Microsoft Defender 脆弱性の管理を使用して脆弱なアプリケーションをブロックする
適用対象:
注:
この機能を使用するには、スタンドアロンMicrosoft Defender 脆弱性の管理、または既にプラン 2 のお客様Microsoft Defender for Endpointしている場合は、Defender 脆弱性の管理 アドオンが必要です。
脆弱性の修復には時間がかかり、IT チームの責任とリソースに依存する可能性があります。 セキュリティ管理者は、修復要求が完了するまで、現在知られているすべての脆弱なバージョンのアプリケーションをブロックする即時アクションを実行することで、脆弱性のリスクを一時的に軽減できます。 ブロック オプションを使用すると、IT チームは、セキュリティ管理者に脆弱性について心配することなく、アプリケーションにパッチを適用する時間を与えます。
セキュリティに関する推奨事項によって推奨される修復手順を実行しながら、セキュリティ管理者は軽減アクションを実行し、脆弱なバージョンのアプリケーションをブロックできます。 侵害のファイル インジケーター (IOC) は、そのアプリケーションの脆弱なバージョンに属する実行可能ファイルごとに作成されます。 Microsoft Defenderウイルス対策は、指定したスコープ内のデバイスにブロックを適用します。
軽減アクションをブロックまたは警告する
ブロック アクションは、organizationにインストールされているすべての脆弱なバージョンのアプリケーションの実行をブロックすることを目的としています。 たとえば、アクティブなゼロデイの脆弱性がある場合は、回避策のオプションを決定するときに、影響を受けるソフトウェアの実行をユーザーにブロックすることができます。
警告アクションは、脆弱なバージョンのアプリケーションを開いたときにユーザーに警告を送信することを目的としています。 ユーザーは、警告をバイパスし、後続の起動のためにアプリケーションにアクセスすることを選択できます。
どちらのアクションでも、ユーザーに表示されるメッセージをカスタマイズできます。 たとえば、最新バージョンのインストールを推奨できます。 さらに、ユーザーが通知を選択したときに移動するカスタム URL を指定することもできます。 ユーザーは、カスタム URL に移動するためにトースト通知の本文を選択する必要があります。 通知を使用して、organizationのアプリケーション管理に固有の詳細を提供できます。
注:
ブロックアクションと警告アクションは通常、数分以内に適用されますが、最大で 3 時間かかることがあります。
最小要件
- Microsoft Defenderウイルス対策 (アクティブ モード): ファイル実行イベントとブロックの検出では、Microsoft Defenderウイルス対策をアクティブ モードで有効にする必要があります。 設計上、ブロック モードのパッシブ モードと EDR は、ファイルの実行に基づいて検出およびブロックできません。 詳細については、「Microsoft Defenderウイルス対策のデプロイ」を参照してください。
- クラウド配信保護 (有効): 詳細については、「 クラウドベースの保護を管理する」を参照してください。
- ファイルの許可またはブロック (オン):[設定]、[Endpoints>>Advanced features>Allow または block file に移動します。詳細については、「高度な機能」を参照してください。
バージョン要件
- マルウェア対策クライアントのバージョンは、
4.18.1901.x
以降である必要があります。 - エンジンのバージョンは、
1.1.16200.x
以降である必要があります。 - Windows クライアント デバイスは、最新の Windows 更新プログラムがインストールされた状態で、Windows 11またはWindows 10 Version 1809以降を実行している必要があります。
- サーバーは、2022、2019、2016、2012 R2、2008 R2 SP1 Windows Server実行されている必要があります。 Windows Server 2025 のサポートは、2025 年 2 月から、今後数週間にわたってロールアウトされます。
脆弱なアプリケーションをブロックする方法
Microsoft Defender ポータルにサインインし、[Endpoints>Vulnerability management>Recommendations ] に移動します。
セキュリティに関する推奨事項を選択すると、詳細が表示されたポップアップが表示されます。
[ 修復の要求] を選択します。
フォームにデータを入力します。 [ 修復オプション ] ドロップダウンで、要求するオプションを選択します。 オプションは、ソフトウェアの更新、ソフトウェアのアンインストール、および注意が必要です。
修復要求のチケットをMicrosoft Intuneに作成する場合は、[タスク管理ツール] の下の [Intuneでチケットを開く (AAD 参加済みデバイスの場合)] ボックスをオンにします。
修復期限を選択します。
[ 優先度] で、[高]、[中]、または [低] を選択します。
[ メモの追加] で、追加情報を追加できます。 [次へ] を選択します。
行った選択内容を確認し、[送信] を選択 します。 最後のページでは、選択内容を編集し、すべての修復要求を .CSV ファイルにエクスポートすることができます。
注:
2024 年 12 月 3 日より、新しいアプリケーション ブロック ポリシーによって作成されるファイル インジケーターの数が減少すると予想されます。 現在のインジケーターの使用量を減らすには、ブロックされているアプリケーションのブロックを解除し、新しいブロック ポリシーを作成します。
使用可能なデータに基づいて、ブロック アクションは、ウイルス対策Microsoft Defender持つエンドポイントに対して有効になります。 Microsoft Defender for Endpointは、該当する脆弱なアプリケーションまたはバージョンの実行をブロックする最善の努力をします。
別のバージョンのアプリケーションでさらに脆弱性が見つかった場合は、アプリケーションの更新を求める新しいセキュリティの推奨事項が表示され、この異なるバージョンをブロックすることもできます。
ブロックがサポートされていない場合
修復の要求中に軽減策オプションが表示されない場合は、アプリケーションをブロックする機能が現在サポートされていないためです。 軽減アクションを含まない推奨事項は次のとおりです。
- Microsoft アプリケーション
- オペレーティング システムに関連する推奨事項
- macOS と Linux 用のアプリに関連する推奨事項
- Microsoft が十分な情報を持っていないアプリや、ブロックする信頼性の高いアプリ
- Microsoft Store アプリは、Microsoft によって署名されているためブロックできません
アプリケーションをブロックしようとして機能しない場合は、最大インジケーター容量に達している可能性があります。 その場合は、古いインジケーターを削除できます 。インジケーターの詳細については、こちらをご覧ください。
修復アクティビティを表示する
脆弱なアプリケーションをブロックする要求を送信したら、次の手順に従って修復アクティビティを表示できます。
[Endpoints>Vulnerability management>Remediation] に移動します。
[ アクティビティ ] タブで、軽減策の種類で結果をフィルター処理できます。 オプションは [ブロック]、[ 警告]、[ なし]、[ 回避策] です。
関連するアクティビティを選択すると、修復の説明、軽減策の説明、デバイスの修復状態などの詳細が表示されたポップアップ ウィンドウが表示されます。
ブロックされたアプリケーションを表示する
ブロックされているアプリケーションの一覧を表示するには、次の手順に従います。
[Endpoints>Vulnerability management>Remediation] に移動し、[ブロックされたアプリケーション] タブを選択します。
ブロックされたアプリケーションを選択して、脆弱性の数、悪用が利用可能かどうか、ブロックされたバージョン、修復アクティビティの詳細が表示されるポップアップを表示します。
[ インジケーター] ページで [ブロックされているバージョンの詳細を表示する] を選択すると、[ インジケーター ] ページに移動し、ファイル ハッシュと応答アクションを表示できます。
注:
プログラムによるインジケーター クエリでインジケーター API をワークフローの一部として使用すると、ブロック アクションにより多くの結果が生成されます。
アプリケーションのブロックを解除するには、[ ソフトウェアのブロックを解除 する] または [ソフトウェアを開く] ページを選択します。
アプリケーションのブロックを解除する
ブロックされたアプリケーションを選択して、ポップアップで [ソフトウェアのブロックを解除 ] オプションを表示します。
アプリケーションのブロックを解除したら、ページを更新して、一覧から削除されたことを確認します。 アプリケーションのブロックが解除され、ユーザーが再度アクセスできるようになるには、最大で 3 時間かかることがあります。
ブロックされたアプリケーションのユーザー エクスペリエンス
ユーザーがブロックされたアプリケーションにアクセスしようとすると、アプリケーションが自分のorganizationによって行われたことを知らせるメッセージが表示されます。 このメッセージはカスタマイズ可能です。
警告軽減オプションが適用されたアプリケーションの場合、ユーザーは、アプリケーションがorganizationによってブロックされたことを知らせるメッセージを受け取ります。 ユーザーは、[許可] を選択することで、後続の起動のブロックをバイパスできます。 この許可アクションは一時的なもののみで、しばらくするとアプリケーションは再度ブロックされます。
注:
organizationがDisableLocalAdminMerge
グループ ポリシーをデプロイしている場合は、アプリケーションを許可しても有効にならないインスタンスが発生する可能性があります。
エンド ユーザーによるブロックされたアプリケーションの更新
よく寄せられる質問は、「エンド ユーザーがブロックされたアプリケーションを更新する方法」です。ブロックは、実行可能ファイルをブロックすることによって適用されます。 Firefox などの一部のアプリケーションは、この機能によってブロックされない別の更新実行可能ファイルに依存しています。 その他のケースでは、アプリケーションでメイン実行可能ファイルの更新が必要な場合は、ブロックを警告モードで実装するか (エンド ユーザーがブロックをバイパスできるように) するか、エンド ユーザーにアプリケーションの削除を求めて (重要な情報がクライアントに格納されていない場合)、再インストールすることをお勧めします。