Włącz blokowanie od pierwszego wejrzenia
Dotyczy:
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
- Program antywirusowy Microsoft Defender
Platformy
- System Windows
W tym artykule opisano funkcję ochrony antywirusowej/ochrony przed złośliwym kodem znaną jako "blokuj od pierwszego wejrzenia" i opisano sposób włączania bloku od pierwszego wejrzenia dla organizacji.
Porada
Ten artykuł jest przeznaczony dla administratorów przedsiębiorstwa i specjalistów IT, którzy zarządzają ustawieniami zabezpieczeń dla organizacji. Jeśli nie jesteś administratorem przedsiębiorstwa ani specjalistą IT, ale masz pytania dotyczące bloku od pierwszego wejrzenia, zobacz sekcję Nie jesteś administratorem przedsiębiorstwa lub specjalistą IT?
Co to jest "blok od pierwszego wejrzenia"?
Blokuj od pierwszego wejrzenia to funkcja ochrony przed zagrożeniami w ramach ochrony nowej generacji, która wykrywa nowe złośliwe oprogramowanie i blokuje go w ciągu kilku sekund. Ustawienie Blokuj od pierwszego wejrzenia jest włączone po włączeniu określonych ustawień zabezpieczeń:
- Ochrona w chmurze jest włączona;
- Przesyłanie przykładów jest skonfigurowane do automatycznego wysyłania przykładów; i
- Program antywirusowy Microsoft Defender jest aktualny na urządzeniach.
W większości organizacji korporacyjnych ustawienia wymagane do włączenia bloku od pierwszego wejrzenia są konfigurowane za pomocą wdrożeń programu antywirusowego Microsoft Defender. Zobacz Włączanie ochrony w chmurze w programie antywirusowym Microsoft Defender.
Jak to działa
Gdy program antywirusowy Microsoft Defender napotka podejrzany, ale niewykryty plik, wysyła zapytanie do naszego zaplecza ochrony w chmurze. Zaplecze chmury stosuje heurystykę, uczenie maszynowe i zautomatyzowaną analizę pliku, aby ustalić, czy pliki są złośliwe, czy nie.
Program antywirusowy Microsoft Defender korzysta z wielu technologii wykrywania i zapobiegania, aby zapewnić dokładną, inteligentną i w czasie rzeczywistym ochronę.
Porada
Aby dowiedzieć się więcej, zobacz (Blog) Zapoznanie się z zaawansowanymi technologiami, które są podstawą ochrony następnej generacji w usłudze Microsoft Defender for Endpoint.
Kilka rzeczy, które należy wiedzieć o bloku od pierwszego wejrzenia
Blok od pierwszego wejrzenia może blokować nie przenośne pliki wykonywalne (takie jak JS, VBS lub makra) i pliki wykonywalne, uruchamiając najnowszą platformę ochrony przed złośliwym kodem defender w systemie Windows lub Windows Server.
Pozycja Blokuj od pierwszego wejrzenia używa zaplecza ochrony chmury tylko dla plików wykonywalnych i nie przenośnych plików wykonywalnych pobieranych z Internetu lub pochodzących ze strefy internetowej. Wartość skrótu
.exe
pliku jest sprawdzana za pośrednictwem zaplecza chmury w celu ustalenia, czy plik jest wcześniej niewykrytym plikiem.Jeśli zaplecze chmury nie może dokonać ustalenia, program antywirusowy Microsoft Defender blokuje plik i przekazuje kopię do chmury. Chmura wykonuje więcej analiz w celu ustalenia, zanim umożliwi uruchamianie pliku lub blokuje go we wszystkich przyszłych spotkaniach, w zależności od tego, czy określa on plik jako złośliwy, czy nie.
W wielu przypadkach ten proces może skrócić czas odpowiedzi na nowe złośliwe oprogramowanie z godzin do sekund.
Możesz określić, jak długo plik powinien nie być uruchomiony , podczas gdy usługa ochrony oparta na chmurze analizuje plik. Możesz również dostosować komunikat wyświetlany na pulpitach użytkowników , gdy plik jest zablokowany. Możesz zmienić nazwę firmy, informacje kontaktowe i adres URL wiadomości.
Włączanie bloku od pierwszego wejrzenia za pomocą usługi Microsoft Intune
W centrum administracyjnym usługi Microsoft Intune (https://intune.microsoft.com) przejdź do pozycjiProgram antywirusowyzabezpieczeń> punktu końcowego.
Wybierz istniejące zasady lub utwórz nowe zasady przy użyciu typu profilu programu antywirusowego Microsoft Defender . W naszym przykładzie dla platformy wybrano system Windows 10, Windows 11 lub Windows Server .
Ustaw opcję Zezwalaj na ochronę w chmurze na wartość Dozwolone. Włącza usługę Cloud Protection.
Przewiń w dół do pozycji Prześlij przykłady Zgoda i wybierz jedno z następujących ustawień:
- Automatycznie wysyłaj wszystkie przykłady
- Automatyczne wysyłanie bezpiecznych próbek
Zastosuj profil programu antywirusowego Microsoft Defender do grupy, takiej jak Wszyscy użytkownicy, Wszystkie urządzenia lub Wszyscy użytkownicy i urządzenia.
Włączanie bloku od pierwszego wejrzenia przy użyciu zasad grupy
Uwaga
Zalecamy używanie usługi Intune lub programu Microsoft Configuration Manager do włączania bloku od pierwszego wejrzenia.
Na komputerze zarządzania zasadami grupy otwórz konsolę zarządzania zasadami grupy, kliknij prawym przyciskiem myszy obiekt zasad grupy, który chcesz skonfigurować, i wybierz pozycję Edytuj.
Za pomocą Edytora zarządzania zasadami grupy przejdź do konfiguracji> komputeraSzablony> administracyjneSkładniki> systemu WindowsMicrosoft Defender Antivirus>MAPS.
W sekcji MAPS kliknij dwukrotnie pozycję Skonfiguruj funkcję "Blokuj od pierwszego wejrzenia" i ustaw ją na wartość Włączone, a następnie wybierz przycisk OK.
Ważna
Ustawienie opcji Zawsze monituj (0) spowoduje obniżenie stanu ochrony urządzenia. Ustawienie wartości Nigdy nie wysyłaj (2) oznacza, że blok od pierwszego wejrzenia nie będzie działać.
W sekcji MAPS kliknij dwukrotnie pozycję Wyślij przykłady plików, gdy wymagana jest dalsza analiza, i ustaw ją na wartość Włączone. W obszarze Wyślij przykłady plików, gdy wymagana jest dalsza analiza, wybierz pozycję Wyślij wszystkie przykłady, a następnie wybierz przycisk OK.
Ponownie wdróż obiekt zasad grupy w sieci, tak jak zwykle.
Potwierdzanie włączenia bloku od pierwszego wejrzenia na poszczególnych urządzeniach klienckich
Możesz potwierdzić, że blok od pierwszego wejrzenia jest włączony na poszczególnych urządzeniach klienckich przy użyciu aplikacji Zabezpieczenia systemu Windows. Opcja Blokuj od pierwszego wejrzenia jest włączana automatycznie, o ile włączono ochronę dostarczaną przez chmurę i automatyczne przesyłanie przykładów .
Otwórz aplikację Zabezpieczenia Windows.
Wybierz pozycję Ochrona przed zagrożeniami & wirusami, a następnie w obszarze Ustawienia ochrony przed zagrożeniami & wirusów wybierz pozycję Zarządzaj ustawieniami.
Upewnij się, że ochrona dostarczana w chmurze i automatyczne przesyłanie przykładów są włączone.
Uwaga
- Jeśli ustawienia wymagań wstępnych zostaną skonfigurowane i wdrożone przy użyciu zasad grupy, ustawienia opisane w tej sekcji będą wyszarzone i niedostępne do użycia w poszczególnych punktach końcowych.
- Zmiany wprowadzone za pośrednictwem obiektu zasad grupy należy najpierw wdrożyć w poszczególnych punktach końcowych, zanim ustawienie zostanie zaktualizowane w ustawieniach systemu Windows.
Wyłącz blok od pierwszego wejrzenia
Uwaga
Wyłączenie bloku od pierwszego wejrzenia spowoduje obniżenie stanu ochrony urządzeń i sieci. Nie zalecamy trwałego wyłączania ochrony bloku od pierwszego wejrzenia.
Wyłączanie bloku od pierwszego wejrzenia za pomocą usługi Microsoft Intune
Przejdź do centrum administracyjnego usługi Microsoft Intune (https://intune.microsoft.com) i zaloguj się.
Przejdź do pozycjiProgram antywirusowy zabezpieczeń >punktu końcowego, a następnie wybierz zasady programu antywirusowego Microsoft Defender.
W obszarze Zarządzanie wybierz pozycję Właściwości.
Obok pozycji Ustawienia konfiguracji wybierz pozycję Edytuj.
Ustaw opcję Zezwalaj na ochronę w chmurze na wartość Niedozwolone. Wyłącza usługę Cloud Protection.
Przejrzyj i zapisz ustawienia.
Wyłączanie bloku od pierwszego wejrzenia za pomocą zasad grupy
Na komputerze zarządzania zasadami grupy otwórz konsolę zarządzania zasadami grupy, kliknij prawym przyciskiem myszy obiekt zasad grupy, który chcesz skonfigurować, a następnie wybierz pozycję Edytuj.
Za pomocą Edytora zarządzania zasadami grupy przejdź do pozycji Konfiguracja komputera i wybierz pozycję Szablony administracyjne.
Rozwiń drzewo za pomocą składników> systemu WindowsMicrosoft Defender Antivirus>MAPS.
Kliknij dwukrotnie pozycję Skonfiguruj funkcję "Blokuj od pierwszego wejrzenia" i ustaw opcję Wyłączone.
Uwaga
Wyłączenie bloku od pierwszego wejrzenia nie powoduje wyłączenia ani zmiany zasad grupy wymagań wstępnych.
Nie jesteś administratorem przedsiębiorstwa ani specjalistą IT?
Jeśli nie jesteś administratorem przedsiębiorstwa ani specjalistą IT, ale masz pytania dotyczące bloku od pierwszego wejrzenia, ta sekcja jest dla Ciebie. Blokuj od pierwszego wejrzenia to funkcja ochrony przed zagrożeniami, która wykrywa i blokuje złośliwe oprogramowanie w ciągu kilku sekund. Chociaż nie ma określonego ustawienia o nazwie "Blokuj od pierwszego wejrzenia", funkcja jest włączona, gdy niektóre ustawienia są skonfigurowane na urządzeniu.
Jak zarządzać blokiem od pierwszego wejrzenia na lub wył. na własnym urządzeniu
Jeśli masz urządzenie osobiste, które nie jest zarządzane przez organizację, możesz się zastanawiać, jak włączyć lub wyłączyć blokadę od pierwszego wejrzenia. Możesz użyć aplikacji Zabezpieczenia systemu Windows do zarządzania blokiem od pierwszego wejrzenia.
Na komputerze z systemem Windows 10 lub Windows 11 otwórz aplikację Zabezpieczenia systemu Windows.
Wybierz pozycję Ochrona przed wirusami i zagrożeniami.
W obszarze Ustawienia ochrony przed wirusami i zagrożeniami wybierz opcję Zarządzaj ustawieniami.
Wykonaj jedną z następujących czynności:
Aby włączyć blok od pierwszego wejrzenia, upewnij się, że zarówno ochrona dostarczana w chmurze , jak i automatyczne przesyłanie przykładów są włączone.
Aby wyłączyć blok od pierwszego wejrzenia, wyłącz ochronę dostarczaną w chmurze lub automatyczne przesyłanie przykładów.
Uwaga
Wyłączenie bloku od pierwszego wejrzenia obniża poziom ochrony urządzenia. Nie zalecamy trwałego wyłączania bloku od pierwszego wejrzenia.
Zobacz też
- Program antywirusowy Microsoft Defender w systemie Windows 10
- Włączanie ochrony dostarczanej w chmurze
- Ochrona za pomocą zabezpieczeń systemu Windows
- Dołącz urządzenia z system operacyjnym innym niż Windows
Porada
Chcesz dowiedzieć się więcej? Skontaktuj się ze społecznością zabezpieczeń firmy Microsoft w naszej społeczności technicznej: Microsoft Defender for Endpoint Tech Community.