Dela via

Blockera sårbara program med Microsoft Defender – hantering av säkerhetsrisker

  • Artikel

Gäller för:

Obs!

Om du vill använda den här funktionen behöver du Microsoft Defender – hantering av säkerhetsrisker fristående eller om du redan är en Microsoft Defender för Endpoint Plan 2-kund Defender – hantering av säkerhetsrisker tillägg.

Det tar tid att åtgärda säkerhetsrisker och kan vara beroende av IT-teamets ansvarsområden och resurser. Säkerhetsadministratörer kan tillfälligt minska risken för en säkerhetsrisk genom att vidta omedelbara åtgärder för att blockera alla kända sårbara versioner av ett program tills reparationsbegäran har slutförts. Blockeringsalternativet ger IT-teamen tid att korrigera ett program utan att oroa säkerhetsadministratörerna om säkerhetsriskerna.

När säkerhetsadministratörerna vidtar de reparationssteg som föreslås i en säkerhetsrekommendation kan de utföra en åtgärd och blockera sårbara versioner av ett program. Filindikatorer för kompromisser (IOK) skapas för var och en av de körbara filer som tillhör sårbara versioner av programmet. Microsoft Defender Antivirus framtvingar sedan block på de enheter som finns i det angivna omfånget.

Blockera eller varna åtgärd

Blockåtgärden är avsedd att blockera alla installerade sårbara versioner av programmet i din organisation från att köras. Om det till exempel finns en aktiv nolldagsrisk kan du blockera användarna från att köra den berörda programvaran medan du fastställer alternativ för att kringgå problemet.

Varningsåtgärden är avsedd att skicka en varning till användarna när de öppnar sårbara versioner av programmet. Användare kan välja att kringgå varningen och komma åt programmet för efterföljande uppskjutningar.

För båda åtgärderna kan du anpassa meddelandet som användarna ser. Du kan till exempel uppmuntra dem att installera den senaste versionen. Dessutom kan du ange en anpassad URL som användarna navigerar till när de väljer meddelandet. Användaren måste välja brödtexten i popup-meddelandet för att kunna navigera till den anpassade URL:en. Meddelandet kan användas för att ge mer information som är specifik för programhanteringen i din organisation.

Obs!

Blockera och varna åtgärder tillämpas vanligtvis inom några minuter, men kan ta upp till tre timmar.

Minimikrav

  • Microsoft Defender Antivirus (aktivt läge): Identifiering av filkörningshändelser och blockering kräver att Microsoft Defender Antivirus är aktiverat i aktivt läge. Passivt läge och EDR i blockeringsläge kan inte identifiera och blockera baserat på filkörning. Mer information finns i distribuera Microsoft Defender Antivirus.
  • Molnlevererat skydd (aktiverat): Mer information finns i Hantera molnbaserat skydd.
  • Tillåt eller blockera fil (på): Gå till Inställningar>Slutpunkter>Avancerade funktioner>Tillåt eller blockera fil. Mer information finns i Avancerade funktioner.

Versionskrav

  • Klientversionen för skydd mot skadlig kod måste vara 4.18.1901.x eller senare.
  • Motorversionen måste vara 1.1.16200.x eller senare.
  • Windows-klientenheter måste köra Windows 11 eller Windows 10 version 1809 eller senare, med de senaste Windows-uppdateringarna installerade.
  • Servrar måste köra Windows Server 2022, 2019, 2016, 2012 R2 och 2008 R2 SP1. Stödet för Windows Server 2025 lanseras, med början i februari 2025 och under de kommande veckorna.

Så här blockerar du sårbara program

  1. Logga in på Microsoft Defender-portalen och gå sedan tillRekommendationer för hanteringav> säkerhetsrisker för slutpunkter>.

  2. Välj en säkerhetsrekommendation om du vill se en utfälld meny med mer information.

  3. Välj Begär reparation.

  4. Fyll i formuläret. I listrutan Reparationsalternativ väljer du vilka av de alternativ som du vill begära. Alternativen är programuppdatering, avinstallation av programvara och uppmärksamhet krävs.

  5. Under Verktyg för uppgiftshantering markerar du kryssrutan Öppna ett ärende i Intune (för AAD-anslutna enheter) om du vill skapa ett ärende i Microsoft Intune för reparationsbegäran.

  6. Välj ett förfallodatum för reparation.

  7. Under Prioritet väljer du Hög, Medel eller Låg.

  8. Under Lägg till anteckningar kan du lägga till ytterligare information. Välj Nästa.

  9. Granska de val du har gjort och välj sedan Skicka. På den sista sidan kan du välja att redigera valen och exportera alla reparationsbegäranden till en .CSV fil.

Obs!

Från och med den 3 december 2024 förväntas antalet filindikatorer som skapas av nya principer för programblockering minskas. Om du vill minska din aktuella indikatoranvändning avblockera eventuella blockerade program och skapa nya blockeringsprinciper.

Baserat på tillgängliga data tillämpas blockeringsåtgärderna på slutpunkter som har Microsoft Defender Antivirus. Microsoft Defender för Endpoint gör ett bästa försök att blockera tillämpliga sårbara program eller versioner från att köras.

Om fler säkerhetsrisker hittas i en annan version av ett program får du en ny säkerhetsrekommendations som ber dig att uppdatera programmet och du kan välja att även blockera den här andra versionen.

När blockering inte stöds

Om du inte ser åtgärdsalternativet när du begär en reparation beror det på att möjligheten att blockera programmet för närvarande inte stöds. Rekommendationer som inte omfattar åtgärdsåtgärder omfattar:

  • Microsoft-program
  • Rekommendationer relaterade till operativsystem
  • Rekommendationer relaterade till appar för macOS och Linux
  • Appar där Microsoft inte har tillräcklig information eller hög konfidens för att blockera
  • Microsoft Store-appar, som inte kan blockeras eftersom de är signerade av Microsoft

Om du försöker blockera ett program och det inte fungerar kan du ha nått den maximala indikatorkapaciteten. I så fall kan du ta bort gamla indikatorer Läs mer om indikatorer.

Visa reparationsaktiviteter

När du har skickat en begäran om att blockera sårbara program kan du visa reparationsaktiviteter genom att följa dessa steg:

  1. Gå till Reparation av sårbarhetshantering>> för slutpunkter.

  2. På fliken Aktiviteter kan du välja att filtrera resultaten efter åtgärdstyp. Alternativen är Blockera, Varna, Ingen och Lösning.

  3. Välj relevant aktivitet för att se ett utfällt fönster med information, inklusive reparationsbeskrivning, beskrivning av åtgärd och enhetens reparationsstatus:

    Reparations- och åtgärdsinformation

Visa blockerade program

Följ dessa steg om du vill visa en lista över blockerade program:

  1. Gå till Reparation avsårbarhetshantering>> för slutpunkteroch välj sedan fliken Blockerade program:

    Blockerat program

  2. Välj ett blockerat program för att visa en utfälld skärm med information om antalet sårbarheter, om sårbarheter är tillgängliga, blockerade versioner och reparationsaktiviteter.

  3. Välj Visa information om blockerade versioner på sidan Indikator, som tar dig till sidan Indikatorer , där du kan visa filhashvärden och svarsåtgärder.

    Obs!

    Om du använder API för indikatorer med programmatiska indikatorfrågor som en del av dina arbetsflöden ger blockåtgärden fler resultat.

  4. Om du vill avblockera ett program väljer du Avblockera programvara eller Sidan Öppna programvara:

    Information om blockerade program

Avblockera program

Välj ett blockerat program för att visa alternativet att avblockera programvara i den utfällbara menyn.

När du har avblockerat ett program uppdaterar du sidan så att den tas bort från listan. Det kan ta upp till 3 timmar innan ett program avblockeras och blir tillgängligt för användarna igen.

Användarupplevelse för blockerade program

När användare försöker komma åt ett blockerat program får de ett meddelande som informerar dem om att programmet var av deras organisation. Det här meddelandet är anpassningsbart.

För program där alternativet för varningsreducering tillämpades får användarna ett meddelande som informerar dem om att programmet har blockerats av organisationen. Användaren kan kringgå blocket för efterföljande uppskjutningar genom att välja "Tillåt". Den här tillåtna åtgärden är bara tillfällig och programmet blockeras igen efter ett tag.

Obs!

Om din organisation har distribuerat grupprincipen DisableLocalAdminMerge kan du uppleva instanser där det inte börjar gälla att tillåta ett program.

Slutanvändaruppdatering av blockerade program

En vanlig fråga är "Hur uppdaterar en slutanvändare ett blockerat program?" Blocket framtvingas genom att den körbara filen blockeras. Vissa program, till exempel Firefox, förlitar sig på en separat körbar uppdatering, som inte blockeras av den här funktionen. I andra fall, när programmet kräver att den körbara huvudfilen uppdateras, rekommenderar vi att du antingen implementerar blocket i varningsläge (så att slutanvändaren kan kringgå blocket) eller ber slutanvändaren att ta bort programmet (om ingen viktig information lagras på klienten) och sedan installera om det.