Anfällige Anwendungen blockieren

  • Artikel

Gilt für:

Hinweis

Um dieses Feature verwenden zu können, benötigen Sie Microsoft Defender Vulnerability Management Eigenständig oder, wenn Sie bereits ein Microsoft Defender for Endpoint Plan 2-Kunde sind, das Defender-Add-On für die Sicherheitsrisikoverwaltung.

Das Beheben von Sicherheitsrisiken nimmt Zeit in Anspruch und kann von den Zuständigkeiten und Ressourcen des IT-Teams abhängig sein. Sicherheitsadministratoren können das Risiko eines Sicherheitsrisikos vorübergehend verringern, indem sie sofortige Maßnahmen ergreifen, um alle derzeit bekannten anfälligen Versionen einer Anwendung zu blockieren, bis die Korrekturanforderung abgeschlossen ist. Die Blockierungsoption gibt IT-Teams Zeit, die Anwendung zu patchen, ohne dass Sicherheitsadministratoren befürchten, dass die Sicherheitsrisiken in der Zwischenzeit ausgenutzt werden.

Während sie die von einer Sicherheitsempfehlung vorgeschlagenen Korrekturschritte ausführen, können Sicherheitsadministratoren mit den richtigen Berechtigungen eine Entschärfungsaktion ausführen und anfällige Versionen einer Anwendung blockieren. File Indicators of Compromise (IOC)s werden für jede ausführbare Datei erstellt, die zu anfälligen Versionen dieser Anwendung gehören. Microsoft Defender Antivirus erzwingt dann Blöcke auf den Geräten, die sich im angegebenen Bereich befinden.

Tipp

Wussten Sie, dass Sie alle Features in Microsoft Defender Vulnerability Management kostenlos testen können? Erfahren Sie, wie Sie sich für eine kostenlose Testversion registrieren.

Blockieren oder Warnen der Entschärfungsaktion

Die Blockaktion soll verhindern, dass alle installierten anfälligen Versionen der Anwendung in Ihrem organization ausgeführt werden. Wenn beispielsweise eine aktive Zero-Day-Sicherheitslücke vorliegt, können Sie Ihre Benutzer daran hindern, die betroffene Software auszuführen, während Sie Umgehungsoptionen festlegen.

Die Warnungsaktion dient zum Senden einer Warnung an Ihre Benutzer, wenn sie anfällige Versionen der Anwendung öffnen. Benutzer können die Warnung umgehen und für nachfolgende Starts auf die Anwendung zugreifen.

Für beide Aktionen können Sie die Meldung anpassen, die den Benutzern angezeigt wird. Beispielsweise können Sie sie dazu ermutigen, die neueste Version zu installieren. Darüber hinaus können Sie eine benutzerdefinierte URL angeben, zu der benutzer navigieren, wenn sie die Benachrichtigung auswählen. Beachten Sie, dass der Benutzer den Text der Popupbenachrichtigung auswählen muss, um zur benutzerdefinierten URL zu navigieren. Dies kann verwendet werden, um zusätzliche Details zur Anwendungsverwaltung in Ihrem organization bereitzustellen.

Hinweis

Die Block- und Warnaktionen werden in der Regel innerhalb weniger Minuten erzwungen, können aber bis zu 3 Stunden dauern.

Mindestanforderungen

  • Microsoft Defender Antivirus (aktiver Modus):Für die Erkennung von Dateiausführungsereignissen und das Blockieren muss Microsoft Defender Antivirus im aktiven Modus aktiviert sein. Standardmäßig können der passive Modus und EDR im Blockmodus nicht basierend auf der Dateiausführung erkennen und blockieren. Weitere Informationen finden Sie unter Bereitstellen Microsoft Defender Antivirus.
  • In der Cloud bereitgestellter Schutz (aktiviert):Weitere Informationen finden Sie unter Verwalten des cloudbasierten Schutzes.
  • Datei zulassen oder blockieren (ein):Wechseln Sie zu Einstellungen>Endpunkte>Erweiterte Features>Datei zulassen oder blockieren. Weitere Informationen finden Sie unter Erweiterte Features.

Versionsanforderungen

  • Die Antischadsoftware-Clientversion muss 4.18.1901.x oder höher sein.
  • Die Engine-Version muss 1.1.16200.x oder höher sein.
  • Wird auf Windows 10 Geräten, Version 1809 oder höher, unterstützt, wobei die neuesten Windows-Updates installiert sind.

Berechtigungen

Blockieren anfälliger Anwendungen

  1. Wechseln Sie im Microsoft Defender-Portal zuEmpfehlungen für die Sicherheitsrisikomanagement>.

  2. Wählen Sie eine Sicherheitsempfehlung aus, um ein Flyout mit weiteren Informationen anzuzeigen.

  3. Wählen Sie Wartung anfordern aus.

  4. Wählen Sie aus, ob Sie die Korrektur und Entschärfung auf alle Gerätegruppen oder nur auf einige wenige Gerätegruppen anwenden möchten.

  5. Wählen Sie die Korrekturoptionen auf der Seite Wartungsanforderung aus . Die Korrekturoptionen sind Softwareupdate, Softwaredeinstallation und Aufmerksamkeit erforderlich.

  6. Wählen Sie ein Fälligkeitsdatum für die Wartung aus, und wählen Sie Weiter aus.

  7. Wählen Sie unter Entschärfungsaktiondie Option Blockieren oder Warnen aus. Nachdem Sie eine Entschärfungsaktion übermittelt haben, wird sie sofort angewendet.

    Entschärfungsaktion

  8. Überprüfen Sie die von Ihnen getroffenen Auswahlen, und senden Sie die Anforderung. Auf der letzten Seite können Sie direkt zur Wartungsseite wechseln, um den Fortschritt der Wartungsaktivitäten und die Liste der blockierten Anwendungen anzuzeigen.

Wichtig

Basierend auf den verfügbaren Daten wird die Blockierungsaktion auf Endpunkten im organization wirksam, die über Microsoft Defender Antivirus verfügen. Microsoft Defender for Endpoint versuchen, die Ausführung der entsprechenden anfälligen Anwendung oder Version zu blockieren.

Wenn zusätzliche Sicherheitsrisiken für eine andere Version einer Anwendung gefunden werden, erhalten Sie eine neue Sicherheitsempfehlung, in der Sie aufgefordert werden, die Anwendung zu aktualisieren, und Sie können auch diese andere Version blockieren.

Wenn blockieren nicht unterstützt wird

Wenn die Lösungsoption beim Anfordern einer Korrektur nicht angezeigt wird, liegt dies daran, dass die Möglichkeit, die Anwendung zu blockieren, derzeit nicht unterstützt wird. Empfehlungen, die keine Entschärfungsaktionen enthalten:

  • Microsoft-Anwendungen
  • Empfehlungen im Zusammenhang mit Betriebssystemen
  • Empfehlungen im Zusammenhang mit Apps für macOS und Linux
  • Apps, bei denen Microsoft nicht über ausreichende Informationen oder eine hohe Zuverlässigkeit zum Blockieren verfügt
  • Microsoft Store-Apps, die nicht blockiert werden können, da sie von Microsoft signiert sind

Wenn Sie versuchen, eine Anwendung zu blockieren, die nicht funktioniert, haben Sie möglicherweise die maximale Indikatorkapazität erreicht. Wenn ja, können Sie alte Indikatoren löschen Weitere Informationen zu Indikatoren.

Anzeigen von Wartungsaktivitäten

Nachdem Sie die Anforderung übermittelt haben, wechseln Sie zu Aktivitäten zurBehebung> von Sicherheitsrisiken,>um die neu erstellte Wartungsaktivität anzuzeigen.

Filter nach Entschärfungstyp: Blockieren und/oder Warnen, um alle Aktivitäten im Zusammenhang mit Block- oder Warnaktionen anzuzeigen.

Dies ist ein Aktivitätsprotokoll und nicht der aktuelle Block status der Anwendung. Wählen Sie die relevante Aktivität aus, um einen Flyoutbereich mit Details anzuzeigen, einschließlich der Beschreibung der Korrektur, der Beschreibung der Risikominderung und der status:

Details zur Behebung und Entschärfung

Anzeigen blockierter Anwendungen

Die Liste der blockierten Anwendungen finden Sie auf der Registerkarte Wartung>blockierter Anwendungen :

Blockierte Anwendung

Wählen Sie eine blockierte Anwendung aus, um ein Flyout mit Details zur Anzahl von Sicherheitsrisiken, ob Exploits verfügbar sind, blockierten Versionen und Wartungsaktivitäten anzuzeigen.

Die Option Details zu blockierten Versionen auf der Seite Indikator anzeigen bringt Siezur SeiteEinstellungen>Endpunktindikatoren>, auf der Sie die Dateihashes und Antwortaktionen anzeigen können.

Hinweis

Wenn Sie die Indikatoren-API mit programmgesteuerten Indikatorabfragen als Teil Ihrer Workflows verwenden, beachten Sie, dass die Blockaktion zusätzliche Ergebnisse liefert.

Derzeit können einige Erkennungen im Zusammenhang mit Warnungsrichtlinien als aktive Schadsoftware in Microsoft Defender XDR und/oder Microsoft Intune angezeigt werden. Dieses Verhalten wird in einer zukünftigen Version behoben.

Sie können auch die Software entsperren oder die Seite Software öffnen:

Details zu blockierten Anwendungen

Aufheben der Blockierung von Anwendungen

Wählen Sie eine blockierte Anwendung aus, um die Option Softwareblockierung aufheben im Flyout anzuzeigen.

Nachdem Sie die Blockierung einer Anwendung aufgehoben haben, aktualisieren Sie die Seite, damit sie aus der Liste entfernt wurde. Es kann bis zu 3 Stunden dauern, bis die Blockierung einer Anwendung aufgehoben und für Ihre Benutzer wieder zugänglich ist.

Benutzerfreundlichkeit für blockierte Anwendungen

Wenn Benutzer versuchen, auf eine blockierte Anwendung zuzugreifen, erhalten sie eine Meldung, die sie darüber informiert, dass die Anwendung von ihrem organization wurde. Diese Nachricht kann angepasst werden.

Bei Anwendungen, bei denen die Option "Warn Mitigation" angewendet wurde, erhalten Benutzer eine Meldung, die sie darüber informiert, dass die Anwendung durch ihre organization blockiert wurde. Der Benutzer hat die Möglichkeit, den Block für nachfolgende Starts zu umgehen, indem er "Zulassen" auswählt. Diese Zulassung ist nur temporär, und die Anwendung wird nach einer Weile wieder blockiert.

Hinweis

Wenn Ihr organization die Gruppenrichtlinie DisableLocalAdminMerge bereitgestellt hat, treten möglicherweise Instanzen auf, in denen das Zulassen einer Anwendung nicht wirksam wird. Dieses Verhalten wird in einer zukünftigen Version behoben.

Endbenutzer aktualisieren blockierte Anwendungen

Eine häufig gestellte Frage ist, wie ein Endbenutzer eine blockierte Anwendung aktualisiert? Der -Block wird erzwungen, indem die ausführbare Datei blockiert wird. Einige Anwendungen, z. B. Firefox, basieren auf einer separaten ausführbaren Updatedatei, die von diesem Feature nicht blockiert wird. In anderen Fällen, in denen die Anwendung die Standard ausführbare Datei zum Aktualisieren benötigt, wird empfohlen, entweder den Block im Warnmodus zu implementieren (damit der Endbenutzer den Block umgehen kann) oder der Endbenutzer kann die Anwendung löschen (wenn keine wichtigen Informationen auf dem Client gespeichert sind) und die Anwendung neu installieren.