שתף באמצעות

חסום יישומים פגיעים באמצעות ניהול פגיעויות של Microsoft Defender

חל על:

הערה

כדי להשתמש בתכונה זו, תדרוש ניהול פגיעויות של Microsoft Defender עצמאית או אם אתה כבר לקוח Microsoft Defender עבור נקודת קצה תוכנית 2, ניהול פגיעויות של Defender ההרחבה.

תיקון פגיעויות נמשך זמן רב ועלול להיות תלוי באחריות ובהמשאבים של צוות ה- IT. מנהלי אבטחה יכולים להפחית באופן זמני את הסיכון לפגיעות על-ידי נקיטת פעולה מיידית כדי לחסום את כל הגירסאות הפגיעות הידועות כעת של יישום עד להשלמת בקשת התיקון. אפשרות החסימה מעניקה לצוותי ה- IT שלך זמן לתיקון אפליקציה מבלי לדאוג למנהלי האבטחה לגבי הפגיעויות.

בעת נקיטת שלבי התיקון שהוצעו על-ידי המלצת אבטחה, מנהלי אבטחה יכולים לבצע פעולת צמצום סיכונים ולחסימת גירסאות פגיעות של יישום. מחווני קובץ של סכנה (IOC) נוצרים עבור כל אחד מקבצים הניתנים להפעלה השייכים לגירסאות פגיעות של יישום זה. Microsoft Defender האנטי-וירוס אוכף לאחר מכן חסימות במכשירים בטווח שצוין.

חסימה או אזהרה של פעולת צמצום סיכונים

פעולת החסימה מיועדת לחסום את ההפעלה של כל הגירסאות החגיעות המותקנות של היישום בארגון שלך. לדוגמה, אם קיימת פגיעות פעילה של יום אפס, באפשרותך לחסום את הפעלת התוכנה המושפעת על-ידי המשתמשים תוך כדי קביעת אפשרויות עבוד.

פעולת האזהרה מיועדת לשליחת אזהרה למשתמשים שלך כאשר הם פותחים גירסאות פגיעות של היישום. המשתמשים יכולים לבחור לעקוף את האזהרה ולגשת ליישום עבור הפעלות עוקבות.

עבור שתי הפעולות, באפשרותך להתאים אישית את ההודעה שהמשתמשים רואים. לדוגמה, באפשרותך לעודד אותם להתקין את הגירסה העדכנית ביותר. בנוסף, באפשרותך לספק כתובת URL מותאמת אישית שאליה המשתמשים מנווטים כאשר הם בוחרים את ההודעה. על המשתמש לבחור את גוף ההודעה המורמת כדי לנווט אל כתובת ה- URL המותאמת אישית. ניתן להשתמש בהודעה כדי לספק פרטים נוספים ספציפיים לניהול היישומים בארגון שלך.

הערה

פעולות חסימה והזהרתן נאכפות בדרך כלל תוך כמה דקות, אך פעולה זו עשויה להימשך עד שלוש שעות.

דרישות מינימליות

  • Microsoft Defender אנטי-וירוס (מצב פעיל): זיהוי אירועי ביצוע קבצים וחסימת קבצים דורש Microsoft Defender האנטי-וירוס יהיה זמין במצב פעיל. כברירת מחדל, מצב פאסיבי ו- EDR במצב חסימה אינם יכולים לזהות ולחסום בהתבסס על ביצוע קובץ. לקבלת מידע נוסף, ראה פריסת Microsoft Defender אנטי-וירוס.
  • הגנה מבוססת ענן (זמינה): לקבלת מידע נוסף, ראה ניהול הגנה מבוססת ענן.
  • אפשר או חסום קובץ (מופעל): עבור אל הגדרות>נקודות קצה תכונות מתקדמות>אפשר או>חסום קובץ. לקבלת מידע נוסף, ראה תכונות מתקדמות.

דרישות גירסה

  • גירסת הלקוח נגד תוכנות זדוניות חייבת להיות או מתקדמת 4.18.1901.x יותר.
  • גירסת המנגנון חייבת להיות או מתקדמת 1.1.16200.x יותר.
  • מכשירי לקוח של Windows חייבים לפעול Windows 11 או Windows 10, גירסה 1809, כאשר העדכונים האחרונים של Windows מותקנים.
  • שרתים חייבים לפעול בגירסה Windows Server 2022, 2019, 2016, 2012 R2 ו- 2008 R2 SP1. התמיכה Windows Server 2025 נפרסת, החל מפברואר 2025 ובחודשי השבועות הבאים.

כיצד לחסום אפליקציות פגיעות

  1. היכנס לפורטל Microsoft Defender ולאחר מכן נווט אל המלצות לניהול>פגיעויות של>נקודות קצה.

  2. בחר המלצת אבטחה כדי לראות תפריט נשלף עם מידע נוסף.

  3. בחר בקש תיקון.

  4. מלא את הטופס. ברשימה הנפתחת אפשרויות תיקון, בחר אילו מהאפשרויות ברצונך לבקש. האפשרויות הן עדכון תוכנה, הסרת התקנה של תוכנה ותידרשו תשומת לב.

  5. תחת כלי ניהול משימות, סמן את התיבה עבור פתח כרטיס ב- Intune (עבור מכשירים מצורפים של AAD) אם ברצונך ליצור כרטיס ב- Microsoft Intune עבור בקשת התיקון.

  6. בחר תאריך יעד לתיקון.

  7. תחת עדיפות, בחר גבוהה, בינונית או נמוכה.

  8. תחת הוספת הערות, באפשרותך להוסיף מידע נוסף. בחר באפשרות הבא.

  9. סקור את הבחירות שביצעת ולאחר מכן בחר שלח. בעמוד האחרון, באפשרותך לבחור לערוך את הבחירות ולייצא את כל בקשות התיקון לקובץ .CSV חדש.

הערה

החל מ- 3 בדצמבר 2024, צפה להפחתה במספר מחווני הקבצים שנוצרו על-ידי פריטי מדיניות חדשים של חסימת יישומים. כדי להפחית את השימוש הנוכחי בחווון, בטל את החסימה של כל היישומים החסומים וצור פריטי מדיניות חדשים של חסימות.

בהתבסס על הנתונים הזמינים, פעולות החסימה הופכות לתוקף ב נקודות קצה הכוללות Microsoft Defender אנטי-וירוס. Microsoft Defender עבור נקודת קצה עושה מאמץ מיטבי לחסום הפעלה של אפליקציות או גירסאות פגיעות ישימות.

אם נמצאו פגיעויות נוספות בגירסה אחרת של יישום, אתה מקבל המלצת אבטחה חדשה המבקשת ממך לעדכן את היישום, ובאפשרותך לבחור גם לחסום גירסה אחרת זו.

כאשר חסימה אינה נתמכת

אם אינך רואה את אפשרות צמצום הסיכונים בעת בקשת תיקון, ייתכן שהיכולת לחסום את היישום אינה נתמכת כעת. המלצות שאינן כוללות פעולות צמצום סיכונים כוללות:

  • אפליקציות של Microsoft
  • המלצות הקשורות למערכות הפעלה
  • המלצות הקשורות לאפליקציות עבור macOS ו- Linux
  • אפליקציות שבהן ל- Microsoft אין מספיק מידע או מהימנות גבוהה לחסימה
  • אפליקציות של Microsoft Store, שלא ניתן לחסום מאחר שהן חתומות על-ידי Microsoft

אם אתה מנסה לחסום יישום והוא אינו פועל, ייתכן שהגעת לקיבולת המחוון המרבית. אם כן, באפשרותך למחוק מחוונים ישנים למד עוד אודות מחוונים.

הצגת פעילויות תיקון

לאחר שתגיש בקשה לחסום יישומים פגיעים, תוכל להציג פעילויות תיקון על-ידי ביצוע השלבים הבאים:

  1. נווט אל תיקון ניהול>נקודות>קצה של פגיעויות.

  2. בכרטיסיה פעילויות , באפשרותך לבחור לסנן את התוצאות לפי סוג צמצום סיכונים. האפשרויות הן חסום,הצג אזהרה, ללאופתרון.

  3. בחר את הפעילות הרלוונטית כדי לראות חלונית נשלף עם פרטים, כולל תיאור התיקון, תיאור צמצום הסיכונים ומצב תיקון המכשיר:

    פרטי תיקון והפחתת סיכונים

הצגת אפליקציות חסומות

כדי להציג רשימה של יישומים חסומים, בצע את הפעולות הבאות:

  1. נווט אל תיקון ניהול>נקודות קצה של פגיעויות> ולאחר מכן בחר את הכרטיסיה יישומים חסומים:

    אפליקציה חסומה

  2. בחר יישום חסום כדי להציג תפריט נשלף עם פרטים על מספר הפגיעויות, אם ניצולים זמינים, גירסאות חסומות ופעילויות תיקון.

  3. בחר הצג פרטים של גירסאות חסומות בדף המחוון, שמביא אותך לדף 'מחוונים', שבו תוכל להציג את פעולות ה- Hash של הקבצים ופעולות התגובה.

    הערה

    אם אתה משתמש ב- API של מחוונים עם שאילתות מחוון תוכניתיות כחלק מזרימות העבודה שלך, פעולת החסימה מניבה תוצאות נוספות.

  4. כדי לבטל חסימה של אפליקציה, בחר בטל חסימת תוכנה אופתח דף תוכנה:

    פרטי יישום חסומים

ביטול חסימה של אפליקציות

בחר יישום חסום כדי להציג את האפשרות לבטל את חסימת התוכנה בתפריט הנשלף.

לאחר ביטול החסימה של יישום, רענן את הדף כדי לראות אותו מוסר מהרשימה. הסרת החסימה של אפליקציה עשויה להימשך עד 3 שעות ולהפוך אותה לנגישה שוב למשתמשים שלך.

חוויית המשתמשים עבור יישומים חסומים

כאשר משתמשים מנסים לגשת ליישום חסום, הם מקבלים הודעה המודיעה להם שהיישום נחסם על-ידי הארגון שלהם. הודעה זו ניתנת להתאמה אישית.

עבור יישומים שבהם הוחלה האפשרות 'אזהרה להפחתת הסיכון', המשתמשים מקבלים הודעה המודיעה להם שהיישום נחסם על-ידי הארגון שלהם. המשתמש יכול לעקוף את הבלוק עבור הפעלות עוקבות, על-ידי בחירה באפשרות "אפשר". פעולת התרה זו היא זמנית בלבד, והיישום נחסם שוב לאחר זמן מה.

הערה

אם הארגון שלך פרוס את DisableLocalAdminMerge המדיניות הקבוצתית, אתה עלול להיתקל במופעים שבהם מתן אפשרות ליישום לא להיכנס לתוקף.

עדכון משתמש קצה של יישומים חסומים

שאלה נפוצה היא, "כיצד משתמש קצה מעדכן יישום חסום?" הבלוק נאכף על-ידי חסימת קובץ ההפעלה. אפליקציות מסוימות, כגון Firefox, מסת משתמשות בקובץ הפעלה נפרד של עדכון, שאינו חסום על-ידי תכונה זו. במקרים אחרים, כאשר היישום דורש שקובץ ההפעלה הראשי יתעדכן, מומלץ ליישם את הבלוק במצב אזהרה (כך שמשתמש הקצה יוכל לעקוף את הבלוק) או לבקש ממשתמש הקצה למחוק את היישום (אם לא מאוחסן מידע חיוני בלקוח) ולאחר מכן התקן אותו מחדש.