Megosztás a következőn keresztül:


A sebezhető alkalmazások letiltása

Érintett szolgáltatás:

Megjegyzés:

A funkció használatához a Microsoft Defender biztonságirés-kezelés önálló verziójára, vagy ha ön már a Microsoft Defender for Endpoint Plan 2 ügyfele, a Defender biztonságirés-kezelési bővítményre lesz szüksége.

A biztonsági rések elhárítása időbe telik, és függhet az informatikai csapat felelősségétől és erőforrásaitól. A biztonsági rendszergazdák ideiglenesen csökkenthetik a biztonsági rések kockázatát, ha azonnali intézkedéseket hajtanak végre az alkalmazás összes jelenleg ismert sebezhető verziójának blokkolásához, amíg a javítási kérelem be nem fejeződik. A letiltási lehetőség időt biztosít az informatikai csapatoknak arra, hogy biztonsági rendszergazdák nélkül javíthassák az alkalmazást, mert aggódnak, hogy addig is kihasználják a biztonsági réseket.

A biztonsági javaslatok által javasolt javítási lépések végrehajtása során a megfelelő engedélyekkel rendelkező biztonsági rendszergazdák kockázatcsökkentési műveletet hajthatnak végre, és letilthatják az alkalmazások sebezhető verzióit. A biztonsági rések (IOC-k) fájljelölői az alkalmazás sebezhető verzióihoz tartozó minden végrehajtható fájlhoz létrejönnek. A Microsoft Defender víruskereső ezután kikényszeríti a blokkokat a megadott hatókörben lévő eszközökön.

Tipp

Tudta, hogy ingyenesen kipróbálhatja a Microsoft Defender biztonságirés-kezelés összes funkcióját? Megtudhatja, hogyan regisztrálhat az ingyenes próbaverzióra.

Kockázatcsökkentési művelet letiltása vagy figyelmeztetése

A blokkművelet célja, hogy megakadályozza az alkalmazás összes telepített sebezhető verzióját a szervezetben. Ha például aktív nulladik napi biztonsági rés áll fenn, letilthatja a felhasználókat az érintett szoftverek futtatásában, miközben meghatározza a megkerülési lehetőségeket.

A figyelmeztetési művelet célja, hogy figyelmeztetést küldjön a felhasználóknak, amikor megnyitják az alkalmazás sebezhető verzióit. A felhasználók megkerülhetik a figyelmeztetést, és hozzáférhetnek az alkalmazáshoz a későbbi indításokhoz.

Mindkét művelet esetében testre szabhatja a felhasználók számára megjelenő üzenetet. Bátoríthatja például őket a legújabb verzió telepítésére. Emellett megadhat egy egyéni URL-címet is, amelybe a felhasználók az értesítés kiválasztásakor navigálnak. Vegye figyelembe, hogy a felhasználónak ki kell választania a bejelentési értesítés törzsét az egyéni URL-címre való navigáláshoz. Ezzel további részleteket adhat meg a szervezet alkalmazáskezelésével kapcsolatban.

Megjegyzés:

A blokkolási és figyelmeztetési műveletek általában néhány percen belül érvénybe lépnek, de akár 3 órát is igénybe vehetnek.

Minimális követelmények

  • Microsoft Defender víruskereső (aktív mód): A fájlvégrehajtási események észleléséhez és blokkolásához engedélyezni kell a Microsoft Defender víruskeresőt aktív módban. A passzív mód és az EDR blokk módban nem képes észlelni és blokkolni a fájlvégrehajtás alapján. További információ: A Microsoft Defender víruskereső telepítése.
  • Felhőben biztosított védelem (engedélyezve): További információ: Felhőalapú védelem kezelése.
  • Fájl engedélyezése vagy letiltása (be): Lépjen a Beállítások>Végpontok>Speciális funkciók>Fájl engedélyezése vagy letiltása területre. További információ: Speciális funkciók.

Verziókövetelmények

  • A Kártevőirtó ügyfélverziónak 4.18.1901.x vagy újabb verziónak kell lennie.
  • A motorverziónak 1.1.16200.x vagy újabb verziónak kell lennie.
  • Windows 10 rendszerű eszközökön támogatott, 1809-es vagy újabb verzió, a legújabb Windows-frissítésekkel.
  • A Windows Server 2022,2019, 2016, 2012 R2 és 2008 R2 SP1 verzióit támogatja.

Engedélyek

  • Ha szerepköralapú hozzáférés-vezérlést (RBAC) használ, akkor hozzá kell rendelnie a Fenyegetés- és biztonságirés-kezelés – Alkalmazáskezelési engedélyt.
  • Ha még nem kapcsolta be az RBAC-t, a következő Microsoft Entra-szerepkörök egyikével kell rendelkeznie: biztonsági rendszergazda vagy globális rendszergazda. Az engedélyekkel kapcsolatos további információkért lépjen az Alapszintű engedélyek területre.

Fontos

A Microsoft azt javasolja, hogy a legkevesebb engedéllyel rendelkező szerepköröket használja. Az alacsonyabb engedélyekkel rendelkező fiókok használata segít a szervezet biztonságának javításában. A globális rendszergazda egy kiemelt jogosultságokkal rendelkező szerepkör, amelyet vészhelyzeti helyzetekre kell korlátozni, ha nem használhat meglévő szerepkört.

A sebezhető alkalmazások letiltása

  1. Lépjen a Biztonságirés-kezelési>javaslatok lapra a Microsoft Defender portálon.

  2. Válasszon ki egy biztonsági javaslatot a további információkat tartalmazó úszó panel megtekintéséhez.

  3. Válassza a Szervizelés kérése lehetőséget.

  4. Válassza ki, hogy a szervizelést és a kockázatcsökkentést az összes eszközcsoportra vagy csak néhányra szeretné-e alkalmazni.

  5. Válassza ki a szervizelési beállításokat a Szervizelési kérelem lapon. A szervizelési lehetőségek a szoftverfrissítés, a szoftver eltávolítása és a szükséges beavatkozás.

  6. Válasszon ki egy szervizelési határidőt , és válassza a Tovább gombot.

  7. A Kockázatcsökkentési művelet területen válassza a Blokkolás vagy a Figyelmeztetés lehetőséget. A kockázatcsökkentési művelet elküldése után a művelet azonnal érvénybe lép.

    Kockázatcsökkentési művelet

  8. Tekintse át a kiválasztott beállításokat és a Kérelem elküldése lehetőséget. Az utolsó oldalon közvetlenül a szervizelési oldalra léphet a javítási tevékenységek előrehaladásának megtekintéséhez és a letiltott alkalmazások listájának megtekintéséhez.

Fontos

A rendelkezésre álló adatok alapján a blokkművelet a Microsoft Defender víruskeresővel rendelkező szervezet végpontjaira lép érvénybe. A Végponthoz készült Microsoft Defender mindent megtesz annak érdekében, hogy megakadályozza a megfelelő sebezhető alkalmazás vagy verzió futtatását.

Ha egy alkalmazás egy másik verziójában további biztonsági rések találhatók, új biztonsági javaslatot kap, amely az alkalmazás frissítését kéri, és dönthet úgy is, hogy letiltja ezt a másik verziót.

Ha a blokkolás nem támogatott

Ha nem látja a megoldási lehetőséget a szervizelés kérése közben, annak az az oka, hogy az alkalmazás blokkolásának lehetősége jelenleg nem támogatott. A kockázatcsökkentési műveleteket nem tartalmazó javaslatok a következők:

  • Microsoft-alkalmazások
  • Az operációs rendszerekkel kapcsolatos javaslatok
  • Javaslatok a macOS- és Linux-alkalmazásokhoz
  • Olyan alkalmazások, amelyekben a Microsoft nem rendelkezik elegendő információval, vagy amelyek nagy megbízhatósággal blokkolhatók
  • Microsoft Store-alkalmazások, amelyeket nem lehet letiltani, mert a Microsoft aláírta őket

Ha blokkolni próbál egy alkalmazást, de az nem működik, előfordulhat, hogy elérte a maximális mutatókapacitást. Ha igen, törölheti a régi mutatókat További információ a mutatókról.

Szervizelési tevékenységek megtekintése

A kérelem elküldése után lépjen a Biztonságirés-kezelési>szervizelési>tevékenységek lapra az újonnan létrehozott szervizelési tevékenység megtekintéséhez.

Szűrés kockázatcsökkentési típus szerint: Letiltás és/vagy Figyelmeztetés a letiltási vagy figyelmeztetési műveletekhez kapcsolódó összes tevékenység megtekintéséhez.

Ez egy tevékenységnapló, nem pedig az alkalmazás aktuális blokkállapota. Válassza ki a megfelelő tevékenységet egy úszó panel megtekintéséhez, amely tartalmazza a szervizelési leírást, a kockázatcsökkentés leírását és az eszköz szervizelési állapotát:

A szervizelés és a kockázatcsökkentés részletei

Letiltott alkalmazások megtekintése

A letiltott alkalmazások listáját aLetiltott alkalmazásokszervizelése> lapon találja:

Letiltott alkalmazás

Válasszon ki egy letiltott alkalmazást egy úszó panel megtekintéséhez, amely részletesen ismerteti a biztonsági rések számát, a biztonsági rések elérhetőségét, a letiltott verziókat és a javítási tevékenységeket.

A Mutató lapon a letiltott verziók részleteinek megtekintésére szolgáló lehetőség a Beállítások>végpontok mutatói> lapra irányítja, ahol megtekintheti a fájlkivonatokat és a válaszműveleteket.

Megjegyzés:

Ha a Indicators API-t programozott jelző lekérdezésekkel használja a munkafolyamatok részeként, vegye figyelembe, hogy a blokkművelet további eredményeket ad.

A figyelmeztetési szabályzatokhoz kapcsolódó egyes észlelések jelenleg aktív kártevőként jelenhetnek meg a Microsoft Defender XDR-ben és/vagy a Microsoft Intune-ban. Ezt a viselkedést egy későbbi kiadásban kijavítjuk.

A szoftver tiltásának feloldására vagy a Szoftver megnyitása lapra is lehetősége van:

Letiltott alkalmazás részletei

Alkalmazások tiltásának feloldása

Válasszon ki egy letiltott alkalmazást a szoftver tiltásának feloldására vonatkozó lehetőség megtekintéséhez az úszó panelen.

Miután feloldott egy alkalmazást, frissítse a lapot, hogy az el legyen távolítva a listából. Akár 3 órába is telhet, amíg egy alkalmazás feloldható, és ismét elérhetővé válik a felhasználók számára.

Letiltott alkalmazások felhasználói élménye

Amikor a felhasználók megpróbálnak hozzáférni egy letiltott alkalmazáshoz, egy üzenet tájékoztatja őket arról, hogy az alkalmazást a szervezetük hozta létre. Ez az üzenet testre szabható.

Az olyan alkalmazások esetében, ahol a figyelmeztetés kockázatcsökkentési lehetőség volt érvényben, a felhasználók egy üzenetet kapnak, amely tájékoztatja őket arról, hogy az alkalmazást letiltotta a szervezetük. A felhasználó az "Engedélyezés" lehetőséget választva megkerülheti a blokkot a későbbi indításokhoz. Ez az engedélyezés csak ideiglenes, és az alkalmazás egy idő után ismét le lesz tiltva.

Megjegyzés:

Ha a szervezete telepítette a DisableLocalAdminMerge csoportházirendet, előfordulhat, hogy olyan eseteket tapasztal, amikor egy alkalmazás engedélyezése nem lép érvénybe. Ezt a viselkedést egy későbbi kiadásban kijavítjuk.

Letiltott alkalmazások végfelhasználói frissítése

Gyakori kérdés, hogy a végfelhasználó hogyan frissíti a letiltott alkalmazásokat? A letiltást a végrehajtható fájl blokkolásával kényszeríti ki a rendszer. Egyes alkalmazások, például a Firefox, egy külön végrehajtható frissítésre támaszkodnak, amelyet ez a funkció nem fog blokkolni. Más esetekben, amikor az alkalmazás a fő végrehajtható fájl frissítését igényli, javasoljuk, hogy a blokkot figyelmeztetési módban implementálja (hogy a végfelhasználó megkerülhesse a blokkot), vagy a végfelhasználó törölheti az alkalmazást (ha az ügyfél nem tárol létfontosságú információkat), és újratelepítheti az alkalmazást.