Dela via


Blockera sårbara program

Gäller för:

Obs!

Om du vill använda den här funktionen behöver du fristående Microsoft Defender-sårbarhetshantering eller, om du redan är microsoft Defender för Endpoint Plan 2-kund, tillägget Defender Vulnerability Management.

Det tar tid att åtgärda säkerhetsrisker och kan vara beroende av IT-teamets ansvarsområden och resurser. Säkerhetsadministratörer kan tillfälligt minska risken för en säkerhetsrisk genom att vidta omedelbara åtgärder för att blockera alla kända sårbara versioner av ett program tills reparationsbegäran har slutförts. Blockeringsalternativet ger IT-teamen tid att korrigera programmet utan säkerhetsadministratörer som oroar sig för att sårbarheterna kommer att utnyttjas under tiden.

När säkerhetsadministratörer med rätt behörigheter vidtar de åtgärdssteg som föreslås i en säkerhetsrekommendation kan de utföra en åtgärd och blockera sårbara versioner av ett program. Filindikatorer för kompromisser (IOK) skapas för var och en av de körbara filer som tillhör sårbara versioner av programmet. Microsoft Defender Antivirus framtvingar sedan block på de enheter som finns i det angivna omfånget.

Tips

Visste du att du kan prova alla funktioner i Microsoft Defender Sårbarhetshantering kostnadsfritt? Ta reda på hur du registrerar dig för en kostnadsfri utvärderingsversion.

Blockera eller varna åtgärd

Blockåtgärden är avsedd att blockera alla installerade sårbara versioner av programmet i din organisation från att köras. Om det till exempel finns en aktiv nolldagsrisk kan du blockera användarna från att köra den berörda programvaran medan du fastställer alternativ för att kringgå problemet.

Varningsåtgärden är avsedd att skicka en varning till användarna när de öppnar sårbara versioner av programmet. Användare kan välja att kringgå varningen och komma åt programmet för efterföljande uppskjutningar.

För båda åtgärderna kan du anpassa meddelandet som användarna ser. Du kan till exempel uppmuntra dem att installera den senaste versionen. Dessutom kan du ange en anpassad URL som användarna navigerar till när de väljer meddelandet. Observera att användaren måste välja brödtexten i popup-meddelandet för att kunna navigera till den anpassade URL:en. Detta kan användas för att ge ytterligare information som är specifik för programhanteringen i din organisation.

Obs!

Blockerings- och varningsåtgärder tillämpas vanligtvis inom ett par minuter, men kan ta upp till 3 timmar.

Minimikrav

  • Microsoft Defender Antivirus (aktivt läge): Identifiering av filkörningshändelser och blockering kräver att Microsoft Defender Antivirus är aktiverat i aktivt läge. Passivt läge och EDR i blockeringsläge kan inte identifiera och blockera baserat på filkörning. Mer information finns i distribuera Microsoft Defender Antivirus.
  • Molnlevererat skydd (aktiverat): Mer information finns i Hantera molnbaserat skydd.
  • Tillåt eller blockera fil (på): Gå till Inställningar>Slutpunkter>Avancerade funktioner>Tillåt eller blockera fil. Mer information finns i Avancerade funktioner.

Versionskrav

  • Klientversionen för program mot skadlig kod måste vara 4.18.1901.x eller senare.
  • Motorversionen måste vara 1.1.16200.x eller senare.
  • Stöds på Windows 10-enheter, version 1809 eller senare, med de senaste Windows-uppdateringarna installerade.
  • Stöder Windows Server-versionerna 2022, 2019, 2016, 2012 R2 och 2008 R2 SP1.

Behörigheter

  • Om du använder rollbaserad åtkomstkontroll (RBAC) måste du tilldela behörigheten Hot och sårbarhetshantering – Programhantering .
  • Om du inte har aktiverat RBAC måste du ha någon av följande Microsoft Entra-roller tilldelade: Säkerhetsadministratör eller Global administratör. Mer information om behörigheter finns i Grundläggande behörigheter.

Viktigt

Microsoft rekommenderar att du använder roller med minst behörighet. Genom att använda konton med lägre behörighet kan du förbättra säkerheten för din organisation. Global administratör är en mycket privilegierad roll som bör begränsas till nödsituationsscenarier när du inte kan använda en befintlig roll.

Så här blockerar du sårbara program

  1. Gå tillRekommendationer för sårbarhetshantering> i Microsoft Defender-portalen.

  2. Välj en säkerhetsrekommendation om du vill se en utfälld meny med mer information.

  3. Välj Begär reparation.

  4. Välj om du vill tillämpa reparation och åtgärd på alla enhetsgrupper eller bara några få.

  5. Välj reparationsalternativen på sidan Reparationsbegäran . Reparationsalternativen är programuppdatering, avinstallation av programvara och åtgärd som krävs.

  6. Välj ett förfallodatum för reparation och välj Nästa.

  7. Under Åtgärdsåtgärd väljer du Blockera eller Varna. När du har skickat en åtgärd tillämpas den omedelbart.

    Åtgärd för åtgärd

  8. Granska de val du har gjort och Skicka begäran. På den sista sidan kan du välja att gå direkt till reparationssidan för att visa förloppet för reparationsaktiviteter och se listan över blockerade program.

Viktigt

Baserat på tillgängliga data börjar blockåtgärden gälla för slutpunkter i organisationen som har Microsoft Defender Antivirus. Microsoft Defender för Endpoint kommer att göra ett bästa försök att blockera tillämpligt sårbart program eller version från att köras.

Om ytterligare säkerhetsrisker hittas i en annan version av ett program får du en ny säkerhetsrekommendations som ber dig att uppdatera programmet och du kan välja att även blockera den här andra versionen.

När blockering inte stöds

Om du inte ser åtgärdsalternativet när du begär en reparation beror det på att möjligheten att blockera programmet för närvarande inte stöds. Rekommendationer som inte omfattar åtgärdsåtgärder omfattar:

  • Microsoft-program
  • Rekommendationer relaterade till operativsystem
  • Rekommendationer relaterade till appar för macOS och Linux
  • Appar där Microsoft inte har tillräcklig information eller hög konfidens för att blockera
  • Microsoft Store-appar, som inte kan blockeras eftersom de är signerade av Microsoft

Om du försöker blockera ett program och det inte fungerar kan du ha nått den maximala indikatorkapaciteten. I så fall kan du ta bort gamla indikatorer Läs mer om indikatorer.

Visa reparationsaktiviteter

När du har skickat begäran går du tillÅtgärdsaktiviteter> för sårbarhetshantering> för att se den nyligen skapade reparationsaktiviteten.

Filtrera efter åtgärdstyp: Blockera och/eller Varna om du vill visa alla aktiviteter som rör blockerings- eller varningsåtgärder.

Det här är en aktivitetslogg och inte programmets aktuella blockstatus. Välj relevant aktivitet om du vill se en utfälld panel med information som åtgärdsbeskrivning, åtgärdsbeskrivning och enhetens reparationsstatus:

Reparations- och åtgärdsinformation

Visa blockerade program

Hitta listan över blockerade program genom att gå till flikenReparationsblockerade> program:

Blockerat program

Välj ett blockerat program för att visa en utfälld skärm med information om antalet sårbarheter, om sårbarheter är tillgängliga, blockerade versioner och reparationsaktiviteter.

Alternativet visa information om blockerade versioner på sidan Indikator tar dig till sidanIndikatorer förslutpunkter> för inställningar> där du kan visa filhashvärden och svarsåtgärder.

Obs!

Om du använder API:et indikatorer med programmatiska indikatorfrågor som en del av dina arbetsflöden bör du vara medveten om att blockeringsåtgärden ger ytterligare resultat.

För närvarande kan vissa identifieringar som rör varningsprinciper visas som aktiv skadlig kod i Microsoft Defender XDR och/eller Microsoft Intune. Det här beteendet kommer att åtgärdas i en kommande version.

Du kan också avblockera programvara eller öppna programvarusidan:

Information om blockerade program

Avblockera program

Välj ett blockerat program för att visa alternativet att avblockera programvara i den utfällbara menyn.

När du har avblockerat ett program uppdaterar du sidan så att den tas bort från listan. Det kan ta upp till 3 timmar innan ett program avblockeras och blir tillgängligt för användarna igen.

Användarupplevelse för blockerade program

När användare försöker komma åt ett blockerat program får de ett meddelande som informerar dem om att programmet var av deras organisation. Det här meddelandet är anpassningsbart.

För program där alternativet för varningsreducering tillämpades får användarna ett meddelande om att programmet har blockerats av organisationen. Användaren har möjlighet att kringgå blocket för efterföljande uppskjutningar genom att välja "Tillåt". Det här alternativet är bara tillfälligt och programmet blockeras igen efter ett tag.

Obs!

Om din organisation har distribuerat grupprincipen DisableLocalAdminMerge kan du uppleva instanser där det inte börjar gälla att tillåta ett program. Det här beteendet kommer att åtgärdas i en kommande version.

Slutanvändaruppdatering av blockerade program

En vanlig fråga är hur en slutanvändare uppdaterar ett blockerat program? Blocket framtvingas genom att den körbara filen blockeras. Vissa program, till exempel Firefox, förlitar sig på en separat körbar uppdatering som inte blockeras av den här funktionen. I andra fall när programmet kräver att den körbara huvudfilen uppdateras rekommenderar vi att du antingen implementerar blocket i varningsläge (så att slutanvändaren kan kringgå blocket) eller så kan slutanvändaren ta bort programmet (om ingen viktig information lagras på klienten) och installera om programmet.