适用于 受众 “首次看到时阻止”是 Windows Defender 云保护的一项功能,提供了快速检测并阻止新恶意软件的方法。 在某些先决条件设置已启用的情况下,它也默认启用。 在大多数情况下,这些先决条件设置也默认处于启用状态,因此该功能可在无需任何干预的情况下运行。 工作原理当 Windows Defender 客户端遇到可疑但未检测的文件时,它将查询云保护后端。 云后端将应用启发式、计算机学习以及自动文件分析,以确定文件是恶意文件还是干净文件。 如果云后端无法做出决定,Windows Defender 将阻止该文件,同时将副本上传到云。 仅在云接收文件后,Windows Defender 才会解除锁定,并允许文件运行。 云将执行其他分析以得出结论:以后只要遇到该文件,则一律阻止。 在许多情况下,此过程可将对新恶意软件的响应时间由几小时减少到几秒。 注意需要额外的后端处理才能得出结论的可疑文件下载,将由 Windows Defender 在遇到该文件的第一台计算机上阻止,直到该文件已上传到后端为止。 在上传该文件时,用户将在浏览器中看到较长的“正在运行安全扫描”消息。 这可能会导致某些文件下载速度似乎变慢。
确认“首次看到时阻止”已启用“首次看到时阻止”需要正确配置许多组策略设置,否则它将不会运行。 通常,在企业网络上,这些设置已在大部分默认 Windows Defender 部署中启用。 重要事项System Center Configuration Manager 中没有特定的一项设置可启用“首次看到时阻止”。 在先决条件设置已正确配置的情况下,它才默认启用。
使用组策略确认“首次看到时阻止”已启用在组策略管理计算机上,打开 组策略管理控制台、右键单击想要配置的组策略对象,然后单击“编辑”。 在“组策略管理编辑器”*中,转到“计算机配置”*。 依次单击“策略”*、“管理模板”*。 将树展开到“Windows 组件”>“Windows Defender”>“MAPS”****,然后配置以下组策略:
双击“加入 Microsoft MAPS”*设置,并确保该选项设置为“已启用”。 单击“确定”***。 双击“需要进一步分析时发送文件示例”*设置,然后确保该选项设置为“已启用”*,并且额外选项为以下其中之一:
警告设置为 0(“始终提示”)会降低设备的保护状态。 设置为 2(“永不发送”)意味着“首次看到时阻止”功能将不起作用。 单击“确定”****。
在“组策略管理编辑器”*中,将树展开到“Windows 组件”>“Windows Defender”>“实时保护”*:
如果需要更改任意设置,应在网络上重新部署组策略对象,以确保包含所有终结点。 使用 Windows 设置确认“首次看到时阻止”是否已启用注意如果已使用组策略配置并部署了先决条件设置,本部分所述的设置将灰显,并且在个别终结点上不可用。 通过组策略对象进行的更改必须先部署到个别终结点,然后 Windows 设置中的设置才会更新。
可以在 Windows 设置中确认“首次看到时阻止”是否已启用。 只要“基于云的保护”*和“自动提交示例”*都已打开,此功能将自动启用。 在个别客户端上确认“首次看到时阻止”是否已启用 打开 Windows Defender 设置: a. 打开 Windows Defender 应用,然后单击“设置”****。 b. 在主“Windows 设置”页上,依次单击“更新和安全”*、“Windows Defender”*。 确认“基于云的保护”*和“自动提交示例”已切换为“开”***。
禁用“首次看到时阻止”警告禁用“首次看到时阻止”功能会降低终结点和网络的保护状态。
注意无法使用 System Center Configuration Manager 禁用“首次看到时阻止”
如果希望在不使用“首次看到时阻止”保护的情况下保留先决条件设置,可选择禁用“首次看到时阻止”功能。 如果你遇到延迟问题,或者希望测试该功能对网络的影响,你可能需要执行此操作。 使用组策略禁用“首次看到时阻止” 在组策略管理计算机上,打开 组策略管理控制台、右键单击想要配置的组策略对象,然后单击“编辑”。 在“组策略管理编辑器”*中,转到“计算机配置”*。 依次单击“策略”*、“管理模板”*。 将树展开到“Windows 组件”>“Windows Defender”>“MAPS”****。 双击“配置‘首次看到时阻止’功能”*设置,然后将选项设置为“已禁用”*。 注意禁用“首次看到时阻止”功能将无法禁用或改变先决条件组策略。
| 
发表于 2016-10-24 14:03:22