Estä haavoittuvat sovellukset
Koskee seuraavia:
- Microsoft Defenderin haavoittuvuuksien hallinta
- Microsoft Defender XDR
- Microsoft Defender for Servers -palvelupaketti 2
Huomautus
Jos haluat käyttää tätä ominaisuutta, tarvitset Microsoft Defenderin haavoittuvuuden hallinnan erillisenä tai jos olet jo Microsoft Defender for Endpoint Plan 2 -asiakas, Defenderin haavoittuvuuden hallinta -lisäosa.
Haavoittuvuuksien korjaaminen vie aikaa, ja ne voivat olla riippuvaisia IT-tiimin vastuista ja resursseista. Suojauksen järjestelmänvalvojat voivat tilapäisesti vähentää haavoittuvuuden riskiä toiminnalla, joka estää kaikki sovelluksen tällä hetkellä tunnetut haavoittuvassa asemassa olevat versiot, kunnes korjauspyyntö on valmis. Block-vaihtoehto antaa IT-tiimeille aikaa paikata sovellus ilman suojauksen järjestelmänvalvojia, jotka ovat huolissaan siitä, että haavoittuvuuksia hyödynnetään sillä välin.
Suojaussuosituksen ehdottamien korjausvaiheiden suorittamisen aikana asianmukaisia käyttöoikeuksia saavat suojauksen järjestelmänvalvojat voivat suorittaa lievennystoiminnon ja estää sovelluksen haavoittuvassa asemassa olevat versiot. Kompromissien (IOC) tiedostoilmaisimet luodaan kullekin suoritettavalle tiedostolle, joka kuuluu kyseisen sovelluksen haavoittuvaan versioon. Microsoft Defenderin virustentorjunta pakottaa sitten estot laitteissa, jotka ovat määritetyssä laajuudessa.
Vihje
Tiesitkö, että voit kokeilla kaikkia Microsoft Defenderin haavoittuvuuden hallinnan ominaisuuksia ilmaiseksi? Katso, miten voit rekisteröityä ilmaiseen kokeiluversioon.
Estä tai varoita lievennystoiminto
Estotoiminnon tarkoituksena on estää kaikkia organisaatiosi sovelluksen asennettuja haavoittuvassa asemassa olevia versioita suorittamasta. Jos esimerkiksi kyseessä on aktiivinen nollapäivän haavoittuvuus, voit estää käyttäjiä suorittamasta ohjelmistoa, jota ongelma koskee, samalla kun määrität kiertoasetuksia.
Varoitustoiminnon tarkoituksena on lähettää käyttäjille varoitus, kun he avaavat haavoittuvassa asemassa olevia versioita sovelluksesta. Käyttäjät voivat ohittaa varoituksen ja käyttää sovellusta myöhempää käynnistystä varten.
Kummassakin toiminnossa voit mukauttaa käyttäjien näkemää viestiä. Voit esimerkiksi kannustaa heitä asentamaan uusimman version. Lisäksi voit antaa mukautetun URL-osoitteen, johon käyttäjät voivat siirtyä, kun he valitsevat ilmoituksen. Huomaa, että käyttäjän on valittava ilmoitusruutu, jotta hän voi siirtyä mukautettuun URL-osoitteeseen. Tämän avulla voidaan antaa lisätietoja organisaation sovellusten hallinnasta.
Huomautus
Esto- ja varoitustoiminnot pakotetaan yleensä muutaman minuutin kuluessa, mutta ne voivat kestää jopa 3 tuntia.
Vähimmäisvaatimukset
- Microsoft Defenderin virustentorjunta (aktiivinen tila): Tiedoston suoritustapahtumien ja estämisen havaitseminen edellyttää, että Microsoft Defenderin virustentorjunta on otettu käyttöön aktiivisessa tilassa. Oletusarvon mukaan passiivitila ja estotilassa oleva EDR-tila eivät tunnista ja estä tiedoston suorittamisen perusteella. Lisätietoja on artikkelissa Microsoft Defenderin virustentorjunnan käyttöönotto.
- Pilvipalveluun toimitettu suojaus (käytössä): Lisätietoja on kohdassa Pilvipohjaisen suojauksen hallinta.
- Salli tai estä tiedosto (käytössä): Siirry kohtaan Asetukset>PäätepisteetLisäominaisuudet>>Salli tai estä tiedosto. Lisätietoja on artikkelissa Lisäominaisuudet.
Versiovaatimukset
- Haittaohjelmien torjunta-asiakasversion on oltava 4.18.1901.x tai uudempi.
- Moduuliversion on oltava 1.1.16200.x tai uudempi.
- Tuetaan Windows 10 -laitteissa, versiossa 1809 tai uudemmissa, ja uusimmat Windows-päivitykset on asennettu.
- Tukee Windows Serverin versioita 2022, 2019, 2016, 2012 R2 ja 2008 R2 SP1.
Käyttöoikeudet
- Jos käytät roolipohjaista käytönvalvontaa (RBAC), sinulla on oltava Uhkien ja haavoittuvuuden hallinta – Sovelluksen käsittelyoikeus määritettynä.
- Jos et ole ottanut RBAC:tä käyttöön, sinulla on oltava jokin seuraavista Microsoft Entra -rooleista määritettynä: suojauksen järjestelmänvalvoja tai yleinen järjestelmänvalvoja. Lisätietoja käyttöoikeuksista on artikkelissa Peruskäyttöoikeudet.
Tärkeää
Microsoft suosittelee, että käytät rooleja, joilla on vähiten käyttöoikeuksia. Alemman käyttöoikeuden auttaminen parantaa organisaatiosi suojausta. Yleinen järjestelmänvalvoja on hyvin etuoikeutettu rooli, joka tulisi rajata hätätilanteisiin, joissa et voi käyttää olemassa olevaa roolia.
Haavoittuvassa asemassa olevien sovellusten estäminen
Siirry Microsoft Defender -portaalinhaavoittuvuuksienhallintasuosituksiin>.
Valitse suojaussuositus, jos haluat nähdä pikaikkunan, jossa on lisätietoja.
Valitse Pyynnön korjaus.
Valitse, haluatko ottaa korjauksen ja lievennyksen käyttöön kaikissa laiteryhmissä vai vain muutamissa.
Valitse korjausasetukset korjauspyyntösivulta . Korjausvaihtoehdot ovat ohjelmistopäivitys, ohjelmiston asennuksen poistaminen ja tarvitaan toimenpiteitä.
Valitse korjauksen määräpäivä ja valitse Seuraava.
Valitse Lievennys-toiminnostaEstä tai varoita. Kun olet lähettänyt lievennystoiminnon, se otetaan heti käyttöön.
Tarkista tekemäsi valinnat ja Lähetä pyyntö. Viimeisellä sivulla voit siirtyä suoraan korjaussivulle, jossa voit tarkastella korjaustoimintojen edistymistä ja tarkastella estettyjen sovellusten luetteloa.
Tärkeää
Käytettävissä olevien tietojen perusteella estotoiminto tulee voimaan sen organisaation päätepisteissä, joissa on Microsoft Defenderin virustentorjunta. Microsoft Defender for Endpoint pyrkii parhaalla mahdollisella yrityksellä estämään käytettävissä olevan haavoittuvassa asemassa olevan sovelluksen tai version suorittamisen.
Jos sovelluksen eri versiossa on muita heikkouksia, saat uuden suojaussuosituksen, jossa sinua pyydetään päivittämään sovellus, ja voit myös estää tämän eri version.
Kun estämistä ei tueta
Jos et näe lievennysvaihtoehtoa korjausta pyydettäessä, se johtuu siitä, että sovelluksen estämistoimintoa ei tällä hetkellä tueta. Suosituksia, jotka eivät sisällä lievennystoimia, ovat seuraavat:
- Microsoft-sovellukset
- Käyttöjärjestelmiin liittyvät suositukset
- MacOS- ja Linux-sovelluksiin liittyvät suositukset
- Sovellukset, joissa Microsoftilla ei ole riittävästi tietoja tai joiden estäminen on erittäin luotettavaa
- Microsoft Store -sovelluksia, joita ei voida estää, koska Microsoft on allekirjoittanut ne
Jos yrität estää sovelluksen, eikä se toimi, olet ehkä saavuttanut ilmaisimen enimmäiskapasiteetin. Jos on, voit poistaa vanhoja ilmaisimia Lisätietoja ilmaisimista.
Näytä korjaustoiminnot
Kun olet lähettänyt pyynnön, siirry haavoittuvuuden hallinnan>korjaustoimintoihin>, niin näet juuri luodun korjaustoiminnon.
Suodata lievennystyypin mukaan: Estä ja/tai Varoita, jos haluat tarkastella kaikkia toimintoja, jotka liittyvät toimintojen estämiseen tai varoittamiseen.
Tämä on toimintoloki, ei sovelluksen nykyinen lohkotila. Valitse asianmukainen toiminto, niin näet pikaikkunapaneelin, jossa on tietoja, kuten korjauskuvaus, lievennyksen kuvaus ja laitteen korjaustila:
Näytä estetyt sovellukset
Etsi estettyjen sovellusten luettelo siirtymälläEstettyjen sovellustenkorjaus> -välilehteen:
Valitse estetty sovellus, jos haluat tarkastella pikaikkunaa, jossa on lisätietoja haavoittuvuuksien määrästä, siitä, ovatko hyödynnykset käytettävissä, estetyt versiot ja korjaustoiminnot.
Jos haluat tarkastella estettyjen versioiden tietoja ilmaisinsivulla, pääset Asetusten>päätepisteet>-ilmaisimet -sivulle, jossa voit tarkastella tiedoston hajautuksia ja vastaustoimintoja.
Huomautus
Jos käytät ilmaisimien ohjelmointirajapintaa ohjelmallisten ilmaisinkyselyiden kanssa osana työnkulkuja, ota huomioon, että lohkotoiminto antaa lisätuloksia.
Tällä hetkellä jotkin varoituskäytäntöihin liittyvät tunnistuksia saattavat näkyä aktiivisina haittaohjelmistoina Microsoft Defender XDR:ssä ja/tai Microsoft Intunessa. Tämä ongelma korjataan tulevassa versiossa.
Voit myös poistaa ohjelmiston eston tai avata ohjelmistosivun:
Poista sovellusten esto
Valitse estetty sovellus, jos haluat tarkastella vaihtoehtoa Poista ohjelmiston esto pikaikkunassa.
Kun olet poistanut sovelluksen eston, päivitä sivu niin, että se poistetaan luettelosta. Voi kestää jopa kolme tuntia, ennen kuin sovelluksen esto poistetaan ja käyttäjät voivat käyttää sitä uudelleen.
Estettyjen sovellusten käyttökokemus
Kun käyttäjät yrittävät käyttää estettyä sovellusta, he saavat ilmoituksen siitä, että sovellus on hänen organisaationsa. Tätä viestiä voi mukauttaa.
Sovelluksissa, joissa on käytetty varoituksen lievennysasetusta, käyttäjät saavat ilmoituksen siitä, että organisaatio on estänyt sovelluksen käytön. Käyttäjä voi ohittaa lohkon seuraavissa käynnistyksissä valitsemalla "Salli". Tämä sallittu on vain tilapäinen, ja sovellus estetään uudelleen hetken kuluttua.
Huomautus
Jos organisaatiosi on ottanut käyttöön DisableLocalAdminMerge-ryhmäkäytännön, saatat kohdata esiintymiä, joissa sovelluksen salliminen ei ole voimassa. Tämä ongelma korjataan tulevassa versiossa.
Käyttäjä päivittää estettyjä sovelluksia
Usein kysytty kysymys on, miten käyttäjä päivittää estettyä sovellusta? Esto pakotetaan estämällä suoritettava tiedosto. Jotkin sovellukset, kuten Firefox, käyttävät erillistä suoritettavaa päivitystiedostoa, jota tämä ominaisuus ei estä. Muissa tapauksissa, joissa sovellus edellyttää päätiedoston päivittämistä, on suositeltavaa joko ottaa esto käyttöön varoitustilassa (jotta loppukäyttäjä voi ohittaa lohkon) tai loppukäyttäjä voi poistaa sovelluksen (jos mitään tärkeitä tietoja ei tallenneta asiakkaaseen) ja asentaa sovelluksen uudelleen.