Jaa

Estä haavoittuvassa asemassa olevat sovellukset Microsoft Defenderin haavoittuvuuksien hallinta avulla

  • Artikkeli

Koskee seuraavia:

Huomautus

Jos haluat käyttää tätä ominaisuutta, tarvitset Microsoft Defenderin haavoittuvuuksien hallinta Standalone tai jos olet jo Microsoft Defender for Endpoint palvelupaketin 2 asiakas, Defenderin haavoittuvuuksien hallinta laajennus.

Haavoittuvuuksien korjaaminen vie aikaa, ja ne voivat olla riippuvaisia IT-tiimin vastuista ja resursseista. Suojauksen järjestelmänvalvojat voivat tilapäisesti pienentää haavoittuvuuden riskiä tekemällä välittömiä toimia estääkseen kaikki sovelluksen tällä hetkellä tunnetut haavoittuvassa asemassa olevat versiot, kunnes korjauspyyntö on valmis. Block-vaihtoehto antaa IT-tiimeille aikaa paikata sovellus huolehtimatta tietoturvan järjestelmänvalvojista haavoittuvuuksista.

Suojaussuosituksen ehdottamien korjausvaiheiden suorittamisen aikana suojauksen järjestelmänvalvojat voivat suorittaa lievennystoiminnon ja estää sovelluksen haavoittuvassa asemassa olevat versiot. Kompromissien (IOC) tiedostoilmaisimet luodaan kullekin suoritettavalle tiedostolle, joka kuuluu kyseisen sovelluksen haavoittuvaan versioon. Microsoft Defender virustentorjunta pakottaa sitten lohkot laitteissa, jotka ovat määritetyssä vaikutusalueessa.

Estä tai varoita lievennystoiminto

Estotoiminnon tarkoituksena on estää kaikkia organisaatiosi sovelluksen asennettuja haavoittuvassa asemassa olevia versioita suorittamasta. Jos esimerkiksi kyseessä on aktiivinen nollapäivän haavoittuvuus, voit estää käyttäjiä suorittamasta ohjelmistoa, jota ongelma koskee, samalla kun määrität kiertoasetuksia.

Varoitustoiminnon tarkoituksena on lähettää käyttäjille varoitus, kun he avaavat haavoittuvassa asemassa olevia versioita sovelluksesta. Käyttäjät voivat ohittaa varoituksen ja käyttää sovellusta myöhempää käynnistystä varten.

Kummassakin toiminnossa voit mukauttaa käyttäjien näkemää viestiä. Voit esimerkiksi kannustaa heitä asentamaan uusimman version. Lisäksi voit antaa mukautetun URL-osoitteen, johon käyttäjät voivat siirtyä, kun he valitsevat ilmoituksen. Käyttäjän on valittava ilmoitusruutu, jotta hän voi siirtyä mukautettuun URL-osoitteeseen. Ilmoituksen avulla voit antaa lisätietoja organisaation sovellusten hallinnasta.

Huomautus

Esto- ja varoitustoiminnot pakotetaan yleensä muutaman minuutin kuluessa, mutta ne voivat kestää jopa kolme tuntia.

Vähimmäisvaatimukset

  • Microsoft Defender virustentorjuntaohjelma (aktiivinen tila): Tiedoston suoritustapahtumien ja estämisen havaitseminen edellyttää, että Microsoft Defender virustentorjunta on otettu käyttöön aktiivisessa tilassa. Oletusarvon mukaan passiivitila ja estotilassa oleva EDR-tila eivät tunnista ja estä tiedoston suorittamisen perusteella. Lisätietoja on artikkelissa Microsoft Defender virustentorjunta.
  • Pilvipalveluun toimitettu suojaus (käytössä): Lisätietoja on kohdassa Pilvipohjaisen suojauksen hallinta.
  • Salli tai estä tiedosto (käytössä): Siirry kohtaan Asetukset>PäätepisteetLisäominaisuudet>>Salli tai estä tiedosto. Lisätietoja on artikkelissa Lisäominaisuudet.

Versiovaatimukset

  • Haittaohjelmien torjuntaohjelman version on oltava 4.18.1901.x tai uudempi.
  • Moduuliversion on oltava 1.1.16200.x tai uudempi.
  • Windows-asiakaslaitteissa on oltava käytössä Windows 11 tai Windows 10, versio 1809 tai uudempi, kun uusimmat Windows-päivitykset on asennettu.
  • Palvelimien on oltava käytössä Windows Server 2022, 2019, 2016, 2012 R2 ja 2008 R2 SP1. tuki Windows Server 2025 otetaan käyttöön, alkaen helmikuusta 2025 ja seuraavien viikkojen aikana.

Haavoittuvassa asemassa olevien sovellusten estäminen

  1. Kirjaudu sisään Microsoft Defender portaaliin ja siirry kohtaan Päätepisteiden>haavoittuvuudenhallintaSuositukset> .

  2. Valitse suojaussuositus, jos haluat nähdä pikaikkunan, jossa on lisätietoja.

  3. Valitse Pyynnön korjaus.

  4. Täytä lomake. Valitse avattavasta Korjausvaihtoehdot-valikosta , mitä asetuksia haluat pyytää. Vaihtoehdot ovat ohjelmistopäivitys, ohjelmiston asennuksen poistaminen ja tarvitaan toimenpiteitä.

  5. Valitse Tehtävienhallintatyökalut-kohdassa Avaa lippu Intune (AAD:hen liitetyt laitteet) -valintaruutu, jos haluat luoda tukipyynnön Microsoft Intune korjauspyyntöä varten.

  6. Valitse korjauksen määräpäivä.

  7. Valitse Prioriteetti-kohdasta Suuri, Normaali tai Pieni.

  8. Voit lisätä lisätietoja Lisää huomautuksia -kohdassa. Valitse Seuraava.

  9. Tarkista tekemäsi valinnat ja valitse sitten Lähetä. Viimeisellä sivulla voit muokata valintoja ja viedä kaikki korjauspyynnöt .CSV-tiedostoon.

Huomautus

3.12.2024 alkaen uusien sovelluslohkokäytäntöjen luomien tiedostoindikaattorien määrä vähenee. Vähennä nykyisen ilmaisimen käyttöä poistamalla estettyjen sovellusten esto ja luomalla uusia estokäytäntöjä.

Käytettävissä olevien tietojen perusteella estotoiminnot tulevat voimaan päätepisteissä, joissa on Microsoft Defender virustentorjunta. Microsoft Defender for Endpoint pyrkii parhaalla mahdollisella yrityksellä estämään käytettävissä olevien haavoittuvassa asemassa olevien sovellusten tai versioiden suorittamisen.

Jos sovelluksen eri versiosta löytyy lisää haavoittuvuuksia, saat uuden suojaussuosituksen, jossa sinua pyydetään päivittämään sovellus, ja voit myös estää tämän eri version.

Kun estämistä ei tueta

Jos et näe lievennysvaihtoehtoa korjausta pyydettäessä, se johtuu siitä, että sovelluksen estämistoimintoa ei tällä hetkellä tueta. Suosituksia, jotka eivät sisällä lievennystoimia, ovat seuraavat:

  • Microsoft-sovellukset
  • Käyttöjärjestelmiin liittyvät suositukset
  • MacOS- ja Linux-sovelluksiin liittyvät suositukset
  • Sovellukset, joissa Microsoftilla ei ole riittävästi tietoja tai joiden estäminen on erittäin luotettavaa
  • Microsoft Store -sovelluksia, joita ei voida estää, koska Microsoft on allekirjoittanut ne

Jos yrität estää sovelluksen, eikä se toimi, olet ehkä saavuttanut ilmaisimen enimmäiskapasiteetin. Jos on, voit poistaa vanhoja ilmaisimia Lisätietoja ilmaisimista.

Näytä korjaustoiminnot

Kun olet lähettänyt haavoittuvassa asemassa olevien sovellusten estopyynnön, voit tarkastella korjaustoimintoja seuraavasti:

  1. Siirry päätepisteiden>haavoittuvuuden hallinnan>korjaukseen.

  2. Toiminnot-välilehdessä voit suodattaa tulokset lievennystyypin mukaan. Vaihtoehdot ovat Block, Warn, None ja Workaround.

  3. Valitse asianmukainen toiminto, niin näet pikaikkunaruudun, jossa on tietoja, kuten korjauksen kuvaus, lievennyksen kuvaus ja laitteen korjaustila:

    Korjaus- ja lievennystiedot

Näytä estetyt sovellukset

Voit tarkastella estettyjen sovellusten luetteloa seuraavasti:

  1. Siirry päätepisteiden>haavoittuvuuden hallinnan>korjaukseen ja valitse sitten Estetyt sovellukset -välilehti:

    Estetty sovellus

  2. Valitse estetty sovellus, jos haluat tarkastella pikaikkunaa, jossa on lisätietoja haavoittuvuuksien määrästä, siitä, ovatko hyödynnykset käytettävissä, estetyt versiot ja korjaustoiminnot.

  3. Valitse ilmaisinsivulta Näytä estettyjen versioiden tiedot, jolloin pääset Ilmaisimet-sivulle , jossa voit tarkastella tiedoston hajautuksia ja vastaustoimintoja.

    Huomautus

    Jos käytät ilmaisimien ohjelmointirajapintaa ohjelmallisten ilmaisinkyselyiden kanssa osana työnkulkuja, lohkotoiminto tuottaa enemmän tuloksia.

  4. Jos haluat poistaa sovelluksen eston, valitse Poista ohjelmiston esto tai Avaa ohjelmisto -sivu:

    Estettyjen sovellusten tiedot

Poista sovellusten esto

Valitse estetty sovellus, jos haluat tarkastella vaihtoehtoa Poista ohjelmiston esto pikaikkunassa.

Kun olet poistanut sovelluksen eston, päivitä sivu niin, että se poistetaan luettelosta. Voi kestää jopa kolme tuntia, ennen kuin sovelluksen esto poistetaan ja käyttäjät voivat käyttää sitä uudelleen.

Estettyjen sovellusten käyttökokemus

Kun käyttäjät yrittävät käyttää estettyä sovellusta, he saavat ilmoituksen siitä, että sovellus on hänen organisaationsa. Tätä viestiä voi mukauttaa.

Sovelluksissa, joissa on käytössä varoituksen lievennysasetus, käyttäjät saavat ilmoituksen siitä, että organisaatio on estänyt sovelluksen käytön. Käyttäjä voi ohittaa lohkon seuraavissa käynnistyksissä valitsemalla "Salli". Tämä sallittu toiminto on vain tilapäinen, ja sovellus estetään uudelleen jonkin kuluttua.

Huomautus

Jos organisaatiosi on ottanut käyttöön ryhmäkäytännön DisableLocalAdminMerge , saatat kohdata esiintymiä, joissa sovelluksen salliminen ei tule voimaan.

Käyttäjä päivittää estettyjä sovelluksia

Usein kysytty kysymys on "Miten loppukäyttäjä päivittää estettyä sovellusta?" Esto pakotetaan estämällä suoritettava tiedosto. Jotkin sovellukset, kuten Firefox, käyttävät erillistä suoritettavaa päivitystiedostoa, jota tämä ominaisuus ei estä. Muissa tapauksissa, kun sovellus edellyttää päätiedoston päivittämistä, on suositeltavaa joko ottaa esto käyttöön varoitustilassa (jotta loppukäyttäjä voi ohittaa lohkon) tai pyytää loppukäyttäjää poistamaan sovelluksen (jos mitään tärkeitä tietoja ei tallenneta asiakkaaseen) ja asentamaan se sitten uudelleen.