Bloquear aplicativos vulneráveis
Aplica-se a:
- Gerenciamento de Vulnerabilidades do Microsoft Defender
- Microsoft Defender XDR
- Microsoft Defender para Servidores Plano 2
Observação
Para usar esse recurso, você precisará Gerenciamento de Vulnerabilidades do Microsoft Defender Autônomo ou se já for um cliente do Plano 2 Microsoft Defender para Ponto de Extremidade, o complemento gerenciamento de vulnerabilidades do Defender.
Corrigir vulnerabilidades leva tempo e pode depender das responsabilidades e recursos da equipe de TI. Os administradores de segurança podem reduzir temporariamente o risco de uma vulnerabilidade tomando medidas imediatas para bloquear todas as versões vulneráveis atualmente conhecidas de um aplicativo, até que a solicitação de correção seja concluída. A opção de bloco dá tempo para as equipes de TI corrigirem o aplicativo sem que os administradores de segurança se preocupem que as vulnerabilidades serão exploradas nesse meio tempo.
Ao tomar as etapas de correção sugeridas por uma recomendação de segurança, os administradores de segurança com as permissões adequadas podem executar uma ação de mitigação e bloquear versões vulneráveis de um aplicativo. Os indicadores de arquivo de comprometimento (COI) são criados para cada um dos arquivos executáveis que pertencem a versões vulneráveis desse aplicativo. Microsoft Defender Antivírus impõe blocos nos dispositivos que estão no escopo especificado.
Dica
Você sabia que pode experimentar todos os recursos em Gerenciamento de Vulnerabilidades do Microsoft Defender gratuitamente? Descubra como se inscrever para uma avaliação gratuita.
Bloquear ou alertar a ação de mitigação
A ação de bloco destina-se a impedir que todas as versões vulneráveis instaladas do aplicativo em sua organização sejam executadas. Por exemplo, se houver uma vulnerabilidade ativa de zero dias, você poderá impedir que seus usuários executem o software afetado enquanto você determina as opções de trabalho.
A ação de aviso destina-se a enviar um aviso aos usuários quando eles abrem versões vulneráveis do aplicativo. Os usuários podem optar por ignorar o aviso e acessar o aplicativo para lançamentos subsequentes.
Para ambas as ações, você pode personalizar a mensagem que os usuários veem. Por exemplo, você pode incentivá-los a instalar a versão mais recente. Além disso, você pode fornecer uma URL personalizada para a qual os usuários navegam quando selecionam a notificação. Observe que o usuário deve selecionar o corpo da notificação de torrada para navegar até a URL personalizada. Isso pode ser usado para fornecer detalhes adicionais específicos para o gerenciamento de aplicativos em sua organização.
Observação
As ações de bloqueio e aviso normalmente são impostas dentro de alguns minutos, mas podem levar até 3 horas.
Requisitos mínimos
- Microsoft Defender Antivírus (modo ativo): a detecção de eventos de execução de arquivo e bloqueio requer Microsoft Defender Antivírus seja habilitado no modo ativo. Por design, o modo passivo e o EDR no modo de bloco não podem detectar e bloquear com base na execução do arquivo. Para saber mais, confira implantar Microsoft Defender Antivírus.
- Proteção fornecida pela nuvem (habilitada): para obter mais informações, consulte Gerenciar proteção baseada em nuvem.
- Permitir ou bloquear arquivo (ativado): Vá para Configurações> Pontos de ExtremidadeRecursos>avançados>Permitir ou bloquear arquivo. Para saber mais, confira Recursos avançados.
Requisitos de versão
- A versão do cliente Antimalware deve ser 4.18.1901.x ou posterior.
- A versão do Mecanismo deve ser 1.1.16200.x ou posterior.
- Com suporte em Windows 10 dispositivos, versão 1809 ou posterior, com as atualizações mais recentes do Windows instaladas.
Permissões
- Se você usar o RBAC (controle de acesso baseado em função), precisará ter a permissão gerenciamento de ameaças e vulnerabilidades – permissão de tratamento de aplicativo atribuída.
- Se você não tiver ativado o RBAC, deverá ter uma das seguintes funções Microsoft Entra atribuídas: administrador de segurança ou administrador global. Para saber mais sobre permissões, acesse Permissões básicas.
Como bloquear aplicativos vulneráveis
Acesse Recomendações de gerenciamento> devulnerabilidades no portal Microsoft Defender.
Selecione uma recomendação de segurança para ver um flyout com mais informações.
Selecione Correção de solicitação.
Selecione se deseja aplicar a correção e mitigação a todos os grupos de dispositivos ou apenas alguns.
Selecione as opções de correção na página Solicitação de Correção . As opções de correção são atualização de software, desinstalação de software e atenção necessária.
Escolha uma data de vencimento de Correção e selecione Avançar.
Em Ação de mitigação, selecione Bloquear ou Avisar. Depois de enviar uma ação de mitigação, ela é aplicada imediatamente.
Examine as seleções feitas e Envie a solicitação. Na página final, você pode optar por ir diretamente à página de correção para exibir o andamento das atividades de correção e ver a lista de aplicativos bloqueados.
Importante
Com base nos dados disponíveis, a ação de bloco entrará em vigor em pontos de extremidade na organização que têm Microsoft Defender Antivírus. Microsoft Defender para Ponto de Extremidade fará uma melhor tentativa de bloquear a execução do aplicativo ou versão vulnerável aplicável.
Se vulnerabilidades adicionais forem encontradas em uma versão diferente de um aplicativo, você receberá uma nova recomendação de segurança, solicitando que você atualize o aplicativo e também poderá bloquear essa versão diferente.
Quando não há suporte para o bloqueio
Se você não vir a opção de mitigação durante a solicitação de uma correção, é porque a capacidade de bloquear o aplicativo não tem suporte no momento. As recomendações que não incluem ações de mitigação incluem:
- Aplicativos microsoft
- Recomendações relacionadas a sistemas operacionais
- Recomendações relacionadas a aplicativos para macOS e Linux
- Aplicativos em que a Microsoft não tem informações suficientes ou uma alta confiança para bloquear
- Aplicativos da Microsoft Store, que não podem ser bloqueados porque são assinados pela Microsoft
Se você tentar bloquear um aplicativo e ele não funcionar, talvez tenha atingido a capacidade máxima do indicador. Nesse caso, você pode excluir indicadores antigos Saiba mais sobre indicadores.
Exibir atividades de correção
Depois de enviar a solicitação, acesse Atividades decorreção> de gerenciamento> devulnerabilidades para ver a atividade de correção recém-criada.
Filtrar por tipo de mitigação: bloquear e/ou Avisar para exibir todas as atividades relacionadas a bloquear ou alertar ações.
Este é um log de atividades e não o bloco atual status do aplicativo. Selecione a atividade relevante para ver um painel de sobrevoo com detalhes, incluindo a descrição da correção, a descrição da mitigação e a correção do dispositivo status:
Exibir aplicativos bloqueados
Localize a lista de aplicativos bloqueados acessando a guia Corrigir>aplicativos bloqueados :
Selecione um aplicativo bloqueado para exibir um flyout com detalhes sobre o número de vulnerabilidades, se as explorações estão disponíveis, versões bloqueadas e atividades de correção.
A opção de Exibir detalhes de versões bloqueadas na página Indicador leva você à páginaIndicadores dePontos> de Extremidade de Configurações>, na qual você pode exibir os hashes do arquivo e as ações de resposta.
Observação
Se você usar a API de Indicadores com consultas de indicador programático como parte de seus fluxos de trabalho, esteja ciente de que a ação de bloco fornecerá resultados adicionais.
Atualmente, algumas detecções relacionadas a políticas de alerta podem aparecer como malware ativo em Microsoft Defender XDR e/ou Microsoft Intune. Esse comportamento será corrigido em uma próxima versão.
Você também pode desbloquear software ou abrir página de software:
Desbloquear aplicativos
Selecione um aplicativo bloqueado para exibir a opção de Desbloquear software no flyout.
Depois de desbloquear um aplicativo, atualize a página para vê-la removida da lista. Pode levar até três horas para que um aplicativo seja desbloqueado e se torne acessível aos usuários novamente.
Experiência dos usuários para aplicativos bloqueados
Quando os usuários tentam acessar um aplicativo bloqueado, eles recebem uma mensagem informando que o aplicativo foi por sua organização. Essa mensagem é personalizável.
Para aplicativos em que a opção de mitigação de aviso foi aplicada, os usuários recebem uma mensagem informando que o aplicativo foi bloqueado por sua organização. O usuário tem a opção de ignorar o bloco para lançamentos subsequentes, escolhendo "Permitir". Essa permissão é apenas temporária e o aplicativo será bloqueado novamente após um tempo.
Observação
Se sua organização implantou a política de grupo DisableLocalAdminMerge, você poderá experimentar instâncias em que permitir um aplicativo não entrará em vigor. Esse comportamento será corrigido em uma próxima versão.
Usuário final atualizando aplicativos bloqueados
Uma pergunta comumente feita é como um usuário final atualiza um aplicativo bloqueado? O bloco é imposto bloqueando o arquivo executável. Alguns aplicativos, como o Firefox, dependem de um executável de atualização separado, que não será bloqueado por esse recurso. Em outros casos em que o aplicativo exige que o arquivo executável main seja atualizado, é recomendável implementar o bloco no modo de aviso (para que o usuário final possa ignorar o bloco) ou o usuário final possa excluir o aplicativo (se nenhuma informação vital for armazenada no cliente) e reinstalar o aplicativo.
Artigos relacionados
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de