Anfällige Anwendungen blockieren
Gilt für:
- Microsoft Defender Sicherheitsrisikomanagement
- Microsoft Defender XDR
- Microsoft Defender für Server Plan 2
Hinweis
Um dieses Feature verwenden zu können, benötigen Sie microsoft Defender Vulnerability Management Standalone oder wenn Sie bereits Kunde von Microsoft Defender für Endpunkt Plan 2 sind, das Defender-Add-On für die Sicherheitsrisikoverwaltung.
Das Beheben von Sicherheitsrisiken nimmt Zeit in Anspruch und kann von den Zuständigkeiten und Ressourcen des IT-Teams abhängig sein. Sicherheitsadministratoren können das Risiko eines Sicherheitsrisikos vorübergehend verringern, indem sie sofortige Maßnahmen ergreifen, um alle derzeit bekannten anfälligen Versionen einer Anwendung zu blockieren, bis die Korrekturanforderung abgeschlossen ist. Die Blockierungsoption gibt IT-Teams Zeit, die Anwendung zu patchen, ohne dass Sicherheitsadministratoren befürchten, dass die Sicherheitsrisiken in der Zwischenzeit ausgenutzt werden.
Während sie die von einer Sicherheitsempfehlung vorgeschlagenen Korrekturschritte ausführen, können Sicherheitsadministratoren mit den richtigen Berechtigungen eine Entschärfungsaktion ausführen und anfällige Versionen einer Anwendung blockieren. File Indicators of Compromise (IOC)s werden für jede ausführbare Datei erstellt, die zu anfälligen Versionen dieser Anwendung gehören. Microsoft Defender Antivirus erzwingt dann Blöcke auf den Geräten, die sich im angegebenen Bereich befinden.
Tipp
Wussten Sie, dass Sie alle Features in Microsoft Defender Vulnerability Management kostenlos testen können? Erfahren Sie, wie Sie sich für eine kostenlose Testversion registrieren.
Blockieren oder Warnen der Entschärfungsaktion
Die Aktion "Blockieren" soll die Ausführung aller installierten anfälligen Versionen der Anwendung in Ihrer Organisation blockieren. Wenn beispielsweise eine aktive Zero-Day-Sicherheitslücke vorliegt, können Sie Ihre Benutzer daran hindern, die betroffene Software auszuführen, während Sie Umgehungsoptionen festlegen.
Die Warnungsaktion dient zum Senden einer Warnung an Ihre Benutzer, wenn sie anfällige Versionen der Anwendung öffnen. Benutzer können die Warnung umgehen und für nachfolgende Starts auf die Anwendung zugreifen.
Für beide Aktionen können Sie die Meldung anpassen, die den Benutzern angezeigt wird. Beispielsweise können Sie sie dazu ermutigen, die neueste Version zu installieren. Darüber hinaus können Sie eine benutzerdefinierte URL angeben, zu der benutzer navigieren, wenn sie die Benachrichtigung auswählen. Beachten Sie, dass der Benutzer den Text der Popupbenachrichtigung auswählen muss, um zur benutzerdefinierten URL zu navigieren. Dies kann verwendet werden, um zusätzliche Details zur Anwendungsverwaltung in Ihrer Organisation bereitzustellen.
Hinweis
Die Block- und Warnaktionen werden in der Regel innerhalb weniger Minuten erzwungen, können aber bis zu 3 Stunden dauern.
Mindestanforderungen
- Microsoft Defender Antivirus (aktiver Modus):Die Erkennung von Dateiausführungsereignissen und das Blockieren erfordert, dass Microsoft Defender Antivirus im aktiven Modus aktiviert ist. Standardmäßig können der passive Modus und EDR im Blockmodus nicht basierend auf der Dateiausführung erkennen und blockieren. Weitere Informationen finden Sie unter Bereitstellen von Microsoft Defender Antivirus.
- In der Cloud bereitgestellter Schutz (aktiviert):Weitere Informationen finden Sie unter Verwalten des cloudbasierten Schutzes.
- Datei zulassen oder blockieren (ein):Wechseln Sie zu Einstellungen>Endpunkte>Erweiterte Features>Datei zulassen oder blockieren. Weitere Informationen finden Sie unter Erweiterte Features.
Versionsanforderungen
- Die Antischadsoftware-Clientversion muss 4.18.1901.x oder höher sein.
- Die Engine-Version muss 1.1.16200.x oder höher sein.
- Unterstützt auf Windows 10-Geräten, Version 1809 oder höher, mit den neuesten Windows-Updates installiert.
- Unterstützt die Windows Server-Versionen 2022, 2019, 2016, 2012 R2 und 2008 R2 SP1.
Berechtigungen
- Wenn Sie die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) verwenden, muss Ihnen die Berechtigung Bedrohungs- und Sicherheitsrisikoverwaltung – Anwendungsverarbeitung zugewiesen sein.
- Wenn Sie RBAC nicht aktiviert haben, muss Ihnen eine der folgenden Microsoft Entra-Rollen zugewiesen sein: Sicherheitsadministrator oder Globaler Administrator. Weitere Informationen zu Berechtigungen finden Sie unter Grundlegende Berechtigungen.
Wichtig
Microsoft empfiehlt die Verwendung von Rollen mit den geringsten Berechtigungen. Die Verwendung von Konten mit niedrigeren Berechtigungen trägt zur Verbesserung der Sicherheit für Ihre Organisation bei. Globaler Administrator ist eine Rolle mit hohen Berechtigungen, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.
Blockieren anfälliger Anwendungen
Wechseln Sie im Microsoft Defender-Portal zuEmpfehlungen zur Verwaltung von Sicherheitsrisiken>.
Wählen Sie eine Sicherheitsempfehlung aus, um ein Flyout mit weiteren Informationen anzuzeigen.
Wählen Sie Wartung anfordern aus.
Wählen Sie aus, ob Sie die Korrektur und Entschärfung auf alle Gerätegruppen oder nur auf einige wenige Gerätegruppen anwenden möchten.
Wählen Sie die Korrekturoptionen auf der Seite Wartungsanforderung aus . Die Korrekturoptionen sind Softwareupdate, Softwaredeinstallation und Aufmerksamkeit erforderlich.
Wählen Sie ein Fälligkeitsdatum für die Wartung aus, und wählen Sie Weiter aus.
Wählen Sie unter Entschärfungsaktiondie Option Blockieren oder Warnen aus. Nachdem Sie eine Entschärfungsaktion übermittelt haben, wird sie sofort angewendet.
Überprüfen Sie die von Ihnen getroffenen Auswahlen, und senden Sie die Anforderung. Auf der letzten Seite können Sie direkt zur Wartungsseite wechseln, um den Fortschritt der Wartungsaktivitäten und die Liste der blockierten Anwendungen anzuzeigen.
Wichtig
Basierend auf den verfügbaren Daten wird die Blockierungsaktion auf Endpunkte in der Organisation wirksam, die Über Microsoft Defender Antivirus verfügen. Microsoft Defender für Endpunkt versucht, die Ausführung der entsprechenden anfälligen Anwendung oder Version zu blockieren.
Wenn zusätzliche Sicherheitsrisiken für eine andere Version einer Anwendung gefunden werden, erhalten Sie eine neue Sicherheitsempfehlung, in der Sie aufgefordert werden, die Anwendung zu aktualisieren, und Sie können auch diese andere Version blockieren.
Wenn blockieren nicht unterstützt wird
Wenn die Lösungsoption beim Anfordern einer Korrektur nicht angezeigt wird, liegt dies daran, dass die Möglichkeit, die Anwendung zu blockieren, derzeit nicht unterstützt wird. Empfehlungen, die keine Entschärfungsaktionen enthalten:
- Microsoft-Anwendungen
- Empfehlungen im Zusammenhang mit Betriebssystemen
- Empfehlungen im Zusammenhang mit Apps für macOS und Linux
- Apps, bei denen Microsoft nicht über ausreichende Informationen oder eine hohe Zuverlässigkeit zum Blockieren verfügt
- Microsoft Store-Apps, die nicht blockiert werden können, da sie von Microsoft signiert sind
Wenn Sie versuchen, eine Anwendung zu blockieren, die nicht funktioniert, haben Sie möglicherweise die maximale Indikatorkapazität erreicht. Wenn ja, können Sie alte Indikatoren löschen Weitere Informationen zu Indikatoren.
Anzeigen von Wartungsaktivitäten
Nachdem Sie die Anforderung übermittelt haben, wechseln Sie zu Aktivitäten zurBehebung> von Sicherheitsrisiken,>um die neu erstellte Wartungsaktivität anzuzeigen.
Filter nach Entschärfungstyp: Blockieren und/oder Warnen, um alle Aktivitäten im Zusammenhang mit Block- oder Warnaktionen anzuzeigen.
Dies ist ein Aktivitätsprotokoll und nicht der aktuelle Blockstatus der Anwendung. Wählen Sie die relevante Aktivität aus, um einen Flyoutbereich mit Details anzuzeigen, einschließlich der Beschreibung der Korrektur, der Beschreibung der Entschärfung und des Gerätewartungsstatus:
Anzeigen blockierter Anwendungen
Die Liste der blockierten Anwendungen finden Sie auf der Registerkarte Wartung>blockierter Anwendungen :
Wählen Sie eine blockierte Anwendung aus, um ein Flyout mit Details zur Anzahl von Sicherheitsrisiken, ob Exploits verfügbar sind, blockierten Versionen und Wartungsaktivitäten anzuzeigen.
Die Option Details zu blockierten Versionen auf der Seite Indikator anzeigen bringt Siezur SeiteEinstellungen>Endpunktindikatoren>, auf der Sie die Dateihashes und Antwortaktionen anzeigen können.
Hinweis
Wenn Sie die Indikatoren-API mit programmgesteuerten Indikatorabfragen als Teil Ihrer Workflows verwenden, beachten Sie, dass die Blockaktion zusätzliche Ergebnisse liefert.
Derzeit können einige Erkennungen im Zusammenhang mit Warnungsrichtlinien als aktive Schadsoftware in Microsoft Defender XDR und/oder Microsoft Intune angezeigt werden. Dieses Verhalten wird in einer zukünftigen Version behoben.
Sie können auch die Software entsperren oder die Seite Software öffnen:
Aufheben der Blockierung von Anwendungen
Wählen Sie eine blockierte Anwendung aus, um die Option Softwareblockierung aufheben im Flyout anzuzeigen.
Nachdem Sie die Blockierung einer Anwendung aufgehoben haben, aktualisieren Sie die Seite, damit sie aus der Liste entfernt wurde. Es kann bis zu 3 Stunden dauern, bis die Blockierung einer Anwendung aufgehoben und für Ihre Benutzer wieder zugänglich ist.
Benutzerfreundlichkeit für blockierte Anwendungen
Wenn Benutzer versuchen, auf eine blockierte Anwendung zuzugreifen, erhalten sie eine Meldung, die sie darüber informiert, dass die Anwendung von ihrer Organisation stammt. Diese Nachricht kann angepasst werden.
Für Anwendungen, bei denen die Option Warn mitigation angewendet wurde, erhalten Benutzer eine Meldung, die sie darüber informiert, dass die Anwendung von ihrer Organisation blockiert wurde. Der Benutzer hat die Möglichkeit, den Block für nachfolgende Starts zu umgehen, indem er "Zulassen" auswählt. Diese Zulassung ist nur temporär, und die Anwendung wird nach einer Weile wieder blockiert.
Hinweis
Wenn Ihre Organisation die Gruppenrichtlinie DisableLocalAdminMerge bereitgestellt hat, treten möglicherweise Instanzen auf, in denen das Zulassen einer Anwendung nicht wirksam wird. Dieses Verhalten wird in einer zukünftigen Version behoben.
Endbenutzer aktualisieren blockierte Anwendungen
Eine häufig gestellte Frage ist, wie ein Endbenutzer eine blockierte Anwendung aktualisiert? Der -Block wird erzwungen, indem die ausführbare Datei blockiert wird. Einige Anwendungen, z. B. Firefox, basieren auf einer separaten ausführbaren Updatedatei, die von diesem Feature nicht blockiert wird. In anderen Fällen, in denen die Anwendung die Hauptdatei der ausführbaren Datei aktualisieren muss, wird empfohlen, entweder den Block im Warnmodus zu implementieren (damit der Endbenutzer den Block umgehen kann) oder der Endbenutzer kann die Anwendung löschen (wenn keine wichtigen Informationen auf dem Client gespeichert sind) und die Anwendung neu installieren.