Share via

Włącz blokowanie od pierwszego wejrzenia

  • Artykuł

Dotyczy:

Platformy

  • System Windows

W tym artykule opisano funkcję ochrony antywirusowej/ochrony przed złośliwym kodem znaną jako "blokuj od pierwszego wejrzenia" i opisano sposób włączania bloku od pierwszego wejrzenia dla organizacji.

Porada

Ten artykuł jest przeznaczony dla administratorów przedsiębiorstwa i specjalistów IT, którzy zarządzają ustawieniami zabezpieczeń dla organizacji. Jeśli nie jesteś administratorem przedsiębiorstwa ani specjalistą IT, ale masz pytania dotyczące bloku od pierwszego wejrzenia, zobacz sekcję Nie jesteś administratorem przedsiębiorstwa lub specjalistą IT?

Co to jest "blok od pierwszego wejrzenia"?

Blokuj od pierwszego wejrzenia to funkcja ochrony przed zagrożeniami w ramach ochrony nowej generacji, która wykrywa nowe złośliwe oprogramowanie i blokuje go w ciągu kilku sekund. Ustawienie Blokuj od pierwszego wejrzenia jest włączone po włączeniu określonych ustawień zabezpieczeń:

W większości organizacji korporacyjnych ustawienia wymagane do włączenia bloku od pierwszego wejrzenia są konfigurowane przy użyciu Microsoft Defender wdrożeń programu antywirusowego. Zobacz Włączanie ochrony w chmurze w programie antywirusowym Microsoft Defender.

Jak to działa

Gdy program antywirusowy Microsoft Defender napotka podejrzany, ale niewykryty plik, wysyła zapytanie do naszego zaplecza ochrony w chmurze. Zaplecze chmury stosuje heurystykę, uczenie maszynowe i zautomatyzowaną analizę pliku, aby ustalić, czy pliki są złośliwe, czy nie.

program antywirusowy Microsoft Defender korzysta z wielu technologii wykrywania i zapobiegania, aby zapewnić dokładną, inteligentną i w czasie rzeczywistym ochronę.

Lista aparatów antywirusowych Microsoft Defender

Porada

Aby dowiedzieć się więcej, zobacz (Blog) Zapoznanie się z zaawansowanymi technologiami, które są podstawą Ochrona punktu końcowego w usłudze Microsoft Defender ochrony nowej generacji.

Kilka rzeczy, które należy wiedzieć o bloku od pierwszego wejrzenia

  • Blok od pierwszego wejrzenia może blokować nie przenośne pliki wykonywalne (takie jak JS, VBS lub makra) i pliki wykonywalne, uruchamiając najnowszą platformę ochrony przed złośliwym kodem defender w systemie Windows lub Windows Server.

  • Pozycja Blokuj od pierwszego wejrzenia używa zaplecza ochrony chmury tylko dla plików wykonywalnych i nie przenośnych plików wykonywalnych pobieranych z Internetu lub pochodzących ze strefy internetowej. Wartość skrótu .exe pliku jest sprawdzana za pośrednictwem zaplecza chmury w celu ustalenia, czy plik jest wcześniej niewykrytym plikiem.

  • Jeśli zaplecze chmury nie może dokonać ustalenia, program antywirusowy Microsoft Defender blokuje plik i przekazuje kopię do chmury. Chmura wykonuje więcej analiz w celu ustalenia, zanim umożliwi uruchamianie pliku lub blokuje go we wszystkich przyszłych spotkaniach, w zależności od tego, czy określa on plik jako złośliwy, czy nie.

  • W wielu przypadkach ten proces może skrócić czas odpowiedzi na nowe złośliwe oprogramowanie z godzin do sekund.

  • Możesz określić, jak długo plik powinien nie być uruchomiony , podczas gdy usługa ochrony oparta na chmurze analizuje plik. Możesz również dostosować komunikat wyświetlany na pulpitach użytkowników , gdy plik jest zablokowany. Możesz zmienić nazwę firmy, informacje kontaktowe i adres URL wiadomości.

Włącz blok od pierwszego wejrzenia za pomocą Microsoft Intune

  1. W centrum administracyjnym Microsoft Intune (https://endpoint.microsoft.com) przejdź do pozycjiProgram antywirusowyzabezpieczeń> punktu końcowego.

  2. Wybierz istniejące zasady lub utwórz nowe zasady przy użyciu typu profilu programu antywirusowego Microsoft Defender. W naszym przykładzie wybraliśmy dla platformy Windows 10, Windows 11 lub Windows Server.

    Zrzut ekranu przedstawiający tworzenie nowych zasad MDAV w Intune.

  3. Ustaw opcję Zezwalaj na ochronę w chmurze na wartość Dozwolone. Włącza usługę Cloud Protection.

    Zrzut ekranu przedstawiający opcję Cloud Protection ustawioną na dozwoloną w Intune.

  4. Przewiń w dół do pozycji Prześlij przykłady Zgoda i wybierz jedno z następujących ustawień:

    • Automatycznie wysyłaj wszystkie przykłady
    • Automatyczne wysyłanie bezpiecznych próbek

  5. Zastosuj profil programu antywirusowego Microsoft Defender do grupy, takiej jak Wszyscy użytkownicy, Wszystkie urządzenia lub Wszyscy użytkownicy i urządzenia.

Włącz blok od pierwszego wejrzenia za pomocą zasady grupy

Uwaga

Zalecamy włączenie bloku od pierwszego wejrzenia przy użyciu Intune lub Microsoft Configuration Manager.

  1. Na komputerze zarządzania zasady grupy otwórz konsolę zarządzania zasady grupy, kliknij prawym przyciskiem myszy obiekt zasady grupy, który chcesz skonfigurować, i wybierz pozycję Edytuj.

  2. Korzystając z zasady grupy Management Redaktor przejdź do pozycji Konfiguracja> komputeraSzablony> administracyjneSkładniki> systemu Windows Microsoft Defender Mapy antywirusowe>.

  3. W sekcji MAPS kliknij dwukrotnie pozycję Skonfiguruj funkcję "Blokuj od pierwszego wejrzenia" i ustaw ją na wartość Włączone, a następnie wybierz przycisk OK.

    Ważna

    Ustawienie opcji Zawsze monituj (0) spowoduje obniżenie stanu ochrony urządzenia. Ustawienie wartości Nigdy nie wysyłaj (2) oznacza, że blok od pierwszego wejrzenia nie będzie działać.

  4. W sekcji MAPS kliknij dwukrotnie pozycję Wyślij przykłady plików, gdy wymagana jest dalsza analiza, i ustaw ją na wartość Włączone. W obszarze Wyślij przykłady plików, gdy wymagana jest dalsza analiza, wybierz pozycję Wyślij wszystkie przykłady, a następnie wybierz przycisk OK.

  5. Ponownie wdróż obiekt zasady grupy w sieci, tak jak zwykle.

Potwierdzanie włączenia bloku od pierwszego wejrzenia na poszczególnych urządzeniach klienckich

Możesz potwierdzić, że blok od pierwszego wejrzenia jest włączony na poszczególnych urządzeniach klienckich przy użyciu aplikacji Zabezpieczenia Windows. Opcja Blokuj od pierwszego wejrzenia jest włączana automatycznie, o ile włączono ochronę dostarczaną przez chmurę i automatyczne przesyłanie przykładów .

  1. Otwórz aplikację Zabezpieczenia Windows.

  2. Wybierz pozycję Ochrona przed zagrożeniami & wirusami, a następnie w obszarze Ustawienia ochrony przed zagrożeniami & wirusów wybierz pozycję Zarządzaj ustawieniami.

    Etykieta ustawień ochrony przed zagrożeniami & wirusów w aplikacji Zabezpieczenia Windows

  3. Upewnij się, że ochrona dostarczana w chmurze i automatyczne przesyłanie przykładów są włączone.

Uwaga

  • Jeśli ustawienia wymagań wstępnych zostaną skonfigurowane i wdrożone przy użyciu zasady grupy, ustawienia opisane w tej sekcji będą wyszarzone i niedostępne do użycia w poszczególnych punktach końcowych.
  • Zmiany wprowadzone za pośrednictwem obiektu zasady grupy należy najpierw wdrożyć w poszczególnych punktach końcowych, zanim ustawienie zostanie zaktualizowane w ustawieniach systemu Windows.

Wyłącz blok od pierwszego wejrzenia

Uwaga

Wyłączenie bloku od pierwszego wejrzenia spowoduje obniżenie stanu ochrony urządzeń i sieci. Nie zalecamy trwałego wyłączania ochrony bloku od pierwszego wejrzenia.

Wyłącz blok od pierwszego wejrzenia za pomocą Microsoft Intune

  1. Przejdź do centrum administracyjnego Microsoft Intune (https://endpoint.microsoft.com) i zaloguj się.

  2. Przejdź do pozycjiProgram antywirusowy zabezpieczeń >punktu końcowego, a następnie wybierz zasady programu antywirusowego Microsoft Defender.

  3. W obszarze Zarządzanie wybierz pozycję Właściwości.

  4. Obok pozycji Ustawienia konfiguracji wybierz pozycję Edytuj.

  5. Ustaw opcję Zezwalaj na ochronę w chmurze na wartość Niedozwolone. Wyłącza usługę Cloud Protection.

  6. Przejrzyj i zapisz ustawienia.

Wyłącz blok od pierwszego wejrzenia za pomocą zasady grupy

  1. Na komputerze zarządzania zasady grupy otwórz konsolę zarządzania zasady grupy, kliknij prawym przyciskiem myszy obiekt zasady grupy, który chcesz skonfigurować, a następnie wybierz pozycję Edytuj.

  2. Za pomocą Redaktor zarządzania zasady grupy przejdź do pozycji Konfiguracja komputera i wybierz pozycję Szablony administracyjne.

  3. Rozwiń drzewo za pomocą składników> systemu Windows Microsoft Defender Antivirus>MAPS.

  4. Kliknij dwukrotnie pozycję Skonfiguruj funkcję "Blokuj od pierwszego wejrzenia" i ustaw opcję Wyłączone.

    Uwaga

    Wyłączenie bloku od pierwszego wejrzenia nie powoduje wyłączenia ani zmiany zasad grupy wymagań wstępnych.

Nie jesteś administratorem przedsiębiorstwa ani specjalistą IT?

Jeśli nie jesteś administratorem przedsiębiorstwa ani specjalistą IT, ale masz pytania dotyczące bloku od pierwszego wejrzenia, ta sekcja jest dla Ciebie. Blokuj od pierwszego wejrzenia to funkcja ochrony przed zagrożeniami, która wykrywa i blokuje złośliwe oprogramowanie w ciągu kilku sekund. Chociaż nie ma określonego ustawienia o nazwie "Blokuj od pierwszego wejrzenia", funkcja jest włączona, gdy niektóre ustawienia są skonfigurowane na urządzeniu.

Jak zarządzać blokiem od pierwszego wejrzenia na lub wył. na własnym urządzeniu

Jeśli masz urządzenie osobiste, które nie jest zarządzane przez organizację, możesz się zastanawiać, jak włączyć lub wyłączyć blokadę od pierwszego wejrzenia. Możesz użyć aplikacji Zabezpieczenia Windows do zarządzania blokiem od pierwszego wejrzenia.

  1. Na komputerze Windows 10 lub Windows 11 otwórz aplikację Zabezpieczenia Windows.

  2. Wybierz pozycję Ochrona przed wirusami i zagrożeniami.

  3. W obszarze Ustawienia ochrony przed wirusami i zagrożeniami wybierz opcję Zarządzaj ustawieniami.

  4. Wykonaj jedną z następujących czynności:

    • Aby włączyć blok od pierwszego wejrzenia, upewnij się, że zarówno ochrona dostarczana w chmurze , jak i automatyczne przesyłanie przykładów są włączone.

    • Aby wyłączyć blok od pierwszego wejrzenia, wyłącz ochronę dostarczaną w chmurze lub automatyczne przesyłanie przykładów.

      Uwaga

      Wyłączenie bloku od pierwszego wejrzenia obniża poziom ochrony urządzenia. Nie zalecamy trwałego wyłączania bloku od pierwszego wejrzenia.

Zobacz też

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.