Aktivieren von Block bei erster SichtTurn on block at first sight

Gilt für:Applies to:

Beim ersten Blick blockieren bietet eine Möglichkeit, neue Schadsoftware innerhalb von Sekunden zu erkennen und zu blockieren.Block at first sight provides a way to detect and block new malware within seconds. Dieser Schutz ist standardmäßig aktiviert, wenn bestimmte erforderliche Einstellungen aktiviert sind.This protection is enabled by default when certain prerequisite settings are enabled. Zu diesen Einstellungen gehören der von der Cloud zugestellte Schutz, ein angegebenes Zeitlimit für die Beispielübermittlung (z. B. 50 Sekunden) und eine hohe Dateiblockierstufe.These settings include cloud-delivered protection, a specified sample submission timeout (such as 50 seconds), and a file-blocking level of high. In den meisten Unternehmensorganisationen sind diese Einstellungen standardmäßig mit Microsoft Defender Antivirus-Bereitstellungen aktiviert.In most enterprise organizations, these settings are enabled by default with Microsoft Defender Antivirus deployments.

Sie können angeben, wie lange die Ausführung einer Datei verhindert werden soll, während der cloudbasierte Schutzdienst die Datei analysiert.You can specify how long a file should be prevented from running while the cloud-based protection service analyzes the file. Außerdem können Sie die Nachricht anpassen, die auf den Desktops der Benutzer angezeigt wird, wenn eine Datei blockiert wird.And, you can customize the message displayed on users' desktops when a file is blocked. Sie können den Firmennamen, die Kontaktinformationen und die Nachrichten-URL ändern.You can change the company name, contact information, and message URL.

Tipp

Besuchen Sie die Microsoft Defender for Endpoint-Demowebsite unter demo.wd.microsoft.com, um zu bestätigen, dass die Features funktionieren und wie sie funktionieren.Visit the Microsoft Defender for Endpoint demo website at demo.wd.microsoft.com to confirm the features are working and see how they work.

FunktionsweiseHow it works

Wenn Microsoft Defender Antivirus auf eine verdächtige, aber nicht erkannte Datei trifft, fragt es unser Cloud protection-Back-End ab.When Microsoft Defender Antivirus encounters a suspicious but undetected file, it queries our cloud protection backend. Das Cloud-Back-End wendet Heuristik, maschinelles Lernen und eine automatisierte Analyse der Datei an, um zu bestimmen, ob die Dateien schädlich sind oder nicht.The cloud backend applies heuristics, machine learning, and automated analysis of the file to determine whether the files are malicious or not a threat.

Microsoft Defender Antivirus verwendet mehrere Erkennungs- und Verhinderungstechnologien, um präzisen, intelligenten und Echtzeitschutz zu bieten.Microsoft Defender Antivirus uses multiple detection and prevention technologies to deliver accurate, intelligent, and real-time protection. Weitere Informationen finden Sie in diesem Blog: Erfahren Sie mehr über die erweiterten Technologien im Kern des Microsoft Defender for Endpoint-Schutzes der nächsten Generation.To learn more, see this blog: Get to know the advanced technologies at the core of Microsoft Defender for Endpoint next-generation protection. Liste der Microsoft Defender AV-EnginesList of Microsoft Defender AV engines

In Windows 10, Version 1803 oder höher, kann block at first sight nicht tragbare ausführbare Dateien (z. B. JS, VBS oder Makros) sowie ausführbare Dateien blockieren.In Windows 10, version 1803 or later, block at first sight can block non-portable executable files (such as JS, VBS, or macros) as well as executable files.

Block at first sight verwendet nur das Cloud protection-Back-End für ausführbare Dateien und nicht tragbare ausführbare Dateien, die aus dem Internet heruntergeladen werden oder aus der Internetzone stammen.Block at first sight only uses the cloud protection backend for executable files and non-portable executable files that are downloaded from the Internet, or that originate from the Internet zone. Ein Hashwert der #A0 wird über das Cloud-Back-End überprüft, um zu ermitteln, ob es sich bei der Datei um eine zuvor nicht erkannte Datei handelt.A hash value of the .exe file is checked via the cloud backend to determine if the file is a previously undetected file.

Wenn das Cloud-Back-End keine Bestimmung treffen kann, sperrt Microsoft Defender Antivirus die Datei und lädt eine Kopie in die Cloud hoch.If the cloud backend is unable to make a determination, Microsoft Defender Antivirus locks the file and uploads a copy to the cloud. Die Cloud führt eine zusätzliche Analyse durch, um eine Bestimmung zu erreichen, bevor die Datei ausgeführt werden kann, oder blockiert sie in allen zukünftigen Zusammentreffen, je nachdem, ob sie bestimmt, dass die Datei schädlich oder sicher ist.The cloud performs additional analysis to reach a determination before it either allows the file to run or blocks it in all future encounters, depending on whether it determines the file to be malicious or safe.

In vielen Fällen kann dieser Prozess die Reaktionszeit für neue Schadsoftware von Stunden auf Sekunden reduzieren.In many cases, this process can reduce the response time for new malware from hours to seconds.

Aktivieren von "Bei erster Sicht blockieren" mit Microsoft IntuneTurn on block at first sight with Microsoft Intune

Tipp

Microsoft Intune ist jetzt Teil von Microsoft Endpoint Manager.Microsoft Intune is now part of Microsoft Endpoint Manager.

  1. Navigieren Sie im Microsoft Endpoint Manager Admin Center ( https://endpoint.microsoft.com zu > Gerätekonfigurationsprofile.In the Microsoft Endpoint Manager admin center (https://endpoint.microsoft.com), navigate to Devices > Configuration profiles.

  2. Wählen Oder erstellen Sie ein Profil mithilfe des Profiltyps Geräteeinschränkungen.Select or create a profile using the Device restrictions profile type.

  3. Legen Sie in den Konfigurationseinstellungen für das Profil Geräteeinschränkungen die folgenden Einstellungen unter Microsoft Defender Antivirus ein oder bestätigen Sie sie:In the Configuration settings for the Device restrictions profile, set or confirm the following settings under Microsoft Defender Antivirus:

    • In der Cloud zugestellter Schutz: AktiviertCloud-delivered protection: Enabled
    • Dateiblockierstufe: HochFile Blocking Level: High
    • Zeiterweiterung für die Dateiprüfung in der Cloud: 50Time extension for file scanning by the cloud: 50
    • Benutzer vor der Beispielübermittlung anforderen: Alle Daten ohne Aufforderung sendenPrompt users before sample submission: Send all data without prompting

    Intune-Konfiguration

  4. Speichern Sie Ihre Einstellungen.Save your settings.

Tipp

Aktivieren von "Bei erster Sicht blockieren" mit Microsoft Endpoint ManagerTurn on block at first sight with Microsoft Endpoint Manager

Tipp

Wenn Sie nach Microsoft Endpoint Configuration Manager suchen, ist er jetzt Teil von Microsoft Endpoint Manager.If you're looking for Microsoft Endpoint Configuration Manager, it's now part of Microsoft Endpoint Manager.

  1. Wechseln Sie in Microsoft Endpoint Manager ( https://endpoint.microsoft.com ) zu Endpoint security > Antivirus.In Microsoft Endpoint Manager (https://endpoint.microsoft.com), go to Endpoint security > Antivirus.

  2. Wählen Sie eine vorhandene Richtlinie aus, oder erstellen Sie eine neue Richtlinie mithilfe des Microsoft Defender Antivirus-Profiltyps. Select an existing policy, or create a new policy using the Microsoft Defender Antivirus profile type.

  3. Legen Sie die folgenden Konfigurationseinstellungen ein oder bestätigen Sie sie:Set or confirm the following configuration settings:

    • Aktivieren des in der Cloud zugestellten Schutzes: JaTurn on cloud-delivered protection: Yes
    • In der Cloud zugestellte Schutzstufe: HochCloud-delivered protection level: High
    • Erweitertes Timeout der Defender Cloud in Sekunden: 50Defender Cloud Extended Timeout in Seconds: 50

    Blockieren von Einstellungen beim ersten Blick im Endpoint Manager

  4. Wenden Sie das Microsoft Defender Antivirus-Profil auf eine Gruppe an, z. B. Alle Benutzer , Alle Geräte oder Alle Benutzer und Geräte.Apply the Microsoft Defender Antivirus profile to a group, such as All users, All devices, or All users and devices.

Aktivieren von "Bei erster Sicht blockieren" mit GruppenrichtlinieTurn on block at first sight with Group Policy

Hinweis

Es wird empfohlen, Intune oder Microsoft Endpoint Manager zu verwenden, um block bei erster Sicht zu aktivieren.We recommend using Intune or Microsoft Endpoint Manager to turn on block at first sight.

  1. Öffnen Sie auf dem Computer für die Gruppenrichtlinienverwaltung die Gruppenrichtlinienverwaltungskonsole,klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt, das Sie konfigurieren möchten, und wählen Sie Bearbeiten aus.On your Group Policy management computer, open the Group Policy Management Console, right-click the Group Policy Object you want to configure and select Edit.

  2. Wechseln Sie mithilfe des Gruppenrichtlinienverwaltungs-Editors zu Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten Microsoft Defender > Antivirus > MAPS.Using the Group Policy Management Editor go to Computer configuration > Administrative templates > Windows Components > Microsoft Defender Antivirus > MAPS.

  3. Doppelklicken Sie im Abschnitt MAPS auf Konfigurieren des Features "Bei erster Sicht blockieren", und legen Sie es auf Aktiviert, und wählen Sie dann OK aus.In the MAPS section, double-click Configure the 'Block at First Sight' feature, and set it to Enabled, and then select OK.

    Wichtig

    Wenn Sie auf Immer-Eingabeaufforderung (0) festlegen, wird der Schutzstatus des Geräts gesenkt.Setting to Always prompt (0) will lower the protection state of the device. Das Festlegen auf Nie senden (2) bedeutet, dass block at first sight nicht funktioniert.Setting to Never send (2) means block at first sight will not function.

  4. Doppelklicken Sie im Abschnitt MAPS auf Dateibeispiele senden, wenn eine weitere Analyse erforderlich ist, und legen Sie sie auf Aktiviert .In the MAPS section, double-click Send file samples when further analysis is required, and set it to Enabled. Wählen Sie unter Senden von Dateibeispielen, wenn eine weitere Analyse erforderlich ist, Die Option Alle Beispiele senden aus, und klicken Sie dann auf OK.Under Send file samples when further analysis is required, select Send all samples, and then click OK.

  5. Wenn Sie Einstellungen geändert haben, stellen Sie das Gruppenrichtlinienobjekt in Ihrem Netzwerk erneut zur Sicherstellung der Abgedecktheit aller Endpunkte zur 2.If you changed any settings, redeploy the Group Policy Object across your network to ensure all endpoints are covered.

Bestätigen, dass block at first sight auf einzelnen Clients aktiviert istConfirm block at first sight is enabled on individual clients

Sie können mithilfe von Windows-Sicherheitseinstellungen bestätigen, dass das Blockieren beim ersten Blick auf einzelnen Clients aktiviert ist.You can confirm that block at first sight is enabled on individual clients using Windows security settings.

Beim ersten Blick blockieren wird automatisch aktiviert, solange der von der Cloud übermittelte Schutz und die automatische Beispielübermittlung aktiviert sind.Block at first sight is automatically enabled as long as Cloud-delivered protection and Automatic sample submission are both turned on.

  1. Öffnen Sie die Windows Security-App.Open the Windows Security app.

  2. Wählen Sie viren & Bedrohungsschutz aus, und wählen Sie dann unter Einstellungen & Virenschutz die Option Einstellungen verwalten aus.Select Virus & threat protection, and then, under Virus & threat protection settings, select Manage Settings.

    Screenshot der Bezeichnung & Virenschutzeinstellungen in der Windows Security App

  3. Vergewissern Sie sich, dass der von der Cloud übermittelte Schutz und die automatische Beispielübermittlung aktiviert sind.Confirm that Cloud-delivered protection and Automatic sample submission are both turned on.

Hinweis

  • Wenn die erforderlichen Einstellungen mithilfe von Gruppenrichtlinien konfiguriert und bereitgestellt werden, sind die in diesem Abschnitt beschriebenen Einstellungen ausgegraut und für die Verwendung auf einzelnen Endpunkten nicht verfügbar.If the prerequisite settings are configured and deployed using Group Policy, the settings described in this section will be greyed-out and unavailable for use on individual endpoints.
  • Änderungen, die über ein Gruppenrichtlinienobjekt vorgenommen werden, müssen zuerst auf einzelnen Endpunkten bereitgestellt werden, bevor die Einstellung in den Windows-Einstellungen aktualisiert wird.Changes made through a Group Policy Object must first be deployed to individual endpoints before the setting will be updated in Windows Settings.

Überprüfen, ob block at first sight funktioniertValidate block at first sight is working

Um zu überprüfen, ob das Feature funktioniert, befolgen Sie die Anweisungen unter Überprüfen von Verbindungen zwischen Ihrem Netzwerk und der Cloud.To validate that the feature is working, follow the guidance in Validate connections between your network and the cloud.

Deaktivieren des Blocks bei erster SichtTurn off block at first sight

Achtung

Wenn Sie die Sperre beim ersten Blick deaktivieren, wird der Schutzstatus Ihrer Geräte und Ihres Netzwerks gesenkt.Turning off block at first sight will lower the protection state of your device(s) and your network.

Wenn Sie die erforderlichen Einstellungen beibehalten möchten, ohne den Schutz beim ersten Blick tatsächlich zu verwenden, können Sie die Blockierung auf den ersten Blick deaktivieren.You might choose to disable block at first sight if you want to retain the prerequisite settings without actually using block at first sight protection. Sie können die Sperre bei erster Sicht vorübergehend deaktivieren, wenn Latenzprobleme auftreten oder Sie die Auswirkungen des Features auf Ihr Netzwerk testen möchten.You might do temporarily turn block at first sight off if you are experiencing latency issues or you want to test the feature's impact on your network. Es wird jedoch nicht empfohlen, den Sperrungsschutz beim ersten Blick dauerhaft zu deaktivieren.However, we do not recommend disabling block at first sight protection permanently.

Deaktivieren der Sperre beim ersten Blick mit Microsoft Endpoint ManagerTurn off block at first sight with Microsoft Endpoint Manager

  1. Wechseln Sie zu Microsoft Endpoint Manager Admin Center ( https://endpoint.microsoft.com ) und melden Sie sich an.Go to Microsoft Endpoint Manager admin center (https://endpoint.microsoft.com) and sign in.

  2. Wechseln Sie zu Endpoint Security > Antivirus, und wählen Sie dann Ihre Microsoft Defender Antivirus-Richtlinie aus.Go to Endpoint security > Antivirus, and then select your Microsoft Defender Antivirus policy.

  3. Wählen Sie unter Verwalten die Option Eigenschaften aus.Under Manage, choose Properties.

  4. Wählen Sie neben Konfigurationseinstellungen bearbeiten aus.Next to Configuration settings, choose Edit.

  5. Ändern Sie eine oder mehrere der folgenden Einstellungen:Change one or more of the following settings:

    • Legen Sie Den in der Cloud übermittelten Schutz auf Nein oder Nicht konfiguriert ein.Set Turn on cloud-delivered protection to No or Not configured.
    • Legen Sie in der Cloud zugestellte Schutzstufe auf Nicht konfiguriert.Set Cloud-delivered protection level to Not configured.
    • Löschen Sie das Feld Erweitertes Timeout in Sekunden in der Defender Cloud.Clear the Defender Cloud Extended Timeout In Seconds box.
  6. Überprüfen und speichern Sie Ihre Einstellungen.Review and save your settings.

Deaktivieren der Sperre bei erster Sicht mit GruppenrichtlinieTurn off block at first sight with Group Policy

  1. Öffnen Sie auf dem Computer für die Gruppenrichtlinienverwaltung die Gruppenrichtlinienverwaltungskonsole,klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt, das Sie konfigurieren möchten, und klicken Sie dann auf Bearbeiten.On your Group Policy management computer, open the Group Policy Management Console, right-click the Group Policy Object you want to configure, and then click Edit.

  2. Wechseln Sie mit dem Gruppenrichtlinienverwaltungs-Editor zu Computerkonfiguration, und klicken Sie auf Administrative Vorlagen.Using the Group Policy Management Editor go to Computer configuration and click Administrative templates.

  3. Erweitern Sie die Struktur über die Windows-Komponenten > Microsoft Defender Antivirus > MAPS.Expand the tree through Windows components > Microsoft Defender Antivirus > MAPS.

  4. Doppelklicken Sie auf Konfigurieren des Features "Bei erster Sicht blockieren", und legen Sie die Option auf Deaktiviert .Double-click Configure the 'Block at First Sight' feature and set the option to Disabled.

    Hinweis

    Durch das Deaktivieren von Block beim ersten Blick werden die erforderlichen Gruppenrichtlinien nicht deaktiviert oder geändert.Disabling block at first sight does not disable or alter the prerequisite group policies.

Siehe auchSee also