共用方式為


封鎖模式中的端點偵測和回應

適用於:

平台

  • Windows

想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。

本文說明封鎖模式中的 EDR,可協助保護執行非Microsoft防病毒軟體解決方案的裝置, (在被動模式中使用 Microsoft Defender 防病毒軟體) 。

什麼是封鎖模式中的 EDR?

當 Microsoft Defender 防病毒軟體不是主要防病毒軟體產品,且在被動模式中執行時,封鎖模式中 EDR) (端點偵測和回應可提供額外的保護,以防止惡意成品。 適用於端點的Defender方案2提供封鎖模式的EDR。

重要事項

當防病毒軟體即時保護處於被動模式時,封鎖模式中的 EDR 無法提供所有可用的保護 Microsoft Defender。 某些相依於 Microsoft Defender 防病毒軟體成為作用中防病毒軟體解決方案的功能將無法運作,例如下列範例:

  • 當 Microsoft Defender 防病毒軟體處於被動模式時,無法使用即時保護,包括存取掃描和排程掃描。 若要深入瞭解即時保護原則設定,請參閱啟用和設定 Microsoft Defender 防病毒軟體永遠開啟保護
  • 網路保護受攻擊面縮小規則和指標等功能, (檔案哈希、ip 位址、URL和憑證) 只有在 Microsoft Defender 防病毒軟體以作用中模式執行時才可使用。 您的非Microsoft防病毒軟體解決方案應該會包含這些功能。

封鎖模式中的 EDR 可在幕後運作,以補救 EDR 功能所偵測到的惡意成品。 主要、非Microsoft防病毒軟體產品可能遺漏這類成品。 封鎖模式中的 EDR 可讓 Microsoft Defender 防病毒軟體對入侵后的行為 EDR 偵測採取動作。

封鎖模式中的 EDR 與 威脅 & 弱點管理 功能整合。 如果尚未啟用 EDR,貴組織的安全性小組會收到 安全性建議 ,以開啟封鎖模式的 EDR。

在區塊模式中開啟 EDR 的建議

提示

若要取得最佳保護,請務必部署 適用於端點的 Microsoft Defender 基準

觀看這段影片,了解為何以及如何在封鎖模式下開啟 EDR (端點偵測和回應) 、啟用行為封鎖,以及在每個階段從入侵前到入侵後進行內含專案。

偵測到某個專案時會發生什麼事?

當封鎖模式中的 EDR 開啟且偵測到惡意構件時,適用於端點的 Defender 會補救該成品。 您的安全性作業小組會在控制中心將偵測狀態視為 [已封鎖] 或 [已防止],並列為已完成的動作。 下圖顯示在封鎖模式中透過 EDR 偵測到並補救的垃圾軟體實例:

EDR 在區塊模式中的偵測

在區塊模式中啟用 EDR

重要事項

  • 在區塊模式中開啟 EDR 之前,請確定已符合 需求
  • 需要適用於端點的Defender方案2授權。
  • 平臺 4.18.2202.X 版開始,您可以使用 Intune CSP,在區塊模式中將 EDR 設定為以特定裝置群組為目標。 您可以在 Microsoft Defender 入口網站中,以全租使用者模式繼續設定EDR
  • 在裝置) 上安裝非Microsoft防病毒軟體解決方案 (,在被動模式中執行 Microsoft Defender 防病毒軟體的裝置,主要建議使用封鎖模式的 EDR。

Microsoft Defender 入口網站

  1. 移至 Microsoft Defender 入口網站 (https://security.microsoft.com/) 並登入。

  2. 選擇 [設定>端點>一般>進階功能]

  3. 向下捲動,然後在 區塊模式中開啟 [啟用 EDR]

Intune

若要在 Intune 中建立自定義原則,請參閱透過 Intune 部署 OMA-URIs 以 CSP 為目標,以及與內部部署的比較

For more information on the Defender CSP used for EDR in block mode, see "Configuration/PassiveRemediation" under Defender CSP.

區塊模式中 EDR 的需求

下表列出 EDR 在區塊模式中的需求:

需求 詳細資料
權限 您必須在 Microsoft Entra ID 中指派全域管理員或安全性系統管理員角色。 如需詳細資訊,請參閱 基本許可權
作業系統 裝置必須執行下列其中一個 Windows 版本:
- Windows 11
- Windows 10 (所有版本)
- Windows Server 2019 或更新版本
- Windows Server 版本 1803 或更新版本
- Windows Server 2016 和 Windows Server 2012 R2 (與新的整合用戶端解決方案)
適用於端點的 Microsoft Defender方案 2 裝置必須上線至適用於端點的Defender。 請參閱下列文章:
- 適用於端點的 Microsoft Defender的最低需求
- 將裝置上線並設定 適用於端點的 Microsoft Defender 功能
- 將 Windows 伺服器上線至適用於端點的 Defender 服務
- 新式整合解決方案中的新 Windows Server 2012 R2 和 2016 功能
(請參閱 Windows Server 2016 和 Windows Server 2012 R2 是否支援封鎖模式的 EDR?)
Microsoft Defender 防毒軟體 裝置必須已安裝 Microsoft Defender 防病毒軟體,並在主動模式或被動模式中執行。 確認 Microsoft Defender 防病毒軟體處於主動或被動模式
雲端提供的保護 Microsoft Defender 必須設定防病毒軟體,才能啟用雲端式保護
Microsoft Defender 防病毒軟體平臺 裝置必須是最新狀態。 若要確認使用 PowerShell,請以系統管理員身分執行 Get-MpComputerStatus Cmdlet。 在 AMProductVersion 行中,您應該會看到 4.18.2001.10 或更新版本。

若要深入了解,請參閱管理Microsoft Defender 防毒軟體更新及套用基準
Microsoft Defender 防病毒軟體引擎 裝置必須是最新狀態。 若要確認使用 PowerShell,請以系統管理員身分執行 Get-MpComputerStatus Cmdlet。 在 AMEngineVersion 行中,您應該會看到 1.1.16700.2 或更新版本。

若要深入了解,請參閱管理Microsoft Defender 防毒軟體更新及套用基準

重要事項

若要取得最佳的保護值,請確定您的防病毒軟體解決方案已設定為接收定期更新和基本功能,並已 設定排除專案。 封鎖模式中的 EDR 會遵守針對 Microsoft Defender 防病毒軟體所定義的排除專案,但不遵守針對 適用於端點的 Microsoft Defender 定義的指標

Microsoft 建議您使用權限最少的角色。 這有助於改善貴組織的安全性。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。

另請參閱

提示

想要深入了解? Engage 技術社群中的Microsoft安全性社群:適用於端點的 Microsoft Defender 技術社群。