封鎖易受攻擊的應用程式
適用於:
注意事項
若要使用此功能,您需要Microsoft Defender 弱點管理獨立部署,或如果您已經是適用於端點的 Microsoft Defender 方案 2 客戶,也需要 Defender 弱點管理附加元件。
修復弱點需要一些時間,而且可能取決於IT小組的責任和資源。 安全性系統管理員可以立即採取動作來封鎖所有目前已知易受攻擊的應用程式版本,以暫時降低弱點的風險,直到補救要求完成為止。 [封鎖] 選項可讓 IT 小組有時間修補應用程式,而不需要安全性系統管理員擔心同時會利用弱點。
在採取安全性建議所建議的補救步驟時,具有適當許可權的安全性系統管理員可以執行風險降低動作,並封鎖易受攻擊的應用程式版本。 針對屬於該應用程式易受攻擊版本的每個可執行檔,會建立 (IOC) 的檔案指標。 Microsoft Defender 防病毒軟體會在指定範圍內的裝置上強制執行區塊。
提示
您知道您可以免費試用 Microsoft Defender 弱點管理中的所有功能嗎? 瞭解如何 註冊免費試用版。
封鎖或警告風險降低動作
封鎖動作的目的是要封鎖組織中所有已安裝易受攻擊的應用程式版本,使其無法執行。 例如,如果有作用中的零時差弱點,您可以在決定因應措施選項時,封鎖使用者執行受影響的軟體。
警告動作的目的是在用戶開啟易受攻擊的應用程式版本時,將警告傳送給使用者。 用戶可以選擇略過警告,並存取應用程式以進行後續啟動。
針對這兩個動作,您可以自定義使用者看到的訊息。 例如,您可以鼓勵他們安裝最新版本。 此外,您可以提供使用者在選取通知時流覽的自訂URL。 請注意,用戶必須選取快顯通知的本文,才能流覽至自定義 URL。 這可用來提供組織中應用程式管理的特定其他詳細數據。
注意事項
封鎖和警告動作通常會在幾分鐘內強制執行,但最多可能需要 3 小時。
基本需求
- Microsoft Defender 防病毒軟體 (作用中模式) :偵測檔案執行事件和封鎖需要在作用中模式中啟用 Microsoft Defender 防病毒軟體。 根據設計,被動模式和封鎖模式中的 EDR 無法根據檔案執行來偵測和封鎖。 若要深入瞭解,請 參閱部署 Microsoft Defender 防病毒軟體。
- 已啟用雲端式保護 () :如需詳細資訊,請參閱 管理雲端式保護。
- 允許或封鎖) 上的檔案 (:移至 [設定>端點>][進階功能>][允許] 或 [封鎖檔案]。若要深入瞭解,請參閱進階功能。
版本需求
- Antimalware 用戶端版本必須是 4.18.1901.x 或更新版本。
- 引擎版本必須是 1.1.16200.x 或更新版本。
- 支援 Windows 10 裝置版本 1809 或更新版本,並已安裝最新的 Windows 更新。
- 支援 Windows Server 版本 2022、2019、2016、2012 R2 和 2008 R2 SP1。
權限
- 如果您使用 角色型訪問控制 (RBAC) ,則必須指派 威脅和弱點管理 - 應用程式處理 許可權。
- 如果您尚未開啟 RBAC,則必須指派下列其中一個Microsoft Entra 角色: 安全性系統管理員 或 全域管理員。 若要深入了解許可權,請移至 基本許可權。
重要事項
Microsoft建議您使用許可權最少的角色。 使用較低許可權的帳戶有助於改善組織的安全性。 全域管理員是高度特殊許可權的角色,當您無法使用現有角色時,應該僅限於緊急案例。
如何封鎖易受攻擊的應用程式
移至 Microsoft Defender 入口網站中的弱點管理>建議。
選取安全性建議,以查看包含詳細資訊的飛出視窗。
選 取 [要求補救]。
選取是否要將補救和風險降低套用至所有裝置群組,或只套用一些裝置群組。
選取 [補救 要求 ] 頁面上的補救選項。 補救選項包括軟體更新、軟體卸載,以及需要注意。
挑選 補救到期日 ,然後選取 [ 下一步]。
在 [ 風險降低動作] 下,選取 [ 封鎖 ] 或 [ 警告]。 提交風險降低動作之後,就會立即套用。
檢閱您所做的選取專案和 提交要求。 在最後一個頁面上,您可以選擇直接移至補救頁面,以檢視補救活動的進度,並查看封鎖的應用程式清單。
重要事項
根據可用的數據,封鎖動作會在組織中具有 Microsoft Defender 防病毒軟體的端點上生效。 Microsoft適用於端點的 Defender 會盡力封鎖適用的易受攻擊應用程式或版本執行。
如果在不同版本的應用程式上發現其他弱點,您會收到新的安全性建議,要求您更新應用程式,而且您也可以選擇封鎖這個不同的版本。
不支持封鎖時
如果您在要求補救時沒有看到風險降低選項,這是因為目前不支援封鎖應用程式的能力。 不包含風險降低動作的建議包括:
- Microsoft應用程式
- 與操作系統相關的建議
- 與 macOS 和 Linux 應用程式相關的建議
- Microsoft沒有足夠的資訊或高信賴度來封鎖的應用程式
- Microsoft市集應用程式,無法封鎖,因為它們是由 Microsoft
如果您嘗試封鎖應用程式,但應用程式無法運作,您可能已達到最大指標容量。 如果是,您可以刪除舊指標 深入了解指標。
檢視補救活動
提交要求之後,請移至 弱點管理>補救>活動 ,以查看新建立的補救活動。
依風險降低類型篩選:封鎖和/或警告,以檢視與封鎖或警告動作相關的所有活動。
這是活動記錄檔,而不是應用程式目前的封鎖狀態。 選取相關的活動,以查看包含補救描述、風險降低描述和裝置補救狀態等詳細資料的飛出視窗面板:
檢視封鎖的應用程式
移至 [補救>封鎖的應用程式] 索引標籤,以尋找封鎖的應用程式清單:
選取封鎖的應用程式以檢視飛出視窗,其中包含弱點數目、是否有可用的惡意探索、封鎖的版本,以及補救活動的詳細數據。
[ 指標] 頁面中 [檢視封鎖版本的詳細 數據] 選項會帶您前往 [ 設定>端點指標>] 頁面, 您可以在其中檢視檔案哈希和回應動作。
注意事項
如果您使用指標 API 搭配程式設計指標查詢作為工作流程的一部分,請注意封鎖動作會提供其他結果。
目前與警告原則相關的一些偵測可能會在 Microsoft Defender XDR 和/或 Microsoft Intune 中顯示為作用中的惡意代碼。 此行為將會在即將推出的版本中修正。
您也可以 解除封鎖軟體 或 開啟軟體頁面:
解除封鎖應用程式
選取封鎖的應用程式,以檢視在飛出視窗中 解除封鎖軟體 的選項。
解除封鎖應用程式之後,請重新整理頁面,以查看它已從清單中移除。 最多可能需要 3 小時,應用程式才會解除封鎖,並再次可供使用者存取。
用戶體驗遭封鎖的應用程式
當使用者嘗試存取封鎖的應用程式時,會收到一則訊息,通知他們應用程式是由其組織所處理。 此訊息是可自定義的。
針對已套用警告風險降低選項的應用程式,使用者會收到訊息,通知他們應用程式已被其組織封鎖。 用戶可以選擇選擇 [允許],以略過區塊以進行後續的啟動。 此允許只是暫時性的,而且應用程式會在一段時間后再次遭到封鎖。
注意事項
如果您的組織已部署 DisableLocalAdminMerge 組策略,您可能會遇到允許應用程式不會生效的實例。 此行為將會在即將推出的版本中修正。
使用者更新封鎖的應用程式
常見問題是使用者如何更新封鎖的應用程式? 封鎖可執行檔會強制執行區塊。 某些應用程式,例如 Firefox,依賴個別的更新可執行檔,此功能不會封鎖此功能。 在其他應用程式需要更新主要可執行檔的情況下,建議您在警告模式 (實作 區塊,讓使用者可以略過區塊) ,或者如果用戶端) 上未儲存重要資訊,使用者可以刪除應用程式 (,然後重新安裝應用程式。