Sdílet prostřednictvím

Blokování ohrožených aplikací pomocí Microsoft Defender Správa zranitelností

  • Článek

Platí pro:

Náprava ohrožení zabezpečení nějakou dobu trvá a může záviset na zodpovědnostech a prostředcích it týmu. Správci zabezpečení můžou dočasně snížit riziko ohrožení zabezpečení tím, že okamžitě zablokují všechny aktuálně známé ohrožené verze aplikace, dokud se nedokončí žádost o nápravu. Možnost blokování poskytuje vašim IT týmům čas na opravu aplikace, aniž by se správci zabezpečení museli starat o ohrožení zabezpečení.

Při provádění nápravných kroků navrhovaných doporučením zabezpečení můžou správci zabezpečení provést akci zmírňující opatření a zablokovat ohrožené verze aplikace. Indikátory souborů ohrožení (IOC) jsou vytvořeny pro každý spustitelný soubor, který patří do ohrožených verzí této aplikace. Microsoft Defender Antivirus pak vynucuje bloky na zařízeních, která jsou v zadaném rozsahu.

Blokování akce nebo upozornění na zmírnění rizik

Akce blokování má blokovat spuštění všech nainstalovaných ohrožených verzí aplikace ve vaší organizaci. Pokud je například aktivní ohrožení zabezpečení nultého dne, můžete uživatelům zablokovat spuštění ovlivněného softwaru, zatímco určíte možnosti alternativního řešení.

Tato akce má uživatelům poslat upozornění, když otevřou ohrožené verze aplikace. Uživatelé můžou upozornění obejít a získat přístup k aplikaci pro další spuštění.

U obou akcí můžete přizpůsobit zprávu, kterou uživatelé uvidí. Můžete jim například doporučit, aby si nainstalovali nejnovější verzi. Kromě toho můžete zadat vlastní adresu URL, na kterou uživatelé při výběru oznámení přejdou. Uživatel musí vybrat text informační zprávy, aby mohl přejít na vlastní adresu URL. Oznámení můžete použít k poskytnutí dalších podrobností specifických pro správu aplikací ve vaší organizaci.

Poznámka

Akce blokování a upozornění se obvykle vynucují během několika minut, ale můžou trvat až tři hodiny.

Minimální požadavky

  • Microsoft Defender Antivirus (aktivní režim): Zjišťování událostí spuštění souborů a blokování vyžaduje, aby Microsoft Defender Antivirová ochrana byla povolena v aktivním režimu. Pasivní režim a EDR v režimu blokování záměrně nemůžou detekovat a blokovat na základě provádění souborů. Další informace najdete v tématu nasazení Microsoft Defender Antivirové ochrany.
  • Cloudová ochrana (povolená):Další informace najdete v tématu Správa cloudové ochrany.
  • Povolit nebo blokovat soubor (zapnuto):Přejděte na Nastavení>Koncové body>Pokročilé funkce>Povolit nebo blokovat soubor. Další informace najdete v tématu Pokročilé funkce.

Požadavky na verzi

  • Antimalwarová verze klienta musí být 4.18.1901.x nebo novější.
  • Verze modulu musí být 1.1.16200.x nebo novější.
  • Na klientských zařízeních s Windows musí běžet Windows 11 nebo Windows 10 verze 1809 nebo novější s nainstalovanými nejnovějšími aktualizacemi Windows.
  • Na serverech musí běžet Windows Server 2022, 2019, 2016, 2012 R2 a 2008 R2 SP1. Podpora pro Windows Server 2025 se zavádí od února 2025 a během několika příštích týdnů.

Blokování ohrožených aplikací

  1. Na portálu Microsoft Defender přejděte naDoporučenípro správu> ohrožení zabezpečení.

  2. Výběrem doporučení zabezpečení zobrazíte informační panel s dalšími informacemi.

  3. Vyberte Požádat o nápravu.

  4. Vyberte, jestli chcete nápravu a zmírnění rizik použít u všech skupin zařízení, nebo jenom u několika.

  5. Na stránce Žádosti o nápravu vyberte možnosti nápravy. Mezi možnosti nápravy patří aktualizace softwaru, odinstalace softwaru a vyžaduje se pozornost.

  6. Vyberte termín splnění nápravy a vyberte Další.

  7. V části Akce zmírnění vyberte Blokovat nebo Upozornit. Jakmile odešlete akci zmírnění rizik, okamžitě se použije.

    Akce pro zmírnění rizik

  8. Zkontrolujte provedené výběry a odešlete žádost. Na poslední stránce můžete přejít přímo na stránku nápravy a zobrazit průběh nápravných aktivit a zobrazit seznam blokovaných aplikací.

Poznámka

Od 3. prosince 2024 očekávejte snížení počtu indikátorů souborů vytvořených novými zásadami blokování aplikací. Pokud chcete snížit využití aktuálního indikátoru, odblokujte všechny blokované aplikace a vytvořte nové zásady blokování.

Na základě dostupných dat se akce blokování projeví na koncových bodech, které mají Microsoft Defender Antivirovou ochranu. Microsoft Defender for Endpoint se maximálně snaží zablokovat spuštění příslušných ohrožených aplikací nebo verzí.

Pokud se v jiné verzi aplikace najdou další ohrožení zabezpečení, zobrazí se nové doporučení zabezpečení, které vás požádá o aktualizaci aplikace, a můžete také zablokovat tuto jinou verzi.

Pokud se blokování nepodporuje

Pokud při žádosti o nápravu nevidíte možnost zmírnění rizik, je to proto, že možnost blokovat aplikaci se v současné době nepodporuje. Mezi doporučení, která nezahrnují akce pro zmírnění rizik, patří:

  • Aplikace Microsoftu
  • Doporučení týkající se operačních systémů
  • Doporučení týkající se aplikací pro macOS a Linux
  • Aplikace, u kterých Microsoft nemá dostatek informací nebo vysokou jistotu blokování
  • Aplikace z Microsoft Storu, které nejde blokovat, protože jsou podepsané Microsoftem

Pokud se pokusíte zablokovat aplikaci, která nefunguje, je možné, že jste dosáhli maximální kapacity indikátoru. Pokud ano, můžete odstranit staré indikátory Další informace o indikátorech.

Zobrazení aktivit nápravy

Po odeslání žádosti o blokování ohrožených aplikací můžete zobrazit aktivity nápravy pomocí těchto kroků:

  1. Na portálu Microsoft Defender přejděte naAktivitynápravy> správy >ohrožení zabezpečení.

  2. Výsledky můžete filtrovat podle tohoto typu zmírnění rizik: Block and/or Warn to view all activities pertaining to block or warn actions.

  3. Zobrazí se protokol aktivit. Mějte na paměti, že se jedná o protokol aktivit, nikoli o aktuální stav bloku aplikace. Výběrem příslušné aktivity zobrazíte panel informačního rámečku s podrobnostmi, včetně popisu nápravy, popisu zmírnění rizik a stavu nápravy zařízení:

    Podrobnosti o nápravě a zmírnění rizik

Zobrazení blokovaných aplikací

Chcete-li zobrazit seznam blokovaných aplikací, postupujte takto:

  1. Na portálu Microsoft Defender přejděte na kartuBlokované aplikace nápravy>:

    Blokovaná aplikace

  2. Výběrem blokované aplikace zobrazíte informační panel s podrobnostmi o počtu ohrožení zabezpečení, o tom, jestli jsou k dispozici zneužití, blokované verze a aktivity nápravy.

  3. Na stránce Indikátor vyberte Zobrazit podrobnosti blokovaných verzí. Tím se dostanete na stránku Indikátory , kde můžete zobrazit hodnoty hash souborů a akce odpovědí.

    Poznámka

    Pokud v rámci pracovních postupů používáte rozhraní API pro indikátory s dotazy na programové indikátory, akce bloku bude poskytovat více výsledků.

  4. Pokud chcete aplikaci odblokovat, vyberte Odblokovat software nebo Otevřít stránku softwaru:

    Podrobnosti o blokované aplikaci

Odblokování aplikací

Výběrem blokované aplikace zobrazíte možnost Odblokovat software v informačním rámečku.

Po odblokování aplikace aktualizujte stránku, aby se zobrazila odebraná ze seznamu. Může trvat až 3 hodiny, než se aplikace odblokuje a bude opět přístupná pro vaše uživatele.

Uživatelské prostředí pro blokované aplikace

Když se uživatelé pokusí o přístup k blokované aplikaci, zobrazí se jim zpráva s informací, že aplikaci vytvořila jejich organizace. Tato zpráva je přizpůsobitelná.

U aplikací, u kterých se použila možnost upozornění na zmírnění rizik, se uživatelům zobrazí zpráva s informací, že jejich organizace aplikaci zablokovala. Uživatel může blok pro následné spuštění obejít tak, že zvolí Povolit. Tato akce povolení je pouze dočasná a aplikace se po chvíli znovu zablokuje.

Poznámka

Pokud vaše organizace nasadila DisableLocalAdminMerge zásady skupiny, můžete zaznamenat instance, kdy se povolení aplikace neprojeví.

Aktualizace blokovaných aplikací koncovým uživatelem

Často kladená otázka zní: "Jak koncový uživatel aktualizuje blokovanou aplikaci?" Blokování se vynucuje blokováním spustitelného souboru. Některé aplikace, například Firefox, spoléhají na samostatný spustitelný soubor aktualizace, který tato funkce neblokuje. V jiných případech, kdy aplikace vyžaduje aktualizaci hlavního spustitelného souboru, se doporučuje buď implementovat blok v režimu upozornění (aby koncový uživatel mohl blok obejít), nebo požádat koncového uživatele, aby aplikaci odstranil (pokud v klientovi nejsou uložené žádné důležité informace) a pak ji znovu nainstaluje.