Sådanne artefakter kan være blevet overset af det primære antivirusprodukt, der ikke er fra Microsoft. EDR i blokeringstilstand gør det muligt for Microsoft Defender Antivirus at udføre handlinger på EDR-registreringer efter sikkerhedsbrud.
EDR i blokeringstilstand er integreret med funktioner til administration af trusler & sårbarheder . Organisationens sikkerhedsteam får en sikkerhedsanbefaling om at slå EDR til i blokeringstilstand, hvis det ikke allerede er aktiveret.
Tip
Hvis du vil have den bedste beskyttelse, skal du sørge for at udrulle Microsoft Defender for Endpoint grundlinjer.
Se denne video for at få mere at vide om, hvorfor og hvordan du slår EDR (endpoint detection and response) til i bloktilstand, aktiverer adfærdsblokering og indeslutning i alle faser fra før sikkerhedsbrud til efter sikkerhedsbrud.
Hvad sker der, når der registreres noget?
Når EDR i blokeringstilstand er slået til, og der registreres en skadelig artefakt, afhjælper Defender for Endpoint denne artefakt. Dit team af sikkerhedshandlinger får vist registreringsstatus som Blokeret eller Forhindret i Løsningscenter angivet som fuldførte handlinger. På følgende billede vises en forekomst af uønsket software, der blev registreret og afhjælpet via EDR i blokeringstilstand:
Aktivér EDR i bloktilstand
Vigtigt!
- Sørg for, at kravene er opfyldt, før du aktiverer EDR i blokeringstilstand.
- Der kræves Defender for Endpoint Plan 2-licenser.
- Fra og med platformversion 4.18.2202.X kan du angive EDR i bloktilstand til at målrette bestemte enhedsgrupper ved hjælp af Intune CSP'er. Du kan fortsætte med at angive EDR i blokeringstilstand for hele lejeren på Microsoft Defender-portalen.
- EDR i blokeringstilstand anbefales primært til enheder, der kører Microsoft Defender Antivirus i passiv tilstand (en ikke-Microsoft-antivirusløsning er installeret og aktiv på enheden).
Microsoft Defender-portal
Gå til Microsoft Defender-portalen (https://security.microsoft.com/), og log på.
Vælg Indstillinger>Slutpunkter>Generelle>avancerede funktioner.
Rul ned, og aktivér derefter Aktivér EDR i bloktilstand.
Intune
Hvis du vil oprette en brugerdefineret politik i Intune, skal du se Installér OMA-URIs for at målrette en CSP via Intune og en sammenligning med det lokale miljø.
Du kan få flere oplysninger om den Defender CSP, der bruges til EDR i blokeringstilstand, under "Configuration/PassiveRemediation" under Defender CSP.
Gruppepolitik
Du kan bruge Gruppepolitik til at aktivere EDR i bloktilstand.
Åbn administrationskonsollen for Gruppepolitik på administrationscomputeren til Gruppepolitik.
Højreklik på det Gruppepolitik objekt, du vil konfigurere, og vælg derefter Rediger.
I Gruppepolitik Management-Editor gå til Computerkonfiguration, og vælg derefter Administrative skabeloner.
Udvid træet til Windows-komponenter>Microsoft Defender Antivirusfunktioner>.
Dobbeltklik på Aktivér EDR i bloktilstand , og angiv indstillingen til Aktiveret.
Vælg OK.
Krav til EDR i bloktilstand
I følgende tabel vises kravene til EDR i bloktilstand:
| Krav | Detaljer |
|---|---|
| Tilladelser | Du skal enten have tildelt rollen Global administrator eller Sikkerhedsadministrator i Microsoft Entra ID. Du kan få flere oplysninger under Grundlæggende tilladelser. |
| Operativsystem | Enheder skal køre en af følgende versioner af Windows: - Windows 11 - Windows 10 (alle udgivelser) - Windows Server 2019 eller nyere - Windows Server, version 1803 eller nyere - Windows Server 2016 og Windows Server 2012 R2 (med den nye samlede klientløsning) |
| Microsoft Defender for Endpoint Plan 2 | Enheder skal være onboardet til Defender for Endpoint. Se følgende artikler: - Minimumskrav til Microsoft Defender for Endpoint - Onboarde enheder, og konfigurer Microsoft Defender for Endpoint funktioner - Onboarder Windows-servere til Defender for Endpoint-tjenesten - Ny Windows Server 2012 R2- og 2016-funktionalitet i den moderne samlede løsning (Se Understøttes EDR i bloktilstand på Windows Server 2016 og Windows Server 2012 R2?) |
| Microsoft Defender Antivirus | Enheder skal have Microsoft Defender Antivirus installeret og køre i enten aktiv eller passiv tilstand. Bekræft Microsoft Defender Antivirus er i aktiv eller passiv tilstand. |
| Skybaseret beskyttelse | Microsoft Defender Antivirus skal være konfigureret, så skybaseret beskyttelse er aktiveret. |
| Microsoft Defender Antivirus-platform | Enheder skal være opdateret. Hvis du vil bekræfte dette, skal du køre Get-MpComputerStatus-cmdlet'en som administrator ved hjælp af PowerShell. På linjen AMProductVersion kan du se 4.18.2001.10 eller nyere. Du kan få mere at vide under Administrer opdateringer til Microsoft Defender Antivirus og anvend oprindelige planer. |
| Microsoft Defender Antivirusprogram | Enheder skal være opdateret. Hvis du vil bekræfte dette, skal du køre Get-MpComputerStatus-cmdlet'en som administrator ved hjælp af PowerShell. På linjen AMEngineVersion kan du se 1.1.16700.2 eller nyere. Du kan få mere at vide under Administrer opdateringer til Microsoft Defender Antivirus og anvend oprindelige planer. |
Vigtigt!
Hvis du vil have den bedste beskyttelsesværdi, skal du sørge for, at din antivirusløsning er konfigureret til at modtage regelmæssige opdateringer og vigtige funktioner, og at dine undtagelser er konfigureret. EDR i blokeringstilstand respekterer undtagelser, der er defineret for Microsoft Defender Antivirus, men ikke indikatorer, der er defineret for Microsoft Defender for Endpoint.
Microsoft anbefaler, at du bruger roller med færrest tilladelser. Dette hjælper med at forbedre sikkerheden for din organisation. Global administrator er en yderst privilegeret rolle, der bør være begrænset til nødsituationer, når du ikke kan bruge en eksisterende rolle.
Se også
Tip
Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.