Bloquear aplicações vulneráveis
Aplica-se a:
- Gestão de Vulnerabilidade do Microsoft Defender
- Microsoft Defender XDR
- Plano 2 do Microsoft Defender para Servidores
Nota
Para utilizar esta funcionalidade, irá precisar da Gestão de Vulnerabilidades do Microsoft Defender Autónoma ou, se já for cliente do Microsoft Defender para Endpoint Plano 2, o suplemento Gestão de Vulnerabilidades do Defender.
A remediação de vulnerabilidades demora algum tempo e pode depender das responsabilidades e recursos da equipa de TI. Os administradores de segurança podem reduzir temporariamente o risco de uma vulnerabilidade ao tomar medidas imediatas para bloquear todas as versões vulneráveis atualmente conhecidas de uma aplicação, até que o pedido de remediação seja concluído. A opção bloquear dá tempo às equipas de TI para corrigirem a aplicação sem que os administradores de segurança se preocupem com o facto de as vulnerabilidades serem exploradas entretanto.
Ao seguir os passos de remediação sugeridos por uma recomendação de segurança, os administradores de segurança com as permissões adequadas podem executar uma ação de mitigação e bloquear versões vulneráveis de uma aplicação. Os indicadores de ficheiros de comprometimento (COI) são criados para cada um dos ficheiros executáveis que pertencem a versões vulneráveis dessa aplicação. Em seguida, o Antivírus do Microsoft Defender impõe blocos nos dispositivos que estão no âmbito especificado.
Sugestão
Sabia que pode experimentar todas as funcionalidades da Gestão de Vulnerabilidades do Microsoft Defender gratuitamente? Saiba como se inscrever numa avaliação gratuita.
Bloquear ou avisar a ação de mitigação
A ação de bloqueio destina-se a bloquear a execução de todas as versões vulneráveis instaladas da aplicação na sua organização. Por exemplo, se existir uma vulnerabilidade ativa de zero dias, pode impedir que os seus utilizadores executem o software afetado enquanto determina as opções de solução.
A ação de aviso destina-se a enviar um aviso aos seus utilizadores quando abrirem versões vulneráveis da aplicação. Os utilizadores podem optar por ignorar o aviso e aceder à aplicação para lançamentos subsequentes.
Para ambas as ações, pode personalizar a mensagem que os utilizadores veem. Por exemplo, pode encorajá-los a instalar a versão mais recente. Além disso, pode fornecer um URL personalizado para o qual os utilizadores navegam quando selecionam a notificação. Tenha em atenção que o utilizador tem de selecionar o corpo da notificação de alerta para navegar para o URL personalizado. Isto pode ser utilizado para fornecer detalhes adicionais específicos da gestão de aplicações na sua organização.
Nota
Normalmente, as ações de bloqueio e aviso são impostas dentro de alguns minutos, mas podem demorar até 3 horas.
Requisitos mínimos
- Antivírus do Microsoft Defender (modo ativo): a deteção de eventos de execução de ficheiros e o bloqueio requer que o Antivírus do Microsoft Defender esteja ativado no modo ativo. Por predefinição, o modo passivo e o EDR no modo de bloco não conseguem detetar e bloquear com base na execução de ficheiros. Para saber mais, veja Implementar o Antivírus do Microsoft Defender.
- Proteção fornecida pela cloud (ativada): para obter mais informações, veja Gerir a proteção baseada na cloud.
- Permitir ou bloquear ficheiro (ativado): aceda a Definições>Pontos finais Funcionalidades>avançadas>Permitir ou bloquear ficheiro. Para saber mais, veja Funcionalidades avançadas.
Requisitos de versão
- A versão do cliente Antimalware tem de ser 4.18.1901.x ou posterior.
- A versão do Motor tem de ser 1.1.16200.x ou posterior.
- Suportado em dispositivos Windows 10, versão 1809 ou posterior, com as atualizações mais recentes do Windows instaladas.
- Suporta as versões 2022, 2019, 2016, 2012 R2 e 2008 R2 SP1 do Windows Server.
Permissões
- Se utilizar o Controlo de acesso baseado em funções (RBAC), terá de ter atribuída a permissão Gestão de ameaças e vulnerabilidades – Processamento de aplicações .
- Se não tiver ativado o RBAC, tem de ter uma das seguintes funções do Microsoft Entra atribuídas: Administrador de Segurança ou Administrador global. Para saber mais sobre permissões, aceda a Permissões básicas.
Importante
A Microsoft recomenda que utilize funções com o menor número de permissões. A utilização de contas com permissões mais baixas ajuda a melhorar a segurança da sua organização. Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não pode utilizar uma função existente.
Como bloquear aplicações vulneráveis
Aceda a Recomendações de Gestão> devulnerabilidades no portal do Microsoft Defender.
Selecione uma recomendação de segurança para ver uma lista de opções com mais informações.
Selecione Pedir remediação.
Selecione se pretende aplicar a remediação e mitigação a todos os grupos de dispositivos ou apenas alguns.
Selecione as opções de remediação na página Pedido de remediação . As opções de remediação são atualização de software, desinstalação de software e atenção necessária.
Escolha uma Data para conclusão da remediação e selecione Seguinte.
Em Ação de mitigação, selecione Bloquear ou Avisar. Depois de submeter uma ação de mitigação, esta é imediatamente aplicada.
Reveja as seleções que efetuou e Submeta o pedido. Na página final, pode optar por aceder diretamente à página de remediação para ver o progresso das atividades de remediação e ver a lista de aplicações bloqueadas.
Importante
Com base nos dados disponíveis, a ação de bloqueio entrará em vigor nos pontos finais da organização que têm o Antivírus do Microsoft Defender. O Microsoft Defender para Endpoint fará o melhor esforço para bloquear a execução da aplicação ou versão vulnerável aplicável.
Se forem encontradas vulnerabilidades adicionais numa versão diferente de uma aplicação, obtém uma nova recomendação de segurança, que lhe pede para atualizar a aplicação e também pode optar por bloquear esta versão diferente.
Quando o bloqueio não é suportado
Se não vir a opção de mitigação ao pedir uma remediação, é porque a capacidade de bloquear a aplicação não é atualmente suportada. As recomendações que não incluem ações de mitigação incluem:
- Aplicações da Microsoft
- Recomendações relacionadas com sistemas operativos
- Recomendações relacionadas com aplicações para macOS e Linux
- Aplicações em que a Microsoft não tem informações suficientes ou uma confiança elevada para bloquear
- Aplicações da Microsoft Store, que não podem ser bloqueadas porque são assinadas pela Microsoft
Se tentar bloquear uma aplicação e esta não funcionar, poderá ter atingido a capacidade máxima do indicador. Se for o caso, pode eliminar indicadores antigos Saiba mais sobre os indicadores.
Ver atividades de remediação
Depois de submeter o pedido, aceda aAtividades deRemediação> da Gestão> de vulnerabilidades para ver a atividade de remediação recentemente criada.
Filtrar por Tipo de mitigação: Bloquear e/ou Avisar para ver todas as atividades relacionadas com ações de bloqueio ou aviso.
Este é um registo de atividades e não o estado atual do bloco da aplicação. Selecione a atividade relevante para ver um painel de lista de opções com detalhes, incluindo a descrição da remediação, a descrição da mitigação e o estado de remediação do dispositivo:
Ver aplicações bloqueadas
Localize a lista de aplicações bloqueadas ao aceder ao separadorAplicações bloqueadas de Remediação>:
Selecione uma aplicação bloqueada para ver uma lista de opções com detalhes sobre o número de vulnerabilidades, se estão disponíveis exploits, versões bloqueadas e atividades de remediação.
A opção para Ver detalhes de versões bloqueadas na página Indicador leva-o para a páginaIndicadores dePontos Finais>> de Definições, onde pode ver os hashes de ficheiro e as ações de resposta.
Nota
Se utilizar a API de Indicadores com consultas de indicadores programáticos como parte dos fluxos de trabalho, tenha em atenção que a ação de bloco dará resultados adicionais.
Atualmente, algumas deteções relacionadas com políticas de aviso podem aparecer como software maligno ativo no Microsoft Defender XDR e/ou no Microsoft Intune. Este comportamento será corrigido numa versão futura.
Também pode Desbloquear software ou Abrir página de software:
Desbloquear aplicações
Selecione uma aplicação bloqueada para ver a opção Desbloquear software na lista de opções.
Depois de desbloquear uma aplicação, atualize a página para a ver removida da lista. Pode demorar até 3 horas para que uma aplicação seja desbloqueada e volte a ficar acessível aos seus utilizadores.
Experiência dos utilizadores para aplicações bloqueadas
Quando os utilizadores tentam aceder a uma aplicação bloqueada, recebem uma mensagem a informá-los de que a aplicação era da organização. Esta mensagem é personalizável.
Para aplicações em que a opção de mitigação de aviso foi aplicada, os utilizadores recebem uma mensagem informando-os de que a aplicação foi bloqueada pela organização. O utilizador tem a opção de ignorar o bloco para iniciações subsequentes ao selecionar "Permitir". Esta permissão é apenas temporária e a aplicação será bloqueada novamente após algum tempo.
Nota
Se a sua organização tiver implementado a política de grupo DisableLocalAdminMerge, poderá deparar-se com instâncias em que a permissão de uma aplicação não entra em vigor. Este comportamento será corrigido numa versão futura.
O utilizador final está a atualizar aplicações bloqueadas
Uma pergunta mais frequente é como é que um utilizador final atualiza uma aplicação bloqueada? O bloco é imposto ao bloquear o ficheiro executável. Algumas aplicações, como o Firefox, dependem de um executável de atualização separado, que não será bloqueado por esta funcionalidade. Noutros casos, quando a aplicação requer que o ficheiro executável principal seja atualizado, recomenda-se que implemente o bloco no modo de aviso (para que o utilizador final possa ignorar o bloco) ou o utilizador final possa eliminar a aplicação (se não forem armazenadas informações vitais no cliente) e reinstalar a aplicação.