阻止易受攻击的应用程序
适用于:
注意
若要使用此功能,需要Microsoft Defender 漏洞管理独立版,或者如果你已经是计划 2 Microsoft Defender for Endpoint 客户,Defender 漏洞管理加载项。
修复漏洞需要时间,并且可能取决于 IT 团队的职责和资源。 在修正请求完成之前,安全管理员可以立即采取措施阻止应用程序的所有当前已知易受攻击版本,从而暂时降低漏洞风险。 阻止选项使 IT 团队有时间修补应用程序,而安全管理员无需担心在此期间会利用这些漏洞。
执行安全建议建议建议的修正步骤时,具有适当权限的安全管理员可以执行缓解操作并阻止易受攻击的应用程序版本。 为属于该应用程序易受攻击版本的每个可执行文件创建泄露 (IOC) 的文件指示器。 然后,Microsoft Defender防病毒在指定范围内的设备上强制实施块。
提示
你知道可以免费试用Microsoft Defender 漏洞管理中的所有功能吗? 了解如何 注册免费试用版。
阻止或警告缓解操作
阻止操作旨在阻止组织中所有已安装易受攻击的应用程序版本运行。 例如,如果存在活动的零日漏洞,则可以在确定解决方法选项时阻止用户运行受影响的软件。
警告操作旨在当用户打开易受攻击的应用程序版本时向用户发送警告。 用户可以选择绕过警告并访问应用程序进行后续启动。
对于这两个操作,可以自定义用户看到的消息。 例如,可以鼓励他们安装最新版本。 此外,还可以提供用户在选择通知时导航到的自定义 URL。 请注意,用户必须选择 Toast 通知的正文才能导航到自定义 URL。 这可用于提供特定于组织中应用程序管理的其他详细信息。
注意
阻止和警告操作通常在几分钟内强制实施,但最长可能需要 3 小时。
最低要求
- Microsoft Defender防病毒 (活动模式) :检测文件执行事件和阻止需要在活动模式下启用Microsoft Defender防病毒。 根据设计,被动模式和块模式下的 EDR 无法基于文件执行进行检测和阻止。 若要了解详细信息,请参阅部署Microsoft Defender防病毒。
- ) 启用云交付保护 (:有关详细信息,请参阅 管理基于云的保护。
- 允许或阻止) 上的文件 (:转到 设置>终结点>高级功能>允许或阻止文件。 若要了解详细信息,请参阅 高级功能。
版本要求
- 反恶意软件客户端版本必须为 4.18.1901.x 或更高版本。
- 引擎版本必须为 1.1.16200.x 或更高版本。
- 支持Windows 10设备版本 1809 或更高版本,并安装了最新的 Windows 更新。
- 支持Windows Server版本 2022、2019、2016、2012 R2 和 2008 R2 SP1。
权限
- 如果使用 基于角色的访问控制 (RBAC) ,则需要分配 威胁和漏洞管理 - 应用程序处理 权限。
- 如果尚未启用 RBAC,则必须分配以下Microsoft Entra角色之一:安全管理员或全局管理员。 若要了解有关权限的详细信息,请转到 基本权限。
重要
Microsoft 建议使用权限最少的角色。 使用权限较低的帐户有助于提高组织的安全性。 全局管理员是一个权限很高的角色,应仅限于在无法使用现有角色的紧急情况下使用。
如何阻止易受攻击的应用程序
转到Microsoft Defender门户中的漏洞管理>建议。
选择安全建议以查看包含详细信息的浮出控件。
选择“ 请求修正”。
选择是要将修正和缓解措施应用于所有设备组还是仅对少数设备组应用。
在“修正请求”页上选择 修正 选项。 修正选项包括软件更新、软件卸载和需要注意。
选择 “修正截止日期 ”,然后选择“ 下一步”。
在 “缓解操作”下,选择“ 阻止 ”或“ 警告”。 提交缓解操作后,会立即应用该操作。
查看所做的选择并 提交请求。 在最后一页上,可以选择直接转到修正页,以查看修正活动的进度,并查看阻止的应用程序列表。
注意
从 2024 年 12 月 3 日起,预计新应用程序块策略创建的文件指示器数将减少。 若要减少当前指示器的使用,请取消阻止任何被阻止的应用程序,并创建新的阻止策略。
根据可用数据,阻止操作在具有防病毒Microsoft Defender终结点上生效。 Microsoft Defender for Endpoint尽最大努力阻止适用的易受攻击的应用程序或版本运行。
如果在应用程序的不同版本上发现其他漏洞,则会收到新的安全建议,要求更新应用程序,还可以选择阻止此不同版本。
不支持阻止时
如果在请求修正时未看到缓解选项,这是因为当前不支持阻止应用程序的功能。 不包括缓解措施的建议包括:
- Microsoft应用程序
- 与操作系统相关的建议
- 与 macOS 和 Linux 应用相关的建议
- Microsoft没有足够的信息或高置信度来阻止的应用
- Microsoft应用商店应用,无法阻止这些应用,因为它们由 Microsoft
如果尝试阻止应用程序,但应用程序不起作用,则可能已达到最大指示器容量。 如果是这样,可以删除旧指标 详细了解指标。
查看修正活动
提交请求后,请转到 漏洞管理>修正>活动 以查看新创建的修正活动。
按缓解类型筛选:阻止和/或警告以查看与阻止或警告操作相关的所有活动。
这是活动日志,而不是应用程序的当前块状态。 选择相关活动以查看浮出控件面板,其中包含修正说明、缓解说明和设备修正状态等详细信息:
查看阻止的应用程序
转到“修正>阻止的应用程序”选项卡,找到阻止的应用程序列表:
选择被阻止的应用程序以查看浮出控件,其中包含有关漏洞数量、攻击是否可用、阻止的版本和修正活动的详细信息。
“指示器”页中“查看被阻止版本的详细信息”选项将转到“设置终结点>指示器”>页,可在其中查看文件哈希和响应操作。
注意
如果将指示器 API 与编程指示器查询一起使用作为工作流的一部分,请注意,阻止操作将提供其他结果。
目前,某些与警告策略相关的检测可能会在Microsoft Defender XDR和/或Microsoft Intune显示为活动恶意软件。 此行为将在即将发布的版本中得到修复。
还可以 取消阻止软件 或 打开软件页面:
取消阻止应用程序
选择被阻止的应用程序以查看浮出控件中的 “取消阻止软件 ”选项。
取消阻止应用程序后,刷新页面以查看它从列表中删除。 最多可能需要 3 小时才能解除阻止应用程序并可供用户再次访问。
受阻应用程序的用户体验
当用户尝试访问被阻止的应用程序时,他们会收到一条消息,通知他们该应用程序是由其组织提供的。 此消息可自定义。
对于应用了警告缓解选项的应用程序,用户会收到一条消息,告知他们应用程序已被其组织阻止。 用户可以通过选择“允许”来绕过阻止后续启动。 此允许只是暂时的,应用程序将在一段时间后再次被阻止。
注意
如果组织已部署 DisableLocalAdminMerge 组策略,可能会遇到允许应用程序未生效的实例。 此行为将在即将发布的版本中得到修复。
最终用户更新阻止的应用程序
一个常见问题是最终用户如何更新被阻止的应用程序? 阻止是通过阻止可执行文件来强制执行的。 某些应用程序(如 Firefox)依赖于单独的更新可执行文件,此功能不会阻止该可执行文件。 在其他情况下,当应用程序需要更新main可执行文件时,建议在警告模式下实现块 (以便最终用户可以绕过块) ,或者最终用户可以在客户端上未存储任何重要信息 (删除应用程序) 并重新安装应用程序。