Aktivieren von „Beim ersten Sichten blockieren“

Gilt für:

• Microsoft Defender für Endpunkt Plan 1
• Microsoft Defender für Endpunkt Plan 2
• Microsoft Defender Antivirus

Plattformen

• Windows

Dieser Artikel beschreibt ein Antivirus-/Antimalware-Feature, die als „Beim ersten Sichten blockieren“ bekannt ist, und er beschreibt, wie Sie „Beim ersten Sichten blockieren“ für Ihre Organisation aktivieren.

Tipp

Dieser Artikel ist für Unternehmensadministratoren und IT-Profis gedacht, welche die Sicherheitseinstellungen für Organisationen verwalten. Wenn Sie kein Unternehmensadministrator oder IT-Experte sind, aber Fragen zum Blockieren auf den ersten Blick haben, lesen Sie den Abschnitt Kein Unternehmensadministrator oder IT-Pro? .

Was ist „Beim ersten Sichten blockieren“?

„Beim ersten Sichten blockieren“ ist ein Bedrohungsschutzfeature der nächsten Generation, das neue Malware erkennt und sie innerhalb von Sekunden blockiert. Bei der ersten Anzeige blockieren ist aktiviert, wenn bestimmte Sicherheitseinstellungen aktiviert sind:

• Der Cloudschutz ist aktiviert.
• Die Stichprobenübermittlung ist so konfiguriert, dass Proben automatisch gesendet werden. Und
• Microsoft Defender Antivirus ist auf Geräten auf dem neuesten Stand.

In den meisten Unternehmensorganisationen werden die Einstellungen, die für das Aktivieren von „Beim ersten Sichten blockieren“ benötigt werden, mit Microsoft Defender Antivirus-Bereitstellungen konfiguriert. Weitere Informationen finden Sie unter Aktivieren des Cloudschutzes in Microsoft Defender Antivirus.

So funktioniert es

Wenn Microsoft Defender Antivirus eine verdächtige, aber nicht erkannte Datei findet, wird unser Back-End für Cloudschutz abgefragt. Das Cloud-Back-End wendet Heuristiken, maschinelles Lernen und automatisiertes Analysieren der Datei an, um festzustellen, ob die Dateien bösartig oder keine Bedrohung sind.

Microsoft Defender Antivirus verwendet mehrere Erkennungs- und Präventionstechnologien, um präzisen, intelligenten und Echtzeit-Schutz zu bieten.

Tipp

Weitere Informationen finden Sie unter (Blog) Lernen Sie die fortschrittlichen Technologien kennen, die den Kern des Schutzes der nächsten Generation für Microsoft Defender für Endpunkt bilden.

Einige Dinge, die man über „Beim ersten Sichten blockieren“ wissen sollte

• Bei der ersten Anzeige blockieren kann nicht portable ausführbare Dateien (z. B. JS, VBS oder Makros) und ausführbare Dateien blockieren, die die neueste Defender-Antischadsoftwareplattform unter Windows oder Windows Server ausführen.

• Das Feature „Beim ersten Sichten blockieren“ nutzt das Back-End für Cloudschutz nur für ausführbare und nicht portable ausführbare Dateien, die aus dem Internet heruntergeladen wurden oder aus der Internetzone stammen. Ein Hashwert der .exe Datei wird über das Cloud-Back-End überprüft, um festzustellen, ob es sich bei der Datei um eine zuvor nicht erkannte Datei handelt.

• Wenn das Cloud-Back-End keinen Entscheid fällen kann, sperrt Microsoft Defender Antivirus die Datei und lädt eine Kopie in die Cloud hoch. Die Cloud führt weitere Analysen durch, um zu einer Entscheidung zu kommen, bevor entweder die Datei ausgeführt werden darf, oder bei jedem zukünftigen Auftreten blockiert wird, je nachdem, ob die Datei als bösartig oder als keine Bedrohung eingestuft wurde.

• In vielen Fällen kann dieser Prozess die Reaktionszeit auf neue Schadsoftware von Stunden auf Sekunden reduzieren.

• Sie können angeben, wie lange die Ausführung einer Datei verhindert werden soll, während der cloudbasierte Schutzdienst die Datei analysiert. Sie können auch die Nachricht auf den Desktops des Benutzers anpassen, wenn eine Datei blockiert ist. Sie können den Firmennamen, die Kontaktinformationen und die Nachrichten-URL ändern.

Aktivieren von „Beim ersten Sichten blockieren“ mit Microsoft Intune

1. Wechseln Sie im Microsoft Intune Admin Center (https://endpoint.microsoft.com) zu Endpunktsicherheit>Antivirus.

2. Wählen Sie eine bestehende Richtlinie aus, oder erstellen Sie eine neue Richtlinie mit dem Profiltyp Microsoft Defender Antivirus. In unserem Beispiel haben wir Windows 10, Windows 11 oder Windows Server für die Plattform ausgewählt.

   

3. Legen Sie Cloudschutz zulassen auf Zulässig fest. Aktiviert cloud protection.

   

4. Scrollen Sie nach unten zu Zustimmung von Beispielen übermitteln, und wählen Sie eine der folgenden Einstellungen aus:

   • Automatisches Senden aller Beispiele
   • Sichere Beispiele automatisch senden

5. Wenden Sie das Microsoft Defender Antivirus-Profil auf eine Gruppe an, wie z. B. Alle Benutzer, Alle Geräte oder Alle Benutzer und Geräte.

Aktivieren von „Beim ersten Sichten blockieren“ mit der Gruppenrichtlinie

Hinweis

Es wird empfohlen, Intune oder Microsoft Configuration Manager zu verwenden, um die Blockierung beim ersten Sichten zu aktivieren.

1. Öffnen Sie auf dem Computer, der Ihre Gruppenrichtlinie verwaltet, die Gruppenrichtlinien-Verwaltungskonsole, klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt, das Sie konfigurieren möchten, und wählen Sie Bearbeiten aus.

2. Gehen Sie mithilfe des Gruppenrichtlinien-Verwaltungseditors zu Computer-Konfiguration>Administrative Vorlagen>Windows-Komponenten>Microsoft Defender Antivirus>MAPS.

3. Doppelklicken Sie im Abschnitt MAPS auf Konfigurieren des Features „Beim ersten Sichten blockieren“, legen Sie es auf Aktiviert fest, und wählen Sie dann OK aus.

   Wichtig

   Das Festlegen auf Immer auffordern (0) wird den Schutzzustand des Geräts verringern. Das Festlegen auf Niemals senden (2) bedeutet, dass „Beim ersten Sichten blockieren“ nicht funktioniert.

4. Doppelklicken Sie im Abschnitt MAPS auf Dateistichproben senden, wenn eine weitere Analyse erforderlich ist, und legen Sie dies auf Aktiviert fest. Wählen Sie unter Dateistichproben senden, wenn eine weitere Analyse erforderlich ist die Option Alle Stichproben senden aus und dann OK.

5. Stellen Sie Ihr Gruppenrichtlinien-Objekt erneut in Ihrem Netzwerk bereit, so wie Sie dies normalerweise tun.

Bestätigen der Aktivierung von „Beim ersten Sichten blockieren“ auf einzelnen Clientgeräten

Mit der Windows-Sicherheit-App können Sie überprüfen, ob „Beim ersten Sichten blockieren“ auf einzelnen Clientgeräten aktiviert ist. Die Option „Beim ersten Sichten blockieren“ wird automatisch aktiviert, solange Aus der Cloud bereitgestellter Schutz und Automatische Übermittlung von Stichproben beide aktiviert sind.

1. Öffnen Sie die Windows-Sicherheit-App.

2. Wählen Sie Viren- & Bedrohungsschutz und dann unter Einstellungen für Viren- & Bedrohungsschutz die Option Einstellungen verwalten aus.

   

3. Bestätigen Sie, dassAus der Cloud bereitgestellter Schutz und Automatische Übermittlung von Stichproben beide aktiviert sind.

Hinweis

• Wenn die erforderlichen Einstellungen konfiguriert sind und mithilfe von Gruppenrichtlinien bereitgestellt werden, sind die Einstellungen in diesem Abschnitt grau hinterlegt und stehen auf einzelnen Endpunkten nicht zur Verfügung.
• Änderungen, die über ein Gruppenrichtlinienobjekt vorgenommen wurden, müssen zunächst auf einzelnen Endpunkten bereitgestellt werden, bevor die Einstellung in den Windows-Einstellungen aktualisiert wird.

Deaktivieren von „Beim ersten Sichten blockieren“

Achtung

Das Deaktivieren der Option „Beim ersten Sichten blockieren“ wird den Schutzstatus Ihres Geräts / Ihrer Geräte und Ihres Netzwerks verringern. Es wird nicht empfohlen, den Blockierungsschutz beim ersten Sichten dauerhaft zu deaktivieren.

Blockieren beim ersten Sichten mit Microsoft Intune

1. Wechseln Sie zum Microsoft Intune Admin Center (https://endpoint.microsoft.com), und melden Sie sich an.

2. Gehen Sie zu Endpunktsicherheit>Antivirus, und wählen Sie dann Ihre Microsoft Defender Antivirus-Richtlinie aus.

3. Wählen Sie unter Verwalten die Option Eigenschaften aus.

4. Wählen Sie direkt neben Konfigurationseinstellungen die Option Bearbeiten aus.

5. Legen Sie Cloudschutz zulassen auf Nicht zulässig fest. Deaktiviert Den Cloudschutz.

6. Überprüfen und Speichern Sie Ihre Einstellungen.

Deaktivieren von „Beim ersten Sichten blockieren“ mit der Gruppenrichtlinie

1. Öffnen Sie auf dem Computer, der Ihre Gruppenrichtlinie verwaltet, die Gruppenrichtlinien-Verwaltungskonsole, klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt, das Sie konfigurieren möchten, und wählen Sie dann Bearbeiten aus.

2. Gehen Sie mithilfe des Gruppenrichtlinien-Verwaltungs-Editor zu Computerkonfiguration, und wählen Sie Administrative Vorlagen aus.

3. Erweitern Sie die Struktur bis zu Windows-Komponenten>Microsoft Defender Antivirus>MAPS.

4. Doppelklicken Sie auf Konfigurieren des Features „Beim ersten Sichten blockieren“, und legen Sie die Option auf Deaktiviert fest.

   Hinweis

   Das Deaktivieren von „Beim ersten Sichten blockieren“ deaktiviert oder verändert die erforderlichen Gruppenrichtlinien nicht.

Kein Unternehmensadministrator oder IT-Profi?

Wenn Sie kein Unternehmensadministrator oder IT-Experte sind, aber Fragen zu "Beim ersten Sichten blockieren" haben, ist dieser Abschnitt für Sie geeignet. „Beim ersten Sichten blockieren“ ist ein Bedrohungsschutzfeature, das neue Malware erkennt und sie innerhalb von Sekunden blockiert. Obwohl es keine spezifische Einstellung gibt, die „Beim ersten Sichten blockieren“ genannt wird, wird das Feature aktiviert, wenn gewisse Einstellungen auf Ihrem Gerät konfiguriert sind.

So aktivieren oder deaktivieren Sie „Beim ersten Sichten blockieren“ auf Ihrem eigenen Gerät

Wenn Sie ein persönliches Gerät haben, das nicht von einer Organisation verwaltet wird, dann fragen Sie sich möglicherweise, wie Sie „Beim ersten Sichten blockieren“ aktivieren oder deaktivieren können. Sie können die Windows-Sicherheit-App verwenden, um „Beim ersten Sichten blockieren“ zu verwalten.

1. Öffnen Sie auf Ihrem Windows 10- oder Windows 11-Computer die Windows-Sicherheit-App.

2. Wählen Sie Viren- und Bedrohungsschutz aus.

3. Wählen Sie unter Einstellungen für Viren- & Bedrohungsschutz die Option Einstellungen verwalten aus.

4. Führen Sie einen der folgenden Schritte aus:

   • Um „Beim ersten Sichten blockieren“ zu aktivieren, stellen Sie sicher, dass sowohl Aus der Cloud bereitgestellter Schutz wie auch Automatische Übermittlung von Stichproben aktiviert sind.

   • Um „Beim ersten Sichten blockieren“ zu deaktivieren, deaktivieren Sie Aus der Cloud bereitgestellter Schutz oder Automatische Übermittlung von Stichproben.

     Achtung

     Das Deaktivieren von „Beim ersten Sichten blockieren“ verringert die Schutzebene für Ihr Gerät. Wir empfehlen nicht, „Beim ersten Sichten blockieren“ permanent zu deaktivieren.

Siehe auch

• Microsoft Defender Antivirus in Windows 10
• Aus der Cloud bereitgestellten Schutz aktivieren
• Mit Windows-Sicherheit geschützt bleiben
• Onboarding von Nicht-Windows-Geräten

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.