Bloquer les applications vulnérables

  • Article

S’applique à :

Remarque

Pour utiliser cette fonctionnalité, vous devez Gestion des vulnérabilités Microsoft Defender autonome ou, si vous êtes déjà un client Microsoft Defender pour point de terminaison Plan 2, le module complémentaire Gestion des vulnérabilités Defender.

La correction des vulnérabilités prend du temps et peut dépendre des responsabilités et des ressources de l’équipe informatique. Les administrateurs de sécurité peuvent temporairement réduire le risque d’une vulnérabilité en prenant des mesures immédiates pour bloquer toutes les versions vulnérables actuellement connues d’une application, jusqu’à ce que la demande de correction soit terminée. L’option bloquer donne aux équipes informatiques le temps de corriger l’application sans que les administrateurs de sécurité ne s’inquiètent que les vulnérabilités soient exploitées dans l’intervalle.

Tout en effectuant les étapes de correction suggérées par une recommandation de sécurité, les administrateurs de sécurité disposant des autorisations appropriées peuvent effectuer une action d’atténuation et bloquer les versions vulnérables d’une application. Les indicateurs de compromission (IOC) de fichier sont créés pour chacun des fichiers exécutables qui appartiennent à des versions vulnérables de cette application. Microsoft Defender Antivirus applique ensuite des blocs sur les appareils qui se trouvent dans l’étendue spécifiée.

Conseil

Saviez-vous que vous pouvez essayer gratuitement toutes les fonctionnalités de Gestion des vulnérabilités Microsoft Defender ? Découvrez comment vous inscrire à un essai gratuit.

Bloquer ou avertir l’action d’atténuation

L’action bloquer est destinée à empêcher l’exécution de toutes les versions vulnérables installées de l’application dans votre organization. Par exemple, s’il existe une vulnérabilité zero-day active, vous pouvez empêcher vos utilisateurs d’exécuter le logiciel affecté pendant que vous déterminez les options de contournement.

L’action d’avertissement est destinée à envoyer un avertissement à vos utilisateurs lorsqu’ils ouvrent des versions vulnérables de l’application. Les utilisateurs peuvent choisir de contourner l’avertissement et d’accéder à l’application pour les lancements suivants.

Pour les deux actions, vous pouvez personnaliser le message que les utilisateurs voient. Par exemple, vous pouvez les encourager à installer la dernière version. En outre, vous pouvez fournir une URL personnalisée à laquelle les utilisateurs accèdent lorsqu’ils sélectionnent la notification. Notez que l’utilisateur doit sélectionner le corps de la notification toast pour accéder à l’URL personnalisée. Vous pouvez l’utiliser pour fournir des détails supplémentaires spécifiques à la gestion des applications dans votre organization.

Remarque

Les actions de blocage et d’avertissement sont généralement appliquées en quelques minutes, mais peuvent prendre jusqu’à 3 heures.

Configuration minimale requise

  • antivirus Microsoft Defender (mode actif) : la détection des événements d’exécution de fichier et du blocage nécessite Microsoft Defender’activation de l’antivirus en mode actif. Par conception, le mode passif et EDR en mode bloc ne peuvent pas détecter et bloquer en fonction de l’exécution de fichier. Pour plus d’informations, consultez Déployer Microsoft Defender Antivirus.
  • Protection fournie par le cloud (activée) : pour plus d’informations, consultez Gérer la protection basée sur le cloud.
  • Autoriser ou bloquer le fichier (activé) : accédez à Paramètres Points> de terminaisonFonctionnalités>avancées>Autoriser ou bloquer le fichier. Pour en savoir plus, consultez Fonctionnalités avancées.

Configuration requise pour la version

  • La version du client Antimalware doit être 4.18.1901.x ou ultérieure.
  • La version du moteur doit être 1.1.16200.x ou ultérieure.
  • Pris en charge sur les appareils Windows 10, version 1809 ou ultérieure, avec les dernières mises à jour windows installées.

Autorisations

  • Si vous utilisez le contrôle d’accès en fonction du rôle (RBAC), vous devez disposer de l’autorisation Gestion des menaces et des vulnérabilités - Gestion des applications.
  • Si vous n’avez pas activé RBAC, vous devez disposer de l’un des rôles Microsoft Entra suivants : administrateur de la sécurité ou administrateur général. Pour en savoir plus sur les autorisations, accédez à Autorisations de base.

Comment bloquer les applications vulnérables

  1. Accédez à Recommandations de gestion des> vulnérabilités dans le portail Microsoft Defender.

  2. Sélectionnez une recommandation de sécurité pour afficher un menu volant contenant plus d’informations.

  3. Sélectionnez Demander une correction.

  4. Indiquez si vous souhaitez appliquer la correction et l’atténuation à tous les groupes d’appareils ou à quelques-uns seulement.

  5. Sélectionnez les options de correction dans la page Demande de correction . Les options de correction sont la mise à jour logicielle, la désinstallation de logiciels et l’attention requise.

  6. Sélectionnez une date d’échéance de correction , puis sélectionnez Suivant.

  7. Sous Action d’atténuation, sélectionnez Bloquer ou Avertir. Une fois que vous envoyez une action d’atténuation, elle est immédiatement appliquée.

    Action d’atténuation

  8. Passez en revue les sélections que vous avez effectuées et Envoyez la demande. Dans la dernière page, vous pouvez choisir d’accéder directement à la page de correction pour afficher la progression des activités de correction et afficher la liste des applications bloquées.

Importante

En fonction des données disponibles, l’action de blocage prend effet sur les points de terminaison du organization qui ont Microsoft Defender Antivirus. Microsoft Defender pour point de terminaison s’efforceront de bloquer l’exécution de l’application ou de la version vulnérable applicable.

Si des vulnérabilités supplémentaires sont détectées sur une autre version d’une application, vous obtenez une nouvelle recommandation de sécurité, vous demandant de mettre à jour l’application, et vous pouvez également choisir de bloquer cette autre version.

Quand le blocage n’est pas pris en charge

Si vous ne voyez pas l’option d’atténuation lors de la demande de correction, c’est que la possibilité de bloquer l’application n’est actuellement pas prise en charge. Les recommandations qui n’incluent pas d’actions d’atténuation sont les suivantes :

  • Applications Microsoft
  • Recommandations relatives aux systèmes d’exploitation
  • Recommandations relatives aux applications pour macOS et Linux
  • Applications pour lesquelles Microsoft ne dispose pas d’informations suffisantes ou d’un niveau de confiance élevé pour bloquer
  • Applications du Microsoft Store, qui ne peuvent pas être bloquées parce qu’elles sont signées par Microsoft

Si vous essayez de bloquer une application et qu’elle ne fonctionne pas, vous avez peut-être atteint la capacité maximale de l’indicateur. Si c’est le cas, vous pouvez supprimer les anciens indicateurs En savoir plus sur les indicateurs.

Afficher les activités de correction

Une fois que vous avez envoyé la demande, accédez àActivités decorrection>de gestion des> vulnérabilités pour voir l’activité de correction nouvellement créée.

Filtrer par type d’atténuation : Bloquer et/ou Avertir pour afficher toutes les activités relatives aux actions de blocage ou d’avertissement.

Il s’agit d’un journal d’activité, et non du bloc actuel status de l’application. Sélectionnez l’activité appropriée pour afficher un panneau volant avec des détails, notamment la description de la correction, la description de l’atténuation et la correction de l’appareil status :

Détails de la correction et de l’atténuation

Afficher les applications bloquées

Recherchez la liste des applications bloquées en accédant à l’onglet Correction>applications bloquées :

Application bloquée

Sélectionnez une application bloquée pour afficher un menu volant avec des détails sur le nombre de vulnérabilités, si les attaques sont disponibles, les versions bloquées et les activités de correction.

L’option Afficher les détails des versions bloquées dans la page Indicateur vous amène à la page Paramètres>Indicateursde> points de terminaison, où vous pouvez afficher les hachages de fichiers et les actions de réponse.

Remarque

Si vous utilisez l’API Indicateurs avec des requêtes d’indicateurs programmatiques dans le cadre de vos flux de travail, sachez que l’action de blocage donne des résultats supplémentaires.

Actuellement, certaines détections liées aux stratégies d’avertissement peuvent apparaître comme des programmes malveillants actifs dans Microsoft Defender XDR et/ou Microsoft Intune. Ce comportement sera résolu dans une prochaine version.

Vous pouvez également débloquer un logiciel ou Ouvrir la page du logiciel :

Détails de l’application bloquée

Débloquer des applications

Sélectionnez une application bloquée pour afficher l’option Débloquer le logiciel dans le menu volant.

Une fois que vous avez débloqué une application, actualisez la page pour la voir supprimée de la liste. Jusqu’à 3 heures peuvent être nécessaires pour qu’une application soit débloquée et redevient accessible à vos utilisateurs.

Expérience des utilisateurs pour les applications bloquées

Lorsque les utilisateurs tentent d’accéder à une application bloquée, ils reçoivent un message les informant que l’application a été effectuée par leur organization. Ce message est personnalisable.

Pour les applications où l’option d’atténuation des avertissements a été appliquée, les utilisateurs reçoivent un message les informant que l’application a été bloquée par leur organization. L’utilisateur a la possibilité de contourner le bloc pour les lancements suivants, en choisissant « Autoriser ». Cette autorisation n’est que temporaire et l’application sera à nouveau bloquée au bout d’un certain temps.

Remarque

Si votre organization a déployé la stratégie de groupe DisableLocalAdminMerge, vous pouvez rencontrer des instances où l’autorisation d’une application ne prend pas effet. Ce comportement sera résolu dans une prochaine version.

Mise à jour des applications bloquées par l’utilisateur final

Une question fréquemment posée est comment un utilisateur final met-il à jour une application bloquée ? Le bloc est appliqué en bloquant le fichier exécutable. Certaines applications, telles que Firefox, s’appuient sur un exécutable de mise à jour distinct, qui ne sera pas bloqué par cette fonctionnalité. Dans d’autres cas, lorsque l’application nécessite la mise à jour du fichier exécutable main, il est recommandé d’implémenter le bloc en mode d’avertissement (afin que l’utilisateur final puisse contourner le blocage) ou de supprimer l’application (si aucune information vitale n’est stockée sur le client) et de réinstaller l’application.