שתף באמצעות


חסום אפליקציות פגיעות

חל על:

הערה

כדי להשתמש בתכונה זו, תזדקק לניהול פגיעויות עצמאי של Microsoft Defender או אם אתה כבר לקוח של Microsoft Defender for Endpoint Plan 2, ההרחבה Defender Vulnerability Management.

תיקון פגיעויות נמשך זמן רב ועלול להיות תלוי באחריות ובהמשאבים של צוות ה- IT. מנהלי אבטחה יכולים להפחית באופן זמני את הסיכון לפגיעות על-ידי נקיטת פעולה מיידית כדי לחסום את כל הגירסאות הפגיעות הידועות כעת של יישום, עד להשלמת בקשת התיקון. אפשרות החסימה מעניקה לצוותי IT זמן לתקן את היישום ללא מנהלי אבטחה שחוששים שהפגיעות תנצל בינתיים.

בעת נקיטת שלבי התיקון המוצעים על-ידי המלצת אבטחה, מנהלי אבטחה בעלי ההרשאות המתאימות יכולים לבצע פעולת צמצום סיכונים ולחסימת גירסאות פגיעות של יישום. מחווני קובץ של סכנה (IOC) נוצרים עבור כל אחד מקבצים הניתנים להפעלה השייכים לגירסאות פגיעות של יישום זה. לאחר מכן האנטי-וירוס של Microsoft Defender אוכף חסימות במכשירים בטווח שצוין.

עצה

הידעת שתוכל לנסות את כל התכונות בניהול פגיעויות של Microsoft Defender ללא תשלום? גלה כיצד להירשם לקבלת גירסת ניסיון ללא תשלום.

חסימה או אזהרה של פעולת צמצום סיכונים

פעולת החסימה מיועדת לחסום את ההפעלה של כל הגירסאות החגיעות המותקנות של היישום בארגון שלך. לדוגמה, אם קיימת פגיעות פעילה של יום אפס, באפשרותך לחסום את הפעלת התוכנה המושפעת על-ידי המשתמשים תוך כדי קביעת אפשרויות עבוד.

פעולת האזהרה מיועדת לשליחת אזהרה למשתמשים שלך כאשר הם פותחים גירסאות פגיעות של היישום. המשתמשים יכולים לבחור לעקוף את האזהרה ולגשת ליישום עבור הפעלות עוקבות.

עבור שתי הפעולות, באפשרותך להתאים אישית את ההודעה שהמשתמשים רואים. לדוגמה, באפשרותך לעודד אותם להתקין את הגירסה העדכנית ביותר. בנוסף, באפשרותך לספק כתובת URL מותאמת אישית שאליה המשתמשים מנווטים כאשר הם בוחרים את ההודעה. שים לב שהמשתמש חייב לבחור את גוף ההודעה המורמת כדי לנווט אל כתובת ה- URL המותאמת אישית. ניתן להשתמש באפשרות זו כדי לספק פרטים נוספים ספציפיים לניהול היישומים בארגון שלך.

הערה

פעולות החסימה והזהרתן נאכפות בדרך כלל בתוך כמה דקות, אך פעולה זו עשויה להימשך עד 3 שעות.

דרישות מינימליות

  • האנטי-וירוס של Microsoft Defender (מצב פעיל): זיהוי אירועי ביצוע קבצים וחסימה דורש הפעלה של האנטי-וירוס של Microsoft Defender במצב פעיל. כברירת מחדל, מצב פאסיבי ו- EDR במצב חסימה אינם יכולים לזהות ולחסום בהתבסס על ביצוע קובץ. לקבלת מידע נוסף, ראה פריסת האנטי-וירוס של Microsoft Defender.
  • הגנה מבוססת ענן (זמינה): לקבלת מידע נוסף, ראה ניהול הגנה מבוססת ענן.
  • אפשר או חסום קובץ (מופעל): עבור אל הגדרות>נקודות קצה תכונות מתקדמות>אפשר או>חסום קובץ. לקבלת מידע נוסף, ראה תכונות מתקדמות.

דרישות גירסה

  • גירסת הלקוח נגד תוכנות זדוניות חייבת להיות 4.18.1901.x ואילך.
  • גירסת המנוע חייבת להיות 1.1.16200.x ואילך.
  • נתמך במכשירי Windows 10, גירסה 1809 ואילך, כאשר העדכונים האחרונים של Windows מותקנים.
  • תומך בגירסאות 2022, 2019, 2016, 2012 R2 ו- 2008 R2 SP1 של Windows Server.

הרשאות

  • אם אתה משתמש בפקד גישה מבוסס תפקיד (RBAC), עליך להקצות את ההרשאה Threat and vulnerability management - Application handling .
  • אם לא הפעלת RBAC, דרוש לך אחד מהתפקידים הבאים של Microsoft Entra: מנהל אבטחה אומנהל כללי. לקבלת מידע נוסף אודות הרשאות, עבור אל הרשאות בסיסיות.

חשוב

Microsoft ממליצה להשתמש בתפקידים עם הכי פחות הרשאות. שימוש בחשבונות עם הרשאות נמוכות יותר עוזר לשפר את האבטחה עבור הארגון שלך. מנהל מערכת כללי הוא תפקיד בעל הרשאה גבוהה שאמור להיות מוגבל לתרחישי חירום כאשר אין באפשרותך להשתמש בתפקיד קיים.

כיצד לחסום אפליקציות פגיעות

  1. עבור אל המלצות לניהול פגיעויות> בפורטל Microsoft Defender.

  2. בחר המלצת אבטחה כדי לראות תפריט נשלף עם מידע נוסף.

  3. בחר בקש תיקון.

  4. בחר אם ברצונך להחיל את התיקון ואת צמצום הסיכונים על כל קבוצות המכשירים או רק על מעטים.

  5. בחר את אפשרויות התיקון בדף בקשת תיקון. אפשרויות התיקון הן עדכון תוכנה, הסרת התקנה של תוכנה ותידרש תשומת לב.

  6. בחר תאריך יעד לתיקון ובחרהבא.

  7. תחת פעולת צמצום סיכונים, בחר חסום או הצג אזהרה. לאחר שתשלח פעולת צמצום סיכונים, היא תחול באופן מיידי.

    פעולת צמצום סיכונים

  8. סקור את הבחירות שביצעת ושלח בקשה. בעמוד האחרון, באפשרותך לבחור לעבור ישירות לדף התיקון כדי להציג את התקדמות פעילויות התיקון ולראות את רשימת היישומים החסומים.

חשוב

בהתבסס על הנתונים הזמינים, פעולת החסימה תיכלל ב נקודות קצה בארגון הכוללות את האנטי-וירוס של Microsoft Defender. Microsoft Defender for Endpoint ינסה באופן מיטבי לחסום את ההפעלה של האפליקציה או הגירסה החגיעה הרלוונטית.

אם נמצאו פגיעויות נוספות בגירסה אחרת של יישום, אתה מקבל המלצת אבטחה חדשה, המבקשת ממך לעדכן את היישום, ובאפשרותך לבחור גם לחסום גירסה אחרת זו.

כאשר חסימה אינה נתמכת

אם אינך רואה את אפשרות צמצום הסיכונים בעת בקשת תיקון, ייתכן שהיכולת לחסום את היישום אינה נתמכת כעת. המלצות שאינן כוללות פעולות צמצום סיכונים כוללות:

  • אפליקציות של Microsoft
  • המלצות הקשורות למערכות הפעלה
  • המלצות הקשורות לאפליקציות עבור macOS ו- Linux
  • אפליקציות שבהן ל- Microsoft אין מספיק מידע או מהימנות גבוהה לחסימה
  • אפליקציות של Microsoft Store, שלא ניתן לחסום מאחר שהן חתומות על-ידי Microsoft

אם אתה מנסה לחסום יישום והוא אינו פועל, ייתכן שהגעת לקיבולת המחוון המרבית. אם כן, באפשרותך למחוק מחוונים ישנים למד עוד אודות מחוונים.

הצגת פעילויות תיקון

לאחר שתגיש את הבקשה, עבור >> אל פעילויות תיקון של ניהול פגיעויות כדי לראות את פעילות התיקון החדשה שנוצרה.

סינון לפי סוג צמצום סיכונים: חסום ו/או הזהר כדי להציג את כל הפעילויות הקשורות לחסימה או אזהרה של פעולות.

זהו יומן פעילות, ולא מצב החסימה הנוכחי של היישום. בחר את הפעילות הרלוונטית כדי לראות לוח נשלף עם פרטים, כולל תיאור התיקון, תיאור צמצום הסיכונים ומצב תיקון המכשיר:

פרטי תיקון והפחתת סיכונים

הצגת אפליקציות חסומות

מצא את רשימת היישומים החסומים על-ידי מעבר אל הכרטיסיה תיקון יישומים>חסומים :

אפליקציה חסומה

בחר יישום חסום כדי להציג תפריט נשלף עם פרטים על מספר הפגיעויות, אם ניצולים זמינים, גירסאות חסומות ופעילויות תיקון.

האפשרות להציג פרטים של גירסאות>> חסומות בדף 'מחוון' מביאה אותך לדף 'מחוונים של נקודות קצה של הגדרות' שבו תוכל להציג את פעולות ה- Hash ופעולות התגובה של הקובץ.

הערה

אם אתה משתמש ב- API של מחוונים עם שאילתות מחוון תוכניתיות כחלק מזרימות העבודה שלך, שים לב שפעולה החסימה תספק תוצאות נוספות.

בשלב זה, ייתכן שזיהויים מסוימים הקשורים למדיניות אזהרה יופיעו כתוכנות זדוניות פעילות ב- Microsoft Defender XDR ו/או ב- Microsoft Intune. אופן פעולה זה יתוקן במהדורה קרובה.

באפשרותך גם לבטל חסימה של תוכנה אולפתוח דף תוכנה:

פרטי יישום חסומים

ביטול חסימה של אפליקציות

בחר יישום חסום כדי להציג את האפשרות לבטל את חסימת התוכנה בתפריט הנשלף.

לאחר ביטול החסימה של יישום, רענן את הדף כדי לראות אותו מוסר מהרשימה. הסרת החסימה של אפליקציה עשויה להימשך עד 3 שעות ולהפוך אותה לנגישה שוב למשתמשים שלך.

חוויית המשתמשים עבור יישומים חסומים

כאשר משתמשים מנסים לגשת ליישום חסום, הם מקבלים הודעה המודיעה להם שהיישום היה על-ידי הארגון שלהם. הודעה זו ניתנת להתאמה אישית.

עבור יישומים שבהם הוחלה האפשרות 'אזהרה להפחתת הסיכון', המשתמשים מקבלים הודעה המודיעה להם שהיישום נחסם על-ידי הארגון שלהם. למשתמש יש אפשרות לעקוף את הבלוק עבור ההפעלות הבאות, על-ידי בחירה באפשרות 'אפשר'. אפשר זה הוא זמני בלבד, והיישום ייחסם שוב לאחר זמן מה.

הערה

אם הארגון שלך פרס את המדיניות הקבוצתית DisableLocalAdminMerge, ייתכן שתיתקל במופעים שבהם מתן אפשרות ליישום אינו כניסה לתוקף. אופן פעולה זה יתוקן במהדורה קרובה.

עדכון משתמש קצה של יישומים חסומים

שאלה נפוצה היא כיצד משתמש קצה מעדכן יישום חסום? הבלוק נאכף על-ידי חסימת קובץ ההפעלה. יישומים מסוימים, כגון Firefox, מסתמסים על קובץ הפעלה נפרד של עדכון, שלא ייחסם על-ידי תכונה זו. במקרים אחרים, כאשר היישום דורש שקובץ ההפעלה הראשי יתעדכן, מומלץ ליישם את הבלוק במצב אזהרה (כך שמשתמש הקצה יוכל לעקוף את הבלוק) או שמשתמש הקצה יוכל למחוק את היישום (אם לא מאוחסן מידע חיוני בלקוח) ויתקין מחדש את היישום.