通过

使用Microsoft Defender 漏洞管理阻止易受攻击的应用程序

适用于:

注意

若要使用此功能,需要Microsoft Defender 漏洞管理独立版,或者如果你已经是计划 2 Microsoft Defender for Endpoint 客户,Defender 漏洞管理加载项。

修复漏洞需要时间,并且可能取决于 IT 团队的职责和资源。 在修正请求完成之前,安全管理员可以立即采取措施阻止所有当前已知的易受攻击的应用程序版本,从而暂时降低漏洞风险。 阻止选项可让 IT 团队有时间修补应用程序,而无需担心安全管理员的漏洞。

执行安全建议建议的修正步骤时,安全管理员可以执行缓解作并阻止易受攻击的应用程序版本。 为属于该应用程序易受攻击版本的每个可执行文件创建泄露 (IOC) 的文件指示器。 然后,Microsoft Defender防病毒在指定范围内的设备上强制实施块。

阻止或警告缓解作

阻止作旨在阻止组织中所有已安装易受攻击的应用程序版本运行。 例如,如果存在活动的零日漏洞,则可以在确定解决方法选项时阻止用户运行受影响的软件。

警告作旨在当用户打开易受攻击的应用程序版本时向用户发送警告。 用户可以选择绕过警告并访问应用程序进行后续启动。

对于这两个作,可以自定义用户看到的消息。 例如,可以鼓励他们安装最新版本。 此外,还可以提供用户在选择通知时导航到的自定义 URL。 用户必须选择 Toast 通知的正文才能导航到自定义 URL。 该通知可用于提供组织中特定于应用程序管理的更多详细信息。

注意

阻止和警告作通常在几分钟内强制实施,但最长可能需要三个小时。

最低要求

  • Microsoft Defender防病毒 (活动模式) :检测文件执行事件和阻止需要在活动模式下启用Microsoft Defender防病毒。 根据设计,被动模式和块模式下的 EDR 无法基于文件执行进行检测和阻止。 若要了解详细信息,请参阅部署Microsoft Defender防病毒
  • ) 启用云交付保护 (:有关详细信息,请参阅 管理基于云的保护
  • 允许或阻止) 上的文件 (:转到 设置>终结点>高级功能>允许或阻止文件。 若要了解详细信息,请参阅 高级功能

版本要求

  • 反恶意软件客户端版本必须为 4.18.1901.x 或更高版本。
  • 引擎版本必须为 1.1.16200.x 或更高版本。
  • Windows 客户端设备必须运行Windows 11或Windows 10 版本 1809或更高版本,并且安装了最新的 Windows 更新。
  • 服务器必须运行 Windows Server 2022、2019、2016、2012 R2 和 2008 R2 SP1。 从 2025 年 2 月开始并在接下来的几周内推出对 2025 Windows Server 的支持。

如何阻止易受攻击的应用程序

  1. 登录到Microsoft Defender门户,然后导航到“终结点>漏洞管理>建议”。

  2. 选择安全建议以查看包含详细信息的浮出控件。

  3. 选择“ 请求修正”。

  4. 填写表单。 在 “修正选项 ”下拉列表中,选择要请求的选项。 选项包括软件更新、软件卸载和需要注意。

  5. 在“任务管理工具”下,勾选“在Intune (中为已加入 AAD 的设备打开票证”框,) 如果要在Microsoft Intune中创建修正请求的票证。

  6. 选择 修正截止日期

  7. “优先级”下,选择“高”、“中”或“低”。

  8. “添加备注”下,可以添加任何其他信息。 选择 下一步

  9. 查看所做的选择,然后选择“ 提交”。 在最后一页上,可以选择编辑选择,并将所有修正请求导出到 .CSV 文件。

注意

从 2024 年 12 月 3 日起,预计新应用程序块策略创建的文件指示器数将减少。 若要减少当前指示器的使用,请取消阻止任何被阻止的应用程序,并创建新的阻止策略。

根据可用数据,阻止作在具有防病毒Microsoft Defender终结点上生效。 Microsoft Defender for Endpoint尽最大努力阻止适用的易受攻击的应用程序或版本运行。

如果在应用程序的不同版本上发现更多漏洞,则会收到新的安全建议,要求更新应用程序,还可以选择阻止此不同版本。

不支持阻止时

如果在请求修正时未看到缓解选项,这是因为当前不支持阻止应用程序的功能。 不包括缓解措施的建议包括:

  • Microsoft应用程序
  • 与作系统相关的建议
  • 与 macOS 和 Linux 应用相关的建议
  • Microsoft没有足够的信息或高置信度来阻止的应用
  • Microsoft应用商店应用,无法阻止这些应用,因为它们由 Microsoft

如果尝试阻止应用程序,但应用程序不起作用,则可能已达到最大指示器容量。 如果是这样,可以删除旧指标 详细了解指标

查看修正活动

提交阻止易受攻击应用程序的请求后,可以按照以下步骤查看修正活动:

  1. 导航到 “终结点>漏洞管理>修正”。

  2. 在“ 活动 ”选项卡中,可以选择按缓解类型筛选结果。 选项包括 “阻止”、“ 警告”、“ 无”“解决方法”。

  3. 选择相关活动以查看浮出控件窗格,其中包含详细信息,包括修正说明、缓解说明和设备修正状态:

    修正和缓解详细信息

查看阻止的应用程序

若要查看阻止的应用程序列表,请执行以下步骤:

  1. 导航到 “终结点>漏洞管理>修正”,然后选择“ 阻止的应用程序 ”选项卡:

    阻止的应用程序

  2. 选择被阻止的应用程序以查看浮出控件,其中包含有关漏洞数量、攻击是否可用、阻止的版本和修正活动的详细信息。

  3. 在“指示器”页中选择“查看阻止版本的详细信息”,这会转到“指示器”页,可在其中查看文件哈希和响应作。

    注意

    如果将指标 API 与编程指示器查询一起使用作为工作流的一部分,则阻止作会产生更多结果。

  4. 若要取消阻止应用程序,请选择“ 取消阻止软件 ”或“ 打开软件”页

    阻止的应用程序详细信息

取消阻止应用程序

选择被阻止的应用程序以查看浮出控件中的 “取消阻止软件 ”选项。

取消阻止应用程序后,刷新页面以查看它从列表中删除。 最多可能需要 3 小时才能解除阻止应用程序并可供用户再次访问。

受阻应用程序的用户体验

当用户尝试访问被阻止的应用程序时,他们会收到一条消息,通知他们应用程序已被其组织阻止。 此消息可自定义。

对于应用了警告缓解选项的应用程序,用户会收到一条消息,告知他们应用程序已被其组织阻止。 用户可以通过选择“允许”绕过阻止进行后续启动。 此允许作只是暂时的,应用程序在一段时间后会再次被阻止。

注意

如果组织已部署 DisableLocalAdminMerge 组策略,可能会遇到允许应用程序未生效的实例。

最终用户更新阻止的应用程序

一个常见问题是,“最终用户如何更新被阻止的应用程序?”阻止是通过阻止可执行文件来强制执行的。 某些应用程序(如 Firefox)依赖于单独的更新可执行文件,此功能不会阻止该可执行文件。 在其他情况下,当应用程序需要更新main可执行文件时,建议在警告模式下实现块 (以便最终用户可以绕过块) 或要求最终用户删除应用程序 (客户端上没有存储重要信息) 然后重新安装它。