Bloccare le applicazioni vulnerabili con Gestione delle vulnerabilità di Microsoft Defender

Si applica a:

• Gestione delle vulnerabilità di Microsoft Defender
• Microsoft Defender XDR
• Microsoft Defender per server Piano 2

Nota

Per usare questa funzionalità è necessario Gestione delle vulnerabilità di Microsoft Defender autonomo o se si è già un cliente Microsoft Defender per endpoint Piano 2, il Gestione delle vulnerabilità di Defender componente aggiuntivo.

La correzione delle vulnerabilità richiede tempo e può dipendere dalle responsabilità e dalle risorse del team IT. Gli amministratori della sicurezza possono ridurre temporaneamente il rischio di una vulnerabilità eseguendo azioni immediate per bloccare tutte le versioni vulnerabili attualmente note di un'applicazione fino al completamento della richiesta di correzione. L'opzione blocca consente ai team IT di applicare patch a un'applicazione senza preoccuparsi degli amministratori della sicurezza in merito alle vulnerabilità.

Durante l'esecuzione dei passaggi di correzione suggeriti da un consiglio di sicurezza, gli amministratori della sicurezza possono eseguire un'azione di mitigazione e bloccare le versioni vulnerabili di un'applicazione. Gli indicatori di compromissione dei file (IOC) vengono creati per ognuno dei file eseguibili che appartengono a versioni vulnerabili dell'applicazione. Microsoft Defender Antivirus applica quindi i blocchi nei dispositivi che si trovano nell'ambito specificato.

Bloccare o avvisare l'azione di mitigazione

L'azione di blocco ha lo scopo di impedire l'esecuzione di tutte le versioni vulnerabili installate dell'applicazione nell'organizzazione. Ad esempio, se è presente una vulnerabilità zero-day attiva, è possibile impedire agli utenti di eseguire il software interessato mentre si determinano le opzioni di work-around.

L'azione di avviso ha lo scopo di inviare un avviso agli utenti quando aprono versioni vulnerabili dell'applicazione. Gli utenti possono scegliere di ignorare l'avviso e accedere all'applicazione per gli avvii successivi.

Per entrambe le azioni, è possibile personalizzare il messaggio visualizzato dagli utenti. Ad esempio, è possibile incoraggiarli a installare la versione più recente. Inoltre, è possibile specificare un URL personalizzato a cui gli utenti accedono quando selezionano la notifica. L'utente deve selezionare il corpo della notifica di tipo avviso popup per passare all'URL personalizzato. La notifica può essere usata per fornire altri dettagli specifici per la gestione delle applicazioni nell'organizzazione.

Nota

Le azioni di blocco e avviso vengono in genere applicate entro pochi minuti, ma possono richiedere fino a tre ore.

Requisiti minimi

• Microsoft Defender Antivirus (modalità attiva): per il rilevamento degli eventi di esecuzione dei file e il blocco è necessario abilitare Microsoft Defender Antivirus in modalità attiva. Per progettazione, la modalità passiva ed EDR in modalità blocco non possono rilevare e bloccare in base all'esecuzione di file. Per altre informazioni, vedere Distribuire Microsoft Defender Antivirus.
• Protezione fornita dal cloud (abilitata): per altre informazioni, vedere Gestire la protezione basata sul cloud.
• Consenti o blocca il file (on): passare a Impostazioni>Endpoint>Funzionalità> avanzateConsenti o blocca file. Per altre informazioni, vedere Funzionalità avanzate.

Requisiti di versione

• La versione client antimalware deve essere 4.18.1901.x o successiva.
• La versione del motore deve essere 1.1.16200.x o successiva.
• I dispositivi client Windows devono eseguire Windows 11 o Windows 10, versione 1809 o versioni successive, con gli aggiornamenti di Windows più recenti installati.
• I server devono essere in esecuzione Windows Server 2022, 2019, 2016, 2012 R2 e 2008 R2 SP1. Il supporto per Windows Server 2025 è in fase di implementazione, a partire da febbraio 2025 e nelle prossime settimane.

Come bloccare le applicazioni vulnerabili

1. Accedere al portale di Microsoft Defender, quindi passare a Endpoints>Vulnerability Management>Recommendations .

2. Selezionare un consiglio di sicurezza per visualizzare un riquadro a comparsa con altre informazioni.

3. Selezionare Richiedi correzione.

4. Compilare il modulo. Nell'elenco a discesa Opzioni di correzione selezionare le opzioni da richiedere. Le opzioni sono l'aggiornamento software, la disinstallazione del software e l'attenzione necessaria.

5. In Strumenti di gestione attività selezionare la casella Apri un ticket in Intune (per i dispositivi aggiunti ad AAD) se si vuole creare un ticket in Microsoft Intune per la richiesta di correzione.

6. Selezionare una data di scadenza della correzione.

7. In Priorità selezionare Alto, Medio o Basso.

8. In Aggiungi note è possibile aggiungere altre informazioni. Seleziona Avanti.

9. Esaminare le selezioni effettuate e quindi selezionare Invia. Nella pagina finale è possibile scegliere di modificare le selezioni ed esportare tutte le richieste di correzione in un file .CSV.

Nota

A partire dal 3 dicembre 2024, si prevede una riduzione del numero di indicatori di file creati dai nuovi criteri di blocco delle applicazioni. Per ridurre l'utilizzo corrente dell'indicatore, sbloccare eventuali applicazioni bloccate e creare nuovi criteri di blocco.

In base ai dati disponibili, le azioni di blocco hanno effetto sugli endpoint con Microsoft Defender Antivirus. Microsoft Defender per endpoint si impegna al massimo per bloccare l'esecuzione di applicazioni o versioni vulnerabili applicabili.

Se vengono rilevate più vulnerabilità in una versione diversa di un'applicazione, viene visualizzato un nuovo consiglio di sicurezza che richiede di aggiornare l'applicazione ed è anche possibile scegliere di bloccare questa versione diversa.

Quando il blocco non è supportato

Se non viene visualizzata l'opzione di mitigazione durante la richiesta di correzione, è perché la possibilità di bloccare l'applicazione non è attualmente supportata. Le raccomandazioni che non includono azioni di mitigazione includono:

• Applicazioni Microsoft
• Raccomandazioni relative ai sistemi operativi
• Raccomandazioni relative alle app per macOS e Linux
• App in cui Microsoft non dispone di informazioni sufficienti o di un'attendibilità elevata da bloccare
• App di Microsoft Store, che non possono essere bloccate perché firmate da Microsoft

Se si tenta di bloccare un'applicazione e non funziona, è possibile che sia stata raggiunta la capacità massima dell'indicatore. In tal caso, è possibile eliminare gli indicatori precedenti Altre informazioni sugli indicatori.

Visualizzare le attività di correzione

Dopo aver inviato una richiesta per bloccare le applicazioni vulnerabili, è possibile visualizzare le attività di correzione seguendo questa procedura:

1. Passare a Endpoints> Vulnerability ManagementRemediation (Correzione dellagestione> delle vulnerabilità degli endpoint).

2. Nella scheda Attività è possibile scegliere di filtrare i risultati in base al tipo di mitigazione. Le opzioni sono Blocca, Avvisa, Nessuno e Soluzione alternativa.

3. Selezionare l'attività pertinente per visualizzare un riquadro a comparsa con i dettagli, tra cui la descrizione della correzione, la descrizione della mitigazione e lo stato di correzione del dispositivo:

   

Visualizzare le applicazioni bloccate

Per visualizzare un elenco di applicazioni bloccate, seguire questa procedura:

1. Passare a Endpoints> Vulnerability ManagementRemediation (Correzionegestione> vulnerabilità) e quindi selezionare la scheda Applicazioni bloccate:

   

2. Selezionare un'applicazione bloccata per visualizzare un riquadro a comparsa con dettagli sul numero di vulnerabilità, se sono disponibili exploit, versioni bloccate e attività di correzione.

3. Selezionare Visualizza i dettagli delle versioni bloccate nella pagina Indicatore, che consente di accedere alla pagina Indicatori , in cui è possibile visualizzare gli hash dei file e le azioni di risposta.

   Nota

   Se si usa l'API Indicatori con query sugli indicatori a livello di codice come parte dei flussi di lavoro, l'azione di blocco produce più risultati.

4. Per sbloccare un'applicazione, selezionare Sblocca software o Apri pagina software:

   

Sbloccare le applicazioni

Selezionare un'applicazione bloccata per visualizzare l'opzione Sblocca software nel riquadro a comparsa.

Dopo aver sbloccato un'applicazione, aggiornare la pagina per visualizzarla rimossa dall'elenco. Possono essere richieste fino a 3 ore prima che un'applicazione venga sbloccata e diventi nuovamente accessibile agli utenti.

Esperienza degli utenti per le applicazioni bloccate

Quando gli utenti tentano di accedere a un'applicazione bloccata, ricevono un messaggio che informa che l'applicazione è stata eseguita dall'organizzazione. Questo messaggio è personalizzabile.

Per le applicazioni in cui è stata applicata l'opzione di mitigazione degli avvisi, gli utenti ricevono un messaggio che informa che l'applicazione è stata bloccata dall'organizzazione. L'utente può ignorare il blocco per gli avvii successivi, scegliendo "Consenti". Questa azione consenti è solo temporanea e l'applicazione viene nuovamente bloccata dopo un po'.

Nota

Se l'organizzazione ha distribuito i DisableLocalAdminMerge criteri di gruppo, è possibile riscontrare istanze in cui consentire un'applicazione non ha effetto.

Aggiornamento delle applicazioni bloccate da parte dell'utente finale

Una domanda comunemente posta è: "In che modo un utente finale aggiorna un'applicazione bloccata?" Il blocco viene applicato bloccando il file eseguibile. Alcune applicazioni, ad esempio Firefox, si basano su un eseguibile di aggiornamento separato, che non è bloccato da questa funzionalità. In altri casi, quando l'applicazione richiede l'aggiornamento del file eseguibile principale, è consigliabile implementare il blocco in modalità di avviso (in modo che l'utente finale possa ignorare il blocco) o chiedere all'utente finale di eliminare l'applicazione (se non sono archiviate informazioni vitali nel client) e quindi reinstallarla.

Articoli correlati

• Vulnerabilità nell'organizzazione