第一次看見時即開啟封鎖

  • 發行項

適用於:

平台

  • Windows

本文會詳述名為「第一次看見時即封鎖」的防毒/反惡意軟體之功能,並說明如何為貴組織啟用第一次看見時即封鎖之功能。

提示

本文適用于管理組織安全性設定的企業系統管理員和 IT 專業人員。 如果您不是企業系統管理員或IT專業人員,但您有關於第一次看見時封鎖的問題,請參閱 不是企業系統管理員或IT專業人員? 一 節。

什麼是 [第一次看見時即封鎖]?

[第一次看見時即封鎖] 是新一代防護的威脅防護功能,可偵測到新的惡意程式碼,並能在幾秒內將之封鎖。 啟用特定安全性設定時,會啟用[第一次看見時封鎖]:

在大部分的企業組織中,啟用 [第一次看見時即封鎖] 功能需要使用 Microsoft Defender 防病毒軟體部署進行設定。 請參閱在 Microsoft Defender 防病毒軟體中開啟雲端保護

運作方式

當 Microsoft Defender 防毒軟體遇到可疑但無法偵測的檔案時,它會查詢我們的雲端保護後端。 雲端後端會針對檔案進行啟發學習、機器學習和自動化分析,以判斷檔案是否為惡意檔案或者為威脅。

Microsoft Defender 防毒軟體使用多個偵測和防護技術,以提供準確、智慧型且即時的保護。

Microsoft Defender 防病毒軟體引擎的清單

提示

若要深入瞭解,請參閱 (部落格) 瞭解適用於端點的 Microsoft Defender 新一代保護功能核心的進階技術

關於 [第一次看見時即封鎖] 功能的一些資訊

  • 第一次看見時封鎖可以封鎖非可攜式可執行檔 (,例如 JS、VBS 或宏) 和可執行檔,在 Windows 或 Windows Server 上執行 最新的 Defender 反惡意代碼平臺

  • [第一次看見時即封鎖] 只會針對從網際網路下載或源自網際網路區域之可執行檔案和非可攜式可執行檔案使用雲端保護後端。 會透過雲端後端檢查檔案的 .exe 哈希值,以判斷檔案是否為先前未偵測到的檔案。

  • 如果雲端後端無法判斷,Microsoft Defender 防毒軟體會鎖定檔案,並上傳副本至雲端。 雲端會執行更多分析以判斷是否允許檔案執行,或在未來遇到時阻擋該檔案,取決於它是否將檔案判定為惡意檔案或非威脅檔案。

  • 在許多情況下,此程式可以將新惡意軟體的回應時間從小時縮短為秒鐘。

  • 當雲端式保護服務分析檔案時,您可以 指定防止檔案執行的時間長度。 此外,您也可以在檔案被封鎖時,自訂使用者桌面上所顯示的訊息。 您可以變更公司名稱、連絡人資訊和郵件 URL。

使用 Microsoft Intune 開啟 [第一次看見時即封鎖] 功能

  1. 在 Microsoft Intune 系統管理中心 (https://endpoint.microsoft.com) ,移至 [端點安全>性防病毒軟體]

  2. 選取現有的原則,或使用 Microsoft Defender 防毒軟體 設定檔類型建立新原則。 在我們的範例中,我們選取 Windows 10、Windows 11 或 Windows Server 作為平臺。

    在 Intune 中建立新 MDAV 原則的螢幕快照。

  3. [允許雲端保護 ] 設定為 [允許]。開啟雲端保護

    雲端保護在 Intune 中設定為允許的螢幕快照。

  4. 向下卷動至 [提交範例同意],然後選取下列其中一個設定:

    • 自動傳送所有範例
    • 自動傳送安全範例

  5. 將 Microsoft Defender 防毒軟體設定檔套用到群組,例如 [所有使用者][所有裝置][所有使用者和裝置]

使用群組原則開啟 [第一次看見時即封鎖] 功能

注意事項

建議您使用 Intune 或 Microsoft Configuration Manager 開啟第一次看見時封鎖。

  1. 在您的群組原則管理電腦上,開啟 群組原則管理主控台,以滑鼠右鍵按一下您要設定的群組原則物件,然後選擇 [編輯]

  2. 使用 群組原則管理編輯器,移至 [電腦設定]>[系統管理範本]>[Windows 元件]>[Microsoft Defender 防毒軟體]>[MAPS]

  3. 在 MAPS 區段中,按兩下 [設定第一次看見時即封鎖功能],然後將它設定為 [已啟用],並選取 [確定]

    重要事項

    設定為 永遠提示 (0) 將會降低裝置的保護狀態。 設定為 永不傳送 (2) 表示第一次看見時即封鎖功能將無法運作。

  4. 在 MAPS 區段按兩下 [在需要進一步分析時,傳送檔案樣本],並將其設定為 [已啟用]。 在 [在需要進一步分析時,傳送檔案樣本] 底下,選取 [傳送所有樣本],然後選取 [確定]

  5. 如常在整個網路中,重新部署您的群組原則物件。

確認個別用戶端裝置上已啟用 [第一次看見時即封鎖] 功能

您可以使用 Windows 安全性應用程式,確認個別用戶端裝置已啟用 [第一次看見時即封鎖] 功能。 只要開啟 [雲端提供的保護][自動樣本提交],就會自動啟用「第一次看見時封鎖」。

  1. 開啟 Windows 安全性應用程式。

  2. 選取 [病毒與威脅防護],然後在 [病毒與威脅防護設定] 底下,選取 [管理設定]

    Windows 安全性應用程式中的病毒與威脅防護設定標籤

  3. 確認已開啟 [雲端提供的保護][自動樣本提交]

注意事項

  • 如果先決條件設定是使用群組原則進行設定和部署,本節所述的設定會以灰色顯示,且無法用於個別端點。
  • 必須先將透過群組原則物件進行的變更部署到個別端點,才能在 Windows 設定中更新設定。

關閉 [第一次看見時即封鎖] 功能

注意

關閉 [第一次看見時即封鎖] 功能會降低裝置和網路的保護狀態。 我們不建議永久停用第一次看見時封鎖保護。

使用 Microsoft Intune 關閉第一次看見時封鎖

  1. 移至 Microsoft Intune 系統管理中心 (https://endpoint.microsoft.com) 並登入。

  2. 移至 端點安全性>防毒軟體,然後選取您的 Microsoft Defender 防毒軟體原則。

  3. [管理] 底下,選擇 [內容]

  4. [組態設定] 旁邊,選擇 [編輯]

  5. [允許雲端保護 ] 設定為 [不允許]。關閉雲端保護

  6. 檢視並儲存設定。

使用群組原則關閉 [第一次看見時即封鎖] 功能

  1. 在您的群組原則管理電腦上,開啟 群組原則管理主控台,以滑鼠右鍵按一下您要設定的群組原則物件,然後選擇 [編輯]

  2. 使用 [群組原則管理編輯器],移至 [電腦設定] 然後選取 [系統管理範本]

  3. 展開 Windows 元件>Microsoft Defender 防毒軟體>MAPS 的整體樹狀結構。

  4. 按兩下 設定 [第一次看見時即封鎖] 功能 ,然後設定選項為 [停用] 該設定。

    注意事項

    停用 [第一次看見時即封鎖] 功能不會停用或變更先決條件群組原則。

不是企業系統管理員或 IT 專業人員?

如果您不是企業系統管理員或 IT 專業人員,但是對 [第一次看見時即封鎖] 功能有疑問,請參閱這一章節。 [第一次看見時即封鎖] 是威脅防護功能,可偵測到惡意程式碼,並能在幾秒內將之封鎖。 雖然沒有名為「第一次看見時即封鎖」的特定設定,但當您的裝置上設定了特定設定時,便會啟用此功能。

如何在您自己的裝置上管理 [第一次看見時即封鎖] 功能

如果您有非由組織管理的個人裝置,您可能會想知道如何開啟或關閉 [第一次看見時即封鎖] 功能。 您可以使用 Windows 安全性應用程式來管理 [第一次看見時即封鎖] 功能。

  1. 在 Windows 10 或 Windows 11 電腦上,開啟 Windows 安全性應用程式。

  2. 選取 病毒與威脅防護

  3. [病毒與威脅防護設定] 下方,選取 [管理設定]

  4. 請執行下列任一步驟:

    • 若要啟動 [第一次看見時即封鎖] 功能,請務必確定 [雲端提供的保護][自動樣本提交] 皆處於開啟狀態。

    • 若要停用 [第一次看見時即封鎖],請關閉 [雲端提供的保護][自動樣本提交]

      注意

      關閉 [第一次看見時即封鎖] 會降低您裝置的保護層級。 我們不建議永久停用 [第一次看見時即封鎖] 功能。

另請參閱

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。