Microsoft Defender Güvenlik Açığı Yönetimi ile güvenlik açığı olan uygulamaları engelleme

Şunlar için geçerlidir:

• Microsoft Defender Güvenlik Açığı Yönetimi
• Microsoft Defender XDR
• Sunucular için Microsoft Defender Plan 2

Not

Bu özelliği kullanmak için tek başına Microsoft Defender Güvenlik Açığı Yönetimi veya zaten bir Uç Nokta için Microsoft Defender Plan 2 müşterisiyseniz Defender Güvenlik Açığı Yönetimi eklentisi gerekir.

Güvenlik açıklarını düzeltmek zaman alır ve BT ekibinin sorumluluklarına ve kaynaklarına bağımlı olabilir. Güvenlik yöneticileri, düzeltme isteği tamamlanana kadar uygulamanın bilinen tüm güvenlik açığı olan sürümlerini engellemek için hemen işlem yaparak güvenlik açığı riskini geçici olarak azaltabilir. Engelleme seçeneği, BT ekiplerinize güvenlik yöneticilerinizi güvenlik açıkları konusunda endişelendirmeden bir uygulamaya düzeltme eki uygulama zamanı verir.

Bir güvenlik önerisi tarafından önerilen düzeltme adımlarını uygularken, güvenlik yöneticileri bir azaltma eylemi gerçekleştirebilir ve bir uygulamanın güvenlik açığı olan sürümlerini engelleyebilir. Bu uygulamanın güvenlik açığı olan sürümlerine ait yürütülebilir dosyaların her biri için güvenlik açığı (IOC) dosya göstergeleri oluşturulur. Microsoft Defender Virüsten Koruma, belirtilen kapsamdaki cihazlarda blokları zorunlu kılır.

Azaltma eylemini engelleme veya uyarma

Engelleme eylemi, kuruluşunuzdaki uygulamanın tüm yüklü güvenlik açığı olan sürümlerinin çalışmasını engellemeye yöneliktir. Örneğin, etkin bir sıfır gün güvenlik açığı varsa, geçici çözüm seçeneklerini belirlerken kullanıcılarınızın etkilenen yazılımı çalıştırmasını engelleyebilirsiniz.

Uyar eylemi, kullanıcıların uygulamanın güvenlik açığı olan sürümlerini açtığında kullanıcılara bir uyarı göndermeye yöneliktir. Kullanıcılar uyarıyı atlamayı ve sonraki başlatmalar için uygulamaya erişmeyi seçebilir.

Her iki eylem için de kullanıcıların gördüğü iletiyi özelleştirebilirsiniz. Örneğin, en son sürümü yüklemelerini teşvik edebilirsiniz. Ayrıca, kullanıcıların bildirimi seçtiklerinde gidebilecekleri özel bir URL de sağlayabilirsiniz. Kullanıcının özel URL'ye gitmek için bildirim gövdesini seçmesi gerekir. Bildirim, kuruluşunuzdaki uygulama yönetimine özgü daha fazla ayrıntı sağlamak için kullanılabilir.

Not

Engelleme ve uyarı eylemleri genellikle birkaç dakika içinde uygulanır, ancak üç saate kadar sürebilir.

Minimum gereksinimler

• Microsoft Defender Virüsten Koruma (etkin mod):Dosya yürütme olaylarının ve engellemenin algılanması için Microsoft Defender Virüsten Koruma'nın etkin modda etkinleştirilmesi gerekir. Tasarım gereği, pasif mod ve blok modundaki EDR, dosya yürütmeye göre algılayamaz ve engelleyemez. Daha fazla bilgi için bkz. virüsten koruma Microsoft Defender dağıtma.
• Bulut tabanlı koruma (etkin): Daha fazla bilgi için bkz. Bulut tabanlı korumayı yönetme.
• Dosyaya izin ver veya engelle (açık):Ayarlar>Uç Noktaları>Gelişmiş özellikler>Dosyaya izin ver veya dosyayı engelle'ye gidin. Daha fazla bilgi edinmek için bkz . Gelişmiş özellikler.

Sürüm gereksinimleri

• Kötü amaçlı yazılımdan koruma istemcisi sürümü veya üzeri olmalıdır 4.18.1901.x .
• Altyapı sürümü veya üzeri olmalıdır 1.1.16200.x .
• Windows istemci cihazları, en son Windows güncelleştirmelerinin yüklü olduğu Windows 11 veya Windows 10, sürüm 1809 veya sonraki bir sürümünü çalıştırıyor olmalıdır.
• Sunucular Windows Server 2022, 2019, 2016, 2012 R2 ve 2008 R2 SP1 çalıştırıyor olmalıdır. Windows Server 2025 desteği Şubat 2025'te ve önümüzdeki birkaç hafta içinde kullanıma sunulacaktır.

Güvenlik açığı olan uygulamaları engelleme

1. Microsoft Defender portalında oturum açın, ardından Uç Noktalar>Güvenlik Açığı yönetimi>Önerileri'ne gidin.

2. Daha fazla bilgi içeren bir açılır öğe görmek için bir güvenlik önerisi seçin.

3. Düzeltme iste'yi seçin.

4. Formu doldurun. Düzeltme seçenekleri açılan listesinde, hangi seçeneklerin istenmesini istediğinizi seçin. Seçenekler yazılım güncelleştirmesi, yazılım kaldırma ve dikkat gereklidir.

5. Düzeltme isteği için Microsoft Intune bilet oluşturmak istiyorsanız, Görev yönetimi araçları altında Intune'de bilet aç (AAD'ye katılmış cihazlar için) kutusunu işaretleyin.

6. Düzeltme son tarihi seçin.

7. Öncelik'in altında Yüksek, Orta veya Düşük'i seçin.

8. Not ekle'nin altında ek bilgiler ekleyebilirsiniz. İleri'yi seçin.

9. Yaptığınız seçimleri gözden geçirin ve gönder'i seçin. Son sayfada, seçimleri düzenlemeyi ve tüm düzeltme isteklerini bir .CSV dosyasına dışarı aktarmayı seçebilirsiniz.

Not

3 Aralık 2024'te, yeni uygulama engelleme ilkeleri tarafından oluşturulan dosya göstergelerinin sayısında bir azalma görmeyi bekler. Geçerli gösterge kullanımınızı azaltmak için engellenen uygulamaların engelini kaldırın ve yeni engelleme ilkeleri oluşturun.

Kullanılabilir verilere bağlı olarak, blok eylemleri virüsten koruma Microsoft Defender sahip uç noktalar üzerinde etkili olur. Uç Nokta için Microsoft Defender, uygun güvenlik açığı olan uygulamaların veya sürümlerin çalışmasını engellemek için en iyi girişimi yapar.

Uygulamanın farklı bir sürümünde daha fazla güvenlik açığı bulunursa, uygulamayı güncelleştirmenizi isteyen yeni bir güvenlik önerisi alırsınız ve bu farklı sürümü de engellemeyi seçebilirsiniz.

Engelleme desteklenmediğinde

Düzeltme isteğinde bulunurken azaltma seçeneğini görmüyorsanız, bunun nedeni uygulamayı engelleme özelliğinin şu anda desteklenmemesidir. Risk azaltma eylemlerini içermeyen öneriler şunlardır:

• Microsoft uygulamaları
• İşletim sistemleriyle ilgili öneriler
• macOS ve Linux uygulamalarıyla ilgili öneriler
• Microsoft'un yeterli bilgiye veya engellenmesi gereken yüksek güvene sahip olmadığı uygulamalar
• Microsoft tarafından imzalandığı için engellenmeyen Microsoft Store uygulamaları

Bir uygulamayı engellemeye çalışırsanız ve uygulama çalışmazsa, en yüksek gösterge kapasitesine ulaşmış olabilirsiniz. Öyleyse eski göstergeleri silebilirsiniz Göstergeler hakkında daha fazla bilgi edinin.

Düzeltme etkinliklerini görüntüleme

Güvenlik açığı olan uygulamaları engelleme isteği gönderdikten sonra, aşağıdaki adımları izleyerek düzeltme etkinliklerini görüntüleyebilirsiniz:

1. Uç Noktalar>Güvenlik Açığı yönetimi>Düzeltmesi'ne gidin.

2. Etkinlikler sekmesinde, sonuçları azaltma türüne göre filtrelemeyi seçebilirsiniz. Seçenekler Şunlardır: Engelle, Uyar, Yok ve Geçici Çözüm.

3. Düzeltme açıklaması, risk azaltma açıklaması ve cihaz düzeltme durumu gibi ayrıntıları içeren bir açılır pencere bölmesi görmek için ilgili etkinliği seçin:

   

Engellenen uygulamaları görüntüleme

Engellenen uygulamaların listesini görüntülemek için şu adımları izleyin:

1. Uç Noktalar>Güvenlik Açığı yönetimi>Düzeltmesi'ne gidin ve Engellenen uygulamalar sekmesini seçin:

   

2. Güvenlik açıklarının sayısı, açıkların kullanılabilir olup olmadığı, engellenen sürümler ve düzeltme etkinlikleri hakkındaki ayrıntıları içeren bir açılır öğe görüntülemek için engellenen bir uygulama seçin.

3. Sizi, dosya karmalarını ve yanıt eylemlerini görüntüleyebileceğiniz Göstergeler sayfasına getiren Gösterge sayfasında Engellenen sürümlerin ayrıntılarını görüntüle'yi seçin.

   Not

   İş akışlarınızın bir parçası olarak Göstergeler API'sini programlı gösterge sorgularıyla kullanırsanız, engelleme eylemi daha fazla sonuç verir.

4. Bir uygulamanın engelini kaldırmak için Yazılım engellemesini kaldır'ı veya Yazılım aç sayfasını seçin:

   

Uygulamaların engellemesini kaldırma

Açılır öğede yazılımın engellemesini kaldırma seçeneğini görüntülemek için engellenen bir uygulama seçin.

Uygulamanın engellemesini kaldırdıktan sonra, listeden kaldırıldığını görmek için sayfayı yenileyin. Bir uygulamanın engelini kaldırması ve kullanıcılarınız tarafından yeniden erişilebilir duruma gelmesi 3 saate kadar sürebilir.

Engellenen uygulamalar için kullanıcı deneyimi

Kullanıcılar engellenen bir uygulamaya erişmeye çalıştığında, uygulamanın kendi kuruluşu tarafından engellendiğini bildiren bir ileti alır. Bu ileti özelleştirilebilir.

Uyarı azaltma seçeneğinin uygulandığı uygulamalar için kullanıcılar, uygulamanın kendi kuruluşu tarafından engellendiğini bildiren bir ileti alır. Kullanıcı, "İzin Ver" seçeneğini belirleyerek sonraki başlatmalar için bloğu atlayabilir. Bu izin verme eylemi yalnızca geçicidir ve uygulama bir süre sonra yeniden engellenir.

Not

Kuruluşunuz grup ilkesini dağıttıysa, bir uygulamaya izin vermenin DisableLocalAdminMerge etkili olmadığı örneklerle karşılaşabilirsiniz.

Engellenen uygulamaları güncelleştiren son kullanıcı

Sık sorulan bir soru şudur: "Son kullanıcı engellenen bir uygulamayı nasıl güncelleştirir?" Blok, yürütülebilir dosya engellenerek zorlanır. Firefox gibi bazı uygulamalar, bu özellik tarafından engellenmeyen ayrı bir güncelleştirme yürütülebilir dosyasını kullanır. Diğer durumlarda, uygulamanın ana yürütülebilir dosyanın güncelleştirilmesini gerektirdiğinde, bloğu uyarı modunda uygulamanız (böylece son kullanıcının bloğu atlayabilir) veya son kullanıcıdan uygulamayı silmesini istemeniz (istemcide önemli bir bilgi depolanmadıysa) ve sonra yeniden yüklemeniz önerilir.

İlgili makaleler

• Kuruluşumdaki güvenlik açıkları