Gjenkjenning av endepunkt og svar (EDR) i vanlige spørsmål om blokkmodus

Hvis du får en falsk positiv, kan du sende inn filen for analyse på det Microsoft Sikkerhetsintelligens innsendingsnettstedet.

Du kan også definere en utelatelse for Microsoft Defender Antivirus. Se Konfigurere og validere utelatelser for Microsoft Defender Antivirus-skanninger.

Ja, Microsoft anbefaler å aktivere EDR i blokkmodus, selv når primær antivirusprogramvare på systemet er Microsoft Defender Antivirus. Hovedformålet med EDR i blokkmodus er å utbedre oppdagelser etter brudd som ble oversett av et antivirusprodukt som ikke er fra Microsoft. Det finnes imidlertid scenarioer der EDR i blokkmodus kan være nyttig, for eksempel om Microsoft Defender Antivirus er feilkonfigurert, eller hvis PUA-beskyttelse ikke er aktivert. I slike tilfeller kan EDR i blokkmodus automatisk utbedre gjenkjenninger som PUA.

EDR i blokkmodus påvirker ikke antivirusbeskyttelse fra Microsoft som kjører på brukernes enheter. EDR i blokkmodus fungerer hvis den primære antivirusløsningen går glipp av noe, eller hvis det finnes en gjenkjenning etter brudd. EDR i blokkmodus fungerer akkurat som Microsoft Defender Antivirus i passiv modus, bortsett fra at EDR i blokkmodus også blokkerer og remediates ondsinnede artefakter eller virkemåter som oppdages.

Fordi Microsoft Defender Antivirus oppdager og remediates skadelige elementer, er det viktig å holde det oppdatert. For at EDR i blokkmodus skal være effektiv, bruker den de nyeste enhetslæringsmodellene, atferdsgjenkjenninger og heuristikk. Funksjonene i Defender for Endpoint fungerer på en integrert måte. Hvis du vil ha best mulig beskyttelsesverdi, bør du holde Microsoft Defender Antivirus oppdatert. Se Administrere Microsoft Defender antivirusoppdateringer og bruke opprinnelige planer.

Skybeskyttelse er nødvendig for å aktivere funksjonen på enheten. Skybeskyttelse gjør det mulig for Defender for Endpoint å levere den nyeste og beste beskyttelsen basert på vår bredde og dybde av sikkerhetsintelligens, sammen med atferds- og enhetslæringsmodeller.

For endepunkter som kjører Windows 10, Windows 11, Windows Server, versjon 1803 eller nyere, Windows Server 2019 eller Windows Server 2022 når Microsoft Defender Antivirus er i aktiv modus, brukes det som det primære antivirusprogrammet på enheten. Når du kjører i passiv modus, er Microsoft Defender Antivirus ikke det primære antivirusproduktet. I dette tilfellet utbedres ikke trusler av Microsoft Defender Antivirus i sanntid.

Hvis du vil ha mer informasjon, kan du se Microsoft Defender Antivirus-kompatibilitet.

Hvis du vil bekrefte om Microsoft Defender Antivirus kjører i aktiv eller passiv modus, kan du bruke Ledetekst eller PowerShell på en enhet som kjører Windows.

Du kan bruke PowerShell til å bekrefte at EDR i blokkmodus er slått på med Microsoft Defender Antivirus som kjører i passiv modus.

1. Velg Start -menyen, begynn å skrive PowerShell, og åpne deretter Windows PowerShell i resultatene.

2. Skriv Get-MPComputerStatus|select AMRunningMode.

3. Bekreft at resultatet, EDR Block Modevises.

Hvis Microsoft Defender Antivirus kjører i aktiv modus eller passiv modus, støttes EDR i blokkmodus av følgende versjoner av Windows:

• Windows 11
• Windows 10 (alle versjoner)
• Windows Server, versjon 1803 eller nyere
• Windows Server 2022
• Windows Server 2019
• Windows Server 2016 og Windows Server 2012 R2 (med den nye enhetlige klientløsningen)

Med den nye enhetlige klientløsningen for Windows Server 2016 og Windows Server 2012 R2 kan du kjøre EDR i blokkmodus i passiv modus eller aktiv modus.

Hvis du velger å deaktivere EDR i blokkmodus, kan det ta opptil 30 minutter før systemet deaktiverer denne funksjonen.

• Gjenkjenning og svar for endepunkt i blokkmodus
• Tech Community-blogg: Innføring i EDR i blokkmodus: Stoppe angrep i sporene deres
• Atferdsbasert blokkering og oppdemming