Поделиться через

Блокировка уязвимых приложений с помощью Управление уязвимостями Microsoft Defender

  • Статья

Область применения:

Устранение уязвимостей требует времени и может зависеть от обязанностей и ресурсов ИТ-команды. Администраторы безопасности могут временно снизить риск уязвимости, предприняв немедленные действия, чтобы заблокировать все известные в настоящее время уязвимые версии приложения до завершения запроса на исправление. Параметр блокировать дает ИТ-командам время на исправление приложения, не беспокоясь об уязвимостях администраторов безопасности.

Выполняя действия по исправлению, предложенные рекомендацией по безопасности, администраторы безопасности могут выполнять действия по устранению рисков и блокировать уязвимые версии приложения. Индикаторы компрометации (IOC) создаются для каждого из исполняемых файлов, принадлежащих уязвимым версиям этого приложения. Microsoft Defender антивирусная программа применяет блоки на устройствах, которые находятся в указанной область.

Действие по устранению рисков блокировать или предупреждать о ней

Действие блокировки предназначено для блокировки всех установленных уязвимых версий приложения в вашей организации. Например, если существует активная уязвимость нулевого дня, вы можете заблокировать запуск затронутого программного обеспечения пользователями при определении вариантов обхода.

Действие предупреждения предназначено для отправки предупреждения пользователям при открытии уязвимых версий приложения. Пользователи могут обойти предупреждение и получить доступ к приложению для последующих запусков.

Для обоих действий можно настроить сообщение, которое видят пользователи. Например, можно призвать их установить последнюю версию. Кроме того, можно указать настраиваемый URL-адрес, по который пользователи переходят при выборе уведомления. Пользователь должен выбрать текст всплывающего уведомления, чтобы перейти по пользовательскому URL-адресу. Уведомление можно использовать для предоставления дополнительных сведений, относящихся к управлению приложениями в организации.

Примечание.

Действия блокировки и предупреждения обычно применяются в течение нескольких минут, но могут занять до трех часов.

Минимальные требования

  • антивирусная программа Microsoft Defender (активный режим): для обнаружения событий выполнения файлов и блокировки требуется, чтобы Microsoft Defender антивирусная программа была включена в активном режиме. По сути, пассивный режим и EDR в режиме блока не могут обнаруживать и блокировать на основе выполнения файла. Дополнительные сведения см. в статье Развертывание антивирусной программы Microsoft Defender.
  • Облачная защита (включена). Дополнительные сведения см. в статье Управление облачной защитой.
  • Разрешить или заблокировать файл (вкл.): перейдите к разделу Параметры>Конечные> точкиДополнительные функции>Разрешить или заблокировать файл. Дополнительные сведения см. в разделе Дополнительные функции.

Требования к версии

  • Версия клиента защиты от вредоносных программ должна быть 4.18.1901.x или более поздней.
  • Версия обработчика должна быть 1.1.16200.x или более поздней.
  • Клиентские устройства Windows должны работать Windows 11, Windows 10, версия 1809 или более поздней версии с установленными последними обновлениями Windows.
  • Серверы должны работать Windows Server 2022, 2019, 2016, 2012 R2 и 2008 R2 с пакетом обновления 1 (SP1). Поддержка Windows Server 2025 г., начиная с февраля 2025 г. и в течение следующих нескольких недель.

Блокировка уязвимых приложений

  1. На портале Microsoft Defender перейдите в раздел Рекомендации по управлению>уязвимостями.

  2. Выберите рекомендацию по безопасности, чтобы просмотреть всплывающий элемент с дополнительными сведениями.

  3. Выберите Запросить исправление.

  4. Укажите, следует ли применять исправление и устранение рисков ко всем группам устройств или только к нескольким группам устройств.

  5. Выберите параметры исправления на странице Запрос на исправление . Варианты исправления: обновление программного обеспечения, удаление программного обеспечения и необходимое внимание.

  6. Выберите дату выполнения исправления и нажмите кнопку Далее.

  7. В разделе Действие по устранению рисков выберите Блокировать или Предупреждать. После отправки действия по устранению рисков оно немедленно применяется.

    Действие по устранению рисков

  8. Просмотрите выбранные вами параметры и отправьте запрос. На последней странице можно перейти непосредственно на страницу исправления, чтобы просмотреть ход выполнения действий по исправлению и просмотреть список заблокированных приложений.

Примечание.

С 3 декабря 2024 г. ожидается сокращение числа индикаторов файлов, созданных новыми политиками блоков приложений. Чтобы уменьшить текущее использование индикаторов, разблокируйте все заблокированные приложения и создайте новые политики блокировки.

На основе доступных данных действия блока вступают в силу на конечных точках с Microsoft Defender антивирусной программы. Microsoft Defender для конечной точки старается блокировать запуск приложений или версий, находящихся в уязвимом положении.

Если в другой версии приложения обнаружено больше уязвимостей, вы получите новую рекомендацию по безопасности с просьбой обновить приложение, и вы также можете заблокировать эту другую версию.

Если блокировка не поддерживается

Если вы не видите параметр устранения рисков при запросе исправления, это связано с тем, что в настоящее время возможность блокировать приложение не поддерживается. Рекомендации, которые не включают действия по устранению рисков, включают в себя:

  • Приложения Майкрософт
  • Рекомендации, связанные с операционными системами
  • Рекомендации по приложениям для macOS и Linux
  • Приложения, в которых корпорация Майкрософт не имеет достаточной информации или высокой достоверности для блокировки
  • Приложения Microsoft Store, которые не могут быть заблокированы, так как они подписаны корпорацией Майкрософт

Если вы попытаетесь заблокировать приложение, но оно не работает, возможно, вы достигли максимальной емкости индикатора. В этом случае можно удалить старые индикаторы Подробнее о индикаторах.

Просмотр действий по исправлению

После отправки запроса на блокировку уязвимых приложений можно просмотреть действия по исправлению, выполнив следующие действия.

  1. На портале Microsoft Defender перейдите в разделДействия по исправлениюуправления >уязвимостями>.

  2. Отфильтруйте результаты по следующему типу защиты: Block and/or Warn to view all activities pertaining to block or warn actions.

  3. Отобразится журнал действий. Помните, что это журнал действий, а не текущее состояние блока приложения. Выберите соответствующее действие, чтобы просмотреть всплывающий элемент с подробными сведениями, включая описание исправления, описание устранения рисков и состояние исправления устройства:

    Сведения об исправлении и устранении рисков

Просмотр заблокированных приложений

Чтобы просмотреть список заблокированных приложений, выполните следующие действия.

  1. На портале Microsoft Defender перейдите на вкладку Исправление>заблокированных приложений:

    Заблокированное приложение

  2. Выберите заблокированное приложение, чтобы просмотреть всплывающее окно со сведениями о количестве уязвимостей, доступности эксплойтов, заблокированных версиях и действиях по исправлению.

  3. Выберите Просмотреть сведения о заблокированных версиях на странице Индикатор, чтобы открыть страницу Индикаторы , где можно просмотреть хэши файлов и действия ответа.

    Примечание.

    Если вы используете API индикаторов с программными запросами индикаторов в рамках рабочих процессов, действие блока даст больше результатов.

  4. Чтобы разблокировать приложение, выберите Разблокировать программное обеспечение или Открыть страницу программного обеспечения:

    Сведения о заблокированных приложениях

Разблокировка приложений

Выберите заблокированное приложение, чтобы просмотреть параметр Разблокировать программное обеспечение во всплывающем элементе.

После разблокировки приложения обновите страницу, чтобы оно было удалено из списка. Чтобы разблокировать приложение и снова стать доступным для пользователей, может потребоваться до 3 часов.

Взаимодействие пользователей с заблокированными приложениями

Когда пользователи пытаются получить доступ к заблокированным приложениям, они получают сообщение о том, что приложение было их организацией. Это сообщение можно настроить.

Для приложений, в которых был применен параметр предупреждения, пользователи получают сообщение о том, что приложение заблокировано их организацией. Пользователь может обойти блок для последующих запусков, выбрав "Разрешить". Это действие является временным, и через некоторое время приложение снова блокируется.

Примечание.

Если в вашей организации развернута DisableLocalAdminMerge групповая политика, могут возникнуть случаи, когда разрешение приложения не вступают в силу.

Обновление заблокированных приложений конечным пользователем

Часто задаваемый вопрос: "Как конечный пользователь обновляет заблокированное приложение?" Блокировка выполняется путем блокировки исполняемого файла. Некоторые приложения, например Firefox, используют отдельный исполняемый файл обновления, который не блокируется этой функцией. В других случаях, когда приложению требуется обновить исполняемый файл main, рекомендуется либо реализовать блок в режиме предупреждения (чтобы конечный пользователь смог обойти блок), либо попросить пользователя удалить приложение (если на клиенте не хранится важная информация), а затем переустановить его.