Включить блокировку при первом подозрении

  • Статья

Область применения:

Платформы

  • Windows

В этой статье описывается функция для борьбы с вирусами и вредоносными программами, известная как "блокировка при первом подозрении". В статье описано включение блокировки при первом подозрении в инфраструктуре вашей организации.

Совет

Эта статья предназначена для администраторов предприятий и сотрудников ИТ, управляющих настройками безопасности для организаций. Если вы не являетесь администратором предприятия или ИТ-специалистом, но у вас есть вопросы о блокировке на первый взгляд, см. раздел Не администратор предприятия или ИТ-специалист? .

Что такое блокировка при первом подозрении?

Блокировка при первом подозрении — это функция нового поколения для защиты от угроз, которая обнаруживает новые вредоносные программы и блокирует их за считанные секунды. Блокировка при первом появлении включается при включении определенных параметров безопасности:

В большинстве корпоративных организаций параметры, необходимые для блокировки при первом подозрении, настраиваются при развертывании антивирусной программы в Microsoft Defender. См. статью Включение облачной защиты в Microsoft Defender антивирусной программы.

Принципы действия

Обнаружив подозрительный, но не обнаруженный ранее файл, антивирусная программа в Microsoft Defender отправляет запрос в нашу тыловую облачную защиту. Тыловая облачная защита применяет эвристические алгоритмы, машинное обучение и автоматический анализ файла, чтобы определить, является ли он вредоносным.

Антивирусная программа в Microsoft Defender использует несколько технологий обнаружения и предотвращения для обеспечения безошибочной интеллектуальной защиты в режиме реального времени.

Список Microsoft Defender антивирусных ядр

Совет

Подробности см. в блоге Узнайте о передовых технологиях, лежащих в основе защиты нового поколения Microsoft Defender для конечной точки.

Вот несколько важных фактов о блокировке при первом подозрении

  • Блокировка с первого взгляда может блокировать непереносимые исполняемые файлы (например, JS, VBS или макросы) и исполняемые файлы, на которых запущена последняя платформа защиты от вредоносных программ Defender в Windows или Windows Server.

  • Блокировка при первом подозрении использует только тыловую облачную защиту для исполняемых файлов и непереносимых исполняемых файлов, скачанных из Интернета или происходящих из зоны Интернета. Хэш-значение .exe файла проверяется через облачную серверную часть, чтобы определить, является ли файл ранее незамеченным.

  • Если тыловой облачной защите не удается определить, вредоносный этот файл или нет, антивирусная программа в Microsoft Defender заблокирует файл и загрузит его копию в облако. В облаке выполняется дальнейший анализ для определения вредоносности файла, прежде чем разрешить его запуск либо блокировать его при обнаружении в будущем — в зависимости от того, определен ли файл как вредоносный или не представляющий угрозы.

  • Во многих случаях этот процесс позволяет сократить время реакции на новые вредоносные программы с часов до секунд.

  • Вы можете указать, как долго файл следует удерживать от запуска, пока облачная служба защиты анализирует его Вы также можете настроить сообщения, которые будут отправляться на компьютеры пользователей при блокировке файлов. Вы можете изменить название компании, контактные данные и URL-адрес сообщения.

Включение блокировки при первом подозрении с помощью Microsoft Intune

  1. В центре администрирования Microsoft Intune (https://endpoint.microsoft.com) перейдите в разделАнтивирусная программадля защиты конечных> точек.

  2. Выберите существующую политику или создайте новую на основе типа профиля Антивирусная программа в Microsoft Defender. В нашем примере мы выбрали Windows 10, Windows 11 или Windows Server для платформы.

    Снимок экрана: создание новой политики MDAV в Intune.

  3. Установите для параметра Разрешить облачную защитузначение Разрешено. Включает облачную защиту.

    Снимок экрана: параметр

  4. Прокрутите вниз до пункта Отправить примеры согласия и выберите один из следующих параметров:

    • Автоматическая отправка всех примеров
    • Автоматическая отправка безопасных примеров

  5. Примените профиль антивирусной программы в Microsoft Defender к группе, например Все пользователи, Все устройстваили Все пользователи и устройства.

Включение блокировки при первом подозрении с помощью групповой политики

Примечание.

Мы рекомендуем использовать Intune или Microsoft Configuration Manager, чтобы включить блокировку при первом появлении.

  1. Для этого на компьютере, управляющем групповыми политиками, откройте Консоль управления групповой политикой, щелкните правой кнопкой мыши нужный объект групповой политики и выберите Изменить.

  2. С помощью Редактора управления групповыми политиками перейдите в Конфигурация компьютера>Административные шаблоны>Компоненты Windows>Антивирусная программа в Microsoft Defender>MAPS.

  3. В разделе MAPS дважды щелкните Настроить блокировку при первом подозрении и установите для этого параметра значение Включено, а затем нажмите ОК.

    Важно!

    Установка параметра Всегда запрашивать (0) понизит состояние защиты устройства. Значение Никогда не отправлять (2) означает, что блокировка при первом подозрении работать не будет.

  4. В разделе MAPS дважды щелкните Отправлять образцы файлов, если требуется дальнейший анализ и установите значение Включено. Для параметра Отправка образцов файлов, когда требуется дальнейший анализ, выберите Отправлять все образцы, а затем ОК.

  5. Заново разверните объект групповой политики в своей инфраструктуре обычным порядком.

Подтверждение включения блокировки при первом подозрении на отдельных клиентских устройствах

Вы можете подтвердить, что блокировка при первом подозрении включена на отдельных клиентских устройствах, с помощью приложения "Безопасность Windows". Блокировка при первом подозрении автоматически включена, если включены оба параметра: Облачная защита и Автоматическая отправка образцов.

  1. Откройте приложение "Безопасность Windows".

  2. Выберите Защита от вирусов и угроз, а затем в области Параметры защиты от вирусов и угрозвыберите Управление параметрами.

    Метка параметров защиты от вирусов и угроз в приложении

  3. Убедитесь, что оба параметра, Облачная защита и Автоматическая отправка образцов, включены.

Примечание.

  • Если необходимые параметры настроены и развернуты с помощью групповой политики, элементы управления параметрами, описанными в этом разделе, будут деактивированы и недоступны для использования на отдельных конечных точках.
  • Изменения, внесенные с помощью объекта групповой политики, необходимо сначала развернуть на отдельных конечных точках, прежде чем параметр будет обновлен в настройках Windows.

Отключение блокировки при первом подозрении

Предостережение

Отключение блокировки при первом подозрении понизит уровень защиты устройств и сети. Не рекомендуется постоянно отключать защиту от блокировки при первом взгляде.

Выключите блокировку при первом взгляде с Microsoft Intune

  1. Перейдите в центр администрирования Microsoft Intune (https://endpoint.microsoft.com) и войдите в систему.

  2. Перейдите в раздел Безопасность конечной точки>Антивирусная программа, а затем выберите свою политику антивирусной программы в Microsoft Defender.

  3. В разделе Управление выберите Свойства.

  4. Рядом с Параметры конфигурациивыберите Изменить.

  5. Установите для параметра Разрешить облачную защиту значение Не разрешено. Отключает облачную защиту.

  6. Проверьте новые значения и сохраните параметры.

Отключение блокировки при первом подозрении с помощью групповой политики

  1. Для этого на компьютере, управляющем групповыми политиками, откройте Консоль управления групповой политикой, щелкните правой кнопкой мыши нужный объект групповой политики и выберите Изменить.

  2. В Редакторе управления групповыми политиками перейдите в раздел Конфигурация компьютера и выберите Административные шаблоны.

  3. Разверните дерево до узла Компоненты Windows>Антивирусная программа в Microsoft Defender>MAPS.

  4. Дважды щелкните Настроить функцию "Блокировать при первом подозрении" и установить значение Выключено.

    Примечание.

    Отключение блокировки при первом подозрении не отключает или не изменяет необходимые групповые политики.

Не администратор предприятия и не сотрудник ИТ?

Если вы не администратор предприятия и не ИТ-профессионал, но у вас есть вопросы о блокировке при первом появлении, см. этот раздел. Блокировка при первом подозрении обнаруживает новые вредоносные программы и блокирует их за считанные секунды. Хотя параметра "Блокировать при первом подозрении" как такового не существует, функция включена, если на устройстве настроены определенные параметры.

Управление блокировкой при первом подозрении: включение и отключение на личном устройстве

Если у вас есть личное устройство, не управляемое организацией, возможно, вам захочется включить или отключить блокировку при первом подозрении. Для управления этой функцией можно использовать приложение "Безопасность Windows"..

  1. На компьютере с Windows 10 или Windows 11 откройте приложение "Безопасность Windows".

  2. Выберите Защита от вирусов и угроз.

  3. В разделе Защита от вирусов и угроз выберите Управление параметрами.

  4. Выполните одно из следующих действий:

    • Чтобы настроить блокировку при первом подозрении, включите оба параметра: Облачная защита и Автоматическая отправка образцов.

    • Чтобы убрать блокировку при первом подозрении, отключите один из параметров: Облачная защита или Автоматическая отправка образцов.

      Предостережение

      Отключение блокировки при первом подозрении снижает уровень защиты вашего устройства. Мы не рекомендуем отключать блокировку при первом подозрении насовсем.

См. также

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.