Blokowanie aplikacji narażonych na zagrożenia (beta)

Dotyczy:

Ważne

Niektóre informacje odnoszą się do wstępnie wydanego produktu, który może zostać znacząco zmodyfikowany przed jego komercyjną premierą. Firma Microsoft nie udziela żadnych gwarancji, wyraźnych ani dorozumianych, w odniesieniu do podanych tutaj informacji.

Uwaga

Chcesz doświadczyć Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender? Dowiedz się więcej o tym, jak można zarejestrować się w Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender publicznej wersji zapoznawczej.

Korygowanie luk w zabezpieczeniach wymaga czasu i może zależeć od obowiązków i zasobów zespołu IT. Administratorzy zabezpieczeń mogą tymczasowo zmniejszyć ryzyko wystąpienia luki w zabezpieczeniach, podejmując natychmiastowe działania w celu zablokowania wszystkich obecnie znanych wersji aplikacji narażonych na zagrożenia do czasu ukończenia żądania korygowania. Opcja bloku daje zespołom IT czas na stosowanie poprawek aplikacji bez obaw administratorów zabezpieczeń, że luki w zabezpieczeniach zostaną wykorzystane w międzyczasie.

Wykonując kroki korygowania sugerowane przez zalecenie dotyczące zabezpieczeń, administratorzy zabezpieczeń z odpowiednimi uprawnieniami mogą wykonać akcję ograniczania ryzyka i zablokować wrażliwe wersje aplikacji. Wskaźniki naruszenia zabezpieczeń plików (IOC) zostaną utworzone dla każdego z plików wykonywalnych, które należą do narażonych wersji tej aplikacji. Program antywirusowy Microsoft Defender wymusza bloki na urządzeniach znajdujących się w określonym zakresie.

Blokuj lub ostrzegaj przed akcją ograniczania ryzyka

Akcja bloku ma na celu zablokowanie uruchamiania wszystkich zainstalowanych wersji aplikacji znajdujących się w trudnej sytuacji w organizacji. Jeśli na przykład istnieje aktywna luka w zabezpieczeniach zero-day, możesz zablokować użytkownikom możliwość uruchamiania oprogramowania, którego dotyczy problem, podczas określania opcji obejścia.

Akcja ostrzeżenia ma na celu wysłanie ostrzeżenia do użytkowników po otwarciu narażonych wersji aplikacji. Użytkownicy mogą pominąć ostrzeżenie i uzyskać dostęp do aplikacji.

W przypadku obu akcji można dostosować komunikat wyświetlany przez użytkowników. Możesz na przykład zachęcić ich do zainstalowania najnowszej wersji.

Uwaga

Akcje bloku i ostrzeżenia są zwykle wymuszane w ciągu kilku minut, ale mogą potrwać do 3 godzin.

Minimalne wymagania

  • Program antywirusowy Microsoft Defender (tryb aktywny): wykrywanie zdarzeń wykonywania plików i blokowanie wymaga włączenia programu antywirusowego Microsoft Defender w trybie aktywnym. Zgodnie z projektem tryb pasywny i EDR w trybie bloku nie mogą wykrywać i blokować na podstawie wykonywania pliku. Aby dowiedzieć się więcej, zobacz wdrażanie programu antywirusowego Microsoft Defender.
  • Ochrona dostarczana w chmurze (włączona): Aby uzyskać więcej informacji, zobacz Zarządzanie ochroną opartą na chmurze.
  • Zezwalaj lub blokuj plik (włączony): przejdź do pozycji Ustawienia > Funkcje > zaawansowane Zezwalaj lub blokuj plik. Aby dowiedzieć się więcej, zobacz Funkcje zaawansowane.

Wymagania dotyczące wersji

  • Wersja klienta ochrony przed złośliwym kodem musi mieć wersję 4.18.1901.x lub nowszą.
  • Wersja aparatu musi mieć wersję 1.1.16200.x lub nowszą.
  • Obsługiwane na urządzeniach Windows 10 w wersji 1809 lub nowszej z zainstalowanymi najnowszymi aktualizacjami systemu Windows.

Uprawnienia

  • Jeśli używasz kontroli dostępu opartej na rolach (RBAC), musisz mieć przypisane uprawnienie Zarządzanie zagrożeniami i lukami w zabezpieczeniach — Obsługa aplikacji .
  • Jeśli nie włączono kontroli dostępu opartej na rolach, musisz mieć przypisaną jedną z następujących ról Azure AD: administratora zabezpieczeń lub administratora globalnego. Aby dowiedzieć się więcej o uprawnieniach, przejdź do pozycji Uprawnienia podstawowe.

Jak blokować aplikacje narażone na ataki

  1. Przejdź do pozycji Zalecenia dotyczące zarządzania lukami > w zabezpieczeniach w portalu Microsoft 365 Defender.
  2. Wybierz zalecenie dotyczące zabezpieczeń, aby wyświetlić wysuwany element z większą ilością informacji.
  3. Wybierz pozycję Zażądaj korygowania.
  4. Wybierz, czy chcesz zastosować korygowanie i środki zaradcze do wszystkich grup urządzeń, czy tylko do kilku.
  5. Wybierz opcje korygowania na stronie żądania korygowania . Opcje korygowania to aktualizacja oprogramowania, odinstalowywanie oprogramowania i wymagana uwaga.
  6. Wybierz datę ukończenia korygowania i wybierz pozycję Dalej.
  7. W obszarze Akcja ograniczania ryzyka wybierz pozycję Blokuj lub Ostrzegaj. Po przesłaniu akcji zaradczej zostanie ona natychmiast zastosowana.

Akcja zaradcza

  1. Przejrzyj wybrane opcje i prześlij żądanie. Na ostatniej stronie możesz przejść bezpośrednio do strony korygowania, aby wyświetlić postęp działań korygujących i wyświetlić listę zablokowanych aplikacji.

Ważne

Na podstawie dostępnych danych akcja bloku zacznie obowiązywać w punktach końcowych w organizacji, które mają program antywirusowy Microsoft Defender. Ochrona punktu końcowego w usłudze Microsoft Defender podejmie najlepszą próbę zablokowania uruchamiania odpowiedniej aplikacji lub wersji narażonej na zagrożenia.

Jeśli w innej wersji aplikacji zostaną znalezione dodatkowe luki w zabezpieczeniach, otrzymasz nowe zalecenie dotyczące zabezpieczeń z prośbą o zaktualizowanie aplikacji i możesz również zablokować tę inną wersję.

Jeśli blokowanie nie jest obsługiwane

Jeśli nie widzisz opcji ograniczania ryzyka podczas żądania korygowania, jest to spowodowane tym, że możliwość zablokowania aplikacji nie jest obecnie obsługiwana. Zalecenia, które nie obejmują akcji ograniczania ryzyka, obejmują:

  • Aplikacje firmy Microsoft
  • Zalecenia dotyczące systemów operacyjnych
  • Zalecenia dotyczące aplikacji dla systemów macOS i Linux
  • Aplikacje, w których firma Microsoft nie ma wystarczających informacji lub wysokiego zaufania, aby zablokować

Jeśli spróbujesz zablokować aplikację i to nie zadziała, być może osiągnięto maksymalną pojemność wskaźnika. Jeśli tak jest, możesz usunąć stare wskaźniki Dowiedz się więcej o wskaźnikach.

Wyświetlanie działań korygowania

Po przesłaniu żądania przejdź do obszaru Działania korygowania > zarządzania lukami > w zabezpieczeniach, aby wyświetlić nowo utworzone działanie korygowania.

Filtruj według typu środki zaradcze: Blokuj i/lub ostrzegaj, aby wyświetlić wszystkie działania dotyczące akcji blokowania lub ostrzegania.

Jest to dziennik aktywności, a nie bieżący stan bloku aplikacji. Wybierz odpowiednie działanie, aby wyświetlić panel wysuwany ze szczegółami, w tym opisem korygowania, opisem ograniczenia ryzyka i stanem korygowania urządzenia:

Szczegóły korygowania i ograniczania ryzyka

Wyświetlanie zablokowanych aplikacji

Znajdź listę zablokowanych aplikacji, przechodząc do karty Korygowanie > zablokowanych aplikacji :

Zablokowana aplikacja

Wybierz zablokowaną aplikację, aby wyświetlić wysuwaną aplikację ze szczegółowymi informacjami na temat liczby luk w zabezpieczeniach, dostępności luk w zabezpieczeniach, zablokowanych wersji i działań korygujących.

Opcja Wyświetl szczegóły zablokowanych wersji na stronie Wskaźnik powoduje wyświetlenie strony Ustawienia > Wskaźniki , na której można wyświetlić skróty plików i akcje odpowiedzi.

Uwaga

Jeśli używasz interfejsu API wskaźników z programowymi zapytaniami wskaźników w ramach przepływów pracy, pamiętaj, że akcja bloku zapewni dodatkowe wyniki.

Możesz również odblokować oprogramowanie lub otworzyć stronę oprogramowania:

Szczegóły zablokowanej aplikacji

Odblokowywanie aplikacji

Wybierz zablokowaną aplikację, aby wyświetlić opcję Odblokuj oprogramowanie w wysuwnym oknie.

Po odblokowaniu aplikacji odśwież stronę, aby zobaczyć, jak została usunięta z listy. Odblokowanie aplikacji i ponowne udostępnienie jej użytkownikom może potrwać do 3 godzin.

Środowisko użytkowników dla zablokowanych aplikacji

Gdy użytkownicy spróbują uzyskać dostęp do zablokowanej aplikacji, otrzymają komunikat z informacją, że aplikacja została zablokowana przez organizację. Ten komunikat można dostosować.

W przypadku aplikacji, w których zastosowano opcję ograniczania ryzyka ostrzeżenia, użytkownicy otrzymają komunikat informujący o zablokowaniu aplikacji przez organizację, ale użytkownik ma możliwość obejścia bloku dla kolejnych uruchomień, wybierając pozycję "Zezwalaj". To zezwolenie jest tylko tymczasowe, a aplikacja zostanie ponownie zablokowana po chwili.

Uwaga

Mogą wystąpić wystąpienia, w których pierwsze uruchomienie aplikacji nie jest zablokowane lub powiadomienie o zablokowaniu aplikacji nie jest wyświetlane. To zachowanie zostanie naprawione w nadchodzącej wersji.

Aktualizowanie zablokowanych aplikacji przez użytkownika końcowego

Często zadawane pytanie brzmi, w jaki sposób użytkownik końcowy aktualizuje zablokowaną aplikację? Blok jest wymuszany przez zablokowanie pliku wykonywalnego. Niektóre aplikacje, takie jak Firefox, korzystają z oddzielnego pliku wykonywalnego aktualizacji, który nie zostanie zablokowany przez tę funkcję. W innych przypadkach, gdy aplikacja wymaga aktualizacji głównego pliku wykonywalnego, zaleca się zaimplementowanie bloku w trybie ostrzeżenia (tak, aby użytkownik końcowy mógł pominąć blok) lub użytkownik końcowy mógł usunąć aplikację (jeśli żadne istotne informacje nie są przechowywane na kliencie) i ponownie zainstalować aplikację.