EDR (Endpoint Detection and Response) i bloktilstand ofte stillede spørgsmål

Kan jeg angive udeladelser for EDR i bloktilstand?

Hvis du får vist et falsk positivt element, kan du sende filen til analyse på webstedet til Microsoft Sikkerhedsviden indsendelse.

Du kan også definere en udeladelse for Microsoft Defender Antivirus. Se Konfigurer og valider udeladelser for Microsoft Defender Antivirus-scanninger.

Skal jeg slå EDR til i blokeringstilstand, hvis jeg har Microsoft Defender Antivirus, der kører på enheder?

Ja, Microsoft anbefaler, at du aktiverer EDR i bloktilstand, selvom den primære antivirussoftware på systemet er Microsoft Defender Antivirus. Det primære formål med EDR i bloktilstand er at afhjælpe opdagelser efter sikkerhedsbrud, der blev overset af et antivirusprodukt, der ikke er fra Microsoft. Der er dog scenarier, hvor EDR i bloktilstand kan være en fordel, f.eks. hvis Microsoft Defender Antivirus er konfigureret forkert, eller hvis PUA-beskyttelse ikke er aktiveret. I sådanne tilfælde kan EDR i bloktilstand automatisk afhjælpe registreringer som F.eks. PUA.

Vil EDR i blokeringstilstand påvirke en brugers antivirusbeskyttelse?

EDR i blokeringstilstand påvirker ikke antivirusbeskyttelse, der ikke er fra Microsoft, og som kører på brugernes enheder. EDR i bloktilstand fungerer, hvis den primære antivirusløsning går glip af noget, eller hvis der er en registrering efter sikkerhedsbrud. EDR i bloktilstand fungerer på samme måde som Microsoft Defender Antivirus i passiv tilstand, bortset fra at EDR i blokeringstilstand også blokerer og afhjælper skadelige artefakter eller funktionsmåder, der registreres.

Hvorfor skal jeg holde Microsoft Defender Antivirus opdateret?

Da Microsoft Defender Antivirus registrerer og afhjælper skadelige elementer, er det vigtigt at holde det opdateret. For at EDR i blokeringstilstand skal være effektiv, bruges de nyeste modeller til enhedslæring, adfærdsregistreringer og heuristik. Defender for Endpoint-stakken af funktioner fungerer på en integreret måde. For at få den bedste beskyttelsesværdi skal du holde Microsoft Defender Antivirus opdateret. Se Administrer Microsoft Defender Antivirus-opdateringer, og anvend grundlinjer.

Hvorfor har vi brug for cloudbeskyttelse (MAPS) på?

Cloudbeskyttelse er nødvendig for at aktivere funktionen på enheden. Cloudbeskyttelse gør det muligt for Defender for Endpoint at levere den nyeste og bedste beskyttelse baseret på vores bredde og dybde på sikkerhedsintelligens samt adfærds- og enhedslæringsmodeller.

Hvad er forskellen mellem aktiv og passiv tilstand?

For slutpunkter, der kører Windows 10, Windows 11, Windows Server, version 1803 eller nyere, Windows Server 2019, Windows Server 2022 eller Windows Server 2025, når Microsoft Defender Antivirus er i aktiv tilstand. Det bruges som det primære antivirusprogram på enheden. Når du kører i passiv tilstand, er Microsoft Defender Antivirus ikke det primære antivirusprodukt. I dette tilfælde afhjælpes trusler ikke af Microsoft Defender Antivirus i realtid.

Bemærk!

Microsoft Defender Antivirus kan kun køre i passiv tilstand, når enheden er onboardet til Microsoft Defender for Endpoint.

Du kan få flere oplysninger under Microsoft Defender Antivirus-kompatibilitet.

Hvordan gør jeg bekræfte, at Microsoft Defender Antivirus er i aktiv eller passiv tilstand?

Hvis du vil bekræfte, om Microsoft Defender Antivirus kører i aktiv eller passiv tilstand, kan du bruge Kommandoprompt eller PowerShell på en enhed, der kører Windows.

Metode Procedure
PowerShell 1. Vælg menuen Start, begynd at skrive PowerShell, og åbn derefter Windows PowerShell i resultaterne.

2. Skriv Get-MpComputerStatus.

3. På listen over resultater skal du i rækken AMRunningMode søge efter en af følgende værdier:
- Normal
- Passive Mode

Du kan få mere at vide under Get-MpComputerStatus.
Kommandoprompt
  1. Vælg menuen Start, begynd at skrive Command Prompt, og åbn derefter Windows-kommandoprompten i resultaterne.
  2. Type sc query windefend.
  3. På listen over resultater skal du i rækken STATE bekræfte, at tjenesten kører.

Hvordan gør jeg bekræfte, at EDR i blokeringstilstand er slået til med Microsoft Defender Antivirus i passiv tilstand?

Du kan bruge PowerShell til at bekræfte, at EDR i blokeringstilstand er slået til med Microsoft Defender Antivirus, der kører i passiv tilstand.

  1. Vælg menuen Start, begynd at skrive PowerShell, og åbn derefter Windows PowerShell i resultaterne.

  2. Type Get-MPComputerStatus|select AMRunningMode.

  3. Bekræft, EDR Block Modeat resultatet vises.

Tip

Hvis Microsoft Defender Antivirus er i aktiv tilstand, får du vist Normal i stedet for EDR Block Mode. Du kan få mere at vide under Get-MpComputerStatus.

Understøttes EDR i blokeret tilstand på Windows Server 2016 og Windows Server 2012 R2?

Hvis Microsoft Defender Antivirus kører i aktiv tilstand eller passiv tilstand, understøttes EDR i bloktilstand af følgende versioner af Windows:

  • Windows 11
  • Windows 10 (alle udgivelser)
  • Windows Server, version 1803 eller nyere
  • Windows Server 2022
  • Windows Server 2019
  • Windows Server 2016 og Windows Server 2012 R2 (med den nye samlede klientløsning)

Med den nye unified klientløsning til Windows Server 2016 og Windows Server 2012 R2 kan du køre EDR i blokeringstilstand i enten passiv tilstand eller aktiv tilstand.

Bemærk!

Windows Server 2016 og Windows Server 2012 R2 skal onboardes ved hjælp af vejledningen i Indbyggede Windows-servere, for at denne funktion fungerer.

Hvor lang tid tager det, før EDR i blokeringstilstand deaktiveres?

Hvis du vælger at deaktivere EDR i blokeringstilstand, kan det tage op til 30 minutter, før systemet deaktiverer denne funktion.

Se også