Sdílet prostřednictvím

Blokovat zranitelné aplikace

  • Článek

Platí pro:

Poznámka

Abyste mohli tuto funkci používat, budete potřebovat Microsoft Defender Správa zranitelností Standalone nebo pokud už jste zákazníkem Microsoft Defender for Endpoint Plan 2, Defender Správa zranitelností doplněk.

Náprava ohrožení zabezpečení nějakou dobu trvá a může záviset na zodpovědnostech a prostředcích it týmu. Správci zabezpečení můžou dočasně snížit riziko ohrožení zabezpečení tím, že okamžitě zablokují všechny aktuálně známé ohrožené verze aplikace, dokud se nedokončí žádost o nápravu. Možnost blokování poskytuje IT týmům čas na opravu aplikace, aniž by se správci zabezpečení obávali, že tato ohrožení zabezpečení budou mezitím zneužita.

Při provádění nápravných kroků navržených doporučením zabezpečení můžou správci zabezpečení se správnými oprávněními provést akci pro zmírnění rizik a blokovat ohrožené verze aplikace. Indikátory souborů ohrožení (IOC) jsou vytvořeny pro každý spustitelný soubor, který patří do ohrožených verzí této aplikace. Microsoft Defender Antivirus pak vynucuje bloky na zařízeních, která jsou v zadaném rozsahu.

Tip

Věděli jste, že si můžete vyzkoušet všechny funkce v Microsoft Defender Správa zranitelností zdarma? Zjistěte, jak si zaregistrovat bezplatnou zkušební verzi.

Blokování akce nebo upozornění na zmírnění rizik

Akce blokování má blokovat spuštění všech nainstalovaných ohrožených verzí aplikace ve vaší organizaci. Pokud je například aktivní ohrožení zabezpečení nultého dne, můžete uživatelům zablokovat spuštění ovlivněného softwaru, zatímco určíte možnosti alternativního řešení.

Tato akce má uživatelům poslat upozornění, když otevřou ohrožené verze aplikace. Uživatelé můžou upozornění obejít a získat přístup k aplikaci pro další spuštění.

U obou akcí můžete přizpůsobit zprávu, kterou uživatelé uvidí. Můžete jim například doporučit, aby si nainstalovali nejnovější verzi. Kromě toho můžete zadat vlastní adresu URL, na kterou uživatelé při výběru oznámení přejdou. Všimněte si, že uživatel musí vybrat text informační zprávy, aby mohl přejít na vlastní adresu URL. Můžete ho použít k poskytnutí dalších podrobností specifických pro správu aplikací ve vaší organizaci.

Poznámka

Akce blokování a upozornění se obvykle vynucují během několika minut, ale můžou trvat až 3 hodiny.

Minimální požadavky

  • Microsoft Defender Antivirus (aktivní režim): Zjišťování událostí spuštění souborů a blokování vyžaduje, aby Microsoft Defender Antivirová ochrana byla povolena v aktivním režimu. Pasivní režim a EDR v režimu blokování záměrně nemůžou detekovat a blokovat na základě provádění souborů. Další informace najdete v tématu nasazení Microsoft Defender Antivirové ochrany.
  • Cloudová ochrana (povolená):Další informace najdete v tématu Správa cloudové ochrany.
  • Povolit nebo blokovat soubor (zapnuto):Přejděte na Nastavení>Koncové body>Pokročilé funkce>Povolit nebo blokovat soubor. Další informace najdete v tématu Pokročilé funkce.

Požadavky na verzi

  • Verze antimalwarového klienta musí být 4.18.1901.x nebo novější.
  • Verze modulu musí být 1.1.16200.x nebo novější.
  • Podporováno na Windows 10 zařízeních verze 1809 nebo novější s nainstalovanými nejnovějšími aktualizacemi Windows.
  • Podporuje Windows Server verze 2022, 2019, 2016, 2012 R2 a 2008 R2 SP1.

Oprávnění

  • Pokud používáte řízení přístupu na základě role (RBAC), musíte mít přiřazené oprávnění Správa hrozeb a ohrožení zabezpečení – Zpracování aplikací .
  • Pokud jste řízení přístupu na základě role nezapínali, musíte mít přiřazenou jednu z následujících Microsoft Entra rolí: Správce zabezpečení nebo Globální správce. Další informace o oprávněních najdete v článku Základní oprávnění.

Důležité

Microsoft doporučuje používat role s co nejmenším počtem oprávnění. Používání účtů s nižším oprávněním pomáhá zlepšit zabezpečení vaší organizace. Globální správce je vysoce privilegovaná role, která by měla být omezená na nouzové scénáře, když nemůžete použít existující roli.

Blokování ohrožených aplikací

  1. Na portálu Microsoft Defender přejděte nadoporučenípro správu> ohrožení zabezpečení.

  2. Výběrem doporučení zabezpečení zobrazíte informační panel s dalšími informacemi.

  3. Vyberte Požádat o nápravu.

  4. Vyberte, jestli chcete nápravu a zmírnění rizik použít u všech skupin zařízení, nebo jenom u několika.

  5. Na stránce Žádosti o nápravu vyberte možnosti nápravy. Mezi možnosti nápravy patří aktualizace softwaru, odinstalace softwaru a vyžaduje se pozornost.

  6. Vyberte termín splnění nápravy a vyberte Další.

  7. V části Akce zmírnění vyberte Blokovat nebo Upozornit. Jakmile odešlete akci zmírnění rizik, okamžitě se použije.

    Akce pro zmírnění rizik

  8. Zkontrolujte provedené výběry a odešlete žádost. Na poslední stránce můžete přejít přímo na stránku nápravy a zobrazit průběh nápravných aktivit a zobrazit seznam blokovaných aplikací.

Poznámka

Od 3. prosince 2024 očekávejte snížení počtu indikátorů souborů vytvořených novými zásadami blokování aplikací. Pokud chcete snížit využití aktuálního indikátoru, odblokujte všechny blokované aplikace a vytvořte nové zásady blokování.

Na základě dostupných dat se akce blokování projeví na koncových bodech, které mají Microsoft Defender Antivirovou ochranu. Microsoft Defender for Endpoint se maximálně snaží zablokovat spuštění příslušných ohrožených aplikací nebo verzí.

Pokud se v jiné verzi aplikace najdou další ohrožení zabezpečení, zobrazí se nové doporučení zabezpečení, které vás požádá o aktualizaci aplikace, a můžete také zablokovat tuto jinou verzi.

Pokud se blokování nepodporuje

Pokud při žádosti o nápravu nevidíte možnost zmírnění rizik, je to proto, že možnost blokovat aplikaci se v současné době nepodporuje. Mezi doporučení, která nezahrnují akce pro zmírnění rizik, patří:

  • Aplikace Microsoftu
  • Doporučení týkající se operačních systémů
  • Doporučení týkající se aplikací pro macOS a Linux
  • Aplikace, u kterých Microsoft nemá dostatek informací nebo vysokou jistotu blokování
  • Aplikace z Microsoft Storu, které nejde blokovat, protože jsou podepsané Microsoftem

Pokud se pokusíte zablokovat aplikaci, která nefunguje, je možné, že jste dosáhli maximální kapacity indikátoru. Pokud ano, můžete odstranit staré indikátory Další informace o indikátorech.

Zobrazení aktivit nápravy

Po odeslání žádosti přejděte dočásti Aktivitynápravy> správy > ohrožení zabezpečení a podívejte se na nově vytvořenou aktivitu nápravy.

Filtrovat podle typu zmírnění rizik: Blokovat nebo Upozornit, pokud chcete zobrazit všechny aktivity týkající se akcí blokování nebo upozornění.

Toto je protokol aktivit, nikoli aktuální stav blokování aplikace. Výběrem příslušné aktivity zobrazíte panel informačního rámečku s podrobnostmi, včetně popisu nápravy, popisu zmírnění rizik a stavu nápravy zařízení:

Podrobnosti o nápravě a zmírnění rizik

Zobrazení blokovaných aplikací

Seznam blokovaných aplikací najdete na kartě Náprava>Blokované aplikace :

Blokovaná aplikace

Výběrem blokované aplikace zobrazíte informační panel s podrobnostmi o počtu ohrožení zabezpečení, o tom, jestli jsou k dispozici zneužití, blokované verze a aktivity nápravy.

Možnost Zobrazit podrobnosti blokovaných verzí na stránce Indikátor vás přenese na stránku Indikátory>koncových bodůnastavení>, kde můžete zobrazit hodnoty hash souborů a akce odpovědí.

Poznámka

Pokud jako součást pracovních postupů používáte rozhraní API indikátorů s programovými dotazy na indikátory, mějte na paměti, že akce blokování poskytne další výsledky.

V současné době se některé detekce související se zásadami upozornění můžou v Microsoft Defender XDR a/nebo Microsoft Intune zobrazovat jako aktivní malware. Toto chování bude opraveno v nadcházející verzi.

Můžete také odblokovat software nebo otevřít stránku softwaru:

Podrobnosti o blokované aplikaci

Odblokování aplikací

Výběrem blokované aplikace zobrazíte možnost Odblokovat software v informačním rámečku.

Po odblokování aplikace aktualizujte stránku, aby se zobrazila odebraná ze seznamu. Může trvat až 3 hodiny, než se aplikace odblokuje a bude opět přístupná pro vaše uživatele.

Uživatelské prostředí pro blokované aplikace

Když se uživatelé pokusí o přístup k blokované aplikaci, zobrazí se jim zpráva s informací, že aplikaci vytvořila jejich organizace. Tato zpráva je přizpůsobitelná.

U aplikací, u kterých byla použita možnost upozornění na zmírnění rizik, se uživatelům zobrazí zpráva s informací, že aplikace byla zablokována jejich organizací. Uživatel má možnost obejít blok pro další spuštění, a to zvolením možnosti Povolit. Toto povolení je pouze dočasné a aplikace se po chvíli znovu zablokuje.

Poznámka

Pokud vaše organizace nasadila zásadu skupiny DisableLocalAdminMerge, může dojít k instancím, kdy se povolení aplikace neprojeví. Toto chování bude opraveno v nadcházející verzi.

Aktualizace blokovaných aplikací koncovým uživatelem

Nejčastější otázkou je, jak koncový uživatel aktualizuje blokovanou aplikaci? Blokování se vynucuje blokováním spustitelného souboru. Některé aplikace, například Firefox, spoléhají na samostatný spustitelný soubor aktualizace, který tato funkce nebude blokovat. V jiných případech, kdy aplikace vyžaduje aktualizaci hlavního spustitelného souboru, se doporučuje buď implementovat blok v režimu upozornění (aby koncový uživatel mohl blok obejít), nebo koncový uživatel může aplikaci odstranit (pokud v klientovi nejsou uložené žádné důležité informace) a aplikaci znovu nainstalovat.