Koskee seuraavia:
Voinko määrittää EDR:n poikkeukset lohkotilassa?
Jos tulos on false-positiivinen, voit lähettää tiedoston analyysia varten Microsoftin suojaustiedustelu lähetyssivustossa.
Voit myös määrittää poikkeuksen virustentorjunta Microsoft Defender. Katso Microsoft Defender virustentorjuntatarkistusten poissulkemisten määrittäminen ja vahvistaminen.
Onko EDR otettava käyttöön estotilassa, jos laitteissa on käynnissä Microsoft Defender virustentorjunta?
Kyllä, Microsoft suosittelee EDR:n käyttöönottoa estotilassa, vaikka järjestelmän ensisijainen virustentorjuntaohjelmisto Microsoft Defender virustentorjunta. EDR:n ensisijainen tarkoitus estotilassa on korjata murron jälkeiset tunnistuksia, jotka muu kuin Microsoftin virustentorjuntaohjelma ei huomannut. On kuitenkin tilanteita, joissa EDR:stä estotilassa voi olla hyötyä, esimerkiksi jos Microsoft Defender virustentorjunta on määritetty väärin tai JOS PUA-suojausta ei ole otettu käyttöön. Tällaisissa tapauksissa Estotilassa oleva EDR voi automaattisesti korjata pua-tunnistuksia.
Vaikuttaako estotilassa EDR käyttäjän virustentorjuntaan?
Estotilassa oleva EDR ei vaikuta muissa kuin Microsoftin laitteissa suoritettavaan virustentorjuntaan. EDR estotilassa toimii, jos ensisijainen virustentorjuntaratkaisu epäonnistuu tai jos murron jälkeinen tunnistaminen on olemassa. Estotilassa EDR toimii samalla tavalla kuin Microsoft Defender virustentorjunta passiivitilassa, paitsi että EDR estotilassa estää ja korjaa havaitut haitalliset artefaktit tai toiminnot.
Miksi Microsoft Defender virustentorjunta on pidettävä ajan tasalla?
Koska Microsoft Defender virustentorjunta havaitsee ja korjaa haitallisia kohteita, on tärkeää pitää ne ajan tasalla. Jotta EDR lohkotilassa olisi tehokas, se käyttää uusimpia laitteen oppimismalleja, käyttäytymistunnuksia ja heuristiikkoja. Defender for Endpoint -ominaisuuspino toimii integroidulla tavalla. Jotta saat parhaan suojausarvon, pidä Microsoft Defender virustentorjunta ajan tasalla. Katso Microsoft Defender virustentorjuntapäivitysten hallinta ja ota käyttöön perusaikataulut.
Miksi tarvitsemme pilvisuojausta (MAPS) käyttöön?
Pilvisuojausta tarvitaan ominaisuuden ottaminen käyttöön laitteessa. Pilvisuojauksen avulla Defenderin päätepiste voi tarjota uusimman ja parhaan suojauksen tietoturvatietojen laajuuden ja syvyyden sekä käyttäytymis- ja laiteoppimismallien perusteella.
Mitä eroa on aktiivisella ja passiivisella tilalla?
Päätepisteissä, jotka toimivat Windows 10, Windows 11, Windows Serverin versiossa 1803 tai uudemmassa, Windows Server 2019:ssä tai Windows Server 2022:ssa, kun Microsoft Defender virustentorjunta on aktiivisessa tilassa, sitä käytetään laitteen ensisijaisena virustentorjuntaohjelmana. Kun suoritat passiivitilassa, Microsoft Defender virustentorjunta ei ole ensisijainen virustentorjuntatuote. Tässä tapauksessa Microsoft Defender virustentorjunta ei korjaa uhkia reaaliaikaisesti.
Huomautus
Microsoft Defender virustentorjunta voidaan suorittaa passiivitilassa vain, kun laite on Microsoft Defender for Endpoint.
Lisätietoja on artikkelissa Microsoft Defender virustentorjuntaohjelman yhteensopivuus.
Ohjevalikko vahvistaa, Microsoft Defender virustentorjunta on aktiivisessa tai passiivisessa tilassa?
Voit vahvistaa, onko Microsoft Defender virustentorjunta käynnissä aktiivisessa vai passiivisessa tilassa, komentokehotteen tai PowerShellin avulla Windows-laitteessa.
| Menetelmä | Menettely |
|---|---|
| PowerShell | 1. Valitse Käynnistä-valikko, ala kirjoittaa PowerShellja avaa sitten Windows PowerShell tuloksissa.2. Kirjoita Get-MpComputerStatus.3. Etsi tulosluettelon AMRunningMode-riviltä jokin seuraavista arvoista: - Normal- Passive ModeLisätietoja on artikkelissa Get-MpComputerStatus. |
| Komentokehote |
|
Ohjevalikko vahvistaa, että estotilassa oleva EDR on otettu käyttöön, kun Microsoft Defender virustentorjunta on käytössä passiivitilassa?
PowerShellin avulla voit vahvistaa, että estotilassa oleva EDR on käytössä, kun Microsoft Defender virustentorjunta on käynnissä passiivitilassa.
Valitse Käynnistä-valikko, ala kirjoittaa
PowerShellja avaa sitten Windows PowerShell tuloksissa.Kirjoita
Get-MPComputerStatus|select AMRunningMode.Vahvista,
EDR Block Modeettä tulos on näkyvissä.
Vihje
Jos Microsoft Defender virustentorjunta on aktiivisessa tilassa, näet Normal sen sijaan EDR Block Mode. Lisätietoja on artikkelissa Get-MpComputerStatus.
Tuetaanko EDR:ää estotilassa Windows Server 2016:ssa ja Windows Server 2012 R2:ssa?
Jos Microsoft Defender virustentorjunta on käynnissä aktiivisessa tilassa tai passiivitilassa, EDR:n estotilassa tuetaan seuraavia Windowsin versioita:
- Windows 11
- Windows 10 (kaikki julkaisut)
- Windows Server, versio 1803 tai uudempi
- Windows Server 2022
- Windows Server 2019
- Windows Server 2016 ja Windows Server 2012 R2 ( uuden yhdistetyn asiakasratkaisun kanssa)
Windows Server 2016:n ja Windows Server 2012 R2:n uuden yhdistetyn asiakasratkaisun avulla voit suorittaa EDR:n estotilassa joko passiivitilassa tai aktiivisessa tilassa.
Huomautus
Windows Server 2016 ja Windows Server 2012 R2 on otettava käyttöön Onboard Windows -palvelimien ohjeiden mukaisesti, jotta tämä ominaisuus toimisi.
Kuinka kauan EDR:n käyttö estotilassa kestää?
Jos päätät poistaa EDR:n käytöstä estotilassa, järjestelmän tämän ominaisuuden käytöstä poistaminen voi kestää jopa 30 minuuttia.