Bloccare le applicazioni vulnerabili con Gestione delle vulnerabilità di Microsoft Defender
Si applica a:
- Gestione delle vulnerabilità di Microsoft Defender
- Microsoft Defender XDR
- Microsoft Defender per server Piano 2
La correzione delle vulnerabilità richiede tempo e può dipendere dalle responsabilità e dalle risorse del team IT. Gli amministratori della sicurezza possono ridurre temporaneamente il rischio di una vulnerabilità eseguendo azioni immediate per bloccare tutte le versioni vulnerabili attualmente note di un'applicazione fino al completamento della richiesta di correzione. L'opzione blocca consente ai team IT di applicare patch a un'applicazione senza preoccuparsi degli amministratori della sicurezza in merito alle vulnerabilità.
Durante l'esecuzione dei passaggi di correzione suggeriti da un consiglio di sicurezza, gli amministratori della sicurezza possono eseguire un'azione di mitigazione e bloccare le versioni vulnerabili di un'applicazione. Gli indicatori di compromissione dei file (IOC) vengono creati per ognuno dei file eseguibili che appartengono a versioni vulnerabili dell'applicazione. Microsoft Defender Antivirus applica quindi i blocchi nei dispositivi che si trovano nell'ambito specificato.
Bloccare o avvisare l'azione di mitigazione
L'azione di blocco ha lo scopo di impedire l'esecuzione di tutte le versioni vulnerabili installate dell'applicazione nell'organizzazione. Ad esempio, se è presente una vulnerabilità zero-day attiva, è possibile impedire agli utenti di eseguire il software interessato mentre si determinano le opzioni di work-around.
L'azione di avviso ha lo scopo di inviare un avviso agli utenti quando aprono versioni vulnerabili dell'applicazione. Gli utenti possono scegliere di ignorare l'avviso e accedere all'applicazione per gli avvii successivi.
Per entrambe le azioni, è possibile personalizzare il messaggio visualizzato dagli utenti. Ad esempio, è possibile incoraggiarli a installare la versione più recente. Inoltre, è possibile specificare un URL personalizzato a cui gli utenti accedono quando selezionano la notifica. L'utente deve selezionare il corpo della notifica di tipo avviso popup per passare all'URL personalizzato. La notifica può essere usata per fornire altri dettagli specifici per la gestione delle applicazioni nell'organizzazione.
Nota
Le azioni di blocco e avviso vengono in genere applicate entro pochi minuti, ma possono richiedere fino a tre ore.
Requisiti minimi
- Microsoft Defender Antivirus (modalità attiva): per il rilevamento degli eventi di esecuzione dei file e il blocco è necessario abilitare Microsoft Defender Antivirus in modalità attiva. Per progettazione, la modalità passiva ed EDR in modalità blocco non possono rilevare e bloccare in base all'esecuzione di file. Per altre informazioni, vedere Distribuire Microsoft Defender Antivirus.
- Protezione fornita dal cloud (abilitata): per altre informazioni, vedere Gestire la protezione basata sul cloud.
- Consenti o blocca il file (on): passare a Impostazioni>Endpoint>Funzionalità> avanzateConsenti o blocca file. Per altre informazioni, vedere Funzionalità avanzate.
Requisiti di versione
- La versione client antimalware deve essere
4.18.1901.x
o successiva. - La versione del motore deve essere
1.1.16200.x
o successiva. - I dispositivi client Windows devono eseguire Windows 11 o Windows 10, versione 1809 o versioni successive, con gli aggiornamenti di Windows più recenti installati.
- I server devono essere in esecuzione Windows Server 2022, 2019, 2016, 2012 R2 e 2008 R2 SP1. Il supporto per Windows Server 2025 è in fase di implementazione, a partire da febbraio 2025 e nelle prossime settimane.
Come bloccare le applicazioni vulnerabili
Nel portale di Microsoft Defender passare aRaccomandazioni sulla gestione >delle vulnerabilità.
Selezionare un consiglio di sicurezza per visualizzare un riquadro a comparsa con altre informazioni.
Selezionare Richiedi correzione.
Selezionare se si vuole applicare la correzione e la mitigazione a tutti i gruppi di dispositivi o solo a pochi.
Selezionare le opzioni di correzione nella pagina Richiesta di correzione . Le opzioni di correzione sono l'aggiornamento software, la disinstallazione del software e l'attenzione necessaria.
Selezionare una data di scadenza correzione e selezionare Avanti.
In Azione di mitigazione selezionare Blocca o Avvisa. Dopo aver inviato un'azione di mitigazione, viene applicata immediatamente.
Esaminare le selezioni effettuate e inviare la richiesta. Nella pagina finale è possibile scegliere di passare direttamente alla pagina di correzione per visualizzare lo stato di avanzamento delle attività di correzione e visualizzare l'elenco delle applicazioni bloccate.
Nota
A partire dal 3 dicembre 2024, si prevede una riduzione del numero di indicatori di file creati dai nuovi criteri di blocco delle applicazioni. Per ridurre l'utilizzo corrente dell'indicatore, sbloccare eventuali applicazioni bloccate e creare nuovi criteri di blocco.
In base ai dati disponibili, le azioni di blocco hanno effetto sugli endpoint con Microsoft Defender Antivirus. Microsoft Defender per endpoint si impegna al massimo per bloccare l'esecuzione di applicazioni o versioni vulnerabili applicabili.
Se vengono rilevate più vulnerabilità in una versione diversa di un'applicazione, viene visualizzato un nuovo consiglio di sicurezza che richiede di aggiornare l'applicazione ed è anche possibile scegliere di bloccare questa versione diversa.
Quando il blocco non è supportato
Se non viene visualizzata l'opzione di mitigazione durante la richiesta di correzione, è perché la possibilità di bloccare l'applicazione non è attualmente supportata. Le raccomandazioni che non includono azioni di mitigazione includono:
- Applicazioni Microsoft
- Raccomandazioni relative ai sistemi operativi
- Raccomandazioni relative alle app per macOS e Linux
- App in cui Microsoft non dispone di informazioni sufficienti o di un'attendibilità elevata da bloccare
- App di Microsoft Store, che non possono essere bloccate perché firmate da Microsoft
Se si tenta di bloccare un'applicazione e non funziona, è possibile che sia stata raggiunta la capacità massima dell'indicatore. In tal caso, è possibile eliminare gli indicatori precedenti Altre informazioni sugli indicatori.
Visualizzare le attività di correzione
Dopo aver inviato una richiesta per bloccare le applicazioni vulnerabili, è possibile visualizzare le attività di correzione seguendo questa procedura:
Nel portale di Microsoft Defender passare adAttivitàdi correzione della>gestione> delle vulnerabilità.
Filtrare i risultati in base a questo tipo di mitigazione:
Block and/or Warn to view all activities pertaining to block or warn actions
.Viene visualizzato un log attività. Tenere presente che si tratta di un log attività, non dello stato corrente del blocco dell'applicazione. Selezionare l'attività pertinente per visualizzare un riquadro a comparsa con dettagli, tra cui la descrizione della correzione, la descrizione della mitigazione e lo stato di correzione del dispositivo:
Visualizzare le applicazioni bloccate
Per visualizzare un elenco di applicazioni bloccate, seguire questa procedura:
Nel portale di Microsoft Defender passare alla scheda Applicazionibloccateper la correzione>:
Selezionare un'applicazione bloccata per visualizzare un riquadro a comparsa con dettagli sul numero di vulnerabilità, se sono disponibili exploit, versioni bloccate e attività di correzione.
Selezionare Visualizza i dettagli delle versioni bloccate nella pagina Indicatore, che consente di accedere alla pagina Indicatori , in cui è possibile visualizzare gli hash dei file e le azioni di risposta.
Nota
Se si usa l'API Indicatori con query sugli indicatori a livello di codice come parte dei flussi di lavoro, l'azione di blocco produce più risultati.
Per sbloccare un'applicazione, selezionare Sblocca software o Apri pagina software:
Sbloccare le applicazioni
Selezionare un'applicazione bloccata per visualizzare l'opzione Sblocca software nel riquadro a comparsa.
Dopo aver sbloccato un'applicazione, aggiornare la pagina per visualizzarla rimossa dall'elenco. Possono essere richieste fino a 3 ore prima che un'applicazione venga sbloccata e diventi nuovamente accessibile agli utenti.
Esperienza degli utenti per le applicazioni bloccate
Quando gli utenti tentano di accedere a un'applicazione bloccata, ricevono un messaggio che informa che l'applicazione è stata eseguita dall'organizzazione. Questo messaggio è personalizzabile.
Per le applicazioni in cui è stata applicata l'opzione di mitigazione degli avvisi, gli utenti ricevono un messaggio che informa che l'applicazione è stata bloccata dall'organizzazione. L'utente può ignorare il blocco per gli avvii successivi, scegliendo "Consenti". Questa azione consenti è solo temporanea e l'applicazione viene nuovamente bloccata dopo un po'.
Nota
Se l'organizzazione ha distribuito i DisableLocalAdminMerge
criteri di gruppo, è possibile riscontrare istanze in cui consentire un'applicazione non ha effetto.
Aggiornamento delle applicazioni bloccate da parte dell'utente finale
Una domanda comunemente posta è: "In che modo un utente finale aggiorna un'applicazione bloccata?" Il blocco viene applicato bloccando il file eseguibile. Alcune applicazioni, ad esempio Firefox, si basano su un eseguibile di aggiornamento separato, che non è bloccato da questa funzionalità. In altri casi, quando l'applicazione richiede l'aggiornamento del file eseguibile principale, è consigliabile implementare il blocco in modalità di avviso (in modo che l'utente finale possa ignorare il blocco) o chiedere all'utente finale di eliminare l'applicazione (se non sono archiviate informazioni vitali nel client) e quindi reinstallarla.