Aracılığıyla paylaş

Güvenlik açığı bulunan uygulamaları engelleyin

  • Makale

Şunlar için geçerlidir:

Not

Bu özelliği kullanmak için Tek Başına Microsoft Defender Güvenlik Açığı Yönetimi veya zaten bir Uç Nokta için Microsoft Defender Plan 2 müşterisiyseniz Defender Güvenlik Açığı Yönetimi eklentisi gerekir.

Güvenlik açıklarını düzeltmek zaman alır ve BT ekibinin sorumluluklarına ve kaynaklarına bağımlı olabilir. Güvenlik yöneticileri, düzeltme isteği tamamlanana kadar bir uygulamanın bilinen tüm güvenlik açığı sürümlerini engellemek için anında işlem yaparak güvenlik açığı riskini geçici olarak azaltabilir. Engelleme seçeneği, BT ekiplerine güvenlik yöneticileri bu arada güvenlik açıklarından yararlanılacağından endişe duymadan uygulamaya düzeltme eki uygulama için zaman tanır.

Bir güvenlik önerisi tarafından önerilen düzeltme adımlarını uygularken, uygun izinlere sahip güvenlik yöneticileri bir azaltma eylemi gerçekleştirebilir ve bir uygulamanın güvenlik açığı olan sürümlerini engelleyebilir. Bu uygulamanın güvenlik açığı olan sürümlerine ait yürütülebilir dosyaların her biri için güvenlik açığı (IOC) dosya göstergeleri oluşturulur. Microsoft Defender Virüsten Koruma, belirtilen kapsamdaki cihazlarda blokları zorunlu kılır.

İpucu

Microsoft Defender Güvenlik Açığı Yönetimi'deki tüm özellikleri ücretsiz olarak deneyebileceğinizi biliyor muydunuz? Ücretsiz deneme sürümüne kaydolmayı öğrenin.

Azaltma eylemini engelleme veya uyarma

Engelleme eylemi, kuruluşunuzdaki uygulamanın tüm yüklü güvenlik açığı olan sürümlerinin çalışmasını engellemeye yöneliktir. Örneğin, etkin bir sıfır gün güvenlik açığı varsa, geçici çözüm seçeneklerini belirlerken kullanıcılarınızın etkilenen yazılımı çalıştırmasını engelleyebilirsiniz.

Uyar eylemi, kullanıcıların uygulamanın güvenlik açığı olan sürümlerini açtığında kullanıcılara bir uyarı göndermeye yöneliktir. Kullanıcılar uyarıyı atlamayı ve sonraki başlatmalar için uygulamaya erişmeyi seçebilir.

Her iki eylem için de kullanıcıların gördüğü iletiyi özelleştirebilirsiniz. Örneğin, en son sürümü yüklemelerini teşvik edebilirsiniz. Ayrıca, kullanıcıların bildirimi seçtiklerinde gidebilecekleri özel bir URL de sağlayabilirsiniz. Özel URL'ye gitmek için kullanıcının bildirim gövdesini seçmesi gerektiğini unutmayın. Bu, kuruluşunuzdaki uygulama yönetimine özgü ek ayrıntılar sağlamak için kullanılabilir.

Not

Blok ve uyarı eylemleri genellikle birkaç dakika içinde uygulanır ancak 3 saate kadar sürebilir.

Minimum gereksinimler

  • Microsoft Defender Virüsten Koruma (etkin mod):Dosya yürütme olaylarının ve engellemenin algılanması için Microsoft Defender Virüsten Koruma'nın etkin modda etkinleştirilmesi gerekir. Tasarım gereği, pasif mod ve blok modundaki EDR, dosya yürütmeye göre algılayamaz ve engelleyemez. Daha fazla bilgi için bkz. virüsten koruma Microsoft Defender dağıtma.
  • Bulut tabanlı koruma (etkin): Daha fazla bilgi için bkz. Bulut tabanlı korumayı yönetme.
  • Dosyaya izin ver veya engelle (açık):Ayarlar>Uç Noktaları>Gelişmiş özellikler>Dosyaya izin ver veya dosyayı engelle'ye gidin. Daha fazla bilgi edinmek için bkz . Gelişmiş özellikler.

Sürüm gereksinimleri

  • Kötü amaçlı yazılımdan koruma istemcisi sürümü 4.18.1901.x veya üzeri olmalıdır.
  • Altyapı sürümü 1.1.16200.x veya üzeri olmalıdır.
  • En son Windows güncelleştirmelerinin yüklü olduğu Windows 10 cihazlarda sürüm 1809 veya üzeri desteklenir.

İzinler

  • Rol tabanlı erişim denetimi (RBAC) kullanıyorsanız Tehdit ve güvenlik açığı yönetimi - Uygulama işleme izni atanmış olmalıdır.
  • RBAC'yi açmadıysanız, şu Microsoft Entra rollerinden birine sahip olmanız gerekir: güvenlik yöneticisi veya genel yönetici. İzinler hakkında daha fazla bilgi edinmek için Temel izinler'e gidin.

Güvenlik açığı olan uygulamaları engelleme

  1. Microsoft Defender portalındaGüvenlik açığı yönetimi>önerileri'ne gidin.

  2. Daha fazla bilgi içeren bir açılır öğe görmek için bir güvenlik önerisi seçin.

  3. Düzeltme iste'yi seçin.

  4. Düzeltmeyi ve azaltmayı tüm cihaz gruplarına mı yoksa yalnızca birkaçı mı uygulamak istediğinizi seçin.

  5. Düzeltme isteği sayfasında düzeltme seçeneklerini belirleyin. Düzeltme seçenekleri yazılım güncelleştirmesi, yazılım kaldırma ve dikkat gereklidir.

  6. Bir Düzeltme son tarihi seçin ve İleri'yi seçin.

  7. Azaltma eylemi altında Engelle veya Uyar'ı seçin. Bir azaltma eylemi gönderdikten sonra hemen uygulanır.

    Azaltma eylemi

  8. Yaptığınız seçimleri gözden geçirin ve İstek gönderin. Son sayfada, düzeltme etkinliklerinin ilerleme durumunu görüntülemek ve engellenen uygulamaların listesini görmek için doğrudan düzeltme sayfasına gitmeyi seçebilirsiniz.

Önemli

Kullanılabilir verilere bağlı olarak, engelleme eylemi kuruluştaki virüsten koruma Microsoft Defender sahip uç noktalar üzerinde geçerli olur. Uç Nokta için Microsoft Defender, ilgili güvenlik açığı olan uygulamanın veya sürümün çalışmasını engellemek için en iyi denemeyi yapacaktır.

Uygulamanın farklı bir sürümünde ek güvenlik açıkları bulunursa, uygulamayı güncelleştirmenizi isteyen yeni bir güvenlik önerisi alırsınız ve bu farklı sürümü de engellemeyi seçebilirsiniz.

Engelleme desteklenmediğinde

Düzeltme isteğinde bulunurken azaltma seçeneğini görmüyorsanız, bunun nedeni uygulamayı engelleme özelliğinin şu anda desteklenmemesidir. Risk azaltma eylemlerini içermeyen öneriler şunlardır:

  • Microsoft uygulamaları
  • İşletim sistemleriyle ilgili öneriler
  • macOS ve Linux uygulamalarıyla ilgili öneriler
  • Microsoft'un yeterli bilgiye veya engellenmesi gereken yüksek güvene sahip olmadığı uygulamalar
  • Microsoft tarafından imzalandığı için engellenmeyen Microsoft Store uygulamaları

Bir uygulamayı engellemeye çalışırsanız ve uygulama çalışmazsa, en yüksek gösterge kapasitesine ulaşmış olabilirsiniz. Öyleyse eski göstergeleri silebilirsiniz Göstergeler hakkında daha fazla bilgi edinin.

Düzeltme etkinliklerini görüntüleme

İsteği gönderdikten sonra, yeni oluşturulan düzeltme etkinliğini görmek için Güvenlik açığı yönetimi>Düzeltme>Etkinlikleri'ne gidin.

Azaltma türüne göre filtrele: Eylemleri engelleme veya uyarma ile ilgili tüm etkinlikleri görüntülemek için Engelle ve/veya Uyar.

Bu bir etkinlik günlüğüdür ve uygulamanın geçerli blok durumu değildir. Düzeltme açıklaması, risk azaltma açıklaması ve cihaz düzeltme durumu gibi ayrıntıları içeren bir açılır panel görmek için ilgili etkinliği seçin:

Düzeltme ve azaltma ayrıntıları

Engellenen uygulamaları görüntüleme

Engellenen uygulamaların listesini bulmak içinEngellenen uygulamalarıdüzeltme> sekmesine gidin:

Engellenen uygulama

Güvenlik açıklarının sayısı, açıkların kullanılabilir olup olmadığı, engellenen sürümler ve düzeltme etkinlikleri hakkındaki ayrıntıları içeren bir açılır öğe görüntülemek için engellenen bir uygulama seçin.

Gösterge sayfasında Engellenen sürümlerin ayrıntılarını görüntüleme seçeneği, sizi dosyakarmalarını ve yanıt eylemlerini> görüntüleyebileceğiniz Ayarlar> Uç NoktalarıGöstergeleri sayfasına getirir.

Not

İş akışlarınızın bir parçası olarak Göstergeler API'sini programlı gösterge sorgularıyla kullanıyorsanız, engelleme eyleminin ek sonuçlar vereceğini unutmayın.

Şu anda uyarı ilkeleriyle ilgili bazı algılamalar Microsoft Defender XDR ve/veya Microsoft Intune etkin kötü amaçlı yazılım olarak görünebilir. Bu davranış, gelecek bir sürümde düzeltilecektir.

Ayrıca yazılımın engellemesini kaldırabilirsiniz veya Yazılımı aç sayfası:

Engellenen uygulama ayrıntıları

Uygulamaların engellemesini kaldırma

Açılır öğede yazılımın engellemesini kaldırma seçeneğini görüntülemek için engellenen bir uygulama seçin.

Uygulamanın engellemesini kaldırdıktan sonra, listeden kaldırıldığını görmek için sayfayı yenileyin. Bir uygulamanın engelini kaldırması ve kullanıcılarınız tarafından yeniden erişilebilir duruma gelmesi 3 saate kadar sürebilir.

Engellenen uygulamalar için kullanıcı deneyimi

Kullanıcılar engellenen bir uygulamaya erişmeye çalıştığında, uygulamanın kuruluş tarafından olduğunu bildiren bir ileti alır. Bu ileti özelleştirilebilir.

Uyarı azaltma seçeneğinin uygulandığı uygulamalar için kullanıcılar, uygulamanın kendi kuruluşu tarafından engellendiğini bildiren bir ileti alır. Kullanıcı, "İzin Ver" seçeneğini belirleyerek sonraki başlatmalar için bloğu atlama seçeneğine sahiptir. Bu izin yalnızca geçicidir ve uygulama bir süre sonra yeniden engellenir.

Not

Kuruluşunuz DisableLocalAdminMerge grup ilkesini dağıttıysa, bir uygulamaya izin vermenin etkili olmadığı örneklerle karşılaşabilirsiniz. Bu davranış, gelecek bir sürümde düzeltilecektir.

Engellenen uygulamaları güncelleştiren son kullanıcı

Sık sorulan sorulardan biri, son kullanıcı engellenen bir uygulamayı nasıl güncelleştirir? Blok, yürütülebilir dosya engellenerek zorlanır. Firefox gibi bazı uygulamalar, bu özellik tarafından engellenmeyen ayrı bir güncelleştirme yürütülebilir dosyasını kullanır. Uygulamanın ana yürütülebilir dosyanın güncelleştirilmesini gerektirdiği diğer durumlarda, bloğun uyarı modunda uygulanması önerilir (böylece son kullanıcı bloğu atlayabilir) veya son kullanıcı uygulamayı silebilir (istemcide önemli bir bilgi depolanmazsa) ve uygulamayı yeniden yükler.