Kwetsbare toepassingen blokkeren met Microsoft Defender Vulnerability Management

Van toepassing op:

• Microsoft Defender Vulnerability Management
• Microsoft Defender XDR
• Microsoft Defender voor servers, abonnement 2

Opmerking

Als u deze functie wilt gebruiken, hebt u Microsoft Defender Vulnerability Management Standalone nodig of als u al een klant van Microsoft Defender voor Eindpunt Abonnement 2 bent, de Defender Vulnerability Management invoegtoepassing.

Het oplossen van beveiligingsproblemen kost tijd en kan afhankelijk zijn van de verantwoordelijkheden en resources van het IT-team. Beveiligingsbeheerders kunnen het risico van een beveiligingsprobleem tijdelijk verminderen door onmiddellijk actie te ondernemen om alle momenteel bekende kwetsbare versies van een toepassing te blokkeren totdat de herstelaanvraag is voltooid. De optie blokkeren geeft uw IT-teams de tijd om een toepassing te patchen zonder dat uw beveiligingsbeheerders zich zorgen hoeven te maken over de beveiligingsproblemen.

Tijdens het uitvoeren van de herstelstappen die worden voorgesteld door een beveiligingsaanbeveling, kunnen beveiligingsbeheerders een beperkingsactie uitvoeren en kwetsbare versies van een toepassing blokkeren. Bestandsindicatoren van inbreuk (IOC)s worden gemaakt voor elk van de uitvoerbare bestanden die behoren tot kwetsbare versies van die toepassing. Microsoft Defender Antivirus dwingt vervolgens blokken af op de apparaten die zich binnen het opgegeven bereik bevinden.

Beperkingsactie blokkeren of waarschuwen

De blokkeringsactie is bedoeld om te voorkomen dat alle geïnstalleerde kwetsbare versies van de toepassing in uw organisatie worden uitgevoerd. Als er bijvoorbeeld een actief zero-day-beveiligingsprobleem is, kunt u voorkomen dat uw gebruikers de betreffende software uitvoeren terwijl u de opties voor het werken bepaalt.

De waarschuwingsactie is bedoeld om een waarschuwing te verzenden naar uw gebruikers wanneer ze kwetsbare versies van de toepassing openen. Gebruikers kunnen ervoor kiezen om de waarschuwing te omzeilen en toegang te krijgen tot de toepassing voor volgende lanceringen.

Voor beide acties kunt u het bericht aanpassen dat de gebruikers zien. U kunt ze bijvoorbeeld aanmoedigen om de nieuwste versie te installeren. Daarnaast kunt u een aangepaste URL opgeven waarnaar gebruikers navigeren wanneer ze de melding selecteren. De gebruiker moet de hoofdtekst van de pop-upmelding selecteren om naar de aangepaste URL te navigeren. De melding kan worden gebruikt om meer details te geven die specifiek zijn voor het toepassingsbeheer in uw organisatie.

Opmerking

Blok- en waarschuwingsacties worden doorgaans binnen een paar minuten afgedwongen, maar kunnen maximaal drie uur duren.

Minimumvereisten

• Microsoft Defender Antivirus (actieve modus): voor het detecteren van gebeurtenissen voor het uitvoeren van bestanden en het blokkeren moet Microsoft Defender Antivirus zijn ingeschakeld in de actieve modus. De passieve modus en EDR in de blokmodus kunnen standaard niet worden gedetecteerd en geblokkeerd op basis van bestandsuitvoering. Zie Microsoft Defender Antivirus implementeren voor meer informatie.
• Cloudbeveiliging (ingeschakeld): zie Cloudbeveiliging beheren voor meer informatie.
• Bestand toestaan of blokkeren (aan): ga naar Instellingen>Eindpunten>Geavanceerde functies>Bestand toestaan of blokkeren. Zie Geavanceerde functies voor meer informatie.

Versievereisten

• De versie van de antimalwareclient moet of hoger zijn 4.18.1901.x .
• De engineversie moet of hoger zijn 1.1.16200.x .
• Windows-clientapparaten moeten Windows 11 of Windows 10 versie 1809 of hoger worden uitgevoerd, met de meest recente Windows-updates geïnstalleerd.
• Servers moeten worden uitgevoerd Windows Server 2022, 2019, 2016, 2012 R2 en 2008 R2 SP1. Ondersteuning voor Windows Server 2025 wordt vanaf februari 2025 en de komende weken geïmplementeerd.

Kwetsbare toepassingen blokkeren

1. Meld u aan bij de Microsoft Defender-portal en navigeer vervolgens naarAanbevelingenvoor beveiligingsbeheer> van eindpunten>.

2. Selecteer een beveiligingsaan aanbeveling om een flyout met meer informatie weer te geven.

3. Selecteer Herstel aanvragen.

4. Vul het formulier in. Selecteer in de vervolgkeuzelijst Herstelopties welke opties u wilt aanvragen. De opties zijn software-update, software-verwijdering en aandacht vereist.

5. Schakel onder Hulpprogramma's voor taakbeheer het selectievakje Een ticket openen in Intune (voor AAD-gekoppelde apparaten) in als u een ticket wilt maken in Microsoft Intune voor de herstelaanvraag.

6. Kies een einddatum voor herstel.

7. Selecteer onder Prioriteit de optie Hoog, Gemiddeld of Laag.

8. Onder Notities toevoegen kunt u aanvullende informatie toevoegen. Selecteer Volgende.

9. Controleer de selecties die u hebt gemaakt en selecteer verzenden. Op de laatste pagina kunt u ervoor kiezen om de selecties te bewerken en alle herstelaanvragen te exporteren naar een .CSV-bestand.

Opmerking

Vanaf 3 december 2024 wordt verwacht dat het aantal bestandsindicatoren dat wordt gemaakt door nieuw beleid voor toepassingsblokkeringen zal afnemen. Als u uw huidige indicatorgebruik wilt verminderen, deblokkeert u alle geblokkeerde toepassingen en maakt u nieuw blokbeleid.

Op basis van de beschikbare gegevens worden de blokacties van kracht op eindpunten met Microsoft Defender Antivirus. Microsoft Defender voor Eindpunt doet er alles aan om de uitvoering van toepasselijke kwetsbare toepassingen of versies te blokkeren.

Als er meer beveiligingsproblemen worden gevonden in een andere versie van een toepassing, krijgt u een nieuwe beveiligingsaanaanveling, waarin u wordt gevraagd de toepassing bij te werken en kunt u ervoor kiezen om ook deze andere versie te blokkeren.

Wanneer blokkeren niet wordt ondersteund

Als u de beperkingsoptie niet ziet tijdens het aanvragen van een herstel, komt dit doordat de mogelijkheid om de toepassing te blokkeren momenteel niet wordt ondersteund. Aanbevelingen die geen risicobeperkingsacties bevatten, zijn onder andere:

• Microsoft-toepassingen
• Aanbevelingen met betrekking tot besturingssystemen
• Aanbevelingen met betrekking tot apps voor macOS en Linux
• Apps waarvoor Microsoft onvoldoende informatie of een hoge betrouwbaarheid heeft om te blokkeren
• Microsoft Store-apps, die niet kunnen worden geblokkeerd omdat ze zijn ondertekend door Microsoft

Als u een toepassing probeert te blokkeren en deze niet werkt, hebt u mogelijk de maximale indicatorcapaciteit bereikt. Als dat het zo is, kunt u oude indicatoren verwijderen Meer informatie over indicatoren.

Herstelactiviteiten weergeven

Nadat u een aanvraag hebt ingediend om kwetsbare toepassingen te blokkeren, kunt u herstelactiviteiten bekijken door deze stappen te volgen:

1. Navigeer naar Eindpunten>Herstel van beveiligingsproblemen>.

2. Op het tabblad Activiteiten kunt u ervoor kiezen om de resultaten te filteren op beperkingstype. De opties zijn Blokkeren, Waarschuwen, Geen en Tijdelijke oplossing.

3. Selecteer de relevante activiteit om een flyoutvenster weer te geven met details, waaronder de beschrijving van het herstel, de beschrijving van de beperking en de herstelstatus van het apparaat:

   

Geblokkeerde toepassingen weergeven

Voer de volgende stappen uit om een lijst met geblokkeerde toepassingen weer te geven:

1. Navigeer naar Eindpunten>Herstel van beveiligingsproblemen>en selecteer vervolgens het tabblad Geblokkeerde toepassingen :

   

2. Selecteer een geblokkeerde toepassing om een flyout weer te geven met details over het aantal beveiligingsproblemen, of exploits beschikbaar zijn, geblokkeerde versies en herstelactiviteiten.

3. Selecteer Details van geblokkeerde versies weergeven op de pagina Indicator, die u naar de pagina Indicatoren brengt, waar u de bestands-hashes en reactieacties kunt bekijken.

   Opmerking

   Als u de Indicatoren-API gebruikt met programmatische indicatorquery's als onderdeel van uw werkstromen, levert de blokactie meer resultaten op.

4. Als u een toepassing wilt deblokkeren, selecteert u Deblokkeren of Softwarepagina openen:

   

Toepassingen deblokkeren

Selecteer een geblokkeerde toepassing om de optie voor het deblokkeren van software in de flyout weer te geven.

Nadat u de blokkering van een toepassing hebt opgeheven, vernieuwt u de pagina zodat deze uit de lijst wordt verwijderd. Het kan tot 3 uur duren voordat een toepassing is gedeblokkeerd en weer toegankelijk is voor uw gebruikers.

Gebruikerservaring voor geblokkeerde toepassingen

Wanneer gebruikers toegang proberen te krijgen tot een geblokkeerde toepassing, ontvangen ze een bericht met de mededeling dat de toepassing door hun organisatie is uitgevoerd. Dit bericht kan worden aangepast.

Voor toepassingen waarop de waarschuwingsbeperkingsoptie is toegepast, ontvangen gebruikers een bericht met de mededeling dat de toepassing is geblokkeerd door hun organisatie. De gebruiker kan de blokkering voor volgende lanceringen omzeilen door 'Toestaan' te kiezen. Deze actie is slechts tijdelijk en de toepassing wordt na een tijdje weer geblokkeerd.

Opmerking

Als uw organisatie het DisableLocalAdminMerge groepsbeleid heeft geïmplementeerd, kunnen er exemplaren optreden waarbij het toestaan van een toepassing niet van kracht wordt.

Eindgebruikers die geblokkeerde toepassingen bijwerken

Een veelgestelde vraag is: "Hoe werkt een eindgebruiker een geblokkeerde toepassing bij?" De blokkering wordt afgedwongen door het uitvoerbare bestand te blokkeren. Sommige toepassingen, zoals Firefox, zijn afhankelijk van een afzonderlijk uitvoerbaar updatebestand, dat niet wordt geblokkeerd door deze functie. In andere gevallen, wanneer de toepassing vereist dat het belangrijkste uitvoerbare bestand moet worden bijgewerkt, is het raadzaam om het blok in de waarschuwingsmodus te implementeren (zodat de eindgebruiker het blok kan omzeilen) of de eindgebruiker te vragen de toepassing te verwijderen (als er geen essentiële informatie op de client is opgeslagen) en deze vervolgens opnieuw te installeren.

Verwante artikelen

• Beveiligingsproblemen in mijn organisatie