Share via

חסום אפליקציות פגיעות

  • מאמר

חל על:

הערה

כדי להשתמש בתכונה זו, תדרוש ניהול פגיעויות של Microsoft Defender עצמאי או אם אתה כבר לקוח של תוכנית Microsoft Defender עבור נקודת קצה 2, ההרחבה Defender Vulnerability Management.

תיקון פגיעויות נמשך זמן רב ועלול להיות תלוי באחריות ובהמשאבים של צוות ה- IT. מנהלי אבטחה יכולים להפחית באופן זמני את הסיכון לפגיעות על-ידי נקיטת פעולה מיידית כדי לחסום את כל הגירסאות הפגיעות הידועות כעת של יישום, עד להשלמת בקשת התיקון. אפשרות החסימה מעניקה לצוותי IT זמן לתקן את היישום ללא מנהלי אבטחה שחוששים שהפגיעות תנצל בינתיים.

בעת נקיטת שלבי התיקון המוצעים על-ידי המלצת אבטחה, מנהלי אבטחה בעלי ההרשאות המתאימות יכולים לבצע פעולת צמצום סיכונים ולחסימת גירסאות פגיעות של יישום. מחווני קובץ של סכנה (IOC) נוצרים עבור כל אחד מקבצים הניתנים להפעלה השייכים לגירסאות פגיעות של יישום זה. Microsoft Defender האנטי-וירוס אוכף לאחר מכן חסימות במכשירים בטווח שצוין.

עצה

הידעת שתוכל לנסות את כל התכונות ב- ניהול פגיעויות של Microsoft Defender בחינם? גלה כיצד להירשם לקבלת גירסת ניסיון ללא תשלום.

חסימה או אזהרה של פעולת צמצום סיכונים

פעולת החסימה מיועדת לחסום את ההפעלה של כל הגירסאות החגיעות המותקנות של היישום בארגון שלך. לדוגמה, אם קיימת פגיעות פעילה של יום אפס, באפשרותך לחסום את הפעלת התוכנה המושפעת על-ידי המשתמשים תוך כדי קביעת אפשרויות עבוד.

פעולת האזהרה מיועדת לשליחת אזהרה למשתמשים שלך כאשר הם פותחים גירסאות פגיעות של היישום. המשתמשים יכולים לבחור לעקוף את האזהרה ולגשת ליישום עבור הפעלות עוקבות.

עבור שתי הפעולות, באפשרותך להתאים אישית את ההודעה שהמשתמשים רואים. לדוגמה, באפשרותך לעודד אותם להתקין את הגירסה העדכנית ביותר. בנוסף, באפשרותך לספק כתובת URL מותאמת אישית שאליה המשתמשים מנווטים כאשר הם בוחרים את ההודעה. שים לב שהמשתמש חייב לבחור את גוף ההודעה המורמת כדי לנווט אל כתובת ה- URL המותאמת אישית. ניתן להשתמש באפשרות זו כדי לספק פרטים נוספים ספציפיים לניהול היישומים בארגון שלך.

הערה

פעולות החסימה והזהרתן נאכפות בדרך כלל בתוך כמה דקות, אך פעולה זו עשויה להימשך עד 3 שעות.

דרישות מינימליות

  • Microsoft Defender אנטי-וירוס (מצב פעיל): זיהוי אירועי ביצוע קבצים וחסימת קבצים דורש Microsoft Defender האנטי-וירוס יהיה זמין במצב פעיל. כברירת מחדל, מצב פאסיבי ו- EDR במצב חסימה אינם יכולים לזהות ולחסום בהתבסס על ביצוע קובץ. לקבלת מידע נוסף, ראה פריסת Microsoft Defender אנטי-וירוס.
  • הגנה מבוססת ענן (זמינה): לקבלת מידע נוסף, ראה ניהול הגנה מבוססת ענן.
  • אפשר או חסום קובץ (מופעל): עבור אל הגדרות>נקודות קצה תכונות מתקדמות>אפשר או>חסום קובץ. לקבלת מידע נוסף, ראה תכונות מתקדמות.

דרישות גירסה

  • גירסת הלקוח נגד תוכנות זדוניות חייבת להיות 4.18.1901.x ואילך.
  • גירסת המנוע חייבת להיות 1.1.16200.x ואילך.
  • נתמך Windows 10, גירסה 1809 ואילך, כאשר מותקנים העדכונים האחרונים של Windows.

הרשאות

  • אם אתה משתמש בפקד גישה מבוסס תפקיד (RBAC), עליך להקצות את ההרשאה Threat and vulnerability management - Application handling .
  • אם לא הפעלת RBAC, דרוש לך אחד מהתפקידים הבאים Microsoft Entra אבטחה או מנהל מערכת כללי. לקבלת מידע נוסף אודות הרשאות, עבור אל הרשאות בסיסיות.

כיצד לחסום אפליקציות פגיעות

  1. עבור אל המלצות לניהול>פגיעויותבפורטל Microsoft Defender שלך.

  2. בחר המלצת אבטחה כדי לראות תפריט נשלף עם מידע נוסף.

  3. בחר בקש תיקון.

  4. בחר אם ברצונך להחיל את התיקון ואת צמצום הסיכונים על כל קבוצות המכשירים או רק על מעטים.

  5. בחר את אפשרויות התיקון בדף בקשת תיקון. אפשרויות התיקון הן עדכון תוכנה, הסרת התקנה של תוכנה ותידרש תשומת לב.

  6. בחר תאריך יעד לתיקון ובחרהבא.

  7. תחת פעולת צמצום סיכונים, בחר חסום או הצג אזהרה. לאחר שתשלח פעולת צמצום סיכונים, היא תחול באופן מיידי.

    פעולת צמצום סיכונים

  8. סקור את הבחירות שביצעת ושלח בקשה. בעמוד האחרון, באפשרותך לבחור לעבור ישירות לדף התיקון כדי להציג את התקדמות פעילויות התיקון ולראות את רשימת היישומים החסומים.

חשוב

בהתבסס על הנתונים הזמינים, פעולת החסימה תהיה השפעה על נקודות קצה בארגון הכוללות את Microsoft Defender אנטי-וירוס. Microsoft Defender עבור נקודת קצה ינסה באופן מיטבי לחסום את ההפעלה של היישום או הגירסה החגיעה הרלוונטית.

אם נמצאו פגיעויות נוספות בגירסה אחרת של יישום, אתה מקבל המלצת אבטחה חדשה, המבקשת ממך לעדכן את היישום, ובאפשרותך לבחור גם לחסום גירסה אחרת זו.

כאשר חסימה אינה נתמכת

אם אינך רואה את אפשרות צמצום הסיכונים בעת בקשת תיקון, ייתכן שהיכולת לחסום את היישום אינה נתמכת כעת. המלצות שאינן כוללות פעולות צמצום סיכונים כוללות:

  • אפליקציות של Microsoft
  • המלצות הקשורות למערכות הפעלה
  • המלצות הקשורות לאפליקציות עבור macOS ו- Linux
  • אפליקציות שבהן ל- Microsoft אין מספיק מידע או מהימנות גבוהה לחסימה
  • אפליקציות של Microsoft Store, שלא ניתן לחסום מאחר שהן חתומות על-ידי Microsoft

אם אתה מנסה לחסום יישום והוא אינו פועל, ייתכן שהגעת לקיבולת המחוון המרבית. אם כן, באפשרותך למחוק מחוונים ישנים למד עוד אודות מחוונים.

הצגת פעילויות תיקון

לאחר שתגיש את הבקשה, עבור >> אל פעילויות תיקון של ניהול פגיעויות כדי לראות את פעילות התיקון החדשה שנוצרה.

סינון לפי סוג צמצום סיכונים: חסום ו/או הזהר כדי להציג את כל הפעילויות הקשורות לחסימה או אזהרה של פעולות.

זהו יומן פעילות, ולא מצב החסימה הנוכחי של היישום. בחר את הפעילות הרלוונטית כדי לראות לוח נשלף עם פרטים, כולל תיאור התיקון, תיאור צמצום הסיכונים ומצב תיקון המכשיר:

פרטי תיקון והפחתת סיכונים

הצגת אפליקציות חסומות

מצא את רשימת היישומים החסומים על-ידי מעבר אל הכרטיסיה תיקון יישומים>חסומים :

אפליקציה חסומה

בחר יישום חסום כדי להציג תפריט נשלף עם פרטים על מספר הפגיעויות, אם ניצולים זמינים, גירסאות חסומות ופעילויות תיקון.

האפשרות להציג פרטים של גירסאות>> חסומות בדף 'מחוון' מביאה אותך לדף 'מחוונים של נקודות קצה של הגדרות' שבו תוכל להציג את פעולות ה- Hash ופעולות התגובה של הקובץ.

הערה

אם אתה משתמש ב- API של מחוונים עם שאילתות מחוון תוכניתיות כחלק מזרימות העבודה שלך, שים לב שפעולה החסימה תספק תוצאות נוספות.

בשלב זה, ייתכן שזיהויים מסוימים הקשורים למדיניות אזהרה יופיעו כתוכנות זדוניות Microsoft Defender XDR ו/או Microsoft Intune. אופן פעולה זה יתוקן במהדורה קרובה.

באפשרותך גם לבטל חסימה של תוכנה אולפתוח דף תוכנה:

פרטי יישום חסומים

ביטול חסימה של אפליקציות

בחר יישום חסום כדי להציג את האפשרות לבטל את חסימת התוכנה בתפריט הנשלף.

לאחר ביטול החסימה של יישום, רענן את הדף כדי לראות אותו מוסר מהרשימה. הסרת החסימה של אפליקציה עשויה להימשך עד 3 שעות ולהפוך אותה לנגישה שוב למשתמשים שלך.

חוויית המשתמשים עבור יישומים חסומים

כאשר משתמשים מנסים לגשת ליישום חסום, הם מקבלים הודעה המודיעה להם שהיישום היה על-ידי הארגון שלהם. הודעה זו ניתנת להתאמה אישית.

עבור יישומים שבהם הוחלה האפשרות 'אזהרה להפחתת הסיכון', המשתמשים מקבלים הודעה המודיעה להם שהיישום נחסם על-ידי הארגון שלהם. למשתמש יש אפשרות לעקוף את הבלוק עבור ההפעלות הבאות, על-ידי בחירה באפשרות 'אפשר'. אפשר זה הוא זמני בלבד, והיישום ייחסם שוב לאחר זמן מה.

הערה

אם הארגון שלך פרס את המדיניות הקבוצתית DisableLocalAdminMerge, ייתכן שתיתקל במופעים שבהם מתן אפשרות ליישום אינו כניסה לתוקף. אופן פעולה זה יתוקן במהדורה קרובה.

עדכון משתמש קצה של יישומים חסומים

שאלה נפוצה היא כיצד משתמש קצה מעדכן יישום חסום? הבלוק נאכף על-ידי חסימת קובץ ההפעלה. יישומים מסוימים, כגון Firefox, מסתמסים על קובץ הפעלה נפרד של עדכון, שלא ייחסם על-ידי תכונה זו. במקרים אחרים, כאשר היישום דורש שקובץ ההפעלה הראשי יתעדכן, מומלץ ליישם את הבלוק במצב אזהרה (כך שמשתמש הקצה יוכל לעקוף את הבלוק) או שמשתמש הקצה יוכל למחוק את היישום (אם לא מאוחסן מידע חיוני בלקוח) ויתקין מחדש את היישום.