使用英语阅读

通过

打开“首次看到时阻止”

  • 项目

适用于:

平台

  • Windows

此文章解释了名为“首次看到时阻止”的防病毒/防恶意软件功能,并介绍了如何为组织启用“首次看到时阻止”功能。

提示

此文章适合的读者为管理组织安全设置的企业管理员和 IT 专业人员。 如果你不是企业管理员或 IT 专业人员,但对第一眼看到阻止有疑问,请参阅 不是企业管理员还是 IT 专业人员? 部分。

什么是“首次看到时阻止”?

“首次看到时阻止”是下一代保护的一种威胁保护功能,它能够在几秒内检测新的恶意软件并将其阻止。 启用某些安全设置后,将启用首次看到时阻止:

在大多数企业组织中,需要启用“首次看到时阻止”的设置都已在部署 Microsoft Defender 防病毒时配置了。 请参阅在 Microsoft Defender 防病毒中启用云保护

运作方式

当 Microsoft Defender 防病毒软件遇到未检测到的可疑文件时,它会查询云保护后端。 云后端将应用启发式、机器学习以及自动文件分析,以确定文件是恶意文件还是非威胁文件。

Microsoft Defender 防病毒使用多种检测和防护技术来提供准确、智能、实时的保护。

Microsoft Defender防病毒引擎的列表

提示

若要了解更多信息,请参阅(博客)了解 Microsoft Defender for Endpoint 下一代保护的核心高级技术

关于“首次看到时阻止”的一些须知

  • 首次看到时阻止可以阻止不可移植的可执行文件 (,例如 JS、VBS 或宏) 和可执行文件,在 Windows 或 Windows Server 上运行最新的 Defender 反恶意软件平台

  • “首次看到时阻止”仅对从 Internet 下载或源自 Internet 区域的可执行文件和非可移植可执行文件使用云保护后端。 通过云后端检查文件的哈希值 .exe ,以确定该文件是否是以前未检测到的文件。

  • 如果云后端无法做出决定,Microsoft Defender 防病毒会锁定该文件,同时将副本上传到云。 云将执行更多分析以得出结论:以后遇到该文件,是允许运行还是阻止(具体取决于它确定文件是恶意文件还是非威胁文件)。

  • 在许多情况下,此过程可将对新恶意软件的响应时间从几小时减少到几秒。

  • 你可以指定当基于云的保护服务在分析文件时,过多久后阻止文件运行。 另外,当文件被阻止时,你可以自定义用户桌面上显示的消息。 可更改公司名称、联系信息、消息 URL。

用 Microsoft Intune 打开“首次看到时阻止”

  1. 在Microsoft Intune管理中心 (https://intune.microsoft.com) ,转到“终结点安全性>防病毒”。

  2. 选择现有策略,或使用 Microsoft Defender 防病毒用户配置类型创建新策略。 在我们的示例中,我们为平台选择了Windows 10、Windows 11或Windows Server

    Intune中新建 MDAV 策略的屏幕截图。

  3. “允许云保护” 设置为 “允许”。打开云保护

    Intune中“云保护”设置为“允许”的屏幕截图。

  4. 向下滚动到 “提交示例同意”,然后选择以下设置之一:

    • 自动发送所有示例
    • 自动发送安全示例

  5. 应用 Windows Defender 防病毒的用户配置到组,例如“所有用户”、“所有设备”或“所有用户和设备”。

使用组策略打开“首次看到时阻止”

备注

建议使用Intune或Microsoft Configuration Manager在第一眼看到时打开块。

  1. 在组策略管理计算机上,打开组策略管理控制台,右键单击要配置的组策略对象,然后选择编辑

  2. 使用“组策略管理编辑器”转到“计算机配置”>“管理模板”>“Windows 组件”>“Microsoft Defender 防病毒”>“MAPS”。

  3. 在“MAPS”节中,双击“配置“首次看到时阻止”功能”,将其设为“启用”,然后选择“OK”。

    重要

    设置为 始终提示 (0) 会降低设备的保护状态。 设置为 “从不发送 (2) 表示首次看到时阻止将不起作用。

  4. 在“MAPS”节中,双击“需要进一步分析时发送文件样本”,将其设为“启用”。 在“需要进一步分析时发送文件样本”下,选择“发送所有样本”,然后选择“OK”。

  5. 如往常一样在网络上中心部署你的组策略对象。

在客户端上确认“首次看到时阻止”是否已启用

可以使用 Windows 安全应用来确认“首次看到时阻止”功能是否已在某个客户端设备上启用。 只要同时启用了云端保护自动提交样本,就会自动启用“首次看到时阻止”。

  1. 打开 Windows 安全应用。

  2. 选择“病毒和威胁防护”,然后在“病毒和威胁防护设置”下选择“管理设置”。

    Windows 安全应用中的病毒和威胁防护设置标签

  3. 确认云端保护自动提交样本已开启。

备注

  • 如果使用 组策略 配置和部署先决条件设置,则本部分所述的设置将灰显,不能在单个终结点上使用。
  • 在 Windows 设置中更新设置之前,必须先将组策略对象所做的更改部署到各个终结点。

关闭“首次看到时阻止”

注意

关闭第一眼看到时阻止会降低设备和网络的保护状态。 我们不建议永久禁用第一眼保护阻止。

使用Microsoft Intune在第一次看到时关闭块

  1. 转到Microsoft Intune管理中心,https://intune.microsoft.com () 并登录。

  2. 转到“终结点安全”>“防病毒”,然后选择你的 Microsoft Defender 防病毒策略。

  3. 在“管理”下,选择“属性”。

  4. 选择“配置设置”旁的“编辑”。

  5. “允许云保护” 设置为 “不允许”。关闭云保护

  6. 检查并保存你的设置。

使用组策略关闭“首次看到时阻止”

  1. 在组策略管理计算机上,打开组策略管理控制台,右键单击要配置的组策略对象,然后选择“编辑”。

  2. 使用组策略管理编辑器,转到“计算机配置”,然后选择“管理模板”。

  3. 将树展开到“Windows 组件”>“Windows Defender 防病毒”>“MAPS

  4. 双击“配置“首次看到时阻止”功能”,并将该选项设置为“禁用”。

    备注

    禁用首次看到时阻止不会禁用或更改先决条件组策略。

不是企业管理员或 IT 专业人士?

如果你不是企业管理员或 IT 专业人员,但对第一眼看到阻止有疑问,本部分适合你。 “首次看到时阻止”是一种威胁保护功能,它能够在几秒内检测和阻止恶意软件。 其实没有某个设置叫“首次看到时阻止”,此功能的启用是通过配置设备上的某些设置来实现的。

如果在自己的设备上管理“首次看到时阻止”的开启与关闭

如果你的个人设备不是由组织管理的,你可能想知道如何打开或关闭第一眼看到时阻止。 你可以使用 Windows 安全应用来管理“首次看到时阻止”。

  1. 在你的 Windows 10 或 Windows 11 电脑上,打开 Windows 安全中心应用。

  2. 选择“病毒和威胁防护”。

  3. 在“病毒和威胁防护设置”下选择“管理设置”。

  4. 采取以下步骤之一:

    • 若要启用“首次看到时阻止”,请确保同时启用了“云端保护”和“自动提交样本”。

    • 若要禁用启用“首次看到时阻止”,请禁用“云端保护”或“自动提交样本”。

      注意

      关闭“首次看到时阻止”会降低设备的保护级别。 我们不建议一见就永久禁用块。

另请参阅

提示

想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区