الكشف عن التطبيقات التي يحتمل أن تكون غير مرغوب فيها وحظرها

ينطبق على:

• الخطة 1 من Microsoft Defender لنقطة النهاية
• Defender for Endpoint الخطة 2
• Microsoft Edge
• برنامج الحماية من الفيروسات من Microsoft Defender

الأنظمة الأساسية

• بالنسبة لنظام التشغيل

التطبيقات غير المرغوب فيها (PUA) هي فئة من البرامج التي يمكن أن تتسبب في تشغيل جهازك ببطء، أو عرض إعلانات غير متوقعة، أو في أسوأ الأحوال، تثبيت برامج أخرى قد تكون غير متوقعة أو غير مرغوب فيها. لا يعتبر PUA فيروسا أو برامج ضارة أو أي نوع آخر من التهديدات، ولكنه قد ينفذ إجراءات على نقاط النهاية التي تؤثر سلبا على أداء نقطة النهاية أو استخدامها. يمكن أن يشير مصطلح PUA أيضا إلى تطبيق له سمعة سيئة، كما تم تقييمه بواسطة Microsoft Defender لنقطة النهاية، بسبب أنواع معينة من السلوك غير المرغوب فيه.

فيما يلي بعض الأمثلة:

• البرامج الإعلانية التي تعرض الإعلانات أو العروض الترويجية، بما في ذلك البرامج التي تدرج إعلانات إلى صفحات الويب.
• تجميع البرامج التي تقدم لتثبيت برامج أخرى لم يتم توقيعها رقميا من قبل نفس الكيان. أيضا، البرامج التي تقدم لتثبيت برامج أخرى مؤهلة ك PUA.
• برامج التهرب التي تحاول بنشاط التهرب من الكشف عن المنتجات الأمنية، بما في ذلك البرامج التي تتصرف بشكل مختلف في وجود منتجات الأمان.

تلميح

لمزيد من الأمثلة ومناقشة المعايير التي نستخدمها لتسمية التطبيقات للحصول على اهتمام خاص من ميزات الأمان، راجع كيف تحدد Microsoft البرامج الضارة والتطبيقات التي يحتمل أن تكون غير مرغوب فيها.

يمكن أن تزيد التطبيقات غير المرغوب فيها من خطر إصابة شبكتك بالبرامج الضارة الفعلية، أو تجعل من الصعب تحديد العدوى بالبرامج الضارة، أو تكلف فرق تكنولوجيا المعلومات والأمان وقتا وجهدا لتنظيفها. يتم دعم حماية PUA على Windows 11 Windows 10 وWindows Server 2022 وWindows Server 2019 وWindows Server 2016. إذا كان اشتراك مؤسستك يتضمن Microsoft Defender لنقطة النهاية، Microsoft Defender يحظر برنامج الحماية من الفيروسات التطبيقات التي تعتبر PUA بشكل افتراضي على أجهزة Windows.

تعرف على المزيد حول اشتراكات Windows Enterprise.

تلميح

بصفتك مصاحبا لهذه المقالة، نوصي باستخدام دليل الإعداد التلقائي Microsoft Defender لنقطة النهاية عند تسجيل الدخول إلى مركز مسؤولي Microsoft 365. سيقوم هذا الدليل بتخصيص تجربتك استنادا إلى بيئتك. لمراجعة أفضل الممارسات دون تسجيل الدخول وتنشيط ميزات الإعداد التلقائي، انتقل إلى دليل إعداد Microsoft 365.

Microsoft Edge

يحظر Microsoft Edge الجديد، المستند إلى Chromium، تنزيلات التطبيقات غير المرغوب فيها وعناوين URL المرتبطة بالموارد. يتم توفير هذه الميزة عبر Microsoft Defender SmartScreen.

تمكين حماية PUA في Microsoft Edge المستند إلى Chromium

على الرغم من إيقاف تشغيل حماية التطبيقات غير المرغوب فيها في Microsoft Edge (المستندة إلى Chromium، الإصدار 80.0.361.50) بشكل افتراضي، يمكن تشغيلها بسهولة من داخل المستعرض.

1. في مستعرض Microsoft Edge، حدد علامات الحذف، ثم اختر الإعدادات.

2. حدد الخصوصية والبحث والخدمات.

3. ضمن قسم الأمان ، قم بتشغيل حظر التطبيقات التي يحتمل أن تكون غير مرغوب فيها.

تلميح

إذا كنت تقوم بتشغيل Microsoft Edge (المستند إلى Chromium)، يمكنك استكشاف ميزة حظر عنوان URL لحماية PUA بأمان عن طريق اختبارها على إحدى صفحات العرض التوضيحي ل SmartScreen Microsoft Defender.

حظر عناوين URL باستخدام SmartScreen Microsoft Defender

في Microsoft Edge المستند إلى Chromium مع تشغيل حماية PUA، يحميك Microsoft Defender SmartScreen من عناوين URL المرتبطة ب PUA.

يمكن لمسؤولي الأمان تكوين كيفية عمل Microsoft Edge Microsoft Defender SmartScreen معا لحماية مجموعات المستخدمين من عناوين URL المقترنة ب PUA. هناك العديد من إعدادات نهج المجموعة بشكل صريح Microsoft Defender SmartScreen المتوفرة، بما في ذلك واحد لحظر PUA. بالإضافة إلى ذلك، يمكن للمسؤولين تكوين Microsoft Defender SmartScreen ككل، باستخدام إعدادات نهج المجموعة لتشغيل Microsoft Defender SmartScreen أو إيقاف تشغيلها.

على الرغم من أن Microsoft Defender لنقطة النهاية لها قائمة حظر خاصة بها استنادا إلى مجموعة بيانات تديرها Microsoft، يمكنك تخصيص هذه القائمة استنادا إلى التحليل الذكي للمخاطر الخاص بك. إذا قمت بإنشاء مؤشرات وإدارتها في مدخل Microsoft Defender لنقطة النهاية، فإن Microsoft Defender SmartScreen تحترم الإعدادات الجديدة.

الحماية من الفيروسات Microsoft Defender و PUA

يمكن لميزة حماية التطبيق غير المرغوب فيها (PUA) في برنامج الحماية من الفيروسات Microsoft Defender الكشف عن PUA وحظره على نقاط النهاية في شبكتك.

ملاحظة

تتوفر هذه الميزة في Windows 11 Windows 10 وWindows Server 2022 وWindows Server 2019 وWindows Server 2016.

Microsoft Defender كشف كتل برنامج الحماية من الفيروسات عن ملفات PUA وأي محاولات لتنزيلها أو نقلها أو تشغيلها أو تثبيتها. ثم يتم نقل ملفات PUA المحظورة إلى العزل. عند الكشف عن ملف PUA على نقطة نهاية، يرسل برنامج الحماية من الفيروسات Microsoft Defender إعلاما للمستخدم (ما لم يتم تعطيل الإعلامات بنفس تنسيق عمليات الكشف عن التهديدات الأخرى. يتم تمهيد الإعلام مع PUA: للإشارة إلى محتواه.

يظهر الإعلام في قائمة العزل المعتادة داخل تطبيق أمن Windows.

تكوين حماية PUA في برنامج الحماية من الفيروسات Microsoft Defender

يمكنك تمكين حماية PUA باستخدام Microsoft Intuneأو Microsoft Configuration Managerأو نهج المجموعة أو عبر أوامر PowerShell cmdlets.

في البداية، حاول استخدام حماية PUA في وضع التدقيق. يكتشف التطبيقات غير المرغوب فيها دون حظرها فعليا. يتم التقاط عمليات الكشف في سجل أحداث Windows. تعد حماية PUA في وضع التدقيق مفيدة إذا كانت شركتك تجري فحصا داخليا لتوافق أمان البرامج ومن المهم تجنب الإيجابيات الكاذبة.

استخدام Intune لتكوين حماية PUA

راجع المقالات التالية:

• تكوين إعدادات تقييد الجهاز في Microsoft Intune
• Microsoft Defender إعدادات تقييد جهاز مكافحة الفيروسات Windows 10 في Intune

استخدام Configuration Manager لتكوين حماية PUA

يتم تمكين حماية PUA بشكل افتراضي في Microsoft Configuration Manager (الفرع الحالي).

راجع كيفية إنشاء نهج مكافحة البرامج الضارة وتوزيعها: إعدادات الفحص المجدولة للحصول على تفاصيل حول تكوين Microsoft Configuration Manager (الفرع الحالي).

للحصول على مركز النظام 2012 Configuration Manager، راجع كيفية توزيع نهج حماية التطبيقات غير المرغوب فيها لحماية نقطة النهاية في Configuration Manager.

ملاحظة

يتم الإبلاغ عن أحداث PUA التي تم حظرها بواسطة برنامج الحماية من الفيروسات Microsoft Defender في عارض الأحداث Windows وليس في Microsoft Configuration Manager.

استخدام نهج المجموعة لتكوين حماية PUA

1. تنزيل وتثبيت القوالب الإدارية (.admx) لتحديث Windows 11 أكتوبر 2021 (21H2)

2. على كمبيوتر إدارة نهج المجموعة، افتح وحدة تحكم إدارة نهج المجموعة.

3. حدد الكائن نهج المجموعة الذي تريد تكوينه، ثم اختر تحرير.

4. في محرر إدارة نهج المجموعة، انتقل إلى تكوين الكمبيوتر وحدد القوالب الإدارية.

5. قم بتوسيع الشجرة إلى Windows Components>Microsoft Defender Antivirus.

6. انقر نقرا مزدوجا فوق تكوين الكشف للتطبيقات التي يحتمل أن تكون غير مرغوب فيها.

7. حدد Enabled لتمكين حماية PUA.

8. في خيارات، حدد حظر لحظر التطبيقات غير المرغوب فيها، أو حدد وضع التدقيق لاختبار كيفية عمل الإعداد في بيئتك. حدد موافق.

9. انشر كائن نهج المجموعة كما تفعل عادة.

استخدام PowerShell cmdlets لتكوين حماية PUA

لتمكين حماية PUA

Set-MpPreference -PUAProtection Enabled

تعيين قيمة cmdlet هذا لتشغيل Enabled الميزة إذا تم تعطيلها.

لتعيين حماية PUA إلى وضع التدقيق

Set-MpPreference -PUAProtection AuditMode

يكتشف الإعداد AuditMode PUAs دون حظرها.

لتعطيل حماية PUA

نوصي بإبقاء حماية PUA قيد التشغيل. ومع ذلك، يمكنك إيقاف تشغيله باستخدام cmdlet التالي:

Set-MpPreference -PUAProtection Disabled

تعيين قيمة cmdlet هذا لإيقاف Disabled تشغيل الميزة إذا تم تمكينها.

لمزيد من المعلومات، راجع استخدام أوامر PowerShell cmdlets لتكوين وتشغيل Microsoft Defender Antivirus وDefender Antivirus cmdlets.

عرض أحداث PUA باستخدام PowerShell

يتم الإبلاغ عن أحداث PUA في عارض الأحداث Windows، ولكن ليس في Microsoft Configuration Manager أو في Intune. يمكنك أيضا استخدام Get-MpThreat cmdlet لعرض التهديدات التي Microsoft Defender مكافحة الفيروسات التي تمت معالجتها. فيما يلي مثال:

CategoryID       : 27
DidThreatExecute : False
IsActive         : False
Resources        : {webfile:_q:\Builds\Dalton_Download_Manager_3223905758.exe|http://d18yzm5yb8map8.cloudfront.net/
                    fo4yue@kxqdw/Dalton_Download_Manager.exe|pid:14196,ProcessStart:132378130057195714}
RollupStatus     : 33
SchemaVersion    : 1.0.0.0
SeverityID       : 1
ThreatID         : 213927
ThreatName       : PUA:Win32/InstallCore
TypeID           : 0
PSComputerName   :

الحصول على إشعارات البريد الإلكتروني حول اكتشافات PUA

يمكنك تشغيل إعلامات البريد الإلكتروني لتلقي البريد حول اكتشافات PUA.

راجع استكشاف أخطاء معرفات الأحداث وإصلاحها للحصول على تفاصيل حول عرض أحداث برنامج الحماية من الفيروسات Microsoft Defender. يتم تسجيل أحداث PUA ضمن معرف الحدث 1160.

عرض أحداث PUA باستخدام التتبع المتقدم

إذا كنت تستخدم Microsoft Defender لنقطة النهاية، يمكنك استخدام استعلام تتبع متقدم لعرض أحداث PUA. فيما يلي مثال على الاستعلام:

DeviceEvents
| where ActionType == "AntivirusDetection"
| extend x = parse_json(AdditionalFields)
| project Timestamp, DeviceName, FolderPath, FileName, SHA256, ThreatName = tostring(x.ThreatName), WasExecutingWhileDetected = tostring(x.WasExecutingWhileDetected), WasRemediated = tostring(x.WasRemediated)
| where ThreatName startswith_cs 'PUA:'

لمعرفة المزيد حول التتبع المتقدم، راجع البحث الاستباقي عن التهديدات باستخدام التتبع المتقدم.

استبعاد الملفات من حماية PUA

في بعض الأحيان يتم حظر ملف عن طريق الخطأ بواسطة حماية PUA، أو يلزم وجود ميزة في PUA لإكمال مهمة. في هذه الحالات، يمكن إضافة ملف إلى قائمة استبعاد.

لمزيد من المعلومات، راجع تكوين الاستثناءات والتحقق من صحتها استنادا إلى ملحق الملف وموقع المجلد.

تلميح

إذا كنت تبحث عن معلومات متعلقة ببرنامج الحماية من الفيروسات للأنظمة الأساسية الأخرى، فاطلع على:

• تعيين تفضيلات Microsoft Defender لنقطة النهاية على نظام التشغيل macOS
• Microsoft Defender for Endpoint على Mac
• إعدادات نهج برنامج الحماية من الفيروسات في macOS لبرنامج الحماية من الفيروسات من Microsoft Defender Antivirus for Intune
• تعيين تفضيلات Microsoft Defender لنقطة النهاية على Linux
• مشكلات الأداء في Microsoft Defender لنقطة النهاية على Linux
• تكوين Defender for Endpoint على ميزات Android
• تكوين Microsoft Defender for Endpoint على ميزات iOS

راجع أيضًا

• حماية الجيل التالي
• تكوين الحماية السلوكية، والحماية التحليلية، والحماية في الوقت الحقيقي

تلميح

هل تريد معرفة المزيد؟ Engage مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender لنقطة النهاية Tech Community.