Freigeben über


Blockieren anfälliger Anwendungen mit Microsoft Defender Vulnerability Management

Gilt für:

Das Beheben von Sicherheitsrisiken nimmt Zeit in Anspruch und kann von den Zuständigkeiten und Ressourcen des IT-Teams abhängig sein. Sicherheitsadministratoren können das Risiko einer Sicherheitslücke vorübergehend verringern, indem sie sofortige Maßnahmen ergreifen, um alle derzeit bekannten anfälligen Versionen einer Anwendung zu blockieren, bis die Wartungsanforderung abgeschlossen ist. Die Option blockieren gibt Ihren IT-Teams Zeit, eine Anwendung zu patchen, ohne sich Gedanken über die Sicherheitsrisiken machen zu müssen.

Während sie die von einer Sicherheitsempfehlung vorgeschlagenen Korrekturschritte ausführen, können Sicherheitsadministratoren eine Entschärfungsaktion ausführen und anfällige Versionen einer Anwendung blockieren. File Indicators of Compromise (IOC)s werden für jede ausführbare Datei erstellt, die zu anfälligen Versionen dieser Anwendung gehören. Microsoft Defender Antivirus erzwingt dann Blöcke auf den Geräten, die sich im angegebenen Bereich befinden.

Blockieren oder Warnen der Entschärfungsaktion

Die Blockaktion soll verhindern, dass alle installierten anfälligen Versionen der Anwendung in Ihrem organization ausgeführt werden. Wenn beispielsweise eine aktive Zero-Day-Sicherheitslücke vorliegt, können Sie Ihre Benutzer daran hindern, die betroffene Software auszuführen, während Sie Umgehungsoptionen festlegen.

Die Warnungsaktion dient zum Senden einer Warnung an Ihre Benutzer, wenn sie anfällige Versionen der Anwendung öffnen. Benutzer können die Warnung umgehen und für nachfolgende Starts auf die Anwendung zugreifen.

Für beide Aktionen können Sie die Meldung anpassen, die den Benutzern angezeigt wird. Beispielsweise können Sie sie dazu ermutigen, die neueste Version zu installieren. Darüber hinaus können Sie eine benutzerdefinierte URL angeben, zu der benutzer navigieren, wenn sie die Benachrichtigung auswählen. Der Benutzer muss den Text der Popupbenachrichtigung auswählen, um zur benutzerdefinierten URL zu navigieren. Die Benachrichtigung kann verwendet werden, um weitere Details zur Anwendungsverwaltung in Ihrem organization bereitzustellen.

Hinweis

Blockieren und Warnaktionen werden in der Regel innerhalb weniger Minuten erzwungen, können aber bis zu drei Stunden dauern.

Mindestanforderungen

  • Microsoft Defender Antivirus (aktiver Modus):Für die Erkennung von Dateiausführungsereignissen und das Blockieren muss Microsoft Defender Antivirus im aktiven Modus aktiviert sein. Standardmäßig können der passive Modus und EDR im Blockmodus nicht basierend auf der Dateiausführung erkennen und blockieren. Weitere Informationen finden Sie unter Bereitstellen Microsoft Defender Antivirus.
  • In der Cloud bereitgestellter Schutz (aktiviert):Weitere Informationen finden Sie unter Verwalten des cloudbasierten Schutzes.
  • Datei zulassen oder blockieren (ein):Wechseln Sie zu Einstellungen>Endpunkte>Erweiterte Features>Datei zulassen oder blockieren. Weitere Informationen finden Sie unter Erweiterte Features.

Versionsanforderungen

  • Die Antischadsoftwareclientversion muss oder höher sein 4.18.1901.x .
  • Die Engine-Version muss oder höher sein 1.1.16200.x .
  • Windows-Clientgeräte müssen Windows 11 oder Windows 10, Version 1809 oder höher ausgeführt werden, wobei die neuesten Windows-Updates installiert sind.
  • Server müssen Windows Server 2022, 2019, 2016, 2012 R2 und 2008 R2 SP1 ausgeführt werden. Die Unterstützung für Windows Server 2025 wird eingeführt, beginnend im Februar 2025 und in den nächsten Wochen.

Blockieren anfälliger Anwendungen

  1. Navigieren Sie im Microsoft Defender-Portal zuEmpfehlungen für die Verwaltung von Sicherheitsrisiken>.

  2. Wählen Sie eine Sicherheitsempfehlung aus, um ein Flyout mit weiteren Informationen anzuzeigen.

  3. Wählen Sie Wartung anfordern aus.

  4. Wählen Sie aus, ob Sie die Korrektur und Entschärfung auf alle Gerätegruppen oder nur auf einige wenige Gerätegruppen anwenden möchten.

  5. Wählen Sie die Korrekturoptionen auf der Seite Wartungsanforderung aus . Die Korrekturoptionen sind Softwareupdate, Softwaredeinstallation und Aufmerksamkeit erforderlich.

  6. Wählen Sie ein Fälligkeitsdatum für die Wartung aus, und wählen Sie Weiter aus.

  7. Wählen Sie unter Entschärfungsaktiondie Option Blockieren oder Warnen aus. Nachdem Sie eine Entschärfungsaktion übermittelt haben, wird sie sofort angewendet.

    Entschärfungsaktion

  8. Überprüfen Sie die von Ihnen getroffenen Auswahlen, und senden Sie die Anforderung. Auf der letzten Seite können Sie direkt zur Wartungsseite wechseln, um den Fortschritt der Wartungsaktivitäten und die Liste der blockierten Anwendungen anzuzeigen.

Hinweis

Ab dem 3. Dezember 2024 wird eine Verringerung der Anzahl von Dateiindikatoren erwartet, die durch neue Anwendungsblockrichtlinien erstellt werden. Heben Sie die Blockierung aller blockierten Anwendungen auf, und erstellen Sie neue Blockrichtlinien, um ihre aktuelle Indikatornutzung zu reduzieren.

Basierend auf den verfügbaren Daten werden die Blockaktionen auf Endpunkten wirksam, die über Microsoft Defender Antivirus verfügen. Microsoft Defender for Endpoint versucht, die Ausführung von anfälligen Anwendungen oder Versionen zu blockieren.

Wenn in einer anderen Version einer Anwendung weitere Sicherheitsrisiken gefunden werden, erhalten Sie eine neue Sicherheitsempfehlung, in der Sie aufgefordert werden, die Anwendung zu aktualisieren, und Sie können auch diese andere Version blockieren.

Wenn blockieren nicht unterstützt wird

Wenn die Lösungsoption beim Anfordern einer Korrektur nicht angezeigt wird, liegt dies daran, dass die Möglichkeit, die Anwendung zu blockieren, derzeit nicht unterstützt wird. Empfehlungen, die keine Entschärfungsaktionen enthalten:

  • Microsoft-Anwendungen
  • Empfehlungen im Zusammenhang mit Betriebssystemen
  • Empfehlungen im Zusammenhang mit Apps für macOS und Linux
  • Apps, bei denen Microsoft nicht über ausreichende Informationen oder eine hohe Zuverlässigkeit zum Blockieren verfügt
  • Microsoft Store-Apps, die nicht blockiert werden können, da sie von Microsoft signiert sind

Wenn Sie versuchen, eine Anwendung zu blockieren, die nicht funktioniert, haben Sie möglicherweise die maximale Indikatorkapazität erreicht. Wenn ja, können Sie alte Indikatoren löschen Weitere Informationen zu Indikatoren.

Anzeigen von Wartungsaktivitäten

Nachdem Sie eine Anforderung zum Blockieren anfälliger Anwendungen übermittelt haben, können Sie die Wartungsaktivitäten anzeigen, indem Sie die folgenden Schritte ausführen:

  1. Navigieren Sie im Microsoft Defender-Portal zu Aktivitäten zurBehebung von>Sicherheitsrisiken für die> Verwaltung von Sicherheitsrisiken.

  2. Filtern Sie die Ergebnisse nach folgendem Entschärfungstyp: Block and/or Warn to view all activities pertaining to block or warn actions.

  3. Ein Aktivitätsprotokoll wird angezeigt. Beachten Sie, dass es sich um ein Aktivitätsprotokoll handelt, nicht um den aktuellen Block status der Anwendung. Wählen Sie die relevante Aktivität aus, um einen Flyoutbereich mit Details anzuzeigen, einschließlich der Beschreibung der Korrektur, der Beschreibung der Risikominderung und der status:

    Details zur Behebung und Entschärfung

Anzeigen blockierter Anwendungen

Führen Sie die folgenden Schritte aus, um eine Liste der blockierten Anwendungen anzuzeigen:

  1. Wechseln Sie im Microsoft Defender-Portal zur Registerkarte Wartung>Blockierte Anwendungen:

    Blockierte Anwendung

  2. Wählen Sie eine blockierte Anwendung aus, um ein Flyout mit Details zur Anzahl von Sicherheitsrisiken, ob Exploits verfügbar sind, blockierten Versionen und Wartungsaktivitäten anzuzeigen.

  3. Wählen Sie auf der Seite Indikator die Option Details zu blockierten Versionen anzeigen aus. Dadurch gelangen Sie zur Seite Indikatoren , auf der Sie die Dateihashes und Antwortaktionen anzeigen können.

    Hinweis

    Wenn Sie die Indikatoren-API mit programmgesteuerten Indikatorabfragen als Teil Ihrer Workflows verwenden, führt die Blockaktion zu weiteren Ergebnissen.

  4. Um die Blockierung einer Anwendung aufzuheben, wählen Sie Softwareblockierung aufheben oder Softwareseite öffnen aus:

    Details zu blockierten Anwendungen

Aufheben der Blockierung von Anwendungen

Wählen Sie eine blockierte Anwendung aus, um die Option Softwareblockierung aufheben im Flyout anzuzeigen.

Nachdem Sie die Blockierung einer Anwendung aufgehoben haben, aktualisieren Sie die Seite, damit sie aus der Liste entfernt wurde. Es kann bis zu 3 Stunden dauern, bis die Blockierung einer Anwendung aufgehoben und für Ihre Benutzer wieder zugänglich ist.

Benutzerfreundlichkeit für blockierte Anwendungen

Wenn Benutzer versuchen, auf eine blockierte Anwendung zuzugreifen, erhalten sie eine Meldung, die sie darüber informiert, dass die Anwendung von ihrem organization wurde. Diese Nachricht kann angepasst werden.

Bei Anwendungen, bei denen die Warnungsminderungsoption angewendet wurde, erhalten Benutzer eine Meldung, die sie darüber informiert, dass die Anwendung durch ihre organization blockiert wurde. Der Benutzer kann den Block für nachfolgende Starts umgehen, indem er "Zulassen" auswählt. Diese Zulassen-Aktion ist nur temporär, und die Anwendung wird nach einer Weile wieder blockiert.

Hinweis

Wenn Ihre organization die DisableLocalAdminMerge Gruppenrichtlinie bereitgestellt hat, können Instanzen auftreten, in denen das Zulassen einer Anwendung nicht wirksam wird.

Endbenutzer aktualisieren blockierte Anwendungen

Eine häufig gestellte Frage lautet: "Wie aktualisiert ein Endbenutzer eine blockierte Anwendung?" Der -Block wird erzwungen, indem die ausführbare Datei blockiert wird. Einige Anwendungen, z. B. Firefox, basieren auf einer separaten ausführbaren Updatedatei, die von diesem Feature nicht blockiert wird. In anderen Fällen, wenn die Anwendung die Standard ausführbare Datei zum Aktualisieren benötigt, wird empfohlen, den Block entweder im Warnmodus zu implementieren (damit der Endbenutzer den Block umgehen kann) oder den Endbenutzer aufzufordern, die Anwendung zu löschen (wenn keine wichtigen Informationen auf dem Client gespeichert sind) und dann erneut zu installieren.