注意事項
Microsoft Defender 入口網站中的漏洞管理區塊現已移至暴露管理區。 透過這項變更,您現在可以在統一的地點管理安全暴露資料與漏洞資料,以強化現有的漏洞管理功能。 深入了解。
這些變更對於預覽用戶來說很重要, (Microsoft Defender 全面偵測回應 + 適用於身分識別的 Microsoft Defender預覽選項) 。
注意事項
使用此功能需Microsoft Defender 弱點管理獨立方案,或若您已是適用於端點的 Microsoft Defender Plan 2 客戶,則需使用Defender 弱點管理附加元件。
修復漏洞需要時間,且可能取決於 IT 團隊的職責與資源。 安全管理員可透過立即封鎖所有已知的應用程式版本,暫時降低漏洞風險,直到修復請求完成。 封鎖選項讓你的 IT 團隊有時間修補應用程式,而不用擔心資安管理員的漏洞。
在採取安全建議建議的修復步驟時,安全管理員可執行緩解措施,封鎖應用程式的有漏洞版本。 每個屬於該應用程式易受攻擊版本的可執行檔案都會建立入侵檔案指示 (IOC) 。 Microsoft Defender 防毒軟體接著會對指定範圍內的裝置強制封鎖。
阻擋或警告緩解措施
封鎖動作的目的是阻止組織內所有已安裝且易受攻擊的應用程式版本無法執行。 例如,如果存在活躍的零時漏漏洞,你可以封鎖使用者執行受影響軟體,同時尋找解決方法。
警告動作旨在於用戶開啟有漏洞版本的應用程式時,向他們發出警告。 使用者可選擇繞過警告,進入應用程式以進行後續的啟動。
在這兩種操作中,你都可以自訂使用者看到的訊息內容。 例如,你可以鼓勵他們安裝最新版本。 此外,你還可以提供使用者在選擇通知時導航的自訂網址。 使用者必須選擇吐司通知的主體,才能導覽至自訂網址。 通知可用來提供您組織中應用程式管理的更多細節。
注意事項
封鎖與警告行動通常會在幾分鐘內執行,但可能需要長達三小時。
基本需求
- Microsoft Defender 防毒軟體 (主動模式) :偵測檔案執行事件與阻擋需要在主動模式下啟用Microsoft Defender防毒軟體。 設計上,被動模式和區塊模式下的EDR無法根據檔案執行來偵測和阻擋。 欲了解更多,請參閱部署 Microsoft Defender 防毒軟體。
- 雲端提供的保護 (啟用) :欲了解更多資訊,請參閱 管理雲端保護。
- 允許或阻擋檔案 () :前往 設定>端點>進階功能>允許或封鎖檔案。 欲了解更多,請參閱 進階功能。
版本需求
- 反惡意軟體客戶端版本必須是
4.18.1901.x或更高版本。 - 引擎版本必須是
1.1.16200.x或更晚版本。 - Windows 用戶端裝置必須運行於 Windows 11 或 Windows 10 版本 1809 或更新版本,並安裝了最新的 Windows 更新。
- 伺服器必須運行 Windows Server 2022、2019、2016、2012 R2 及 2008 R2 SP1。 Windows Server 2025 的支援將於 2025 年 2 月開始陸續推出,並在接下來的幾週內陸續推出。
如何封鎖有漏洞的應用程式
在 Microsoft Defender 入口網站中,請執行以下其中一項:
- 如果您是 Microsoft Defender 全面偵測回應 + 適用於身分識別的 Microsoft Defender 預覽版客戶,請選擇曝光管理>建議。
- 如果您是現有客戶,請選擇端 點>漏洞管理>建議。
選擇安全建議以查看包含更多資訊的飛出。
選擇「請求修復」。
填寫表單。 在「 修復選項 」下拉選單中,選擇你想要申請的選項。 選項包括軟體更新、軟體卸載,以及需要注意。
在任務管理工具中,勾選「在 Intune (中為 AAD 加入裝置開啟工單」) 若想在 Microsoft Intune 建立補救請求單。
選擇一個 修復作業的截止日期。
在 優先權中,選擇高、中或低。
在 新增備註中,你可以新增任何額外資訊。 選取 [下一步]。
檢視你所做的選擇,然後選擇 提交。 在最後一頁,你可以選擇編輯選取,並將所有修復請求匯出成 .CSV 檔案。
注意事項
自 2024 年 12 月 3 日起,預計新應用程式區塊政策所建立的檔案指標數量將減少。 為了減少目前的指示器使用量,請解除封鎖所有被封鎖的應用程式,並建立新的封鎖政策。
根據現有資料,封鎖行動會對安裝 Microsoft Defender 防毒軟體的端點生效。 適用於端點的 Microsoft Defender 盡力阻擋適用的有漏洞應用程式或版本的運行。
如果在不同版本的應用程式中發現更多漏洞,你會收到新的安全建議,要求你更新該應用程式,並且你可以選擇封鎖該版本。
當阻擋不被支援時
如果你在申請補救時沒看到緩解選項,那是因為目前不支援封鎖該應用程式的功能。 未包含緩解措施的建議包括:
- Microsoft 應用程式
- 與作業系統相關的建議
- 關於 macOS 和 Linux 應用程式的推薦
- 那些 Microsoft 沒有足夠資訊或高信心無法封鎖的應用程式
- Microsoft Store 應用程式,因為是 Microsoft 簽署,無法被封鎖
如果你嘗試封鎖應用程式但無法成功,可能已經達到指示器的最大容量。 如果是這樣,你可以刪除舊的指標, 了解更多關於指標的資訊。
查看整治活動
在您提交封鎖有漏洞應用程式的請求後,您可以依照以下步驟查看修復活動:
在 修復 頁面 的「活動 」分頁中,您可以選擇依減災類型篩選結果。 選項有封鎖、警告、無和變通。
選擇相關活動以查看包含修復描述、緩解說明及設備修復狀態的飛出窗格:
查看被封鎖的應用程式
要查看被封鎖的申請清單,請依照以下步驟操作:
在 「修復 」頁面 的「被封鎖應用程式 」標籤中,選擇一個被封鎖的應用程式。
會顯示一個面板,詳細說明漏洞數量、是否可用漏洞、被封鎖版本及修復活動。
在 指標頁面選擇「查看被封鎖版本的詳細資料」,這會帶你到 指標 頁面,在那裡你可以查看檔案雜湊值和回應動作。
注意事項
如果你在工作流程中使用 Indicators API 搭配程式化指示查詢,封鎖動作會產生更多結果。
要解除封鎖應用程式,請選擇 「解除封鎖軟體 」或 「開啟軟體」頁面:
解除封鎖應用程式
選擇一個被封鎖的應用程式,以查看在飛出視窗中解鎖 軟體 的選項。
解除封鎖後,重新整理頁面,看看它已從列表中移除。 應用程式解封並重新開放使用者可能需要長達3小時。
被封鎖應用程式的使用者體驗
當使用者嘗試存取被封鎖的應用程式時,會收到訊息告知該應用程式已被其組織封鎖。 此訊息可自訂。
對於已套用警告緩解選項的應用程式,使用者會收到通知該應用程式已被其組織封鎖的訊息。 使用者可透過選擇「允許」來繞過後續發射的封鎖。 這個允許動作只是暫時的,應用程式過一陣子又會被封鎖。
注意事項
如果你的組織已經部署了 DisableLocalAdminMerge 群組政策,可能會遇到允許某個應用程式無法生效的情況。
終端使用者更新被封鎖的應用程式
一個常見的問題是:「終端使用者如何更新被封鎖的應用程式?」封鎖是透過封鎖可執行檔來執行的。 有些應用程式,例如 Firefox,依賴獨立的更新執行檔,但此功能不會阻擋該執行檔。 在其他情況下,當應用程式需要主要執行檔更新時,建議以警告模式實作封鎖, (讓終端使用者能繞過封鎖) ,或在用戶端) 中未儲存重要資訊時,要求使用者刪除應用程式 (再重新安裝。