Поделиться через

Блокировать уязвимые приложения

  • Статья

Область применения:

Примечание.

Чтобы использовать эту функцию, вам потребуется Управление уязвимостями Microsoft Defender автономной версии или, если вы уже являетесь клиентом Microsoft Defender для конечной точки плана 2, надстройка Управление уязвимостями Defender.

Устранение уязвимостей требует времени и может зависеть от обязанностей и ресурсов ИТ-команды. Администраторы безопасности могут временно снизить риск уязвимости путем немедленного блокирования всех известных в настоящее время уязвимых версий приложения до завершения запроса на исправление. Параметр блокировать дает ИТ-командам время на исправление приложения, а администраторы безопасности не беспокоятся о том, что уязвимости будут использоваться в то же время.

При выполнении действий по исправлению, предложенных рекомендацией по безопасности, администраторы безопасности с соответствующими разрешениями могут выполнять действия по устранению рисков и блокировать уязвимые версии приложения. Индикаторы компрометации (IOC) создаются для каждого из исполняемых файлов, принадлежащих уязвимым версиям этого приложения. Microsoft Defender антивирусная программа применяет блоки на устройствах, которые находятся в указанной область.

Совет

Знаете ли вы, что можете бесплатно попробовать все функции в Управление уязвимостями Microsoft Defender? Узнайте, как зарегистрироваться для получения бесплатной пробной версии.

Действие по устранению рисков блокировать или предупреждать о ней

Действие блокировки предназначено для блокировки всех установленных уязвимых версий приложения в вашей организации. Например, если существует активная уязвимость нулевого дня, вы можете заблокировать запуск затронутого программного обеспечения пользователями при определении вариантов обхода.

Действие предупреждения предназначено для отправки предупреждения пользователям при открытии уязвимых версий приложения. Пользователи могут обойти предупреждение и получить доступ к приложению для последующих запусков.

Для обоих действий можно настроить сообщение, которое видят пользователи. Например, можно призвать их установить последнюю версию. Кроме того, можно указать настраиваемый URL-адрес, по который пользователи переходят при выборе уведомления. Обратите внимание, что пользователь должен выбрать текст всплывающего уведомления, чтобы перейти по пользовательскому URL-адресу. Его можно использовать для предоставления дополнительных сведений, относящихся к управлению приложениями в организации.

Примечание.

Действия блокировки и предупреждения обычно выполняются в течение нескольких минут, но могут занять до 3 часов.

Минимальные требования

  • антивирусная программа Microsoft Defender (активный режим): для обнаружения событий выполнения файлов и блокировки требуется, чтобы Microsoft Defender антивирусная программа была включена в активном режиме. По сути, пассивный режим и EDR в режиме блока не могут обнаруживать и блокировать на основе выполнения файла. Дополнительные сведения см. в статье Развертывание антивирусной программы Microsoft Defender.
  • Облачная защита (включена). Дополнительные сведения см. в статье Управление облачной защитой.
  • Разрешить или заблокировать файл (вкл.): перейдите к разделу Параметры>Конечные> точкиДополнительные функции>Разрешить или заблокировать файл. Дополнительные сведения см. в разделе Дополнительные функции.

Требования к версии

  • Версия клиента защиты от вредоносных программ должна быть 4.18.1901.x или более поздней.
  • Версия обработчика должна быть 1.1.16200.x или более поздней.
  • Поддерживается на устройствах Windows 10 версии 1809 или более поздней с установленными последними обновлениями Windows.
  • Поддерживает Windows Server версии 2022, 2019, 2016, 2012 R2 и 2008 R2 с пакетом обновления 1 (SP1).

Разрешения

  • Если вы используете управление доступом на основе ролей (RBAC), необходимо назначить разрешение управление угрозами и уязвимостями — обработка приложений .
  • Если вы не включили RBAC, вам должна быть назначена одна из следующих Microsoft Entra ролей: администратор безопасности или глобальный администратор. Дополнительные сведения о разрешениях см. в статье Основные разрешения.

Важно!

Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Использование учетных записей с более низкими разрешениями помогает повысить безопасность организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль.

Блокировка уязвимых приложений

  1. Перейдите кразделу Рекомендации поуправлению> уязвимостями на портале Microsoft Defender.

  2. Выберите рекомендацию по безопасности, чтобы просмотреть всплывающий элемент с дополнительными сведениями.

  3. Выберите Запросить исправление.

  4. Укажите, следует ли применять исправление и устранение рисков ко всем группам устройств или только к нескольким группам устройств.

  5. Выберите параметры исправления на странице Запрос на исправление . Варианты исправления: обновление программного обеспечения, удаление программного обеспечения и необходимое внимание.

  6. Выберите дату выполнения исправления и нажмите кнопку Далее.

  7. В разделе Действие по устранению рисков выберите Блокировать или Предупреждать. После отправки действия по устранению рисков оно немедленно применяется.

    Действие по устранению рисков

  8. Просмотрите выбранные вами параметры и отправьте запрос. На последней странице можно перейти непосредственно на страницу исправления, чтобы просмотреть ход выполнения действий по исправлению и просмотреть список заблокированных приложений.

Примечание.

С 3 декабря 2024 г. ожидается сокращение числа индикаторов файлов, созданных новыми политиками блоков приложений. Чтобы уменьшить текущее использование индикаторов, разблокируйте все заблокированные приложения и создайте новые политики блокировки.

На основе доступных данных действия блока вступают в силу на конечных точках с Microsoft Defender антивирусной программы. Microsoft Defender для конечной точки старается блокировать запуск приложений или версий, находящихся в уязвимом положении.

При обнаружении дополнительных уязвимостей в другой версии приложения вы получите новую рекомендацию по безопасности с просьбой обновить приложение и также можете заблокировать эту другую версию.

Если блокировка не поддерживается

Если вы не видите параметр устранения рисков при запросе исправления, это связано с тем, что в настоящее время возможность блокировать приложение не поддерживается. Рекомендации, которые не включают действия по устранению рисков, включают в себя:

  • Приложения Майкрософт
  • Рекомендации, связанные с операционными системами
  • Рекомендации по приложениям для macOS и Linux
  • Приложения, в которых корпорация Майкрософт не имеет достаточной информации или высокой достоверности для блокировки
  • Приложения Microsoft Store, которые не могут быть заблокированы, так как они подписаны корпорацией Майкрософт

Если вы попытаетесь заблокировать приложение, но оно не работает, возможно, вы достигли максимальной емкости индикатора. В этом случае можно удалить старые индикаторы Подробнее о индикаторах.

Просмотр действий по исправлению

После отправки запроса перейдите в разделДействияпо исправлению> управления >уязвимостями, чтобы просмотреть только что созданное действие по исправлению.

Фильтрация по типу устранения рисков: блокировать и (или) предупреждать, чтобы просмотреть все действия, относящиеся к действиям блокировки или предупреждения.

Это журнал действий, а не текущее состояние блока приложения. Выберите соответствующее действие, чтобы просмотреть всплывающий элемент с подробными сведениями, включая описание исправления, описание устранения рисков и состояние исправления устройства:

Сведения об исправлении и устранении рисков

Просмотр заблокированных приложений

Найдите список заблокированных приложений, перейдя на вкладку Исправление>заблокированных приложений :

Заблокированное приложение

Выберите заблокированное приложение, чтобы просмотреть всплывающее окно со сведениями о количестве уязвимостей, доступности эксплойтов, заблокированных версиях и действиях по исправлению.

Параметр Просмотреть сведения о заблокированных версиях на странице Индикатор приводит к странице Индикаторы> параметровконечных> точек, где можно просмотреть хэши файлов и действия ответа.

Примечание.

Если вы используете API индикаторов с программными запросами индикаторов в рамках рабочих процессов, имейте в виду, что действие блока даст дополнительные результаты.

В настоящее время некоторые обнаружения, связанные с политиками предупреждений, могут отображаться как активные вредоносные программы в Microsoft Defender XDR и (или) Microsoft Intune. Это поведение будет исправлено в предстоящем выпуске.

Вы также можете разблокировать программное обеспечение или открыть страницу программного обеспечения:

Сведения о заблокированных приложениях

Разблокировка приложений

Выберите заблокированное приложение, чтобы просмотреть параметр Разблокировать программное обеспечение во всплывающем элементе.

После разблокировки приложения обновите страницу, чтобы оно было удалено из списка. Чтобы разблокировать приложение и снова стать доступным для пользователей, может потребоваться до 3 часов.

Взаимодействие пользователей с заблокированными приложениями

Когда пользователи пытаются получить доступ к заблокированным приложениям, они получают сообщение о том, что приложение было их организацией. Это сообщение можно настроить.

Для приложений, в которых был применен параметр предупреждения, пользователи получают сообщение о том, что приложение заблокировано их организацией. Пользователь может обойти блок для последующих запусков, выбрав "Разрешить". Это разрешение является временным, и приложение будет заблокировано снова через некоторое время.

Примечание.

Если в вашей организации развернута групповая политика DisableLocalAdminMerge, могут возникнуть случаи, когда разрешение приложения не вступают в силу. Это поведение будет исправлено в предстоящем выпуске.

Обновление заблокированных приложений конечным пользователем

Часто задаваемый вопрос заключается в том, как конечный пользователь обновляет заблокированное приложение? Блокировка выполняется путем блокировки исполняемого файла. Некоторые приложения, например Firefox, полагаются на отдельный исполняемый файл обновления, который не будет заблокирован этой функцией. В других случаях, когда приложению требуется обновить исполняемый файл main, рекомендуется либо реализовать блок в режиме предупреждения (чтобы конечный пользователь смог обойти блок), либо пользователь может удалить приложение (если на клиенте не хранится важная информация) и переустановить приложение.