Aktivera Blockera när det först påträffas
Gäller för:
I den här artikeln beskrivs antivirus-/antimalware-funktionen som kallas Blockera när det först påträffas och hur du aktiverar Blockera när det först påträffas för din organisation.
Tips
Den här artikeln är avsedd för företagsadministratörer och IT-tekniker som hanterar säkerhetsinställningar för organisationer. Om du inte är företagsadministratör eller IT-tekniker, men har frågor om Blockera när det först påträffas kan du läsa avsnittetÄr du inte företagsadministratör eller IT-tekniker?.
Vad är Blockera när det först påträffas?
Blockera när det först påträffas är en nästa generations funktion som skyddar mot hot genom att identifiera ny skadlig programvara och blockera den på några sekunder. Blockera när det först påträffas aktiveras när vissa säkerhetsinställningar är aktiverade. Inställningarna omfattar:
- molnbaserat skydd
- en angiven tidsgräns för sändning av exempel (t.ex. 50 sekunder) och
- en hög filblockeringsnivå.
I de flesta företag konfigureras inställningarna som krävs för att aktivera Blockera när det först påträffas i samband med Microsoft Defender Antivirus-distributioner.
Så här fungerar det
När Microsoft Defender Antivirus stöter på en misstänkt men oidentifierad fil, skickas en fråga till serverdelen för molnskydd. I serverdelen för molnskydd tillämpas heuristik, maskininlärning och automatiska analyser på filen för att avgöra om den är skadlig eller inte.
Microsoft Defender Antivirus använder flera tekniker för identifiering och skydd för att ge exakt och intelligent skydd i realtid.

Tips
Mer information finns i (Blogg) Lär känna de avancerade teknikerna i Microsoft Defender för Endpoint – nästa generations skydd.
Några saker du bör veta om Blockera när det först påträffas
I Windows 10, version 1803 och senare, kan Blockera när det först påträffas blockera icke-portabla körbara filer (t.ex. JS, VBS eller makron) och körbara filer.
Blockera när det först påträffas använder bara serverdelen för molnskydd för körbara filer och icke-portabla körbara filer som laddas ned från internet eller som kommer från internetzonen. Ett hashvärde för .exe-filen kontrolleras via den molnbaserade serverdelen för att avgöra om filen inte har identifierats tidigare.
Om molnserverdelen inte kan fastställa det kommer Microsoft Defender Antivirus att låsa filen och ladda upp en kopia till molnet. I molnet utförs fler analyser för att fatta ett beslut om filen ska köras eller blockeras när den identifieras i framtiden, beroende på om den är skadlig eller inte.
I många fall kan den här processen minska svarstiden för ny skadlig programvara från timmar till sekunder.
Du kan ange hur länge en fil ska förhindras från att köras medan den molnbaserade skyddstjänsten analyserar filen. Du kan även anpassa det meddelande som visas på användarnas skrivbord när en fil blockeras. Du kan ändra företagets namn, kontaktinformation och meddelande-URL.
Aktivera Blockera när det först påträffas med Microsoft Intune
Tips
Microsoft Intune är nu en del av Microsoft Endpoint Manager.
I administrationscentret för Microsoft Endpoint Manager (https://endpoint.microsoft.com) går du till Enheter > Konfigurationsprofiler.
Markera eller skapa en profil med profiltypen Enhetsbegränsningar.
I Konfigurationsinställningar för profilen Enhetsbegränsningar, anger eller bekräftar du följande inställningar under Microsoft Defender Antivirus:
- Molnbaserat skydd: aktiverat
- Filblockeringsnivå: hög
- Tidstillägg för genomsökning av filer via molnet: 50
- Fråga användare innan exempel skickas: skicka alla data utan att fråga
Spara dina inställningar.
Tips
- Om du ställer in filblockeringsnivån på Hög används en hög identifieringsnivå. Om filblockering mot förmodan leder till falsk positiv identifiering av legitima filer kan säkerhetsteamet återställa filer i karantän.
- Mer information om hur du konfigurerar enhetsbegränsningar för Microsoft Defender Antivirus i Intune finns i Konfigurera inställningar för enhetsbegränsning i Microsoft Intune.
- En lista över enhetsbegränsningar för Microsoft Defender Antivirus i Intune finns i Inställningar för enhetsbegränsning i Windows 10 (och senare) i Intune.
Aktivera Blockera när det först påträffas med Microsoft Endpoint Manager
Tips
Om du letar efter Microsoft Endpoint Configuration Manager så ingår det nu som en del av Microsoft Endpoint Manager.
I Microsoft Endpoint Manager (https://endpoint.microsoft.com) går du till slutpunktssäkerhet > Antivirus.
Markera en princip eller skapa en ny princip med profiltypen Microsoft Defender Antivirus.
Ange eller bekräfta följande konfigurationsinställningar:
- Aktivera molnbaserat skydd: ja
- Skyddsnivå som levereras i molnet: hög
- Microsoft Defender Antivirus utökad tidsgräns i sekunder: 50
Tillämpa Microsoft Defender Antivirus-profilen på en grupp, till exempel Alla användare, Alla enheter eller Alla användare och enheter.
Aktivera Blockera när det först påträffas med en grupprincip
Anteckning
Vi rekommenderar att du använder Intune eller Microsoft Endpoint Manager för att aktivera Blockera när det först påträffas.
På datorn för hantering av grupprinciper öppnar du konsolen Grupprinciphantering, högerklickar på det grupprincipobjekt som du vill konfigurera och väljer Redigera.
I redigeraren för grupprinciphantering går du till Datorkonfiguration > Administrativa mallar > Windows-komponenter > Microsoft Defender Antivirus > MAPS.
I MAPS-avsnittet dubbelklickar du på Konfigurera funktionen Blockera när det först påträffas, anger Aktiverad och väljer OK.
Viktigt
Om du väljer Fråga alltid (0) minskas skyddet på enheten. Om du väljer Skicka aldrig (2) kommer Blockera när det först påträffas inte att fungera.
I MAPS-avsnittet dubbelklickar du på Skicka filexempel när ytterligare analys krävs och anger Aktiverat. Under Skicka filexempel när ytterligare analys krävs väljer du Skicka alla exempel och sedan OK.
Distribuera grupprincipobjektet i nätverket som vanligt.
Bekräfta att Blockera när det först påträffas är aktiverat på enskilda klientenheter
Du kan kontrollera att Blockera när det först påträffas är aktiverat på enskilda klientenheter med Windows-säkerhetsappen. Blockera när det först påträffas aktiveras automatiskt så länge Molnbaserat skydd och Skicka exempel automatiskt är aktiverade.
Öppna Windows-säkerhetsappen.
Välj Skydd mot virus och hot och under Inställningar för skydd mot virus och hot väljer du Hantera inställningar.
Kontrollera att Molnbaserat skydd och Skicka exempel automatiskt är aktiverade.
Anteckning
- Om de nödvändiga inställningarna konfigureras och distribueras med grupprinciper är inställningarna som beskrivs i det här avsnittet nedtonade och inte tillgängliga för användning på enskilda slutpunkter.
- Ändringar som görs via ett grupprincipobjekt måste först distribueras till enskilda slutpunkter innan inställningen uppdateras i Windows-inställningarna.
Kontrollera att Blockera när det först påträffas fungerar
Om du vill verifiera att funktionen fungerar laddar du ned exempelfilen Blockera exempelfil vid första anblicken. Om du vill ladda ned filen behöver du ett konto i Azure AD som har tilldelats rollen säkerhetsadministratör eller global administratör.
Kontrollera att funktionen Molnaktiverat skydd fungerar följer du instruktionerna i Verifiera anslutningar mellan ditt nätverk och molnet.
Inaktivera Blockera när det först påträffas
Varning
Om du inaktiverar Blockera när det först påträffas sänks skyddet för dina enheter och nätverket.
Du kan välja att inaktivera Blockera när det först påträffas om du vill behålla de nödvändiga inställningarna utan att använda Blockera när det först påträffas. Du kan tillfälligt inaktivera Blockera när det först påträffas för att se hur funktionen påverkar nätverket. Vi rekommenderar dock inte att du inaktiverar Blockera när det först påträffas permanent.
Inaktivera Blockera när det först påträffas med Microsoft Endpoint Manager
Gå till administrationscentret för Microsoft Endpoint Manager (https://endpoint.microsoft.com) och logga in.
Gå till Slutpunktssäkerhet > Antivirus, och välj sedan din princip för Microsoft Defender Antivirus.
Under Hantera väljer du Egenskaper.
Välj Redigera bredvid Konfigurationsinställningar.
Ändra en eller flera av följande inställningar:
- Ställ in Aktivera molnbaserat skydd på Nej eller Inte konfigurerat.
- Ställ in Skyddsnivå som levereras i molnet på Inte konfigurerat.
- Avmarkera kryssrutan för Microsoft Defender Antivirus utökad tidsgräns i sekunder.
Granska och spara inställningarna.
Inaktivera Blockera när det först påträffas med en grupprincip
På datorn för hantering av grupprinciper öppnar du konsolen Grupprinciphantering, högerklickar på det grupprincipobjekt som du vill konfigurera och väljer Redigera.
I redigeraren för grupprinciphantering går du till Datorkonfiguration och väljer Administrativa mallar.
Expandera trädstrukturen via Windows-komponenter > Microsoft Defender Antivirus > MAPS.
Dubbelklicka på Konfigurera funktionen Blockera när det först påträffas och ställ in alternativet på Inaktiverat.
Anteckning
Nödvändiga grupprinciper inaktiveras eller ändras inte när du inaktiverar Blockera när det först påträffas.
Är du inte företagsadministratör eller IT-tekniker?
Om du inte är företagsadministratör eller IT-tekniker, men har frågor om Blockera när det först påträffas är det här avsnittet för dig. Blockera när det först påträffas skyddar mot hot genom att identifiera och blockera skadlig programvara på några sekunder. Även om det inte finns en inställning som kallas Blockera när det först påträffas, aktiveras funktionen när vissa inställningar konfigureras på enheten.
Så här aktiverar och inaktiverar du Blockera när det först påträffas på din enhet
Om du har en privat enhet som inte hanteras av en organisation kanske du undrar hur du aktiverar eller inaktiverar Blockera när det först påträffas. Du kan hantera Blockera när det först påträffas med Windows-säkerhetsappen.
Öppna din Windows-säkerhetsapp på din Windows 10- eller Windows 11-dator.
Välj Skydd mot virus och hot.
Välj Hantera inställningar under Inställningar för skydd mot virus och hot.
Gör något av följande:
Om du vill aktivera Blockera när det först påträffas ska du se till att både Molnbaserat skydd och Skicka exempel automatiskt är aktiverade.
Om du vill inaktivera Blockera när det först påträffas inaktiverar du Molnbaserat skydd eller Skicka exempel automatiskt.
Varning
Om du inaktiverar Blockera när det först påträffas sänks skyddsnivån för enheten. Vi rekommenderar inte att du permanent inaktiverar Blockera när det först påträffas.