Bloquer les applications vulnérables
S’applique à :
- Gestion des vulnérabilités Microsoft Defender
- Microsoft Defender XDR
- Microsoft Defender pour serveurs Plan 2
Remarque
Pour utiliser cette fonctionnalité, vous aurez besoin Gestion des vulnérabilités Microsoft Defender autonome ou si vous êtes déjà un client Microsoft Defender pour point de terminaison Plan 2, le Defender Vulnerability Management module complémentaire.
La correction des vulnérabilités prend du temps et peut dépendre des responsabilités et des ressources de l’équipe informatique. Les administrateurs de sécurité peuvent temporairement réduire le risque d’une vulnérabilité en prenant des mesures immédiates pour bloquer toutes les versions vulnérables actuellement connues d’une application, jusqu’à ce que la demande de correction soit terminée. L’option bloquer donne aux équipes informatiques le temps de corriger l’application sans que les administrateurs de sécurité ne s’inquiètent que les vulnérabilités soient exploitées dans l’intervalle.
Tout en effectuant les étapes de correction suggérées par une recommandation de sécurité, les administrateurs de sécurité disposant des autorisations appropriées peuvent effectuer une action d’atténuation et bloquer les versions vulnérables d’une application. Les indicateurs de compromission (IOC) de fichier sont créés pour chacun des fichiers exécutables qui appartiennent à des versions vulnérables de cette application. Microsoft Defender Antivirus applique ensuite des blocs sur les appareils qui se trouvent dans l’étendue spécifiée.
Conseil
Saviez-vous que vous pouvez essayer gratuitement toutes les fonctionnalités de Gestion des vulnérabilités Microsoft Defender ? Découvrez comment vous inscrire à un essai gratuit.
Bloquer ou avertir l’action d’atténuation
L’action bloquer est destinée à empêcher l’exécution de toutes les versions vulnérables installées de l’application dans votre organization. Par exemple, s’il existe une vulnérabilité zero-day active, vous pouvez empêcher vos utilisateurs d’exécuter le logiciel affecté pendant que vous déterminez les options de contournement.
L’action d’avertissement est destinée à envoyer un avertissement à vos utilisateurs lorsqu’ils ouvrent des versions vulnérables de l’application. Les utilisateurs peuvent choisir de contourner l’avertissement et d’accéder à l’application pour les lancements suivants.
Pour les deux actions, vous pouvez personnaliser le message que les utilisateurs voient. Par exemple, vous pouvez les encourager à installer la dernière version. En outre, vous pouvez fournir une URL personnalisée à laquelle les utilisateurs accèdent lorsqu’ils sélectionnent la notification. Notez que l’utilisateur doit sélectionner le corps de la notification toast pour accéder à l’URL personnalisée. Vous pouvez l’utiliser pour fournir des détails supplémentaires spécifiques à la gestion des applications dans votre organization.
Remarque
Les actions de blocage et d’avertissement sont généralement appliquées en quelques minutes, mais peuvent prendre jusqu’à 3 heures.
Configuration minimale requise
- antivirus Microsoft Defender (mode actif) : la détection des événements d’exécution de fichier et du blocage nécessite Microsoft Defender’activation de l’antivirus en mode actif. Par conception, le mode passif et EDR en mode bloc ne peuvent pas détecter et bloquer en fonction de l’exécution de fichier. Pour plus d’informations, consultez Déployer Microsoft Defender Antivirus.
- Protection fournie par le cloud (activée) : pour plus d’informations, consultez Gérer la protection basée sur le cloud.
- Autoriser ou bloquer le fichier (activé) : accédez à Paramètres Points> de terminaisonFonctionnalités>avancées>Autoriser ou bloquer le fichier. Pour en savoir plus, consultez Fonctionnalités avancées.
Configuration requise pour la version
- La version du client Antimalware doit être 4.18.1901.x ou ultérieure.
- La version du moteur doit être 1.1.16200.x ou ultérieure.
- Pris en charge sur les appareils Windows 10, version 1809 ou ultérieure, avec les dernières mises à jour windows installées.
- Prend en charge Windows Server versions 2022, 2019, 2016, 2012 R2 et 2008 R2 SP1.
Autorisations
- Si vous utilisez le contrôle d’accès en fonction du rôle (RBAC), vous devez disposer de l’autorisation Gestion des menaces et des vulnérabilités - Gestion des applications.
- Si vous n’avez pas activé RBAC, vous devez disposer de l’un des rôles Microsoft Entra suivants : Administrateur de la sécurité ou Administrateur général. Pour en savoir plus sur les autorisations, accédez à Autorisations de base.
Importante
Microsoft vous recommande d’utiliser des rôles disposant du moins d’autorisations. L’utilisation de comptes avec autorisation inférieure permet d’améliorer la sécurité de vos organization. Le rôle d’administrateur général dispose de privilèges élevés. Il doit être limité aux scénarios d’urgence lorsque vous ne pouvez pas utiliser un rôle existant.
Comment bloquer les applications vulnérables
Accédez à Recommandations de gestion des> vulnérabilités dans le portail Microsoft Defender.
Sélectionnez une recommandation de sécurité pour afficher un menu volant contenant plus d’informations.
Sélectionnez Demander une correction.
Indiquez si vous souhaitez appliquer la correction et l’atténuation à tous les groupes d’appareils ou à quelques-uns seulement.
Sélectionnez les options de correction dans la page Demande de correction . Les options de correction sont la mise à jour logicielle, la désinstallation de logiciels et l’attention requise.
Sélectionnez une date d’échéance de correction , puis sélectionnez Suivant.
Sous Action d’atténuation, sélectionnez Bloquer ou Avertir. Une fois que vous envoyez une action d’atténuation, elle est immédiatement appliquée.
Passez en revue les sélections que vous avez effectuées et Envoyez la demande. Dans la dernière page, vous pouvez choisir d’accéder directement à la page de correction pour afficher la progression des activités de correction et afficher la liste des applications bloquées.
Remarque
À compter du 3 décembre 2024, prévoyez une réduction du nombre d’indicateurs de fichier créés par de nouvelles stratégies de bloc d’application. Pour réduire votre utilisation actuelle de l’indicateur, débloquez toutes les applications bloquées et créez de nouvelles stratégies de bloc.
En fonction des données disponibles, les actions de blocage prennent effet sur les points de terminaison qui ont Microsoft Defender Antivirus. Microsoft Defender pour point de terminaison s’efforce de bloquer l’exécution d’applications ou de versions vulnérables applicables.
Si des vulnérabilités supplémentaires sont détectées sur une autre version d’une application, vous obtenez une nouvelle recommandation de sécurité, vous demandant de mettre à jour l’application, et vous pouvez également choisir de bloquer cette autre version.
Quand le blocage n’est pas pris en charge
Si vous ne voyez pas l’option d’atténuation lors de la demande de correction, c’est que la possibilité de bloquer l’application n’est actuellement pas prise en charge. Les recommandations qui n’incluent pas d’actions d’atténuation sont les suivantes :
- Applications Microsoft
- Recommandations relatives aux systèmes d’exploitation
- Recommandations relatives aux applications pour macOS et Linux
- Applications pour lesquelles Microsoft ne dispose pas d’informations suffisantes ou d’un niveau de confiance élevé pour bloquer
- Applications du Microsoft Store, qui ne peuvent pas être bloquées parce qu’elles sont signées par Microsoft
Si vous essayez de bloquer une application et qu’elle ne fonctionne pas, vous avez peut-être atteint la capacité maximale de l’indicateur. Si c’est le cas, vous pouvez supprimer les anciens indicateurs En savoir plus sur les indicateurs.
Afficher les activités de correction
Une fois que vous avez envoyé la demande, accédez àActivités decorrection>de gestion des> vulnérabilités pour voir l’activité de correction nouvellement créée.
Filtrer par type d’atténuation : Bloquer et/ou Avertir pour afficher toutes les activités relatives aux actions de blocage ou d’avertissement.
Il s’agit d’un journal d’activité, et non du bloc actuel status de l’application. Sélectionnez l’activité appropriée pour afficher un panneau volant avec des détails, notamment la description de la correction, la description de l’atténuation et la correction de l’appareil status :
Afficher les applications bloquées
Recherchez la liste des applications bloquées en accédant à l’onglet Correction>applications bloquées :
Sélectionnez une application bloquée pour afficher un menu volant avec des détails sur le nombre de vulnérabilités, si les attaques sont disponibles, les versions bloquées et les activités de correction.
L’option Afficher les détails des versions bloquées dans la page Indicateur vous amène à la page Paramètres>Indicateursde> points de terminaison, où vous pouvez afficher les hachages de fichiers et les actions de réponse.
Remarque
Si vous utilisez l’API Indicateurs avec des requêtes d’indicateurs programmatiques dans le cadre de vos flux de travail, sachez que l’action de blocage donne des résultats supplémentaires.
Actuellement, certaines détections liées aux stratégies d’avertissement peuvent apparaître comme des programmes malveillants actifs dans Microsoft Defender XDR et/ou Microsoft Intune. Ce comportement sera résolu dans une prochaine version.
Vous pouvez également débloquer un logiciel ou Ouvrir la page du logiciel :
Débloquer des applications
Sélectionnez une application bloquée pour afficher l’option Débloquer le logiciel dans le menu volant.
Une fois que vous avez débloqué une application, actualisez la page pour la voir supprimée de la liste. Jusqu’à 3 heures peuvent être nécessaires pour qu’une application soit débloquée et redevient accessible à vos utilisateurs.
Expérience des utilisateurs pour les applications bloquées
Lorsque les utilisateurs tentent d’accéder à une application bloquée, ils reçoivent un message les informant que l’application a été effectuée par leur organization. Ce message est personnalisable.
Pour les applications où l’option d’atténuation des avertissements a été appliquée, les utilisateurs reçoivent un message les informant que l’application a été bloquée par leur organization. L’utilisateur a la possibilité de contourner le bloc pour les lancements suivants, en choisissant « Autoriser ». Cette autorisation n’est que temporaire et l’application sera à nouveau bloquée au bout d’un certain temps.
Remarque
Si votre organization a déployé la stratégie de groupe DisableLocalAdminMerge, vous pouvez rencontrer des instances où l’autorisation d’une application ne prend pas effet. Ce comportement sera résolu dans une prochaine version.
Mise à jour des applications bloquées par l’utilisateur final
Une question fréquemment posée est comment un utilisateur final met-il à jour une application bloquée ? Le bloc est appliqué en bloquant le fichier exécutable. Certaines applications, telles que Firefox, s’appuient sur un exécutable de mise à jour distinct, qui ne sera pas bloqué par cette fonctionnalité. Dans d’autres cas, lorsque l’application nécessite la mise à jour du fichier exécutable main, il est recommandé d’implémenter le bloc en mode d’avertissement (afin que l’utilisateur final puisse contourner le blocage) ou de supprimer l’application (si aucune information vitale n’est stockée sur le client) et de réinstaller l’application.