使用 Microsoft Defender 弱點管理 封鎖易受攻擊的應用程式
適用於:
注意事項
若要使用此功能,您需要 Microsoft Defender 弱點管理 獨立版,或如果您已經是 適用於端點的 Microsoft Defender 方案 2 客戶,則 Defender 弱點管理 附加元件。
修復弱點需要一些時間,而且可能取決於IT小組的責任和資源。 安全性系統管理員可以立即採取動作來封鎖所有目前已知易受攻擊的應用程式版本,以暫時降低弱點的風險,直到補救要求完成為止。 [封鎖] 選項可讓您的 IT 小組有時間修補應用程式,而不必擔心安全性系統管理員的弱點。
在採取安全性建議所建議的補救步驟時,安全性系統管理員可以執行風險降低動作,並封鎖易受攻擊的應用程式版本。 針對屬於該應用程式易受攻擊版本的每個可執行檔,會建立 (IOC) 的檔案指標。 Microsoft Defender 防病毒軟體會在指定範圍內的裝置上強制執行區塊。
封鎖或警告風險降低動作
封鎖動作的目的是要封鎖組織中所有已安裝易受攻擊的應用程式版本,使其無法執行。 例如,如果有作用中的零時差弱點,您可以在決定因應措施選項時,封鎖使用者執行受影響的軟體。
警告動作的目的是在用戶開啟易受攻擊的應用程式版本時,將警告傳送給使用者。 用戶可以選擇略過警告,並存取應用程式以進行後續啟動。
針對這兩個動作,您可以自定義使用者看到的訊息。 例如,您可以鼓勵他們安裝最新版本。 此外,您可以提供使用者在選取通知時流覽的自訂URL。 用戶必須選取快顯通知的本文,才能流覽至自定義URL。 通知可用來提供組織中應用程式管理的詳細數據。
注意事項
封鎖和警告動作通常會在幾分鐘內強制執行,但最多可能需要三個小時。
基本需求
- Microsoft Defender 防病毒軟體 (作用中模式) :偵測檔案執行事件和封鎖需要在作用中模式中啟用 Microsoft Defender 防病毒軟體。 根據設計,被動模式和封鎖模式中的 EDR 無法根據檔案執行來偵測和封鎖。 若要深入瞭解,請參閱部署 Microsoft Defender 防病毒軟體。
- 已啟用雲端式保護 () :如需詳細資訊,請參閱 管理雲端式保護。
- 允許或封鎖) 上的檔案 (:移至 [設定>端點>][進階功能>][允許] 或 [封鎖檔案]。若要深入瞭解,請參閱進階功能。
版本需求
- 反惡意代碼用戶端版本必須是
4.18.1901.x或更新版本。 - 引擎版本必須是
1.1.16200.x或更新版本。 - Windows 用戶端裝置必須執行 Windows 11 或 Windows 10 版本 1809 或更新版本,並安裝最新的 Windows 更新。
- 伺服器必須執行 Windows Server 2022、2019、2016、2012 R2 和 2008 R2 SP1。 Windows Server 2025 的支援從 2025 年 2 月開始推出,並在接下來的幾周推出。
如何封鎖易受攻擊的應用程式
登入 Microsoft Defender 入口網站,然後流覽至 [端點弱點>管理>建議]。
選取安全性建議,以查看包含詳細資訊的飛出視窗。
選 取 [要求補救]。
填寫表單。 在 [ 補救選項] 下拉式清單中,選取您要要求的選項。 這些選項包括軟體更新、軟體卸載,以及需要注意。
如果您想要在 Microsoft Intune 中建立補救要求的票證,請在 [工作管理工具] 下,勾選 [在已加入 AAD 的裝置 Intune (中開啟票證] 方塊) 。
挑選 補救到期日。
在 [ 優先順序] 下,選取 [高]、[中] 或 [低]。
在 [新增附注] 下,您可以新增任何其他資訊。 選取 [下一步]。
檢閱您所做的選取專案,然後選取 [ 提交]。 在最後一個頁面上,您可以選擇編輯選取專案,並將所有補救要求匯出至 .CSV 檔案。
注意事項
從 2024 年 12 月 3 日開始,預期新應用程式區塊原則所建立的檔案指標數目會減少。 若要減少您目前的指標使用量,請解除封鎖任何封鎖的應用程式,並建立新的封鎖原則。
根據可用的數據,封鎖動作會在具有防病毒軟體 Microsoft Defender 端點上生效。 適用於端點的 Microsoft Defender 會盡力封鎖適用的易受攻擊應用程式或版本執行。
如果在不同版本的應用程式上發現更多弱點,您會收到新的安全性建議,要求您更新應用程式,而且您也可以選擇封鎖此不同版本。
不支持封鎖時
如果您在要求補救時沒有看到風險降低選項,這是因為目前不支援封鎖應用程式的能力。 不包含風險降低動作的建議包括:
- Microsoft應用程式
- 與作系統相關的建議
- 與 macOS 和 Linux 應用程式相關的建議
- Microsoft沒有足夠的資訊或高信賴度來封鎖的應用程式
- Microsoft市集應用程式,無法封鎖,因為它們是由 Microsoft
如果您嘗試封鎖應用程式,但應用程式無法運作,您可能已達到最大指標容量。 如果是,您可以刪除舊指標 深入了解指標。
檢視補救活動
提交封鎖易受攻擊應用程式的要求之後,您可以遵循下列步驟來檢視補救活動:
流覽至 [端點弱點>管理>補救]。
在 [ 活動] 索引標籤中,您可以選擇依風險降低類型篩選結果。 選項為 [封鎖]、[ 警告]、[ 無] 和 [ 因應措施]。
選取相關的活動,以查看包含補救描述、風險降低描述和裝置補救狀態等詳細資料的飛出視窗窗格:
檢視封鎖的應用程式
若要檢視封鎖的應用程式清單,請遵循下列步驟:
流覽至 [端點弱點>管理>補救],然後選取 [ 封鎖的應用程式] 索引 標籤:
選取封鎖的應用程式以檢視飛出視窗,其中包含弱點數目、是否有可用的惡意探索、封鎖的版本,以及補救活動的詳細數據。
在 [ 指標] 頁面中選取 [檢視封鎖版本的詳細數據],這會帶您前往 [ 指標 ] 頁面,您可以在其中檢視檔案哈希和回應動作。
注意事項
如果您使用指標 API 搭配程式設計指標查詢作為工作流程的一部分,封鎖動作會產生更多結果。
若要解除封鎖應用程式,請選取 [ 解除封鎖軟體 ] 或 [ 開啟軟體] 頁面:
解除封鎖應用程式
選取封鎖的應用程式,以檢視在飛出視窗中 解除封鎖軟體 的選項。
解除封鎖應用程式之後,請重新整理頁面,以查看它已從清單中移除。 最多可能需要 3 小時,應用程式才會解除封鎖,並再次可供使用者存取。
用戶體驗遭封鎖的應用程式
當使用者嘗試存取封鎖的應用程式時,會收到一則訊息,通知他們應用程式是由其組織所處理。 此訊息是可自定義的。
針對已套用警告風險降低選項的應用程式,使用者會收到訊息,通知他們應用程式已遭到其組織封鎖。 用戶可以選擇 [允許],以略過該區塊以進行後續的啟動。 此允許動作只是暫時性的,而且應用程式會在一段時間后再次遭到封鎖。
注意事項
如果您的組織已部署 DisableLocalAdminMerge 組策略,您可能會遇到允許應用程式不會生效的實例。
使用者更新封鎖的應用程式
常見問題是「終端使用者如何更新封鎖的應用程式?」封鎖可執行檔會強制執行區塊。 某些應用程式,例如 Firefox,依賴個別的更新可執行檔,而此功能不會封鎖該可執行檔。 在其他情況下,當應用程式需要更新主要可執行檔時,建議您在警告模式中 (實作 區塊,讓終端使用者可以略過區塊) 或要求終端使用者刪除應用程式 (如果用戶端) 上沒有重要資訊,然後重新安裝它。