Ограничение API выполнения приложений

Область применения:

• Microsoft Defender для конечной точки (план 1)
• Microsoft Defender для конечной точки
• Microsoft Defender XDR

Хотите попробовать Microsoft Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Примечание.

Если вы являетесь клиентом для государственных организаций США, используйте URI, перечисленные в Microsoft Defender для конечной точки для клиентов государственных организаций США.

Совет

Для повышения производительности можно использовать сервер ближе к географическому расположению:

• us.api.security.microsoft.com
• eu.api.security.microsoft.com
• uk.api.security.microsoft.com
• au.api.security.microsoft.com
• swa.api.security.microsoft.com

Описание API

Ограничьте выполнение всех приложений на устройстве, кроме предопределенного набора.

Ограничения

1. Ограничения скорости для этого API : 100 вызовов в минуту и 1500 вызовов в час.

Примечание.

Эта страница посвящена выполнению действия компьютера с помощью API. Дополнительные сведения о функциях действий ответа с помощью Microsoft Defender для конечной точки см. в статье Выполнение действий реагирования на компьютере.

Важно!

• Это действие доступно для устройств на Windows 10 версии 1709 или более поздней, а также на Windows 11.
• Эта функция доступна, если ваша организация использует антивирусную программу Microsoft Defender.
• Это действие должно соответствовать Защитник Windows требованиям политики целостности кода управления приложениями и требованиям подписывания. Дополнительные сведения см. в статье Форматы политики целостности кода и подписывание.

Разрешения

Для вызова этого API требуется одно из следующих разрешений. Дополнительные сведения, включая выбор разрешений, см. в статье Использование API Microsoft Defender для конечной точки.

Тип разрешения	Разрешение	Отображаемое имя разрешения
Приложение	Machine.RestrictExecution	"Ограничение выполнения кода"
Делегированные (рабочая или учебная учетная запись)	Machine.RestrictExecution	"Ограничение выполнения кода"

Примечание.

При получении маркера с использованием учетных данных пользователя:

• Пользователь должен иметь по крайней мере следующее разрешение роли: "Активные действия по исправлению" (дополнительные сведения см. в разделе Create ролей и управления).
• Пользователь должен иметь доступ к устройству на основе параметров группы устройств (дополнительные сведения см. в разделе Create и управление группами устройств).

Создание группы устройств поддерживается в Defender для конечной точки плана 1 и плана 2.

HTTP-запрос

POST https://api.securitycenter.microsoft.com/api/machines/{id}/restrictCodeExecution

Заголовки запросов

Имя	Тип	Описание
Авторизация	String	Bearer {token}. Обязательное поле.
Content-Type	string	application/json. Обязательное поле.

Текст запроса

В тексте запроса укажите объект JSON со следующими параметрами:

Параметр	Тип	Описание
Comment	String	Комментарий для связывания с действием. Обязательное поле.

Отклик

В случае успешного выполнения этот метод возвращает 201 — созданный код ответа и действие компьютера в тексте ответа.

При отправке нескольких вызовов API для ограничения выполнения приложений для одного устройства возвращается "ожидание действия компьютера" или HTTP 400 с сообщением "Действие уже выполняется".

Пример

Запрос

Ниже приведен пример запроса.

POST https://api.securitycenter.microsoft.com/api/machines/1e5bc9d7e413ddd7902c2932e418702b84d0cc07/restrictCodeExecution 

{
  "Comment": "Restrict code execution due to alert 1234"
}

• Сведения об удалении ограничения на выполнение кода с устройства см. в статье Удаление ограничения для приложений.

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.