Blokker sårbare programmer
Gjelder for:
- Håndtering av trusler og sikkerhetsproblemer i Microsoft Defender
- Microsoft Defender XDR
- Microsoft Defender for Servers Plan 2
Obs!
Hvis du vil bruke denne funksjonen, må du Microsoft Defender Vulnerability Management frittstående, eller hvis du allerede er en Microsoft Defender for endepunkt Plan 2-kunde, tilleggsprogrammet Defender Vulnerability Management.
Utbedring av sårbarheter tar tid og kan være avhengig av IT-teamets ansvar og ressurser. Sikkerhetsadministratorer kan midlertidig redusere risikoen for et sikkerhetsproblem ved å iverksette umiddelbare tiltak for å blokkere alle kjente sårbare versjoner av et program til utbedringsforespørselen er fullført. Blokkalternativet gir IT-team tid til å oppdatere programmet uten at sikkerhetsadministratorer bekymrer seg for at sårbarhetene vil bli utnyttet i mellomtiden.
Når du utfører utbedringstrinnene som foreslås av en sikkerhetsanbefaling, kan sikkerhetsadministratorer med de riktige tillatelsene utføre en utbedringshandling og blokkere sårbare versjoner av et program. Filindikatorer for kompromisser (IOC)-er opprettes for hver av de kjørbare filene som tilhører sårbare versjoner av programmet. Microsoft Defender Antivirus håndhever deretter blokker på enhetene som er i det angitte omfanget.
Tips
Visste du at du kan prøve alle funksjonene i Microsoft Defender Vulnerability Management gratis? Finn ut hvordan du registrerer deg for en gratis prøveversjon.
Blokker eller advar tiltak for reduksjon
Blokkhandlingen er ment å blokkere alle installerte sårbare versjoner av programmet i organisasjonen fra å kjøre. Hvis det for eksempel finnes et aktivt sikkerhetsproblem på null dager, kan du blokkere brukerne fra å kjøre den berørte programvaren mens du bestemmer alternativer for omarbeiding.
Advarselshandlingen er ment å sende en advarsel til brukerne når de åpner sårbare versjoner av programmet. Brukere kan velge å hoppe over advarselen og få tilgang til programmet for etterfølgende lanseringer.
For begge handlingene kan du tilpasse meldingen brukerne ser. Du kan for eksempel oppfordre dem til å installere den nyeste versjonen. I tillegg kan du angi en egendefinert nettadresse som brukerne navigerer til når de velger varselet. Vær oppmerksom på at brukeren må velge brødteksten i varselet for å navigere til den egendefinerte nettadressen. Dette kan brukes til å gi ytterligere detaljer som er spesifikke for programbehandlingen i organisasjonen.
Obs!
Blokk- og advarselshandlingene håndheves vanligvis innen et par minutter, men det kan ta opptil tre timer.
Minimumskrav
- Microsoft Defender Antivirus (aktiv modus): Gjenkjenning av hendelser for filkjøring og blokkering krever at Microsoft Defender Antivirus aktiveres i aktiv modus. Ved utforming kan ikke passiv modus og EDR i blokkmodus oppdage og blokkere basert på filkjøring. Hvis du vil ha mer informasjon, kan du se distribuer Microsoft Defender Antivirus.
- Skybasert beskyttelse (aktivert): Hvis du vil ha mer informasjon, kan du se Administrere skybasert beskyttelse.
- Tillat eller blokker fil (på): Gå tilAvanserte funksjoner>forInnstillinger-endepunkter>>Tillat eller blokker fil. Hvis du vil ha mer informasjon, kan du se Avanserte funksjoner.
Versjonskrav
- Klientversjonen for beskyttelse mot skadelig programvare må være 4.18.1901.x eller nyere.
- Motorversjonen må være 1.1.16200.x eller nyere.
- Støttes på Windows 10 enheter, versjon 1809 eller nyere, med de nyeste windows-oppdateringene installert.
Tillatelser
- Hvis du bruker rollebasert tilgangskontroll (RBAC), må du ha trussel- og sårbarhetsbehandling – tilordnet tillatelse til programbehandling .
- Hvis du ikke har aktivert RBAC, må du ha én av følgende Microsoft Entra roller tilordnet: sikkerhetsadministrator eller global administrator. Hvis du vil lære mer om tillatelser, kan du gå til Grunnleggende tillatelser.
Slik blokkerer du sårbare programmer
Gå tilanbefalinger forbehandling av sikkerhetsproblemer> i Microsoft Defender-portalen.
Velg en sikkerhetsanbefaling for å se en undermeny med mer informasjon.
Velg Utbedring av forespørsel.
Velg om du vil bruke utbedring og utbedring på alle enhetsgrupper eller bare noen få.
Velg utbedringsalternativene på utbedringsforespørselssiden . Utbedringsalternativene er programvareoppdatering, avinstallasjon av programvare og nødvendig oppmerksomhet.
Velg en utbedringsdato , og velg Neste.
Velg Blokker eller advar under Begrensningshandling. Når du sender inn en utbedringshandling, brukes den umiddelbart.
Se gjennom valgene du har gjort, og send inn forespørselen. På den siste siden kan du velge å gå direkte til utbedringssiden for å vise fremdriften for utbedringsaktiviteter og se listen over blokkerte programmer.
Viktig
Basert på tilgjengelige data trer blokkhandlingen i kraft på endepunkter i organisasjonen som har Microsoft Defender Antivirus. Microsoft Defender for endepunkt vil gjøre et forsøk på å blokkere gjeldende sårbar applikasjon eller versjon fra å kjøre.
Hvis det blir funnet flere sikkerhetsproblemer i en annen versjon av et program, får du en ny sikkerhetsanbefaling som ber deg om å oppdatere programmet, og du kan også blokkere denne versjonen.
Når blokkering ikke støttes
Hvis du ikke ser begrensningsalternativet mens du ber om utbedring, er det fordi muligheten til å blokkere programmet for øyeblikket ikke støttes. Anbefalinger som ikke inkluderer begrensningshandlinger inkluderer:
- Microsoft-programmer
- Anbefalinger relatert til operativsystemer
- Anbefalinger relatert til apper for macOS og Linux
- Apper der Microsoft ikke har tilstrekkelig informasjon eller høy visshet til å blokkere
- Microsoft Store-apper som ikke kan blokkeres fordi de er signert av Microsoft
Hvis du prøver å blokkere et program og det ikke fungerer, kan det hende du har nådd maksimal indikatorkapasitet. I så fall kan du slette gamle indikatorer Mer informasjon om indikatorer.
Vis utbedringsaktiviteter
Når du har sendt inn forespørselen, kan du gå tilutbedringsaktiviteter> for sikkerhetsbehandling> for å se den nylig opprettede utbedringsaktiviteten.
Filtrer etter begrensningstype: Blokker og/eller Advar for å vise alle aktiviteter som gjelder for å blokkere eller advare handlinger.
Dette er en aktivitetslogg, og ikke gjeldende blokkstatus for programmet. Velg den relevante aktiviteten for å se et undermenypanel med detaljer, inkludert utbedringsbeskrivelsen, utbedringsbeskrivelsen og utbedringsstatusen for enheten:
Vis blokkerte programmer
Finn listen over blokkerte programmer ved å gå til fanenBlokkerte programmerfor utbedring>:
Velg et blokkert program for å vise en undermeny med detaljer om antall sårbarheter, om utnyttelser er tilgjengelige, blokkerte versjoner og utbedringsaktiviteter.
Alternativet for å vise detaljer om blokkerte versjoner på indikatorsiden tar deg tilsiden Indikatorer> forinnstillinger-endepunkter> der du kan vise fil-hash-koder og svarhandlinger.
Obs!
Hvis du bruker Indikatorer-API-en med programmatiske indikatorspørringer som en del av arbeidsflytene, må du være oppmerksom på at blokkhandlingen vil gi flere resultater.
Noen oppdagelser relatert til advarslingspolicyer kan for øyeblikket vises som aktiv skadelig programvare i Microsoft Defender XDR og/eller Microsoft Intune. Denne virkemåten vil bli løst i en kommende utgivelse.
Du kan også oppheve blokkeringen av programvare eller åpne programvaresiden:
Opphev blokkeringen av programmer
Velg et blokkert program for å vise alternativet for å oppheve blokkeringen av programvare i undermenyen.
Når du har opphevet blokkeringen av et program, oppdaterer du siden for å se at den er fjernet fra listen. Det kan ta opptil tre timer før et program opphever blokkeringen og blir tilgjengelig for brukerne på nytt.
Brukeropplevelse for blokkerte programmer
Når brukere prøver å få tilgang til et blokkert program, mottar de en melding som informerer dem om at programmet var av organisasjonen. Denne meldingen kan tilpasses.
For programmer der alternativet for varslingsreduksjon ble brukt, mottar brukerne en melding som informerer dem om at programmet er blokkert av organisasjonen. Brukeren har mulighet til å hoppe over blokken for etterfølgende lanseringer, ved å velge «Tillat». Denne tillatelsen er bare midlertidig, og programmet blokkeres på nytt etter en stund.
Obs!
Hvis organisasjonen har distribuert gruppepolicyen DisableLocalAdminMerge, kan du oppleve forekomster der det ikke trer i kraft å tillate et program. Denne virkemåten vil bli løst i en kommende utgivelse.
Sluttbruker oppdaterer blokkerte programmer
Et vanlig spørsmål er hvordan en sluttbruker oppdaterer et blokkert program? Blokken håndheves ved å blokkere den kjørbare filen. Noen programmer, for eksempel Firefox, er avhengige av en separat kjørbar oppdatering, som ikke blokkeres av denne funksjonen. I andre tilfeller når programmet krever at den primære kjørbare filen oppdateres, anbefales det å implementere blokken i varslingsmodus (slik at sluttbrukeren kan hoppe over blokken) eller sluttbrukeren kan slette programmet (hvis ingen viktig informasjon lagres på klienten) og installerer programmet på nytt.
Relaterte artikler
Tilbakemeldinger
Kommer snart: Gjennom 2024 faser vi ut GitHub Issues som tilbakemeldingsmekanisme for innhold, og erstatter det med et nytt system for tilbakemeldinger. Hvis du vil ha mer informasjon, kan du se: https://aka.ms/ContentUserFeedback.
Send inn og vis tilbakemelding for