Blokuj aplikacje podatne na zagrożenia

Dotyczy:

• Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender
• Microsoft Defender XDR
• Microsoft Defender dla serwerów plan 2

Uwaga

Aby korzystać z tej funkcji, musisz Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender autonomiczną lub jeśli jesteś już klientem Ochrona punktu końcowego w usłudze Microsoft Defender planie 2, luka w zabezpieczeniach usługi Defender Dodatek do zarządzania.

Korygowanie luk w zabezpieczeniach wymaga czasu i może zależeć od obowiązków i zasobów zespołu IT. Administratorzy zabezpieczeń mogą tymczasowo zmniejszyć ryzyko wystąpienia luki w zabezpieczeniach, podejmując natychmiastowe działania w celu zablokowania wszystkich obecnie znanych wersji aplikacji, które są narażone na zagrożenia, aż do zakończenia żądania korygowania. Opcja bloku daje zespołom IT czas na stosowanie poprawek aplikacji bez obaw administratorów zabezpieczeń, że luki w zabezpieczeniach zostaną wykorzystane w międzyczasie.

Wykonując kroki korygowania sugerowane przez zalecenie dotyczące zabezpieczeń, administratorzy zabezpieczeń z odpowiednimi uprawnieniami mogą wykonać akcję ograniczania ryzyka i zablokować wrażliwe wersje aplikacji. Wskaźniki naruszenia zabezpieczeń plików (MKOl) są tworzone dla każdego z plików wykonywalnych, które należą do narażonych wersji tej aplikacji. Microsoft Defender Program antywirusowy wymusza bloki na urządzeniach znajdujących się w określonym zakresie.

Porada

Czy wiesz, że możesz bezpłatnie wypróbować wszystkie funkcje w Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender? Dowiedz się, jak utworzyć konto bezpłatnej wersji próbnej.

Blokuj lub ostrzegaj przed akcją ograniczania ryzyka

Akcja bloku ma na celu zablokowanie uruchamiania wszystkich zainstalowanych wersji aplikacji znajdujących się w trudnej sytuacji w organizacji. Jeśli na przykład istnieje aktywna luka w zabezpieczeniach zero-day, możesz zablokować użytkownikom możliwość uruchamiania oprogramowania, którego dotyczy problem, podczas określania opcji obejścia.

Akcja ostrzeżenia ma na celu wysłanie ostrzeżenia do użytkowników po otwarciu narażonych wersji aplikacji. Użytkownicy mogą pominąć ostrzeżenie i uzyskać dostęp do aplikacji na kolejne uruchomienia.

W przypadku obu akcji można dostosować komunikat wyświetlany przez użytkowników. Możesz na przykład zachęcić ich do zainstalowania najnowszej wersji. Ponadto możesz podać niestandardowy adres URL, do który użytkownicy nawigują po wybraniu powiadomienia. Należy pamiętać, że użytkownik musi wybrać treść wyskakujących powiadomień, aby przejść do niestandardowego adresu URL. Może to służyć do podawania dodatkowych szczegółów specyficznych dla zarządzania aplikacjami w organizacji.

Uwaga

Akcje bloku i ostrzeżenia są zwykle wymuszane w ciągu kilku minut, ale mogą potrwać do 3 godzin.

Minimalne wymagania

• Microsoft Defender Antivirus (tryb aktywny): wykrywanie zdarzeń wykonywania plików i blokowanie wymaga włączenia programu antywirusowego Microsoft Defender w trybie aktywnym. Zgodnie z projektem tryb pasywny i EDR w trybie bloku nie mogą wykrywać i blokować na podstawie wykonywania pliku. Aby dowiedzieć się więcej, zobacz wdrażanie programu antywirusowego Microsoft Defender.
• Ochrona dostarczana w chmurze (włączona): Aby uzyskać więcej informacji, zobacz Zarządzanie ochroną opartą na chmurze.
• Zezwalaj lub blokuj plik (włączony): przejdź do pozycji Ustawienia>Punkty końcowe>Funkcje> zaawansowaneZezwalaj lub blokuj plik. Aby dowiedzieć się więcej, zobacz Funkcje zaawansowane.

Wymagania dotyczące wersji

• Wersja klienta ochrony przed złośliwym kodem musi mieć wersję 4.18.1901.x lub nowszą.
• Wersja aparatu musi mieć wersję 1.1.16200.x lub nowszą.
• Obsługiwane na urządzeniach Windows 10 w wersji 1809 lub nowszej z zainstalowanymi najnowszymi aktualizacjami systemu Windows.

Uprawnienia

• Jeśli używasz kontroli dostępu opartej na rolach (RBAC), musisz mieć przypisane uprawnienie Zarządzanie zagrożeniami i lukami w zabezpieczeniach — Obsługa aplikacji .
• Jeśli nie włączono kontroli dostępu opartej na rolach, musisz mieć przypisaną jedną z następujących ról Microsoft Entra: administratora zabezpieczeń lub administratora globalnego. Aby dowiedzieć się więcej o uprawnieniach, przejdź do pozycji Uprawnienia podstawowe.

Jak blokować aplikacje narażone na ataki

1. Przejdź doobszaru Zalecenia dotyczącezarządzania lukami> w zabezpieczeniach w portalu Microsoft Defender.

2. Wybierz zalecenie dotyczące zabezpieczeń, aby wyświetlić wysuwany element z większą ilością informacji.

3. Wybierz pozycję Zażądaj korygowania.

4. Wybierz, czy chcesz zastosować korygowanie i środki zaradcze do wszystkich grup urządzeń, czy tylko do kilku.

5. Wybierz opcje korygowania na stronie żądania korygowania . Opcje korygowania to aktualizacja oprogramowania, odinstalowywanie oprogramowania i wymagana uwaga.

6. Wybierz datę ukończenia korygowania i wybierz pozycję Dalej.

7. W obszarze Akcja ograniczania ryzyka wybierz pozycję Blokuj lub Ostrzegaj. Po przesłaniu akcji zaradczej zostanie ona natychmiast zastosowana.

   

8. Przejrzyj wybrane opcje i prześlij żądanie. Na ostatniej stronie możesz przejść bezpośrednio do strony korygowania, aby wyświetlić postęp działań korygujących i wyświetlić listę zablokowanych aplikacji.

Ważna

Na podstawie dostępnych danych akcja bloku zacznie obowiązywać w punktach końcowych w organizacji, które mają Microsoft Defender program antywirusowy. Ochrona punktu końcowego w usłudze Microsoft Defender podejmie najlepszą próbę zablokowania uruchamiania odpowiedniej aplikacji lub wersji narażonej na zagrożenia.

Jeśli w innej wersji aplikacji zostaną znalezione dodatkowe luki w zabezpieczeniach, otrzymasz nowe zalecenie dotyczące zabezpieczeń z prośbą o zaktualizowanie aplikacji i możesz również zablokować tę inną wersję.

Blokowanie nie jest obsługiwane

Jeśli nie widzisz opcji ograniczania ryzyka podczas żądania korygowania, jest to spowodowane tym, że możliwość zablokowania aplikacji nie jest obecnie obsługiwana. Zalecenia, które nie obejmują akcji ograniczania ryzyka, obejmują:

• Aplikacje firmy Microsoft
• Zalecenia dotyczące systemów operacyjnych
• Zalecenia dotyczące aplikacji dla systemów macOS i Linux
• Aplikacje, w których firma Microsoft nie ma wystarczających informacji lub nie ma dużego zaufania do blokowania
• Aplikacje ze Sklepu Microsoft, których nie można zablokować, ponieważ są podpisane przez firmę Microsoft

Jeśli spróbujesz zablokować aplikację i to nie zadziała, być może osiągnięto maksymalną pojemność wskaźnika. Jeśli tak, możesz usunąć stare wskaźniki Dowiedz się więcej o wskaźnikach.

Wyświetlanie działań korygowania

Po przesłaniu żądania przejdź do obszaru Działaniakorygowania>zarządzania lukami> wzabezpieczeniach, aby wyświetlić nowo utworzone działanie korygowania.

Filtruj według typu środki zaradcze: Blokuj i/lub ostrzegaj, aby wyświetlić wszystkie działania dotyczące akcji blokowania lub ostrzegania.

Jest to dziennik aktywności, a nie bieżący stan bloku aplikacji. Wybierz odpowiednie działanie, aby wyświetlić panel wysuwany ze szczegółami, w tym opisem korygowania, opisem ograniczenia ryzyka i stanem korygowania urządzenia:

Wyświetlanie zablokowanych aplikacji

Znajdź listę zablokowanych aplikacji, przechodząc do karty Korygowanie>zablokowanych aplikacji :

Wybierz zablokowaną aplikację, aby wyświetlić wysuwaną aplikację ze szczegółowymi informacjami o liczbie luk w zabezpieczeniach, o tym, czy są dostępne luki w zabezpieczeniach, czy zablokowane wersje i działania korygujące.

Opcja Wyświetl szczegóły zablokowanych wersji na stronie Wskaźnik powoduje wyświetlenie stronyWskaźnikipunktów końcowych ustawień>>, na której można wyświetlić skróty plików i akcje odpowiedzi.

Uwaga

Jeśli używasz interfejsu API wskaźników z programowymi zapytaniami wskaźników w ramach przepływów pracy, pamiętaj, że akcja bloku zapewni dodatkowe wyniki.

Obecnie niektóre wykrycia związane z zasadami ostrzegania mogą być wyświetlane jako aktywne złośliwe oprogramowanie w Microsoft Defender XDR i/lub Microsoft Intune. To zachowanie zostanie naprawione w nadchodzącej wersji.

Możesz również odblokować oprogramowanie lub otworzyć stronę oprogramowania:

Odblokowywanie aplikacji

Wybierz zablokowaną aplikację, aby wyświetlić opcję Odblokuj oprogramowanie w wysuwnym oknie.

Po odblokowaniu aplikacji odśwież stronę, aby zobaczyć, jak została usunięta z listy. Odblokowanie aplikacji i ponowne udostępnienie jej użytkownikom może potrwać do 3 godzin.

Środowisko użytkowników dla zablokowanych aplikacji

Gdy użytkownicy próbują uzyskać dostęp do zablokowanej aplikacji, otrzymują komunikat informujący o tym, że aplikacja jest przez organizację. Ten komunikat można dostosować.

W przypadku aplikacji, w których zastosowano opcję ograniczania ryzyka ostrzeżenia, użytkownicy otrzymują komunikat informujący o zablokowaniu aplikacji przez organizację. Użytkownik ma możliwość obejścia bloku dla kolejnych startów, wybierając pozycję "Zezwalaj". To zezwolenie jest tylko tymczasowe, a aplikacja zostanie ponownie zablokowana po chwili.

Uwaga

Jeśli twoja organizacja wdrożyła zasady grupy DisableLocalAdminMerge, mogą wystąpić wystąpienia, w których zezwolenie aplikacji nie zostanie zastosowane. To zachowanie zostanie naprawione w nadchodzącej wersji.

Aktualizowanie zablokowanych aplikacji przez użytkownika końcowego

Często zadawane pytanie brzmi, w jaki sposób użytkownik końcowy aktualizuje zablokowaną aplikację? Blok jest wymuszany przez zablokowanie pliku wykonywalnego. Niektóre aplikacje, takie jak Firefox, korzystają z oddzielnego pliku wykonywalnego aktualizacji, który nie zostanie zablokowany przez tę funkcję. W innych przypadkach, gdy aplikacja wymaga aktualizacji głównego pliku wykonywalnego, zaleca się zaimplementowanie bloku w trybie ostrzegania (aby użytkownik końcowy mógł pominąć blok) lub użytkownik końcowy mógł usunąć aplikację (jeśli żadne istotne informacje nie są przechowywane na kliencie) i ponownie zainstalować aplikację.

Artykuły pokrewne

• Luki w zabezpieczeniach w mojej organizacji