A sebezhető alkalmazások letiltása
Érintett szolgáltatás:
- Microsoft Defender biztonságirés-kezelése
- Microsoft Defender XDR
- Microsoft Defender a 2. csomag kiszolgálóihoz
Megjegyzés:
A funkció használatához Microsoft Defender biztonságirés-kezelés Önálló verzióra, vagy ha már Végponthoz készült Microsoft Defender 2. csomag ügyfél, a Defender biztonságirés-kezelési bővítményre lesz szüksége.
A biztonsági rések elhárítása időbe telik, és függhet az informatikai csapat felelősségétől és erőforrásaitól. A biztonsági rendszergazdák ideiglenesen csökkenthetik a biztonsági rések kockázatát, ha azonnali intézkedéseket hajtanak végre az alkalmazás összes jelenleg ismert sebezhető verziójának blokkolásához, amíg a javítási kérelem be nem fejeződik. A letiltási lehetőség időt biztosít az informatikai csapatoknak arra, hogy biztonsági rendszergazdák nélkül javíthassák az alkalmazást, mert aggódnak, hogy addig is kihasználják a biztonsági réseket.
A biztonsági javaslatok által javasolt javítási lépések végrehajtása során a megfelelő engedélyekkel rendelkező biztonsági rendszergazdák kockázatcsökkentési műveletet hajthatnak végre, és letilthatják az alkalmazások sebezhető verzióit. A biztonsági rések (IOC-k) fájljelölői az alkalmazás sebezhető verzióihoz tartozó minden végrehajtható fájlhoz létrejönnek. Microsoft Defender víruskereső ezután letiltja a megadott hatókörben lévő eszközöket.
Tipp
Tudta, hogy ingyenesen kipróbálhatja az Microsoft Defender biztonságirés-kezelés összes funkcióját? Megtudhatja, hogyan regisztrálhat az ingyenes próbaverzióra.
Kockázatcsökkentési művelet letiltása vagy figyelmeztetése
A blokkművelet célja, hogy megakadályozza az alkalmazás összes telepített sebezhető verzióját a szervezetben. Ha például aktív nulladik napi biztonsági rés áll fenn, letilthatja a felhasználókat az érintett szoftverek futtatásában, miközben meghatározza a megkerülési lehetőségeket.
A figyelmeztetési művelet célja, hogy figyelmeztetést küldjön a felhasználóknak, amikor megnyitják az alkalmazás sebezhető verzióit. A felhasználók megkerülhetik a figyelmeztetést, és hozzáférhetnek az alkalmazáshoz a későbbi indításokhoz.
Mindkét művelet esetében testre szabhatja a felhasználók számára megjelenő üzenetet. Bátoríthatja például őket a legújabb verzió telepítésére. Emellett megadhat egy egyéni URL-címet is, amelybe a felhasználók az értesítés kiválasztásakor navigálnak. Vegye figyelembe, hogy a felhasználónak ki kell választania a bejelentési értesítés törzsét az egyéni URL-címre való navigáláshoz. Ezzel további részleteket adhat meg a szervezet alkalmazáskezelésével kapcsolatban.
Megjegyzés:
A blokkolási és figyelmeztetési műveletek általában néhány percen belül érvénybe lépnek, de akár 3 órát is igénybe vehetnek.
Minimális követelmények
- Microsoft Defender víruskereső (aktív mód): A fájlvégrehajtási események és a blokkolás észleléséhez engedélyezni kell Microsoft Defender víruskeresőt aktív módban. A passzív mód és az EDR blokk módban nem képes észlelni és blokkolni a fájlvégrehajtás alapján. További információ: Microsoft Defender víruskereső üzembe helyezése.
- Felhőben biztosított védelem (engedélyezve): További információ: Felhőalapú védelem kezelése.
- Fájl engedélyezése vagy letiltása (be): Lépjen a Beállítások>Végpontok>Speciális funkciók>Fájl engedélyezése vagy letiltása területre. További információ: Speciális funkciók.
Verziókövetelmények
- A Kártevőirtó ügyfélverziónak 4.18.1901.x vagy újabb verziónak kell lennie.
- A motorverziónak 1.1.16200.x vagy újabb verziónak kell lennie.
- Windows 10 eszközökön támogatott, 1809-es vagy újabb verzió, telepített windowsos legújabb frissítésekkel.
Engedélyek
- Ha szerepköralapú hozzáférés-vezérlést (RBAC) használ, akkor hozzá kell rendelnie a Fenyegetés- és biztonságirés-kezelés – Alkalmazáskezelési engedélyt.
- Ha még nem kapcsolta be az RBAC-t, a következő Microsoft Entra szerepkörök egyikével kell rendelkeznie: biztonsági rendszergazda vagy globális rendszergazda. Az engedélyekkel kapcsolatos további információkért lépjen az Alapszintű engedélyek területre.
A sebezhető alkalmazások letiltása
Lépjen a Biztonságirés-kezelési>javaslatok elemre a Microsoft Defender portálon.
Válasszon ki egy biztonsági javaslatot a további információkat tartalmazó úszó panel megtekintéséhez.
Válassza a Szervizelés kérése lehetőséget.
Válassza ki, hogy a szervizelést és a kockázatcsökkentést az összes eszközcsoportra vagy csak néhányra szeretné-e alkalmazni.
Válassza ki a szervizelési beállításokat a Szervizelési kérelem lapon. A szervizelési lehetőségek a szoftverfrissítés, a szoftver eltávolítása és a szükséges beavatkozás.
Válasszon ki egy szervizelési határidőt , és válassza a Tovább gombot.
A Kockázatcsökkentési művelet területen válassza a Blokkolás vagy a Figyelmeztetés lehetőséget. A kockázatcsökkentési művelet elküldése után a művelet azonnal érvénybe lép.
Tekintse át a kiválasztott beállításokat és a Kérelem elküldése lehetőséget. Az utolsó oldalon közvetlenül a szervizelési oldalra léphet a javítási tevékenységek előrehaladásának megtekintéséhez és a letiltott alkalmazások listájának megtekintéséhez.
Fontos
A rendelkezésre álló adatok alapján a blokkművelet a szervezet azon végpontjaira lép érvénybe, amelyek Microsoft Defender víruskeresővel rendelkeznek. Végponthoz készült Microsoft Defender mindent megtesz annak érdekében, hogy blokkolja a megfelelő sebezhető alkalmazást vagy verziót.
Ha egy alkalmazás egy másik verziójában további biztonsági rések találhatók, új biztonsági javaslatot kap, amely az alkalmazás frissítését kéri, és dönthet úgy is, hogy letiltja ezt a másik verziót.
Ha a blokkolás nem támogatott
Ha nem látja a megoldási lehetőséget a szervizelés kérése közben, annak az az oka, hogy az alkalmazás blokkolásának lehetősége jelenleg nem támogatott. A kockázatcsökkentési műveleteket nem tartalmazó javaslatok a következők:
- Microsoft-alkalmazások
- Az operációs rendszerekkel kapcsolatos javaslatok
- Javaslatok a macOS- és Linux-alkalmazásokhoz
- Olyan alkalmazások, amelyekben a Microsoft nem rendelkezik elegendő információval, vagy amelyek nagy megbízhatósággal blokkolhatók
- Microsoft Store-alkalmazások, amelyeket nem lehet letiltani, mert a Microsoft aláírta őket
Ha blokkolni próbál egy alkalmazást, de az nem működik, előfordulhat, hogy elérte a maximális mutatókapacitást. Ha igen, törölheti a régi mutatókat További információ a mutatókról.
Szervizelési tevékenységek megtekintése
A kérelem elküldése után lépjen a Biztonságirés-kezelési>szervizelési>tevékenységek lapra az újonnan létrehozott szervizelési tevékenység megtekintéséhez.
Szűrés kockázatcsökkentési típus szerint: Letiltás és/vagy Figyelmeztetés a letiltási vagy figyelmeztetési műveletekhez kapcsolódó összes tevékenység megtekintéséhez.
Ez egy tevékenységnapló, nem pedig az alkalmazás aktuális blokkállapota. Válassza ki a megfelelő tevékenységet egy úszó panel megtekintéséhez, amely tartalmazza a szervizelési leírást, a kockázatcsökkentés leírását és az eszköz szervizelési állapotát:
Letiltott alkalmazások megtekintése
A letiltott alkalmazások listáját aLetiltott alkalmazásokszervizelése> lapon találja:
Válasszon ki egy letiltott alkalmazást egy úszó panel megtekintéséhez, amely részletesen ismerteti a biztonsági rések számát, a biztonsági rések elérhetőségét, a letiltott verziókat és a javítási tevékenységeket.
A Mutató lapon a letiltott verziók részleteinek megtekintésére szolgáló lehetőség a Beállítások>végpontok mutatói> lapra irányítja, ahol megtekintheti a fájlkivonatokat és a válaszműveleteket.
Megjegyzés:
Ha a Indicators API-t programozott jelző lekérdezésekkel használja a munkafolyamatok részeként, vegye figyelembe, hogy a blokkművelet további eredményeket ad.
A figyelmeztetési szabályzatokhoz kapcsolódó egyes észlelések jelenleg aktív kártevőként jelenhetnek meg Microsoft Defender XDR és/vagy Microsoft Intune. Ezt a viselkedést egy későbbi kiadásban kijavítjuk.
A szoftver tiltásának feloldására vagy a Szoftver megnyitása lapra is lehetősége van:
Alkalmazások tiltásának feloldása
Válasszon ki egy letiltott alkalmazást a szoftver tiltásának feloldására vonatkozó lehetőség megtekintéséhez az úszó panelen.
Miután feloldott egy alkalmazást, frissítse a lapot, hogy az el legyen távolítva a listából. Akár 3 órába is telhet, amíg egy alkalmazás feloldható, és ismét elérhetővé válik a felhasználók számára.
Letiltott alkalmazások felhasználói élménye
Amikor a felhasználók megpróbálnak hozzáférni egy letiltott alkalmazáshoz, egy üzenet tájékoztatja őket arról, hogy az alkalmazást a szervezetük hozta létre. Ez az üzenet testre szabható.
Az olyan alkalmazások esetében, ahol a figyelmeztetés kockázatcsökkentési lehetőség volt érvényben, a felhasználók egy üzenetet kapnak, amely tájékoztatja őket arról, hogy az alkalmazást letiltotta a szervezetük. A felhasználó az "Engedélyezés" lehetőséget választva megkerülheti a blokkot a későbbi indításokhoz. Ez az engedélyezés csak ideiglenes, és az alkalmazás egy idő után ismét le lesz tiltva.
Megjegyzés:
Ha a szervezete telepítette a DisableLocalAdminMerge csoportházirendet, előfordulhat, hogy olyan eseteket tapasztal, amikor egy alkalmazás engedélyezése nem lép érvénybe. Ezt a viselkedést egy későbbi kiadásban kijavítjuk.
Letiltott alkalmazások végfelhasználói frissítése
Gyakori kérdés, hogy a végfelhasználó hogyan frissíti a letiltott alkalmazásokat? A letiltást a végrehajtható fájl blokkolásával kényszeríti ki a rendszer. Egyes alkalmazások, például a Firefox, egy külön végrehajtható frissítésre támaszkodnak, amelyet ez a funkció nem fog blokkolni. Más esetekben, amikor az alkalmazás a fő végrehajtható fájl frissítését igényli, javasoljuk, hogy a blokkot figyelmeztetési módban implementálja (hogy a végfelhasználó megkerülhesse a blokkot), vagy a végfelhasználó törölheti az alkalmazást (ha az ügyfél nem tárol létfontosságú információkat), és újratelepítheti az alkalmazást.
Kapcsolódó cikkek
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: