Kwetsbare toepassingen blokkeren
Van toepassing op:
- Microsoft Defender Vulnerability Management
- Microsoft Defender XDR
- Microsoft Defender voor servers, abonnement 2
Opmerking
Als u deze functie wilt gebruiken, hebt u Microsoft Defender Vulnerability Management Standalone nodig of als u al een klant van Microsoft Defender voor Eindpunt Abonnement 2 bent, de Defender Vulnerability Management-invoegtoepassing.
Het oplossen van beveiligingsproblemen kost tijd en kan afhankelijk zijn van de verantwoordelijkheden en resources van het IT-team. Beveiligingsbeheerders kunnen het risico op een beveiligingsprobleem tijdelijk verminderen door onmiddellijk actie te ondernemen om alle momenteel bekende kwetsbare versies van een toepassing te blokkeren, totdat de herstelaanvraag is voltooid. De optie blokkeren geeft IT-teams de tijd om de toepassing te patchen zonder dat beveiligingsbeheerders zich zorgen hoeven te maken dat de beveiligingsproblemen in de tussentijd worden misbruikt.
Tijdens het uitvoeren van de herstelstappen die worden voorgesteld door een beveiligingsaanbeveling, kunnen beveiligingsbeheerders met de juiste machtigingen een beperkingsactie uitvoeren en kwetsbare versies van een toepassing blokkeren. Bestandsindicatoren van inbreuk (IOC)s worden gemaakt voor elk van de uitvoerbare bestanden die behoren tot kwetsbare versies van die toepassing. Microsoft Defender Antivirus dwingt vervolgens blokken af op de apparaten die zich binnen het opgegeven bereik bevinden.
Tip
Wist u dat u alle functies in Microsoft Defender Vulnerability Management gratis kunt uitproberen? Meer informatie over hoe u zich kunt aanmelden voor een gratis proefversie.
Beperkingsactie blokkeren of waarschuwen
De blokkeringsactie is bedoeld om te voorkomen dat alle geïnstalleerde kwetsbare versies van de toepassing in uw organisatie worden uitgevoerd. Als er bijvoorbeeld een actief zero-day-beveiligingsprobleem is, kunt u voorkomen dat uw gebruikers de betreffende software uitvoeren terwijl u de opties voor het werken bepaalt.
De waarschuwingsactie is bedoeld om een waarschuwing te verzenden naar uw gebruikers wanneer ze kwetsbare versies van de toepassing openen. Gebruikers kunnen ervoor kiezen om de waarschuwing te omzeilen en toegang te krijgen tot de toepassing voor volgende lanceringen.
Voor beide acties kunt u het bericht aanpassen dat de gebruikers zien. U kunt ze bijvoorbeeld aanmoedigen om de nieuwste versie te installeren. Daarnaast kunt u een aangepaste URL opgeven waarnaar gebruikers navigeren wanneer ze de melding selecteren. Houd er rekening mee dat de gebruiker de hoofdtekst van de pop-upmelding moet selecteren om naar de aangepaste URL te navigeren. Dit kan worden gebruikt om aanvullende details te verstrekken die specifiek zijn voor het toepassingsbeheer in uw organisatie.
Opmerking
De blok- en waarschuwingsacties worden doorgaans binnen een paar minuten afgedwongen, maar kunnen maximaal 3 uur duren.
Minimumvereisten
- Microsoft Defender Antivirus (actieve modus): voor het detecteren van gebeurtenissen voor het uitvoeren van bestanden en het blokkeren moet Microsoft Defender Antivirus zijn ingeschakeld in de actieve modus. De passieve modus en EDR in de blokmodus kunnen standaard niet worden gedetecteerd en geblokkeerd op basis van bestandsuitvoering. Zie Microsoft Defender Antivirus implementeren voor meer informatie.
- Cloudbeveiliging (ingeschakeld): zie Cloudbeveiliging beheren voor meer informatie.
- Bestand toestaan of blokkeren (aan): ga naar Instellingen>Eindpunten>Geavanceerde functies>Bestand toestaan of blokkeren. Zie Geavanceerde functies voor meer informatie.
Versievereisten
- De versie van de Antimalware-client moet 4.18.1901.x of hoger zijn.
- De engineversie moet 1.1.16200.x of hoger zijn.
- Wordt ondersteund op Windows 10 apparaten, versie 1809 of hoger, met de nieuwste Windows-updates geïnstalleerd.
Machtigingen
- Als u op rollen gebaseerd toegangsbeheer (RBAC) gebruikt, moet de machtiging Bedreigings- en beveiligingsbeheer - Toepassingsafhandeling zijn toegewezen.
- Als u RBAC niet hebt ingeschakeld, moet een van de volgende Microsoft Entra rollen zijn toegewezen: beveiligingsbeheerder of globale beheerder. Ga naar Basismachtigingen voor meer informatie over machtigingen.
Kwetsbare toepassingen blokkeren
Ga naarAanbevelingenvoor beveiligingsbeheer> in de Microsoft Defender-portal.
Selecteer een beveiligingsaan aanbeveling om een flyout met meer informatie weer te geven.
Selecteer Herstel aanvragen.
Selecteer of u het herstel en de beperking wilt toepassen op alle apparaatgroepen of slechts een paar.
Selecteer de herstelopties op de pagina Herstelaanvraag . De herstelopties zijn software-update, software-verwijdering en aandacht vereist.
Kies een einddatum voor herstel en selecteer Volgende.
Selecteer onder Beperkingsactiede optie Blokkeren of Waarschuwen. Zodra u een beperkingsactie hebt ingediend, wordt deze onmiddellijk toegepast.
Controleer de selecties die u hebt gemaakt en aanvraag indienen. Op de laatste pagina kunt u ervoor kiezen om rechtstreeks naar de herstelpagina te gaan om de voortgang van herstelactiviteiten te bekijken en de lijst met geblokkeerde toepassingen te bekijken.
Belangrijk
Op basis van de beschikbare gegevens wordt de blokkeringsactie van kracht op eindpunten in de organisatie die Microsoft Defender Antivirus hebben. Microsoft Defender voor Eindpunt probeert de uitvoering van de toepasselijke kwetsbare toepassing of versie te blokkeren.
Als er extra beveiligingsproblemen worden aangetroffen in een andere versie van een toepassing, krijgt u een nieuwe beveiligingsaanaanveling, waarin u wordt gevraagd de toepassing bij te werken en kunt u ervoor kiezen om ook deze andere versie te blokkeren.
Wanneer blokkeren niet wordt ondersteund
Als u de beperkingsoptie niet ziet tijdens het aanvragen van een herstel, komt dit doordat de mogelijkheid om de toepassing te blokkeren momenteel niet wordt ondersteund. Aanbevelingen die geen risicobeperkingsacties bevatten, zijn onder andere:
- Microsoft-toepassingen
- Aanbevelingen met betrekking tot besturingssystemen
- Aanbevelingen met betrekking tot apps voor macOS en Linux
- Apps waarvoor Microsoft onvoldoende informatie of een hoge betrouwbaarheid heeft om te blokkeren
- Microsoft Store-apps, die niet kunnen worden geblokkeerd omdat ze zijn ondertekend door Microsoft
Als u een toepassing probeert te blokkeren en deze niet werkt, hebt u mogelijk de maximale indicatorcapaciteit bereikt. Als dat het zo is, kunt u oude indicatoren verwijderen Meer informatie over indicatoren.
Herstelactiviteiten weergeven
Nadat u de aanvraag hebt ingediend, gaat u naarHerstelactiviteiten> voor beveiligingsbeheer> om de zojuist gemaakte herstelactiviteit te bekijken.
Filteren op beperkingstype: Blokkeren en/of waarschuwen om alle activiteiten met betrekking tot blok- of waarschuwingsacties weer te geven.
Dit is een activiteitenlogboek en niet de huidige blokstatus van de toepassing. Selecteer de relevante activiteit om een flyoutvenster weer te geven met details, waaronder de beschrijving van het herstel, de beschrijving van de risicobeperking en de herstelstatus van het apparaat:
Geblokkeerde toepassingen weergeven
Zoek de lijst met geblokkeerde toepassingen door naar hettabbladHerstel geblokkeerde toepassingen te > gaan:
Selecteer een geblokkeerde toepassing om een flyout weer te geven met details over het aantal beveiligingsproblemen, of exploits beschikbaar zijn, geblokkeerde versies en herstelactiviteiten.
De optie Details van geblokkeerde versies weergeven op de pagina Indicator brengt u naarde paginaInstellingen>Eindpuntindicatoren>, waar u de bestands-hashes en reactieacties kunt bekijken.
Opmerking
Als u de Indicatoren-API gebruikt met programmatische indicatorquery's als onderdeel van uw werkstromen, moet u er rekening mee houden dat de blokkeringsactie extra resultaten oplevert.
Momenteel kunnen sommige detecties met betrekking tot waarschuwingsbeleid worden weergegeven als actieve malware in Microsoft Defender XDR en/of Microsoft Intune. Dit gedrag wordt opgelost in een toekomstige release.
U kunt ook de blokkering van software opheffen of de pagina Software openen:
Toepassingen deblokkeren
Selecteer een geblokkeerde toepassing om de optie voor het deblokkeren van software in de flyout weer te geven.
Nadat u de blokkering van een toepassing hebt opgeheven, vernieuwt u de pagina zodat deze uit de lijst wordt verwijderd. Het kan tot 3 uur duren voordat een toepassing is gedeblokkeerd en weer toegankelijk is voor uw gebruikers.
Gebruikerservaring voor geblokkeerde toepassingen
Wanneer gebruikers toegang proberen te krijgen tot een geblokkeerde toepassing, ontvangen ze een bericht met de mededeling dat de toepassing door hun organisatie is uitgevoerd. Dit bericht kan worden aangepast.
Voor toepassingen waarop de waarschuwingsbeperkingsoptie is toegepast, ontvangen gebruikers een bericht met de mededeling dat de toepassing is geblokkeerd door hun organisatie. De gebruiker heeft de optie om de blokkering voor volgende lanceringen te omzeilen door 'Toestaan' te kiezen. Deze machtiging is slechts tijdelijk en de toepassing wordt na een tijdje weer geblokkeerd.
Opmerking
Als uw organisatie het groepsbeleid DisableLocalAdminMerge heeft geïmplementeerd, kunnen er exemplaren optreden waarbij het toestaan van een toepassing niet van kracht wordt. Dit gedrag wordt opgelost in een toekomstige release.
Eindgebruikers die geblokkeerde toepassingen bijwerken
Een veelgestelde vraag is hoe een eindgebruiker een geblokkeerde toepassing bijwerkt? De blokkering wordt afgedwongen door het uitvoerbare bestand te blokkeren. Sommige toepassingen, zoals Firefox, zijn afhankelijk van een afzonderlijk uitvoerbare update, die niet wordt geblokkeerd door deze functie. In andere gevallen waarin de toepassing vereist dat het belangrijkste uitvoerbare bestand moet worden bijgewerkt, is het raadzaam om het blok in de waarschuwingsmodus te implementeren (zodat de eindgebruiker het blok kan omzeilen) of de eindgebruiker de toepassing kan verwijderen (als er geen essentiële informatie op de client is opgeslagen) en de toepassing opnieuw installeert.
Verwante artikelen
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor