次の方法で共有


脆弱なアプリケーションをブロックする

適用対象:

注:

この機能を使用するには、Microsoft Defender 脆弱性管理スタンドアロン、または既に Microsoft Defender for Endpoint Plan 2 のお客様である場合は、Defender 脆弱性管理アドオンが必要です。

脆弱性の修復には時間がかかり、IT チームの責任とリソースに依存する可能性があります。 セキュリティ管理者は、修復要求が完了するまで、現在知られているすべての脆弱なバージョンのアプリケーションをブロックする即時アクションを実行することで、脆弱性のリスクを一時的に軽減できます。 ブロック オプションを使用すると、IT チームは、その間に脆弱性が悪用されることを心配することなく、セキュリティ管理者がアプリケーションにパッチを適用する時間を与えます。

セキュリティに関する推奨事項によって推奨される修復手順を実行しながら、適切なアクセス許可を持つセキュリティ管理者は軽減アクションを実行し、脆弱なバージョンのアプリケーションをブロックできます。 侵害のファイル インジケーター (IOC) は、そのアプリケーションの脆弱なバージョンに属する実行可能ファイルごとに作成されます。 次に、Microsoft Defender ウイルス対策は、指定されたスコープ内のデバイスにブロックを適用します。

ヒント

Microsoft Defender 脆弱性管理のすべての機能を無料で試すことができることをご存知でしたか? 無料試用版にサインアップする方法について説明します。

軽減アクションをブロックまたは警告する

ブロック アクションは、組織内にインストールされているすべての脆弱なバージョンのアプリケーションの実行をブロックすることを目的としています。 たとえば、アクティブなゼロデイの脆弱性がある場合は、回避策のオプションを決定するときに、影響を受けるソフトウェアの実行をユーザーにブロックすることができます。

警告アクションは、脆弱なバージョンのアプリケーションを開いたときにユーザーに警告を送信することを目的としています。 ユーザーは、警告をバイパスし、後続の起動のためにアプリケーションにアクセスすることを選択できます。

どちらのアクションでも、ユーザーに表示されるメッセージをカスタマイズできます。 たとえば、最新バージョンのインストールを推奨できます。 さらに、ユーザーが通知を選択したときに移動するカスタム URL を指定することもできます。 ユーザーがカスタム URL に移動するには、トースト通知の本文を選択する必要があることに注意してください。 これは、組織内のアプリケーション管理に固有の追加の詳細を提供するために使用できます。

注:

ブロックアクションと警告アクションは通常、数分以内に適用されますが、最大で 3 時間かかることがあります。

最小要件

  • Microsoft Defender ウイルス対策 (アクティブ モード): ファイル実行イベントとブロックの検出では、Microsoft Defender ウイルス対策をアクティブ モードで有効にする必要があります。 設計上、ブロック モードのパッシブ モードと EDR は、ファイルの実行に基づいて検出およびブロックできません。 詳細については、「 Microsoft Defender ウイルス対策を展開する」を参照してください。
  • クラウド配信保護 (有効): 詳細については、「 クラウドベースの保護を管理する」を参照してください。
  • ファイルの許可またはブロック (オン):[設定]、[Endpoints>>Advanced features>Allow または block file に移動します。詳細については、「高度な機能」を参照してください。

バージョン要件

  • マルウェア対策クライアントのバージョンは 4.18.1901.x 以降である必要があります。
  • エンジンのバージョンは 1.1.16200.x 以降である必要があります。
  • 最新の Windows 更新プログラムがインストールされた Windows 10 デバイスバージョン 1809 以降でサポートされます。
  • Windows Server バージョン 2022、2019、2016、2012 R2、2008 R2 SP1 をサポートします。

アクセス許可

  • ロールベースのアクセス制御 (RBAC) を使用する場合は、脅威と脆弱性の管理 - アプリケーション処理のアクセス許可が割り当てられている必要があります。
  • RBAC を有効にしていない場合は、 セキュリティ管理者 または グローバル管理者のいずれかの Microsoft Entra ロールが割り当てられている必要があります。 アクセス許可の詳細については、 基本的なアクセス許可に関するページを参照してください。

重要

Microsoft では、アクセス許可が最も少ないロールを使用することをお勧めします。 アクセス許可の低いアカウントを使用すると、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急シナリオに限定する必要があります。

脆弱なアプリケーションをブロックする方法

  1. Microsoft Defender ポータル[脆弱性の管理>Recommendations] に移動します。

  2. セキュリティに関する推奨事項を選択すると、詳細が表示されたポップアップが表示されます。

  3. [ 修復の要求] を選択します

  4. 修復と軽減策をすべてのデバイス グループに適用するか、少数だけに適用するかを選択します。

  5. [修復要求] ページで 修復 オプションを選択します。 修復オプションは、ソフトウェアの更新、ソフトウェアのアンインストール、および注意が必要です。

  6. [修復期限] を選択し、[次へ] を選択します。

  7. [ 軽減策アクション] で、[ ブロック ] または [警告] を選択 します。 軽減アクションを送信すると、すぐに適用されます。

    軽減策アクション

  8. 行った選択内容と 送信要求を確認します。 最後のページで、修復ページに直接移動して修復アクティビティの進行状況を表示し、ブロックされているアプリケーションの一覧を表示できます。

重要

使用可能なデータに基づいて、ブロック アクションは、Microsoft Defender ウイルス対策を持つ組織内のエンドポイントに対して有効になります。 Microsoft Defender for Endpoint は、該当する脆弱なアプリケーションまたはバージョンの実行をブロックするためのベスト 試行を行います。

別のバージョンのアプリケーションで追加の脆弱性が見つかった場合は、アプリケーションの更新を求める新しいセキュリティ推奨事項が表示され、この異なるバージョンをブロックすることもできます。

ブロックがサポートされていない場合

修復の要求中に軽減策オプションが表示されない場合は、アプリケーションをブロックする機能が現在サポートされていないためです。 軽減アクションを含まない推奨事項は次のとおりです。

  • Microsoft アプリケーション
  • オペレーティング システムに関連する推奨事項
  • macOS と Linux 用のアプリに関連する推奨事項
  • Microsoft が十分な情報を持っていないアプリや、ブロックする信頼性の高いアプリ
  • Microsoft Store アプリは、Microsoft によって署名されているためブロックできません

アプリケーションをブロックしようとして機能しない場合は、最大インジケーター容量に達している可能性があります。 その場合は、古いインジケーターを削除できます 。インジケーターの詳細については、こちらをご覧ください

修復アクティビティを表示する

要求を送信したら、 脆弱性管理>Remediation>Activities に移動して、新しく作成された修復アクティビティを確認します。

軽減策の種類でフィルター処理する: ブロックまたは警告アクションに関連するすべてのアクティビティを表示するには、[ブロック] または [警告] を選択します。

これはアクティビティ ログであり、アプリケーションの現在のブロック状態ではありません。 関連するアクティビティを選択すると、修復の説明、軽減策の説明、デバイスの修復状態などの詳細が表示されたポップアップ パネルが表示されます。

修復と軽減策の詳細

ブロックされたアプリケーションを表示する

[修復>ブロックされたアプリケーション] タブに移動して、ブロックされているアプリケーションの一覧を見つけます。

ブロックされたアプリケーション

ブロックされたアプリケーションを選択して、脆弱性の数、悪用が利用可能かどうか、ブロックされたバージョン、修復アクティビティの詳細が表示されるポップアップを表示します。

[インジケーター] ページでブロックされたバージョンの詳細を表示するオプションを選択すると、[設定>Endpoints>Indicators] ページに移動し、ファイル ハッシュと応答アクションを表示できます。

注:

プログラムによるインジケーター クエリでインジケーター API をワークフローの一部として使用する場合は、ブロック アクションによって追加の結果が得られる点に注意してください。

現在、警告ポリシーに関連するいくつかの検出は、Microsoft Defender XDR や Microsoft Intune でアクティブなマルウェアとして表示される場合があります。 この動作は、今後のリリースで修正される予定です。

[ソフトウェアのブロックを解除する] または [ソフトウェアを開く] ページを開くこともできます。

ブロックされたアプリケーションの詳細

アプリケーションのブロックを解除する

ブロックされたアプリケーションを選択して、ポップアップで [ソフトウェアのブロックを解除 ] オプションを表示します。

アプリケーションのブロックを解除したら、ページを更新して、一覧から削除されたことを確認します。 アプリケーションのブロックが解除され、ユーザーが再度アクセスできるようになるには、最大で 3 時間かかることがあります。

ブロックされたアプリケーションのユーザー エクスペリエンス

ユーザーがブロックされたアプリケーションにアクセスしようとすると、アプリケーションが組織によって行われたことを知らせるメッセージが表示されます。 このメッセージはカスタマイズ可能です。

警告軽減オプションが適用されたアプリケーションの場合、ユーザーは、アプリケーションが組織によってブロックされたことを知らせるメッセージを受け取ります。 ユーザーには、[許可] を選択して、後続の起動のブロックをバイパスするオプションがあります。 この許可は一時的なもののみで、しばらくするとアプリケーションは再度ブロックされます。

注:

組織が DisableLocalAdminMerge グループ ポリシーを展開している場合は、アプリケーションを許可しても有効にならないインスタンスが発生する可能性があります。 この動作は、今後のリリースで修正される予定です。

エンド ユーザーによるブロックされたアプリケーションの更新

よく寄せられる質問は、エンド ユーザーがブロックされたアプリケーションをどのように更新するかです。 ブロックは、実行可能ファイルをブロックすることによって適用されます。 Firefox などの一部のアプリケーションは、この機能によってブロックされない別の更新実行可能ファイルに依存しています。 アプリケーションでメインの実行可能ファイルを更新する必要がある場合は、(エンド ユーザーがブロックをバイパスできるように) 警告モードでブロックを実装するか、エンド ユーザーがアプリケーションを削除して (重要な情報がクライアントに格納されていない場合)、アプリケーションを再インストールすることをお勧めします。