Blocca applicazioni vulnerabili

  • Articolo

Si applica a:

Nota

Per usare questa funzionalità è necessario Gestione delle vulnerabilità di Microsoft Defender autonomo o se si è già un cliente Microsoft Defender per endpoint Piano 2, il componente aggiuntivo Defender Vulnerability Management.

La correzione delle vulnerabilità richiede tempo e può dipendere dalle responsabilità e dalle risorse del team IT. Gli amministratori della sicurezza possono ridurre temporaneamente il rischio di una vulnerabilità eseguendo azioni immediate per bloccare tutte le versioni vulnerabili attualmente note di un'applicazione, fino al completamento della richiesta di correzione. L'opzione blocca consente ai team IT di applicare patch all'applicazione senza che gli amministratori della sicurezza si preoccupano che le vulnerabilità vengano sfruttate nel frattempo.

Durante l'esecuzione dei passaggi di correzione suggeriti da un consiglio di sicurezza, gli amministratori della sicurezza con le autorizzazioni appropriate possono eseguire un'azione di mitigazione e bloccare le versioni vulnerabili di un'applicazione. Gli indicatori di compromissione dei file (IOC) vengono creati per ognuno dei file eseguibili che appartengono a versioni vulnerabili dell'applicazione. Microsoft Defender Antivirus applica quindi i blocchi nei dispositivi che si trovano nell'ambito specificato.

Consiglio

Sapevi che puoi provare tutte le funzionalità in Gestione delle vulnerabilità di Microsoft Defender gratuitamente? Scopri come iscriversi per una versione di valutazione gratuita.

Bloccare o avvisare l'azione di mitigazione

L'azione di blocco ha lo scopo di impedire l'esecuzione di tutte le versioni vulnerabili installate dell'applicazione nell'organizzazione. Ad esempio, se è presente una vulnerabilità zero-day attiva, è possibile impedire agli utenti di eseguire il software interessato mentre si determinano le opzioni di work-around.

L'azione di avviso ha lo scopo di inviare un avviso agli utenti quando aprono versioni vulnerabili dell'applicazione. Gli utenti possono scegliere di ignorare l'avviso e accedere all'applicazione per gli avvii successivi.

Per entrambe le azioni, è possibile personalizzare il messaggio visualizzato dagli utenti. Ad esempio, è possibile incoraggiarli a installare la versione più recente. Inoltre, è possibile specificare un URL personalizzato a cui gli utenti accedono quando selezionano la notifica. Si noti che l'utente deve selezionare il corpo della notifica di tipo avviso popup per passare all'URL personalizzato. Può essere usato per fornire dettagli aggiuntivi specifici per la gestione delle applicazioni nell'organizzazione.

Nota

Le azioni di blocco e avviso vengono in genere applicate entro un paio di minuti, ma possono richiedere fino a 3 ore.

Requisiti minimi

  • Microsoft Defender Antivirus (modalità attiva): per il rilevamento degli eventi di esecuzione dei file e il blocco è necessario abilitare Microsoft Defender Antivirus in modalità attiva. Per progettazione, la modalità passiva ed EDR in modalità blocco non possono rilevare e bloccare in base all'esecuzione di file. Per altre informazioni, vedere Distribuire Microsoft Defender Antivirus.
  • Protezione fornita dal cloud (abilitata): per altre informazioni, vedere Gestire la protezione basata sul cloud.
  • Consenti o blocca il file (on): passare a Impostazioni>Endpoint>Funzionalità> avanzateConsenti o blocca file. Per altre informazioni, vedere Funzionalità avanzate.

Requisiti di versione

  • La versione del client Antimalware deve essere 4.18.1901.x o successiva.
  • La versione del motore deve essere 1.1.16200.x o successiva.
  • Supportato nei dispositivi Windows 10 versione 1809 o successiva con gli aggiornamenti di Windows più recenti installati.

Autorizzazioni

  • Se si usa il controllo degli accessi in base al ruolo, è necessario assegnare l'autorizzazione Gestione delle minacce e delle vulnerabilità - Gestione delle applicazioni .
  • Se non è stato attivato il controllo degli accessi in base al ruolo, è necessario avere uno dei ruoli di Microsoft Entra seguenti: amministratore della sicurezza o amministratore globale. Per altre informazioni sulle autorizzazioni, vedere Autorizzazioni di base.

Come bloccare le applicazioni vulnerabili

  1. Passare aRaccomandazioni sulla gestione >delle vulnerabilitànel portale di Microsoft Defender.

  2. Selezionare un consiglio di sicurezza per visualizzare un riquadro a comparsa con altre informazioni.

  3. Selezionare Richiedi correzione.

  4. Selezionare se si vuole applicare la correzione e la mitigazione a tutti i gruppi di dispositivi o solo a pochi.

  5. Selezionare le opzioni di correzione nella pagina Richiesta di correzione . Le opzioni di correzione sono l'aggiornamento software, la disinstallazione del software e l'attenzione necessaria.

  6. Selezionare una data di scadenza correzione e selezionare Avanti.

  7. In Azione di mitigazione selezionare Blocca o Avvisa. Dopo aver inviato un'azione di mitigazione, viene applicata immediatamente.

    Azione di mitigazione

  8. Esaminare le selezioni effettuate e inviare la richiesta. Nella pagina finale è possibile scegliere di passare direttamente alla pagina di correzione per visualizzare lo stato di avanzamento delle attività di correzione e visualizzare l'elenco delle applicazioni bloccate.

Importante

In base ai dati disponibili, l'azione di blocco avrà effetto sugli endpoint dell'organizzazione che hanno Microsoft Defender Antivirus. Microsoft Defender per endpoint tenterà di impedire l'esecuzione dell'applicazione o della versione vulnerabile applicabile.

Se vengono rilevate altre vulnerabilità in una versione diversa di un'applicazione, viene visualizzato un nuovo consiglio di sicurezza che richiede di aggiornare l'applicazione ed è anche possibile scegliere di bloccare questa versione diversa.

Quando il blocco non è supportato

Se non viene visualizzata l'opzione di mitigazione durante la richiesta di correzione, è perché la possibilità di bloccare l'applicazione non è attualmente supportata. Le raccomandazioni che non includono azioni di mitigazione includono:

  • Applicazioni Microsoft
  • Raccomandazioni relative ai sistemi operativi
  • Raccomandazioni relative alle app per macOS e Linux
  • App in cui Microsoft non dispone di informazioni sufficienti o di un'attendibilità elevata da bloccare
  • App di Microsoft Store, che non possono essere bloccate perché firmate da Microsoft

Se si tenta di bloccare un'applicazione e non funziona, è possibile che sia stata raggiunta la capacità massima dell'indicatore. In tal caso, è possibile eliminare gli indicatori precedenti Altre informazioni sugli indicatori.

Visualizzare le attività di correzione

Dopo aver inviato la richiesta, passare aAttività dicorrezione> della gestione> delle vulnerabilità per visualizzare l'attività di correzione appena creata.

Filtra in base al tipo di mitigazione: blocca e/o avvisa per visualizzare tutte le attività relative alle azioni di blocco o avviso.

Si tratta di un log attività e non dello stato corrente del blocco dell'applicazione. Selezionare l'attività pertinente per visualizzare un riquadro a comparsa con i dettagli, tra cui la descrizione della correzione, la descrizione della mitigazione e lo stato di correzione del dispositivo:

Dettagli di correzione e mitigazione

Visualizzare le applicazioni bloccate

Per trovare l'elenco delle applicazioni bloccate, passare alla scheda Applicazionibloccatecorrezione>:

Applicazione bloccata

Selezionare un'applicazione bloccata per visualizzare un riquadro a comparsa con dettagli sul numero di vulnerabilità, se sono disponibili exploit, versioni bloccate e attività di correzione.

L'opzione Visualizza i dettagli delle versioni bloccate nella pagina Indicatore consente di accedere alla pagina Impostazioni>indicatori endpoint> in cui è possibile visualizzare gli hash dei file e le azioni di risposta.

Nota

Se si usa l'API Indicatori con query sugli indicatori a livello di codice come parte dei flussi di lavoro, tenere presente che l'azione di blocco fornirà risultati aggiuntivi.

Attualmente alcuni rilevamenti correlati ai criteri di avviso possono essere visualizzati come malware attivo in Microsoft Defender XDR e/o Microsoft Intune. Questo comportamento verrà risolto in una versione futura.

È anche possibile sbloccare il software o aprire la pagina software:

Dettagli dell'applicazione bloccata

Sbloccare le applicazioni

Selezionare un'applicazione bloccata per visualizzare l'opzione Sblocca software nel riquadro a comparsa.

Dopo aver sbloccato un'applicazione, aggiornare la pagina per visualizzarla rimossa dall'elenco. Possono essere richieste fino a 3 ore prima che un'applicazione venga sbloccata e diventi nuovamente accessibile agli utenti.

Esperienza degli utenti per le applicazioni bloccate

Quando gli utenti tentano di accedere a un'applicazione bloccata, ricevono un messaggio che informa che l'applicazione è stata eseguita dall'organizzazione. Questo messaggio è personalizzabile.

Per le applicazioni in cui è stata applicata l'opzione di mitigazione degli avvisi, gli utenti ricevono un messaggio che informa che l'applicazione è stata bloccata dall'organizzazione. L'utente ha la possibilità di ignorare il blocco per gli avvii successivi, scegliendo "Consenti". Questa operazione è solo temporanea e l'applicazione verrà nuovamente bloccata dopo un po'.

Nota

Se l'organizzazione ha distribuito i criteri di gruppo DisableLocalAdminMerge, è possibile che si verifichino istanze in cui l'abilitazione di un'applicazione non ha effetto. Questo comportamento verrà risolto in una versione futura.

Aggiornamento delle applicazioni bloccate da parte dell'utente finale

Una domanda comune è in che modo un utente finale aggiorna un'applicazione bloccata? Il blocco viene applicato bloccando il file eseguibile. Alcune applicazioni, ad esempio Firefox, si basano su un eseguibile di aggiornamento separato, che non verrà bloccato da questa funzionalità. In altri casi in cui l'applicazione richiede l'aggiornamento del file eseguibile principale, è consigliabile implementare il blocco in modalità di avviso (in modo che l'utente finale possa ignorare il blocco) o l'utente finale possa eliminare l'applicazione (se non sono archiviate informazioni vitali nel client) e reinstallare l'applicazione.