Blokkeren bij eerste detectie inschakelen

Van toepassing op:

• Plan 1 voor Microsoft Defender voor Eindpunt
• Plan 2 voor Microsoft Defender voor Eindpunt
• Microsoft Defender Antivirus

Platforms

• Windows

In dit artikel wordt een antivirus-/antimalwarefunctie beschreven genaamd 'blokkeren bij eerste detectie' en wordt beschreven hoe u blokkeren bij eerste detectie in kunt schakelen voor uw organisatie.

Tip

Dit artikel is bedoeld voor bedrijfsbeheerders en IT-professionals die beveiligingsinstellingen voor organisaties beheren. Als u geen ondernemingsbeheerder of IT-professional bent, maar u vragen hebt over blokkeren op het eerste gezicht, raadpleegt u de sectie Geen ondernemingsbeheerder of IT-professional?

Wat is 'blokkeren bij eerste detectie'?

Blokkeren bij eerste detectie is een bedreigingsbeveiligingsfunctie van volgende generatie-beveiliging waarmee nieuwe malware wordt gedetecteerd en binnen enkele seconden wordt geblokkeerd. Blokkeren bij eerste detectie is ingeschakeld wanneer bepaalde beveiligingsinstellingen zijn ingeschakeld:

• Cloudbeveiliging is ingeschakeld;
• Voorbeeldinzending is geconfigureerd voor het automatisch verzenden van steekproeven; en
• Microsoft Defender Antivirus is bijgewerkt op apparaten.

In de meeste ondernemingen zijn de instellingen geconfigureerd die nodig zijn om blokkeren bij eerste detectie mogelijk te maken met implementaties van Microsoft Defender Antivirus. Zie Cloudbeveiliging inschakelen in Microsoft Defender Antivirus.

Hoe het werkt

Als Microsoft Defender Antivirus een verdacht, maar niet-gedetecteerd bestand aantreft, wordt een query uitgevoerd op onze cloudbeveiligingsback-end. In de cloudback-end worden heuristische, machine learning- en geautomatiseerde analyses van het bestand toegepast om te bepalen of de bestanden schadelijk zijn dan wel geen bedreiging vormen.

Microsoft Defender Antivirus gebruikt meerdere technologieën voor detectie en preventie om nauwkeurige, intelligente en realtime bescherming te bieden.

Tip

Lees deze blog voor meer informatie: Maak kennis met de geavanceerde technologieën die de kern vormen van de volgende generatie-beveiliging van Microsoft Defender voor Eindpunt.

Enkele dingen die u moet weten over blokkeren bij eerste detectie

• Blokkeren bij eerste detectie kan niet-porteerbare uitvoerbare bestanden (zoals JS, VBS of macro's) en uitvoerbare bestanden blokkeren, met het nieuwste Defender-antimalwareplatform op Windows of Windows Server.

• Blokkeren op het eerste gezicht maakt alleen gebruik van de back-end voor cloudbeveiliging voor uitvoerbare bestanden en niet-porteerbare uitvoerbare bestanden die zijn gedownload van internet of die afkomstig zijn van de internetzone. Een hash-waarde van het .exe bestand wordt gecontroleerd via de back-end van de cloud om te bepalen of het bestand een eerder niet-gedetecteerd bestand is.

• Als er in de cloudback-end geen bepaling kan worden gemaakt, vergrendelt Microsoft Defender Antivirus het bestand en uploadt het een kopie naar de cloud. De cloud voert meer analyses uit om te bepalen of het bestand kan worden uitgevoerd dan wel dient te worden geblokkeerd in alle toekomstige gevallen, afhankelijk van of het bestand schadelijk is dan wel geen bedreiging vormt.

• In veel gevallen kan dit proces de reactietijd voor nieuwe malware verminderen van uren tot seconden.

• U kunt opgeven hoelang een bestand niet mag worden uitgevoerd terwijl de cloudbeveiligingsservice het bestand analyseert. En u kunt het bericht aanpassen dat wordt weergegeven op de desktopcomputers van gebruikers wanneer een bestand wordt geblokkeerd. U kunt de bedrijfsnaam, contactgegevens en bericht-URL wijzigen.

Blokkeren bij eerste detectie inschakelen met Microsoft Intune

1. Ga in het Microsoft Intune-beheercentrum (https://intune.microsoft.com) naar Antivirus voor eindpuntbeveiliging>.

2. Selecteer een bestaand beleid of maak een nieuw beleid met het Microsoft Defender Antivirus-profieltype. In ons voorbeeld hebben we Windows 10, Windows 11 of Windows Server geselecteerd voor het platform.

   

3. Stel Cloudbeveiliging toestaan in op Toegestaan. Hiermee schakelt u Cloudbeveiliging in.

   

4. Schuif omlaag naar Toestemming voor voorbeelden verzenden en selecteer een van de volgende instellingen:

   • Alle voorbeelden automatisch verzenden
   • Veilige voorbeelden automatisch verzenden

5. Pas het Microsoft Defender Antivirus-profiel toe op een groep, zoals Alle gebruikers, Alle apparatenof Alle gebruikers en apparaten.

Blokkeren bij eerste detectie inschakelen met Groepsbeleid

Opmerking

U wordt aangeraden Intune of Microsoft Configuration Manager te gebruiken om blokkeren bij eerste detectie in te schakelen.

1. Open op uw computer voor groepsbeleidsbeheer de Groepsbeleidsbeheerconsole, klik met de rechtermuisknop op het groepsbeleidsobject dat u wilt configureren en selecteer Bewerken.

2. Met de Groepsbeleidsbeheerseditor gaat u naar Computerconfiguratie>Beheersjablonen>Windows Components>Microsoft Defender Antivirus>MAPS.

3. Dubbelklik in de sectie MAPS op De functie 'Blokkeren bij eerste detectie' configureren, stel deze in op Ingeschakelden selecteer vervolgens OK.

   Belangrijk

   Instelling op Altijd vragen (0) verlaagt de beveiligingsstatus van het apparaat. Instelling op Nooit verzenden (2) betekent dat blokkeren bij eerste detectie niet werkt.

4. Dubbelklik in de sectie MAPS op Bestandsvoorbeelden verzenden wanneer verdere analyse vereist is en stel dit in op Ingeschakeld. Selecteer Bestandsvoorbeelden verzenden wanneer verdere analyse vereist isAlle voorbeelden verzenden en selecteer vervolgens OK.

5. Implementeer uw groepsbeleidsobject opnieuw in uw netwerk, zoals u dat gewoonlijk doet.

Bevestigen dat blokkeren bij eerste detectie is ingeschakeld op afzonderlijke clientapparaten

U kunt met de app voor Windows-beveiliging bevestigen dat blokkeren bij eerste detectie is ingeschakeld op afzonderlijke clientapparaten. Blokkeren bij eerste detectie wordt automatisch ingeschakeld mits Cloudbeveiliging en Automatisch sample indienen beide zijn ingeschakeld.

1. Open de app voor Windows-beveiliging.

2. Selecteer Beveiliging tegen virussen en bedreigingenen selecteer vervolgens onder Instellingen voor virus- en bedreigingsbeveiligingde optie Instellingen beheren.

   

3. Controleer of Cloudbeveiliging en Automatisch sample indienen beide zijn ingeschakeld.

Opmerking

• Als de vereiste instellingen zijn geconfigureerd en geïmplementeerd met behulp van groepsbeleid, worden de instellingen die in deze sectie worden beschreven, grijs weergegeven en niet beschikbaar voor gebruik op afzonderlijke eindpunten.
• Wijzigingen die zijn aangebracht via een groepsbeleid-object, moeten eerst worden geïmplementeerd op afzonderlijke eindpunten voordat de instelling wordt bijgewerkt in Windows-instellingen.

Blokkeren bij eerste detectie uitschakelen

Voorzichtigheid

Als u blokkeren bij eerste detectie uitschakelt, verlaagt u de beveiligingsstatus van uw apparaten en uw netwerk. Het wordt afgeraden om blokkeren bij het eerste zicht permanent uit te schakelen.

Blokkeren bij eerste detectie uitschakelen met Microsoft Intune

1. Ga naar het Microsoft Intune-beheercentrum (https://intune.microsoft.com) en meld u aan.

2. Ga naar Eindpuntbeveiliging>Antivirusen selecteer vervolgens uw Microsoft Defender Antivirus-beleid.

3. Klik onder Beheren op Eigenschappen.

4. Kies na Configuratie-instellingende optie Bewerken.

5. Stel Cloudbeveiliging toestaan in op Niet toegestaan. Hiermee schakelt u Cloudbeveiliging uit.

6. Controleer uw instellingen en sla deze op.

Blokkeren bij eerste detectie uitschakelen met Groepsbeleid

1. Open op uw computer voor groepsbeleidsbeheer de Groepsbeleidsbeheerconsole, klik met de rechtermuisknop op het groepsbeleidsobject dat u wilt configureren en selecteer vervolgens Bewerken.

2. Ga met de groepsbeleid Management Editor naar Computerconfiguratie en selecteer Beheersjablonen.

3. Vouw de boomstructuur uit via Windows-onderdelen>Microsoft Defender Antivirus>MAPS.

4. Dubbelklik op De functie 'Blokkeren bij eerste detectie' configureren en stel de optie in op Uitgeschakeld.

   Opmerking

   Als u blokkering bij eerste detectie uitschakelt, wordt het vereiste groepsbeleid niet uitgeschakeld of gewijzigd.

Bent u geen ondernemingsbeheerder of IT-professional?

Als u geen ondernemingsbeheerder of IT-professional bent, maar u vragen hebt over blokkeren op het eerste gezicht, is deze sectie iets voor u. Blokkeren bij eerste detectie is een bedreigingsbeveiligingsfunctie waarmee malware wordt gedetecteerd en geblokkeerd binnen enkele seconden. Hoewel er geen specifieke instelling met de naam 'Blokkeren bij eerste detectie' is, is de functie ingeschakeld wanneer bepaalde instellingen op uw apparaat zijn geconfigureerd.

Blokkeren bij eerste detectie met of zonder uw eigen apparaat beheren

Als u een persoonlijk apparaat hebt dat niet wordt beheerd door een organisatie, vraagt u zich misschien af hoe u blokkeren bij eerste detectie kunt in- of uitschakelen. U kunt blokkeren bij eerste detectie beheren met de app voor Windows-beveiliging.

1. Open de app Windows-beveiliging op uw Windows 10- of Windows 11-computer.

2. Selecteer Virus- & bedreigingsbeveiliging.

3. Selecteer onder Virus- & bedreigingsbeveiliging,Instellingen beheren.

4. Voer een van de volgende stappen uit:

   • Als u blokkeren bij eerste detectie wilt inschakelen, moet u er voor zorgen dat Cloudbeveiliging en Automatisch sample indienen beide zijn ingeschakeld.

   • Als u blokkeren bij eerste detectie wilt uitschakelen, schakelt u Cloudbeveiliging of Automatisch sample indienen uit.

     Voorzichtigheid

     Door blokkeren bij eerste detectie uit te schakelen, verlaagt u het beveiligingsniveau voor uw apparaat. Het wordt afgeraden om blokkeren permanent uit te schakelen bij eerste detectie.

Zie ook

• Microsoft Defender Antivirus in Windows 10
• Cloudbeveiliging inschakelen
• Beveiligd blijven met Windows-beveiliging
• Niet-Windows-apparaten onboarden

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.