Blokkere sårbare programmer med Microsoft Defender Vulnerability Management

Gjelder for:

• Håndtering av trusler og sikkerhetsproblemer i Microsoft Defender
• Microsoft Defender XDR
• Microsoft Defender for Servers Plan 2

Obs!

Hvis du vil bruke denne funksjonen, må du Microsoft Defender Vulnerability Management frittstående, eller hvis du allerede er en Microsoft Defender for endepunkt Plan 2-kunde, Defender Vulnerability Management tillegg.

Utbedring av sårbarheter tar tid og kan være avhengig av IT-teamets ansvar og ressurser. Sikkerhetsadministratorer kan midlertidig redusere risikoen for et sikkerhetsproblem ved å iverksette umiddelbare tiltak for å blokkere alle kjente sårbare versjoner av et program til utbedringsforespørselen er fullført. Blokkalternativet gir IT-teamene dine tid til å oppdatere et program uten å bekymre sikkerhetsadministratorene om sikkerhetsproblemene.

Under utbedringstrinnene som foreslås av en sikkerhetsanbefaling, kan sikkerhetsadministratorer utføre en utbedringshandling og blokkere sårbare versjoner av et program. Filindikatorer for kompromisser (IOC)-er opprettes for hver av de kjørbare filene som tilhører sårbare versjoner av programmet. Microsoft Defender Antivirus håndhever deretter blokker på enhetene som er i det angitte omfanget.

Blokker eller advar tiltak for reduksjon

Blokkhandlingen er ment å blokkere alle installerte sårbare versjoner av programmet i organisasjonen fra å kjøre. Hvis det for eksempel finnes et aktivt sikkerhetsproblem på null dager, kan du blokkere brukerne fra å kjøre den berørte programvaren mens du bestemmer alternativer for omarbeiding.

Advarselshandlingen er ment å sende en advarsel til brukerne når de åpner sårbare versjoner av programmet. Brukere kan velge å hoppe over advarselen og få tilgang til programmet for etterfølgende lanseringer.

For begge handlingene kan du tilpasse meldingen brukerne ser. Du kan for eksempel oppfordre dem til å installere den nyeste versjonen. I tillegg kan du angi en egendefinert nettadresse som brukerne navigerer til når de velger varselet. Brukeren må velge brødteksten i varselet for å navigere til den egendefinerte nettadressen. Varslingen kan brukes til å gi mer informasjon som er spesifikk for programbehandlingen i organisasjonen.

Obs!

Handlinger for blokkering og advaring håndheves vanligvis i løpet av noen få minutter, men det kan ta opptil tre timer.

Minimumskrav

• Microsoft Defender Antivirus (aktiv modus): Gjenkjenning av hendelser for filkjøring og blokkering krever at Microsoft Defender Antivirus aktiveres i aktiv modus. Ved utforming kan ikke passiv modus og EDR i blokkmodus oppdage og blokkere basert på filkjøring. Hvis du vil ha mer informasjon, kan du se distribuer Microsoft Defender Antivirus.
• Skybasert beskyttelse (aktivert): Hvis du vil ha mer informasjon, kan du se Administrere skybasert beskyttelse.
• Tillat eller blokker fil (på): Gå tilAvanserte funksjoner>forInnstillinger-endepunkter>>Tillat eller blokker fil. Hvis du vil ha mer informasjon, kan du se Avanserte funksjoner.

Versjonskrav

• Klientversjonen av beskyttelse mot skadelig programvare må være 4.18.1901.x eller nyere.
• Motorversjonen må være 1.1.16200.x eller nyere.
• Windows-klientenheter må kjøre Windows 11 eller Windows 10, versjon 1809 eller nyere, med de nyeste Windows-oppdateringene installert.
• Servere må kjøre Windows Server 2022, 2019, 2016, 2012 R2 og 2008 R2 SP1. Støtte for Windows Server 2025 rulles ut, fra og med februar 2025 og i løpet av de neste ukene.

Slik blokkerer du sårbare programmer

1. Logg deg på Microsoft Defender-portalen, og gå deretter tilAnbefalinger for behandling av endepunkter>> .

2. Velg en sikkerhetsanbefaling for å se en undermeny med mer informasjon.

3. Velg Utbedring av forespørsel.

4. Fyll ut skjemaet. Velg hvilke av alternativene du vil be om, i rullegardinlisten Alternativer for utbedring . Alternativene er programvareoppdatering, avinstallering av programvare og oppmerksomhet som kreves.

5. Merk av for Åpne en billett i Intune (for AAD-sammenføyde enheter) under Verktøy for oppgavebehandling hvis du vil opprette en billett i Microsoft Intune for utbedringsforespørselen.

6. Velg en utbedringsdato.

7. Velg Høy, Middels eller Lav under Prioritet.

8. Under Legg til notater kan du legge til tilleggsinformasjon. Velg Neste.

9. Se gjennom valgene du har gjort, og velg deretter Send. På den siste siden kan du velge å redigere valgene og eksportere alle utbedringsforespørsler til en .CSV-fil.

Obs!

Fra og med 3. desember 2024 kan du forvente å se en reduksjon i antall filindikatorer som opprettes av nye policyer for programblokkering. Hvis du vil redusere gjeldende indikatorbruk, opphever du blokkeringen av blokkerte programmer og oppretter nye blokkeringspolicyer.

Basert på tilgjengelige data trer blokkhandlingene i kraft på endepunkter som har Microsoft Defender Antivirus. Microsoft Defender for endepunkt gjør et forsøk på best mulig forsøk på å blokkere gjeldende sårbare programmer eller versjoner fra å kjøre.

Hvis det finnes flere sikkerhetsproblemer i en annen versjon av et program, får du en ny sikkerhetsanbefaling som ber deg om å oppdatere programmet, og du kan også blokkere denne versjonen.

Når blokkering ikke støttes

Hvis du ikke ser begrensningsalternativet mens du ber om utbedring, er det fordi muligheten til å blokkere programmet for øyeblikket ikke støttes. Anbefalinger som ikke inkluderer begrensningshandlinger inkluderer:

• Microsoft-programmer
• Anbefalinger relatert til operativsystemer
• Anbefalinger relatert til apper for macOS og Linux
• Apper der Microsoft ikke har tilstrekkelig informasjon eller høy visshet til å blokkere
• Microsoft Store-apper som ikke kan blokkeres fordi de er signert av Microsoft

Hvis du prøver å blokkere et program og det ikke fungerer, kan det hende du har nådd maksimal indikatorkapasitet. I så fall kan du slette gamle indikatorer Mer informasjon om indikatorer.

Vis utbedringsaktiviteter

Når du har sendt inn en forespørsel om å blokkere sårbare programmer, kan du vise utbedringsaktiviteter ved å følge disse trinnene:

1. Gå tilutbedring> avsikkerhetsbehandling> for endepunkter.

2. I Aktiviteter-fanen kan du velge å filtrere resultatene etter begrensningstype. Alternativene er Blokker, Advar, Ingen og Løsning.

3. Velg den relevante aktiviteten for å se en undermenyrute med detaljer, inkludert utbedringsbeskrivelsen, utbedringsbeskrivelsen og utbedringsstatusen for enheten:

   

Vis blokkerte programmer

Følg disse trinnene for å vise en liste over blokkerte programmer:

1. Gå tilutbedring> avsikkerhetsbehandling> for endepunkter, og velg deretter fanen Blokkerte programmer:

   

2. Velg et blokkert program for å vise en undermeny med detaljer om antall sårbarheter, om utnyttelser er tilgjengelige, blokkerte versjoner og utbedringsaktiviteter.

3. Velg Vis detaljer om blokkerte versjoner på indikatorsiden, som bringer deg til Indikatorer-siden , der du kan vise fil-hash-koder og svarhandlinger.

   Obs!

   Hvis du bruker indikator-API-en med programmatiske indikatorspørringer som en del av arbeidsflytene, gir blokkhandlingen flere resultater.

4. Hvis du vil oppheve blokkeringen av et program, velger du Siden Opphev blokkering av programvare eller Åpne programvare:

   

Opphev blokkeringen av programmer

Velg et blokkert program for å vise alternativet for å oppheve blokkeringen av programvare i undermenyen.

Når du har opphevet blokkeringen av et program, oppdaterer du siden for å se at den er fjernet fra listen. Det kan ta opptil tre timer før et program opphever blokkeringen og blir tilgjengelig for brukerne på nytt.

Brukeropplevelse for blokkerte programmer

Når brukere prøver å få tilgang til et blokkert program, mottar de en melding som informerer dem om at programmet var av organisasjonen. Denne meldingen kan tilpasses.

For programmer der alternativet for varslingsreduksjon ble brukt, mottar brukerne en melding som informerer dem om at programmet ble blokkert av organisasjonen. Brukeren kan hoppe over blokken for etterfølgende lanseringer ved å velge «Tillat». Denne tillat-handlingen er bare midlertidig, og programmet blokkeres på nytt etter en stund.

Obs!

Hvis organisasjonen har distribuert gruppepolicyen DisableLocalAdminMerge , kan du oppleve forekomster der det ikke trer i kraft å tillate et program.

Sluttbruker oppdaterer blokkerte programmer

Et vanlig spørsmål er: «Hvordan oppdaterer en sluttbruker et blokkert program?» Blokken håndheves ved å blokkere den kjørbare filen. Noen programmer, for eksempel Firefox, er avhengige av en separat kjørbar oppdatering, som ikke er blokkert av denne funksjonen. I andre tilfeller, når programmet krever at den primære kjørbare filen oppdateres, anbefales det enten å implementere blokken i varslingsmodus (slik at sluttbrukeren kan hoppe over blokken) eller be sluttbrukeren om å slette programmet (hvis ingen viktig informasjon lagres på klienten) og deretter installere den på nytt.

Relaterte artikler

• Sårbarheter i organisasjonen