Del via

Bloker sårbare programmer med Admininstration af håndtering af sikkerhedsrisici til Microsoft Defender

  • Artikel

Gælder for:

Bemærk!

Hvis du vil bruge denne funktion, skal du have Admininstration af håndtering af sikkerhedsrisici til Microsoft Defender separat, eller hvis du allerede er Microsoft Defender for Endpoint Plan 2-kunde, skal du Administration af håndtering af sikkerhedsrisici til Defender tilføjelsesprogram.

Afhjælpning af sikkerhedsrisici tager tid og kan være afhængig af it-teamets ansvar og ressourcer. Sikkerhedsadministratorer kan midlertidigt reducere risikoen for en sikkerhedsrisiko ved at foretage øjeblikkelige handlinger for at blokere alle aktuelt kendte sårbare versioner af et program, indtil afhjælpningsanmodningen er fuldført. Blokeringsindstillingen giver dine it-teams tid til at reparere et program, uden at du behøver at bekymre dig om sikkerhedsrisiciene.

Sikkerhedsadministratorer kan udføre en afhjælpningshandling og blokere sårbare versioner af et program, mens de udfører de afhjælpningstrin, der foreslås i en sikkerhedsanbefaling. Der oprettes filindikatorer for kompromitterede (IOC)s for hver af de eksekverbare filer, der tilhører sårbare versioner af det pågældende program. Microsoft Defender Antivirus gennemtvinger derefter blokke på de enheder, der er inden for det angivne område.

Bloker eller advar afhjælpningshandling

Bloker-handlingen er beregnet til at forhindre alle installerede sårbare versioner af programmet i din organisation i at køre. Hvis der f.eks. er en aktiv sikkerhedsrisiko på nul dage, kan du blokere dine brugere fra at køre den pågældende software, mens du bestemmer indstillinger for omgåelse.

Advarselshandlingen er beregnet til at sende en advarsel til dine brugere, når de åbner sårbare versioner af programmet. Brugerne kan vælge at tilsidesætte advarslen og få adgang til programmet til efterfølgende start.

For begge handlinger kan du tilpasse den meddelelse, som brugerne får vist. Du kan f.eks. opfordre dem til at installere den nyeste version. Du kan også angive en brugerdefineret URL-adresse, som brugerne navigerer til, når de vælger meddelelsen. Brugeren skal vælge brødteksten i toastbeskeden for at kunne navigere til den brugerdefinerede URL-adresse. Meddelelsen kan bruges til at angive flere oplysninger, der er specifikke for programstyringen i din organisation.

Bemærk!

Bloker og advar-handlinger gennemtvinges typisk inden for nogle få minutter, men kan tage op til tre timer.

Minimumskrav

  • Microsoft Defender Antivirus (aktiv tilstand): Registrering af hændelser for filkørsel og blokering kræver, at Microsoft Defender Antivirus er aktiveret i aktiv tilstand. Passiv tilstand og EDR i bloktilstand kan tilsigtet ikke registrere og blokere baseret på filudførelse. Du kan få mere at vide under Udrul Microsoft Defender Antivirus.
  • Skybaseret beskyttelse (aktiveret): Du kan få flere oplysninger under Administrer skybaseret beskyttelse.
  • Tillad eller bloker fil (slået til): Gå til Indstillinger>Slutpunkter>Avancerede funktioner>Tillad eller bloker fil. Du kan få mere at vide under Avancerede funktioner.

Versionskrav

  • Klientversionen til antimalware skal være 4.18.1901.x eller nyere.
  • Programversionen skal være 1.1.16200.x eller nyere.
  • Windows-klientenheder skal køre Windows 11 eller Windows 10, version 1809 eller nyere, hvor de nyeste Windows-opdateringer er installeret.
  • Serverne skal køre Windows Server 2022, 2019, 2016, 2012 R2 og 2008 R2 SP1. Support til Windows Server 2025 udrulles fra februar 2025 og i løbet af de næste flere uger.

Sådan blokerer du sårbare programmer

  1. Log på Microsoft Defender-portalen, og gå derefter tilAnbefalinger tiladministration af>sårbarheder for slutpunkter> .

  2. Vælg en sikkerhedsanbefaling for at se et pop op-vindue med flere oplysninger.

  3. Vælg Anmod om afhjælpning.

  4. Udfyld formularen. På rullelisten Afhjælpningsindstillinger skal du vælge, hvilke af de indstillinger du vil anmode om. Mulighederne er softwareopdatering, fjernelse af software og opmærksomhed påkrævet.

  5. Under Værktøjer til opgaveadministration skal du markere afkrydsningsfeltet Åbn en anmodning i Intune (for AAD-tilsluttede enheder), hvis du vil oprette en billet i Microsoft Intune for afhjælpningsanmodningen.

  6. Vælg en forfaldsdato for afhjælpning.

  7. Under Prioritet skal du vælge Høj, Mellem eller Lav.

  8. Under Tilføj noter kan du tilføje yderligere oplysninger. Vælg Næste.

  9. Gennemse de valg, du har foretaget, og vælg derefter Send. På den sidste side kan du vælge at redigere valgene og eksportere alle afhjælpningsanmodninger til en .CSV fil.

Bemærk!

Fra og med den 3. december 2024 forventer du en reduktion i antallet af filindikatorer, der oprettes af nye politikker for programblokering. Hvis du vil reducere dit aktuelle indikatorforbrug, skal du fjerne blokeringen af blokerede programmer og oprette nye blokpolitikker.

På baggrund af de tilgængelige data træder blokhandlingerne i kraft på slutpunkter, der har Microsoft Defender Antivirus. Microsoft Defender for Endpoint gør det bedste forsøg på at forhindre, at relevante sårbare programmer eller versioner kører.

Hvis der findes flere sikkerhedsrisici i en anden version af et program, får du en ny sikkerhedsanbefaling, hvor du bliver bedt om at opdatere programmet, og du kan vælge også at blokere denne anden version.

Når blokering ikke understøttes

Hvis du ikke kan se afhjælpningsindstillingen, mens du anmoder om en afhjælpning, skyldes det, at muligheden for at blokere programmet i øjeblikket ikke understøttes. Anbefalinger, der ikke omfatter afhjælpningshandlinger, omfatter:

  • Microsoft-programmer
  • Anbefalinger vedrørende operativsystemer
  • Anbefalinger relateret til apps til macOS og Linux
  • Apps, hvor Microsoft ikke har tilstrækkelige oplysninger eller en høj genkendelsessikkerhed til at blokere
  • Microsoft Store-apps, som ikke kan blokeres, fordi de er signeret af Microsoft

Hvis du forsøger at blokere et program, og det ikke virker, har du muligvis nået den maksimale indikatorkapacitet. Hvis det er tilfældet, kan du slette gamle indikatorer Få mere at vide om indikatorer.

Vis afhjælpningsaktiviteter

Når du har sendt en anmodning om at blokere sårbare programmer, kan du få vist afhjælpningsaktiviteter ved at følge disse trin:

  1. Naviger til Slutpunkter Afhjælpning af sårbarhedsadministration>>.

  2. Under fanen Aktiviteter kan du vælge at filtrere resultaterne efter afhjælpningstype. Indstillingerne er Bloker, Advar, Ingen og Løsning.

  3. Vælg den relevante aktivitet for at få vist en pop op-rude med detaljer, herunder afhjælpningsbeskrivelse, afhjælpningsbeskrivelse og status for enhedsafhjælpning:

    Oplysninger om afhjælpning og afhjælpning

Vis blokerede programmer

Følg disse trin for at få vist en liste over blokerede programmer:

  1. Naviger til SlutpunkterAfhjælpningafsårbarhedsadministration>>, og vælg derefter fanen Blokerede programmer:

    Blokeret program

  2. Vælg et blokeret program for at få vist et pop op-vindue med oplysninger om antallet af sikkerhedsrisici, om udnyttelser er tilgængelige, blokerede versioner og afhjælpningsaktiviteter.

  3. Vælg Få vist detaljer om blokerede versioner på siden Indikator, hvilket fører dig til siden Indikatorer , hvor du kan få vist filhashs og svarhandlinger.

    Bemærk!

    Hvis du bruger INDIKATORER-API'en med programmatiske indikatorforespørgsler som en del af dine arbejdsprocesser, giver blokhandlingen flere resultater.

  4. Hvis du vil fjerne blokeringen af et program, skal du vælge Fjern blokering af software eller siden Åbn software:

    Oplysninger om blokeret program

Fjern blokering af programmer

Vælg et blokeret program for at få vist indstillingen Fjern blokering af software i pop op-vinduet.

Når du har fjernet blokeringen af et program, kan du opdatere siden for at se den fjernet fra listen. Det kan tage op til tre timer, før blokeringen af et program fjernes og bliver tilgængelig for dine brugere igen.

Brugeroplevelse for blokerede programmer

Når brugerne forsøger at få adgang til et blokeret program, modtager de en meddelelse, der informerer dem om, at programmet er oprettet af deres organisation. Denne meddelelse kan tilpasses.

For programmer, hvor advarselsmitigeringsindstillingen blev anvendt, modtager brugerne en meddelelse, der informerer dem om, at programmet blev blokeret af deres organisation. Brugeren kan tilsidesætte blokken for efterfølgende startr ved at vælge "Tillad". Denne tilladelseshandling er kun midlertidig, og programmet blokeres igen efter et stykke tid.

Bemærk!

Hvis din organisation har installeret DisableLocalAdminMerge gruppepolitikken, kan du opleve tilfælde, hvor det ikke er tilladt at anvende et program.

Slutbrugere opdaterer blokerede programmer

Et ofte stillet spørgsmål er "Hvordan opdaterer slutbrugeren et blokeret program?" Blokken gennemtvinges ved at blokere den eksekverbare fil. Nogle programmer, f.eks. Firefox, er afhængige af en separat eksekverbar opdatering, som ikke er blokeret af denne funktion. I andre tilfælde, hvor programmet kræver, at den primære eksekverbare fil opdateres, anbefales det enten at implementere blokken i advarselstilstand (så slutbrugeren kan tilsidesætte blokken) eller bede slutbrugeren om at slette programmet (hvis der ikke er gemt vigtige oplysninger på klienten) og derefter geninstallere det.