Compartilhar via


Bloquear aplicativos vulneráveis

Aplica-se a:

Observação

Para utilizar esta funcionalidade, precisará de Gerenciamento de Vulnerabilidades do Microsoft Defender Autónomo ou, se já for um cliente Microsoft Defender para Ponto de Extremidade Plano 2, o Gerenciamento de Vulnerabilidades do Defender suplemento.

A remediação de vulnerabilidades demora algum tempo e pode depender das responsabilidades e recursos da equipa de TI. Os administradores de segurança podem reduzir temporariamente o risco de uma vulnerabilidade ao tomar medidas imediatas para bloquear todas as versões vulneráveis atualmente conhecidas de uma aplicação, até que o pedido de remediação seja concluído. A opção bloquear dá tempo às equipas de TI para corrigirem a aplicação sem que os administradores de segurança se preocupem com o facto de as vulnerabilidades serem exploradas entretanto.

Ao seguir os passos de remediação sugeridos por uma recomendação de segurança, os administradores de segurança com as permissões adequadas podem executar uma ação de mitigação e bloquear versões vulneráveis de uma aplicação. Os indicadores de ficheiros de comprometimento (COI) são criados para cada um dos ficheiros executáveis que pertencem a versões vulneráveis dessa aplicação. Microsoft Defender Antivírus, em seguida, impõe blocos nos dispositivos que estão no âmbito especificado.

Dica

Sabia que pode experimentar todas as funcionalidades no Gerenciamento de Vulnerabilidades do Microsoft Defender gratuitamente? Saiba como se inscrever numa avaliação gratuita.

Bloquear ou avisar a ação de mitigação

A ação de bloqueio destina-se a bloquear a execução de todas as versões vulneráveis instaladas da aplicação na sua organização. Por exemplo, se existir uma vulnerabilidade ativa de zero dias, pode impedir que os seus utilizadores executem o software afetado enquanto determina as opções de solução.

A ação de aviso destina-se a enviar um aviso aos seus utilizadores quando abrirem versões vulneráveis da aplicação. Os utilizadores podem optar por ignorar o aviso e aceder à aplicação para lançamentos subsequentes.

Para ambas as ações, pode personalizar a mensagem que os utilizadores veem. Por exemplo, pode encorajá-los a instalar a versão mais recente. Além disso, pode fornecer um URL personalizado para o qual os utilizadores navegam quando selecionam a notificação. Tenha em atenção que o utilizador tem de selecionar o corpo da notificação de alerta para navegar para o URL personalizado. Isto pode ser utilizado para fornecer detalhes adicionais específicos da gestão de aplicações na sua organização.

Observação

Normalmente, as ações de bloqueio e aviso são impostas dentro de alguns minutos, mas podem demorar até 3 horas.

Requisitos mínimos

  • Microsoft Defender Antivírus (modo ativo): a deteção de eventos de execução de ficheiros e o bloqueio requer que Microsoft Defender Antivírus seja ativado no modo ativo. Por predefinição, o modo passivo e o EDR no modo de bloco não conseguem detetar e bloquear com base na execução de ficheiros. Para saber mais, veja Implementar Microsoft Defender Antivírus.
  • Proteção fornecida pela cloud (ativada): para obter mais informações, veja Gerir a proteção baseada na cloud.
  • Permitir ou bloquear ficheiro (ativado): aceda a Definições>Pontos finais Funcionalidades>avançadas>Permitir ou bloquear ficheiro. Para saber mais, veja Funcionalidades avançadas.

Requisitos de versão

  • A versão do cliente Antimalware tem de ser 4.18.1901.x ou posterior.
  • A versão do Motor tem de ser 1.1.16200.x ou posterior.
  • Suportado em dispositivos Windows 10, versão 1809 ou posterior, com as atualizações mais recentes do Windows instaladas.
  • Suporta Windows Server versões 2022, 2019, 2016, 2012 R2 e 2008 R2 SP1.

Permissões

  • Se utilizar o Controlo de acesso baseado em funções (RBAC), terá de ter atribuída a permissão Gestão de ameaças e vulnerabilidades – Processamento de aplicações .
  • Se não tiver ativado o RBAC, tem de ter uma das seguintes funções de Microsoft Entra atribuídas: Administrador de Segurança ou Administrador global. Para saber mais sobre permissões, aceda a Permissões básicas.

Importante

A Microsoft recomenda que você use funções com o menor número de permissões. A utilização de contas com permissões mais baixas ajuda a melhorar a segurança da sua organização. O Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não for possível usar uma função existente.

Como bloquear aplicações vulneráveis

  1. Aceda a Recomendações de Gestão> devulnerabilidades no portal do Microsoft Defender.

  2. Selecione uma recomendação de segurança para ver uma lista de opções com mais informações.

  3. Selecione Pedir remediação.

  4. Selecione se pretende aplicar a remediação e mitigação a todos os grupos de dispositivos ou apenas alguns.

  5. Selecione as opções de remediação na página Pedido de remediação . As opções de remediação são atualização de software, desinstalação de software e atenção necessária.

  6. Escolha uma Data para conclusão da remediação e selecione Seguinte.

  7. Em Ação de mitigação, selecione Bloquear ou Avisar. Depois de submeter uma ação de mitigação, esta é imediatamente aplicada.

    Ação de mitigação

  8. Reveja as seleções que efetuou e Submeta o pedido. Na página final, pode optar por aceder diretamente à página de remediação para ver o progresso das atividades de remediação e ver a lista de aplicações bloqueadas.

Observação

A partir de 3 de dezembro de 2024, espera ver uma redução no número de indicadores de ficheiros criados por novas políticas de bloqueio de aplicações. Para reduzir a utilização atual do indicador, desbloqueie todas as aplicações bloqueadas e crie novas políticas de blocos.

Com base nos dados disponíveis, as ações de bloco produzem efeito nos pontos finais que têm Microsoft Defender Antivírus. Microsoft Defender para Ponto de Extremidade faz o melhor esforço para bloquear a execução de aplicações ou versões vulneráveis aplicáveis.

Se forem encontradas vulnerabilidades adicionais numa versão diferente de uma aplicação, obtém uma nova recomendação de segurança, que lhe pede para atualizar a aplicação e também pode optar por bloquear esta versão diferente.

Quando o bloqueio não é suportado

Se não vir a opção de mitigação ao pedir uma remediação, é porque a capacidade de bloquear a aplicação não é atualmente suportada. As recomendações que não incluem ações de mitigação incluem:

  • Aplicações da Microsoft
  • Recomendações relacionadas com sistemas operativos
  • Recomendações relacionadas com aplicações para macOS e Linux
  • Aplicações em que a Microsoft não tem informações suficientes ou uma confiança elevada para bloquear
  • Aplicações da Microsoft Store, que não podem ser bloqueadas porque são assinadas pela Microsoft

Se tentar bloquear uma aplicação e esta não funcionar, poderá ter atingido a capacidade máxima do indicador. Se for o caso, pode eliminar indicadores antigos Saiba mais sobre os indicadores.

Ver atividades de remediação

Depois de submeter o pedido, aceda aAtividades deRemediação> da Gestão> de vulnerabilidades para ver a atividade de remediação recentemente criada.

Filtrar por Tipo de mitigação: Bloquear e/ou Avisar para ver todas as atividades relacionadas com ações de bloqueio ou aviso.

Este é um registo de atividades e não o bloco atual status da aplicação. Selecione a atividade relevante para ver um painel de lista de opções com detalhes, incluindo a descrição da remediação, a descrição da mitigação e a remediação do dispositivo status:

Detalhes de remediação e mitigação

Ver aplicações bloqueadas

Localize a lista de aplicações bloqueadas ao aceder ao separadorAplicações bloqueadas de Remediação>:

Aplicação bloqueada

Selecione uma aplicação bloqueada para ver uma lista de opções com detalhes sobre o número de vulnerabilidades, se estão disponíveis exploits, versões bloqueadas e atividades de remediação.

A opção para Ver detalhes de versões bloqueadas na página Indicador leva-o para a páginaIndicadores dePontos Finais>> de Definições, onde pode ver os hashes de ficheiro e as ações de resposta.

Observação

Se utilizar a API de Indicadores com consultas de indicadores programáticos como parte dos fluxos de trabalho, tenha em atenção que a ação de bloco dará resultados adicionais.

Atualmente, algumas deteções relacionadas com políticas de aviso podem aparecer como software maligno ativo no Microsoft Defender XDR e/ou Microsoft Intune. Este comportamento será corrigido numa versão futura.

Também pode Desbloquear software ou Abrir página de software:

Detalhes da aplicação bloqueada

Desbloquear aplicações

Selecione uma aplicação bloqueada para ver a opção Desbloquear software na lista de opções.

Depois de desbloquear uma aplicação, atualize a página para a ver removida da lista. Pode demorar até 3 horas para que uma aplicação seja desbloqueada e volte a ficar acessível aos seus utilizadores.

Experiência dos utilizadores para aplicações bloqueadas

Quando os utilizadores tentam aceder a uma aplicação bloqueada, recebem uma mensagem a informá-los de que a aplicação era da organização. Esta mensagem é personalizável.

Para aplicações em que a opção de mitigação de aviso foi aplicada, os utilizadores recebem uma mensagem informando-os de que a aplicação foi bloqueada pela organização. O utilizador tem a opção de ignorar o bloco para iniciações subsequentes ao selecionar "Permitir". Esta permissão é apenas temporária e a aplicação será bloqueada novamente após algum tempo.

Observação

Se a sua organização tiver implementado a política de grupo DisableLocalAdminMerge, poderá deparar-se com instâncias em que a permissão de uma aplicação não entra em vigor. Este comportamento será corrigido numa versão futura.

O utilizador final está a atualizar aplicações bloqueadas

Uma pergunta mais frequente é como é que um utilizador final atualiza uma aplicação bloqueada? O bloco é imposto ao bloquear o ficheiro executável. Algumas aplicações, como o Firefox, dependem de um executável de atualização separado, que não será bloqueado por esta funcionalidade. Noutros casos, quando a aplicação requer que o main ficheiro executável seja atualizado, recomenda-se implementar o bloco no modo de aviso (para que o utilizador final possa ignorar o bloco) ou o utilizador final pode eliminar a aplicação (se não forem armazenadas informações vitais no cliente) e reinstalar a aplicação.