حظر التطبيقات الضعيفة باستخدام إدارة الثغرات الأمنية في Microsoft Defender

ينطبق على:

• إدارة الثغرات الأمنية في Microsoft Defender
• Microsoft Defender XDR
• Microsoft Defender للخوادم الخطة 2

ملاحظة

لاستخدام هذه الميزة، ستحتاج إدارة الثغرات الأمنية في Microsoft Defender مستقل أو إذا كنت بالفعل عميلا Microsoft Defender لنقطة النهاية الخطة 2، إدارة الثغرات الأمنية في Defender الوظيفة الإضافية.

تستغرق معالجة الثغرات الأمنية وقتا ويمكن أن تعتمد على مسؤوليات وموارد فريق تكنولوجيا المعلومات. يمكن لمسؤولي الأمان تقليل مخاطر الثغرة الأمنية مؤقتا عن طريق اتخاذ إجراء فوري لحظر جميع الإصدارات الضعيفة المعروفة حاليا من التطبيق حتى يكتمل طلب المعالجة. يمنح خيار الحظر فرق تكنولوجيا المعلومات الخاصة بك الوقت لتصحيح تطبيق دون القلق من مسؤولي الأمان بشأن الثغرات الأمنية.

أثناء اتخاذ خطوات المعالجة المقترحة من قبل توصية أمان، يمكن لمسؤولي الأمان تنفيذ إجراء التخفيف وحظر الإصدارات الضعيفة من التطبيق. يتم إنشاء مؤشرات الملفات للاختراق (IOC) لكل ملف من الملفات القابلة للتنفيذ التي تنتمي إلى إصدارات ضعيفة من هذا التطبيق. ثم يفرض برنامج الحماية من الفيروسات Microsoft Defender الكتل على الأجهزة الموجودة في النطاق المحدد.

حظر إجراء التخفيف من المخاطر أو تحذيره

يهدف إجراء الحظر إلى حظر تشغيل جميع الإصدارات المعرضة للخطر المثبتة للتطبيق في مؤسستك. على سبيل المثال، إذا كانت هناك ثغرة أمنية نشطة في اليوم الصفري، يمكنك منع المستخدمين من تشغيل البرنامج المتأثر أثناء تحديد خيارات الحل البديل.

يهدف إجراء التحذير إلى إرسال تحذير إلى المستخدمين عند فتح إصدارات ضعيفة من التطبيق. يمكن للمستخدمين اختيار تجاوز التحذير والوصول إلى التطبيق للاطلاقات اللاحقة.

لكلا الإجراءين، يمكنك تخصيص الرسالة التي يراها المستخدمون. على سبيل المثال، يمكنك تشجيعهم على تثبيت أحدث إصدار. بالإضافة إلى ذلك، يمكنك توفير عنوان URL مخصص ينتقل إليه المستخدمون عند تحديد الإعلام. يجب على المستخدم تحديد نص الإعلام المنبثق للانتقال إلى عنوان URL المخصص. يمكن استخدام الإعلام لتوفير مزيد من التفاصيل الخاصة بإدارة التطبيق في مؤسستك.

ملاحظة

عادة ما يتم فرض إجراءات الحظر والتحذير في غضون بضع دقائق، ولكن يمكن أن تستغرق ما يصل إلى ثلاث ساعات.

الحد الأدنى للمتطلبات

• Microsoft Defender مكافحة الفيروسات (الوضع النشط): يتطلب الكشف عن أحداث تنفيذ الملفات والحظر تمكين برنامج الحماية من الفيروسات Microsoft Defender في الوضع النشط. حسب التصميم، لا يمكن للوضع السلبي وEDR في وضع الحظر اكتشافها وحظرها استنادا إلى تنفيذ الملف. لمعرفة المزيد، راجع توزيع برنامج الحماية من الفيروسات Microsoft Defender.
• الحماية المقدمة من السحابة (ممكنة): لمزيد من المعلومات، راجع إدارة الحماية المستندة إلى السحابة.
• السماح أو حظر الملف (تشغيل): انتقل إلى الإعدادات>>نقاط النهايةالميزات> المتقدمةالسماح أو حظر الملف. لمعرفة المزيد، راجع الميزات المتقدمة.

متطلبات الإصدار

• يجب أن يكون 4.18.1901.x إصدار عميل مكافحة البرامج الضارة أو أحدث.
• يجب أن يكون 1.1.16200.x إصدار المحرك أو أحدث.
• يجب تشغيل أجهزة عميل Windows Windows 11 أو الإصدار 1809 من Windows 10 أو أحدث، مع تثبيت آخر تحديثات windows.
• يجب تشغيل الخوادم Windows Server 2022 و2019 و2016 و2012 R2 و2008 R2 SP1. يتم طرح دعم Windows Server 2025، بدءا من فبراير 2025 وعلى مدار الأسابيع القليلة القادمة.

كيفية حظر التطبيقات المعرضة للخطر

1. سجل الدخول إلى مدخل Microsoft Defender، ثم انتقل إلىتوصيات إدارة >نقاط> النهايةالثغرات الأمنية.

2. حدد توصية أمان لمشاهدة قائمة منبثقة مع مزيد من المعلومات.

3. حدد معالجة الطلب.

4. املأ النموذج. في القائمة المنسدلة خيارات المعالجة ، حدد أي من الخيارات التي تريد طلبها. الخيارات هي تحديث البرامج، وإلغاء تثبيت البرامج، والاهتمام المطلوب.

5. ضمن أدوات إدارة المهام، حدد مربع فتح تذكرة في Intune (للأجهزة المرتبطة ب AAD) إذا كنت تريد إنشاء تذكرة في Microsoft Intune لطلب المعالجة.

6. اختر تاريخ استحقاق المعالجة.

7. ضمن الأولوية، حدد مرتفع أو متوسط أو منخفض.

8. ضمن إضافة ملاحظات، يمكنك إضافة أي معلومات إضافية. حدد التالي.

9. راجع التحديدات التي أجريتها ثم حدد إرسال. في الصفحة الأخيرة، يمكنك اختيار تحرير التحديدات وتصدير جميع طلبات المعالجة إلى ملف .CSV.

ملاحظة

بدءا من 3 ديسمبر 2024، تتوقع أن ترى انخفاضا في عدد مؤشرات الملفات التي تم إنشاؤها بواسطة نهج حظر التطبيقات الجديدة. لتقليل استخدام المؤشر الحالي، قم بإلغاء حظر أي تطبيقات محظورة، وأنشئ نهج حظر جديدة.

استنادا إلى البيانات المتوفرة، تسري إجراءات الحظر على نقاط النهاية التي تحتوي على Microsoft Defender Antivirus. Microsoft Defender لنقطة النهاية بذل أفضل محاولة لمنع تشغيل التطبيقات أو الإصدارات الضعيفة القابلة للتطبيق.

إذا تم العثور على المزيد من الثغرات الأمنية في إصدار مختلف من أحد التطبيقات، فستحصل على توصية أمان جديدة تطلب منك تحديث التطبيق، ويمكنك أيضا اختيار حظر هذا الإصدار المختلف.

عندما لا يكون الحظر مدعوما

إذا كنت لا ترى خيار التخفيف أثناء طلب معالجة، فهذا لأن القدرة على حظر التطبيق غير مدعومة حاليا. تتضمن التوصيات التي لا تتضمن إجراءات التخفيف ما يلي:

• تطبيقات Microsoft
• التوصيات المتعلقة بأنظمة التشغيل
• التوصيات المتعلقة بتطبيقات macOS وLinux
• التطبيقات التي لا تحتوي فيها Microsoft على معلومات كافية أو ثقة عالية لحظرها
• تطبيقات Microsoft Store، التي لا يمكن حظرها لأنها موقعة من قبل Microsoft

إذا حاولت حظر تطبيق ولم يعمل، فربما تكون قد وصلت إلى الحد الأقصى لسعة المؤشر. إذا كان الأمر كذلك، يمكنك حذف المؤشرات القديمة معرفة المزيد حول المؤشرات.

عرض أنشطة المعالجة

بعد إرسال طلب لحظر التطبيقات المعرضة للخطر، يمكنك عرض أنشطة المعالجة باتباع الخطوات التالية:

1. انتقل إلىمعالجة إدارة >نقاط> النهايةللثغرات الأمنية.

2. في علامة التبويب الأنشطة ، يمكنك اختيار تصفية النتائج حسب نوع التخفيف. الخيارات هي Block و Warn و None و الحل البديل.

3. حدد النشاط ذي الصلة لمشاهدة جزء منبثقة مع تفاصيل بما في ذلك وصف المعالجة ووصف التخفيف وحالة معالجة الجهاز:

   

عرض التطبيقات المحظورة

لعرض قائمة بالتطبيقات المحظورة، اتبع الخطوات التالية:

1. انتقل إلىمعالجة إدارة >نقاط> النهايةللثغرات الأمنية، ثم حدد علامة التبويب التطبيقات المحظورة:

   

2. حدد تطبيقا محظورا لعرض قائمة منبثقة مع تفاصيل حول عدد الثغرات الأمنية، وما إذا كانت عمليات الاستغلال متاحة، والإصدارات المحظورة، وأنشطة المعالجة.

3. حدد عرض تفاصيل الإصدارات المحظورة في صفحة المؤشر، والتي تنقلك إلى صفحة المؤشرات ، حيث يمكنك عرض تجزئات الملف وإجراءات الاستجابة.

   ملاحظة

   إذا كنت تستخدم واجهة برمجة تطبيقات المؤشرات مع استعلامات المؤشرات البرمجية كجزء من مهام سير العمل، فإن إجراء الكتلة ينتج عنه المزيد من النتائج.

4. لإلغاء حظر تطبيق، حدد إلغاء حظر البرامج أو صفحة فتح البرامج:

   

إلغاء حظر التطبيقات

حدد تطبيقا محظورا لعرض خيار إلغاء حظر البرامج في القائمة المنبثقة.

بعد إلغاء حظر أحد التطبيقات، قم بتحديث الصفحة لمشاهدتها مزالة من القائمة. قد يستغرق الأمر ما يصل إلى 3 ساعات حتى يتم إلغاء حظر التطبيق ويصبح متاحا للمستخدمين مرة أخرى.

تجربة المستخدمين للتطبيقات المحظورة

عندما يحاول المستخدمون الوصول إلى تطبيق محظور، يتلقون رسالة تخبرهم بأن التطبيق تم حظره من قبل مؤسستهم. هذه الرسالة قابلة للتخصيص.

بالنسبة للتطبيقات التي تم فيها تطبيق خيار التخفيف من التحذير، يتلقى المستخدمون رسالة تخبرهم بأن التطبيق تم حظره من قبل مؤسستهم. يمكن للمستخدم تجاوز كتلة عمليات التشغيل اللاحقة، عن طريق اختيار "السماح". إجراء السماح هذا مؤقت فقط، ويتم حظر التطبيق مرة أخرى بعد فترة من الوقت.

ملاحظة

إذا قامت DisableLocalAdminMerge مؤسستك بنشر نهج المجموعة، فقد تواجه مثيلات لا يسري فيها السماح بالتطبيق.

تحديث المستخدم النهائي للتطبيقات المحظورة

السؤال الشائع هو: "كيف يقوم المستخدم النهائي بتحديث تطبيق محظور؟" يتم فرض الكتلة عن طريق حظر الملف القابل للتنفيذ. تعتمد بعض التطبيقات، مثل Firefox، على تحديث منفصل قابل للتنفيذ، والذي لا تحظره هذه الميزة. في حالات أخرى، عندما يتطلب التطبيق تحديث الملف الرئيسي القابل للتنفيذ، يوصى إما بتنفيذ الكتلة في وضع التحذير (بحيث يمكن للمستخدم النهائي تجاوز الكتلة) أو مطالبة المستخدم النهائي بحذف التطبيق (إذا لم يتم تخزين أي معلومات حيوية على العميل) ثم إعادة تثبيته.

المقالات ذات الصلة

• نقاط الضعف في المؤسسة