Modifier

Partager via


Forum aux questions (FAQ) sur la détection et la réponse des points de terminaison (EDR) en mode bloc

Puis-je spécifier des exclusions pour EDR en mode bloc ?

Si vous obtenez un faux positif, vous pouvez soumettre le fichier pour analyse sur le site de soumission Renseignement de sécurité Microsoft.

Vous pouvez également définir une exclusion pour Microsoft Defender Antivirus. Consultez Configurer et valider des exclusions pour Microsoft Defender analyses antivirus.

Dois-je activer EDR en mode bloc si Microsoft Defender Antivirus s’exécute sur des appareils ?

Oui, Microsoft recommande d’activer EDR en mode bloc, même lorsque le logiciel antivirus principal sur le système est Microsoft Defender Antivirus. L’objectif principal de l’EDR en mode bloc est de corriger les détections post-violation qui ont été manquées par un produit antivirus non-Microsoft. Toutefois, il existe des scénarios où l’EDR en mode bloc peut être bénéfique, par exemple si Microsoft Defender Antivirus est mal configuré ou si la protection PUA n’est pas activée. Dans ce cas, EDR en mode bloc peut corriger automatiquement les détections telles que puA.

EDR en mode bloc affecte-t-il la protection antivirus d’un utilisateur ?

EDR en mode bloc n’affecte pas la protection antivirus non-Microsoft exécutée sur les appareils des utilisateurs. EDR en mode bloc fonctionne si la solution antivirus principale manque quelque chose ou s’il y a une détection post-violation. EDR en mode bloc fonctionne comme Microsoft Defender Antivirus en mode passif, à ceci près que l’EDR en mode bloc bloque et corrige également les artefacts ou comportements malveillants détectés.

Pourquoi dois-je maintenir Microsoft Defender’antivirus à jour ?

Étant donné que Microsoft Defender Antivirus détecte et corrige les éléments malveillants, il est important de le tenir à jour. Pour que l’EDR en mode bloc soit efficace, il utilise les derniers modèles d’apprentissage des appareils, les détections comportementales et les heuristiques. La pile de fonctionnalités Defender pour point de terminaison fonctionne de manière intégrée. Pour obtenir la meilleure valeur de protection, vous devez tenir à jour Microsoft Defender Antivirus. Consultez Gérer les mises à jour de l’antivirus Microsoft Defender et appliquer des bases de référence.

Pourquoi avons-nous besoin de la protection cloud (MAPS) activée ?

La protection cloud est nécessaire pour activer la fonctionnalité sur l’appareil. La protection cloud permet à Defender pour point de terminaison d’offrir la protection la plus récente et la plus optimale basée sur l’étendue et la profondeur de notre intelligence de sécurité, ainsi que sur les modèles comportementaux et d’apprentissage des appareils.

Quelle est la différence entre le mode actif et le mode passif ?

Pour les points de terminaison exécutant Windows 10, Windows 11, Windows Server, version 1803 ou ultérieure, Windows Server 2019 ou Windows Server 2022 lorsque Microsoft Defender Antivirus est en mode actif, il est utilisé comme antivirus principal sur l’appareil. En cas d’exécution en mode passif, Microsoft Defender Antivirus n’est pas le produit antivirus principal. Dans ce cas, les menaces ne sont pas corrigées par Microsoft Defender Antivirus en temps réel.

Remarque

Microsoft Defender antivirus ne peut s’exécuter en mode passif que lorsque l’appareil est intégré à Microsoft Defender pour point de terminaison.

Pour plus d’informations, consultez compatibilité Microsoft Defender antivirus.

Comment faire confirmer Microsoft Defender antivirus est en mode actif ou passif ?

Pour vérifier si Microsoft Defender Antivirus s’exécute en mode actif ou passif, vous pouvez utiliser l’invite de commandes ou PowerShell sur un appareil exécutant Windows.

Méthode Procedure
PowerShell 1. Sélectionnez le menu Démarrer, commencez à taper PowerShell, puis ouvrez Windows PowerShell dans les résultats.

2. Tapez Get-MpComputerStatus.

3. Dans la liste des résultats, dans la ligne AMRunningMode , recherchez l’une des valeurs suivantes :
- Normal
- Passive Mode

Pour en savoir plus, consultez Get-MpComputerStatus.
Invite de commandes
  1. Sélectionnez le menu Démarrer, commencez à taper Command Prompt, puis ouvrez l’invite de commandes Windows dans les résultats.
  2. Tapez sc query windefend.
  3. Dans la liste des résultats, dans la ligne STATE , vérifiez que le service est en cours d’exécution.

Comment faire confirmer que l’EDR en mode bloc est activé avec Microsoft Defender Antivirus en mode passif ?

Vous pouvez utiliser PowerShell pour vérifier que l’EDR en mode bloc est activé avec Microsoft Defender Antivirus en mode passif.

  1. Sélectionnez le menu Démarrer, commencez à taper PowerShell, puis ouvrez Windows PowerShell dans les résultats.

  2. Tapez Get-MPComputerStatus|select AMRunningMode.

  3. Vérifiez que le résultat, EDR Block Mode, est affiché.

Conseil

Si Microsoft Defender antivirus est en mode actif, vous verrez Normal au lieu de EDR Block Mode. Pour en savoir plus, consultez Get-MpComputerStatus.

EDR en mode bloc est-il pris en charge sur Windows Server 2016 et Windows Server 2012 R2 ?

Si Microsoft Defender Antivirus s’exécute en mode actif ou passif, EDR en mode bloc est pris en charge dans les versions suivantes de Windows :

  • Windows 11
  • Windows 10 (toutes les versions)
  • Windows Server, version 1803 ou ultérieure
  • Windows Server 2022
  • Windows Server 2019
  • Windows Server 2016 et Windows Server 2012 R2 (avec la nouvelle solution cliente unifiée)

Avec la nouvelle solution cliente unifiée pour Windows Server 2016 et Windows Server 2012 R2, vous pouvez exécuter EDR en mode bloc en mode passif ou actif.

Remarque

Windows Server 2016 et Windows Server 2012 R2 doivent être intégrés à l’aide des instructions fournies dans Intégrer des serveurs Windows pour que cette fonctionnalité fonctionne.

Combien de temps faut-il pour désactiver l’EDR en mode bloc ?

Si vous choisissez de désactiver EDR en mode bloc, la désactivation de cette fonctionnalité peut prendre jusqu’à 30 minutes.

Voir aussi