Bloker sårbare programmer
Gælder for:
- Microsoft Defender Vulnerability Management
- Microsoft Defender XDR
- Microsoft Defender til Servers Plan 2
Bemærk!
Hvis du vil bruge denne funktion, skal du bruge Admininstration af håndtering af sikkerhedsrisici til Microsoft Defender separat, eller hvis du allerede er Microsoft Defender for Endpoint Plan 2-kunde, tilføjelsesprogrammet Administration af sårbarheder i Defender.
Afhjælpning af sikkerhedsrisici tager tid og kan være afhængig af it-teamets ansvar og ressourcer. Sikkerhedsadministratorer kan midlertidigt reducere risikoen for en sikkerhedsrisiko ved straks at blokere alle aktuelt kendte sårbare versioner af et program, indtil afhjælpningsanmodningen er fuldført. Blokeringsindstillingen giver it-teams tid til at reparere programmet uden sikkerhedsadministratorer, der er bekymrende for, at sårbarhederne vil blive udnyttet i mellemtiden.
Sikkerhedsadministratorer med de rette tilladelser kan udføre en afhjælpningshandling og blokere sårbare versioner af et program, mens de udfører de afhjælpningstrin, der foreslås i en sikkerhedsanbefaling. Der oprettes filindikatorer for kompromitterede (IOC)s for hver af de eksekverbare filer, der tilhører sårbare versioner af det pågældende program. Microsoft Defender Antivirus gennemtvinger derefter blokke på de enheder, der er inden for det angivne område.
Tip
Vidste du, at du kan prøve alle funktionerne i Admininstration af håndtering af sikkerhedsrisici til Microsoft Defender gratis? Få mere at vide om, hvordan du tilmelder dig en gratis prøveversion.
Bloker eller advar afhjælpningshandling
Bloker-handlingen er beregnet til at forhindre alle installerede sårbare versioner af programmet i din organisation i at køre. Hvis der f.eks. er en aktiv sikkerhedsrisiko på nul dage, kan du blokere dine brugere fra at køre den pågældende software, mens du bestemmer indstillinger for omgåelse.
Advarselshandlingen er beregnet til at sende en advarsel til dine brugere, når de åbner sårbare versioner af programmet. Brugerne kan vælge at tilsidesætte advarslen og få adgang til programmet til efterfølgende start.
For begge handlinger kan du tilpasse den meddelelse, som brugerne får vist. Du kan f.eks. opfordre dem til at installere den nyeste version. Du kan også angive en brugerdefineret URL-adresse, som brugerne navigerer til, når de vælger meddelelsen. Bemærk, at brugeren skal vælge brødteksten i toastmeddelelsen for at kunne navigere til den brugerdefinerede URL-adresse. Dette kan bruges til at angive yderligere oplysninger, der er specifikke for programstyringen i din organisation.
Bemærk!
Handlingerne Bloker og Advar gennemtvinges typisk inden for et par minutter, men kan tage op til tre timer.
Minimumskrav
- Microsoft Defender Antivirus (aktiv tilstand): Registrering af hændelser for filkørsel og blokering kræver, at Microsoft Defender Antivirus er aktiveret i aktiv tilstand. Passiv tilstand og EDR i bloktilstand kan tilsigtet ikke registrere og blokere baseret på filudførelse. Du kan få mere at vide under Udrul Microsoft Defender Antivirus.
- Skybaseret beskyttelse (aktiveret): Du kan få flere oplysninger under Administrer skybaseret beskyttelse.
- Tillad eller bloker fil (slået til): Gå til Indstillinger>Slutpunkter>Avancerede funktioner>Tillad eller bloker fil. Du kan få mere at vide under Avancerede funktioner.
Versionskrav
- Antimalware-klientversionen skal være 4.18.1901.x eller nyere.
- Programversionen skal være 1.1.16200.x eller nyere.
- Understøttes på Windows 10 enheder, version 1809 eller nyere, hvor de nyeste Windows-opdateringer er installeret.
Tilladelser
- Hvis du bruger rollebaseret adgangskontrol, skal du have tildelt tilladelsen Trussels- og sårbarhedsstyring – tilladelse til programhåndtering .
- Hvis du ikke har aktiveret RBAC, skal du have tildelt en af følgende Microsoft Entra roller: sikkerhedsadministrator eller global administrator. Du kan få mere at vide om tilladelser ved at gå til Grundlæggende tilladelser.
Sådan blokerer du sårbare programmer
Gå til Anbefalinger til administration af>sårbarheder på portalen Microsoft Defender.
Vælg en sikkerhedsanbefaling for at se et pop op-vindue med flere oplysninger.
Vælg Anmod om afhjælpning.
Vælg, om du vil anvende afhjælpningen og afhjælpningen på alle enhedsgrupper eller kun nogle få.
Vælg afhjælpningsindstillingerne på siden Afhjælpningsanmodning . Afhjælpningsindstillingerne er softwareopdatering, fjernelse af software og opmærksomhed påkrævet.
Vælg en forfaldsdato for afhjælpning, og vælg Næste.
Under Afhjælpningshandling skal du vælge Bloker eller Advar. Når du har indsendt en afhjælpningshandling, anvendes den straks.
Gennemse de valg, du har foretaget, og Send anmodning. På den sidste side kan du vælge at gå direkte til afhjælpningssiden for at få vist status for afhjælpningsaktiviteterne og se listen over blokerede programmer.
Vigtigt!
På baggrund af de tilgængelige data træder blokhandlingen i kraft på slutpunkter i organisationen, der har Microsoft Defender Antivirus. Microsoft Defender for Endpoint gør det bedste forsøg på at forhindre, at det relevante sårbare program eller den relevante version kører.
Hvis der findes yderligere sikkerhedsrisici i en anden version af et program, får du en ny sikkerhedsanbefaling, hvor du bliver bedt om at opdatere programmet, og du kan vælge også at blokere denne anden version.
Når blokering ikke understøttes
Hvis du ikke kan se afhjælpningsindstillingen, mens du anmoder om en afhjælpning, skyldes det, at muligheden for at blokere programmet i øjeblikket ikke understøttes. Anbefalinger, der ikke omfatter afhjælpningshandlinger, omfatter:
- Microsoft-programmer
- Anbefalinger vedrørende operativsystemer
- Anbefalinger relateret til apps til macOS og Linux
- Apps, hvor Microsoft ikke har tilstrækkelige oplysninger eller en høj genkendelsessikkerhed til at blokere
- Microsoft Store-apps, som ikke kan blokeres, fordi de er signeret af Microsoft
Hvis du forsøger at blokere et program, og det ikke virker, har du muligvis nået den maksimale indikatorkapacitet. Hvis det er tilfældet, kan du slette gamle indikatorer Få mere at vide om indikatorer.
Vis afhjælpningsaktiviteter
Når du har sendt anmodningen, skal du gå tilAfhjælpningsaktiviteter for administration af>sårbarheder> for at se den nyligt oprettede afhjælpningsaktivitet.
Filtrer efter afhjælpningstype: Bloker og/eller Advar for at få vist alle aktiviteter, der vedrører blok- eller advarselshandlinger.
Dette er en aktivitetslog og ikke programmets aktuelle blokstatus. Vælg den relevante aktivitet for at få vist et pop op-panel med detaljer, herunder afhjælpningsbeskrivelse, afhjælpningsbeskrivelse og status for enhedsafhjælpning:
Vis blokerede programmer
Find listen over blokerede programmer ved at gå til fanen Afhjælpning blokerede>programmer :
Vælg et blokeret program for at få vist et pop op-vindue med oplysninger om antallet af sikkerhedsrisici, om udnyttelser er tilgængelige, blokerede versioner og afhjælpningsaktiviteter.
Muligheden for at få vist detaljer om blokerede versioner på siden Indikator fører dig til siden Indstillinger>Slutpunkter>Indikatorer , hvor du kan få vist filhash og svarhandlinger.
Bemærk!
Hvis du bruger INDIKATORER-API'en med programmatiske indikatorforespørgsler som en del af dine arbejdsprocesser, skal du være opmærksom på, at blokhandlingen giver yderligere resultater.
I øjeblikket kan nogle registreringer, der er relateret til advarselspolitikker, blive vist som aktiv malware i Microsoft Defender XDR og/eller Microsoft Intune. Denne funktionsmåde vil blive løst i en kommende version.
Du kan også fjerne blokeringen af software eller siden Åbn software:
Fjern blokering af programmer
Vælg et blokeret program for at få vist indstillingen Fjern blokering af software i pop op-vinduet.
Når du har fjernet blokeringen af et program, kan du opdatere siden for at se den fjernet fra listen. Det kan tage op til tre timer, før blokeringen af et program fjernes og bliver tilgængelig for dine brugere igen.
Brugeroplevelse for blokerede programmer
Når brugerne forsøger at få adgang til et blokeret program, modtager de en meddelelse, der informerer dem om, at programmet er oprettet af deres organisation. Denne meddelelse kan tilpasses.
For programmer, hvor advarselsmitigeringsindstillingen blev anvendt, modtager brugerne en meddelelse, der informerer dem om, at programmet er blevet blokeret af deres organisation. Brugeren har mulighed for at tilsidesætte blokken ved efterfølgende start ved at vælge "Tillad". Denne tilladelse er kun midlertidig, og programmet blokeres igen efter et stykke tid.
Bemærk!
Hvis din organisation har installeret gruppepolitikken DisableLocalAdminMerge, kan du opleve tilfælde, hvor det ikke er muligt at aktivere et program. Denne funktionsmåde vil blive løst i en kommende version.
Slutbrugere opdaterer blokerede programmer
Et ofte stillet spørgsmål er, hvordan en slutbruger opdaterer et blokeret program? Blokken gennemtvinges ved at blokere den eksekverbare fil. Nogle programmer, f.eks. Firefox, er afhængige af en separat eksekverbar opdatering, som ikke blokeres af denne funktion. I andre tilfælde, hvor programmet kræver, at den primære eksekverbare fil opdateres, anbefales det enten at implementere blokken i advarselstilstand (så slutbrugeren kan omgå blokken), eller slutbrugeren kan slette programmet (hvis der ikke er gemt vigtige oplysninger på klienten) og geninstallerer programmet.
Relaterede artikler
Feedback
Kommer snart: I hele 2024 udfaser vi GitHub-problemer som feedbackmekanisme for indhold og erstatter det med et nyt feedbacksystem. Du kan få flere oplysninger under: https://aka.ms/ContentUserFeedback.
Indsend og få vist feedback om