Del via


Find og bloker potentielt uønskede programmer

Gælder for:

Platforme

  • Windows

Microsoft Defender Antivirus er tilgængelig i følgende versioner af Windows og Windows Server:

  • Windows Server 2022
  • Windows Server 2019
  • Windows Server, version 1803 eller nyere
  • Windows Server 2016
  • Windows Server 2012 R2 (kræver Microsoft Defender for Endpoint)
  • Windows 11
  • Windows 10
  • Windows 8.1

For macOS skal du se Registrer og bloker potentielt uønskede programmer med Defender for Endpoint på macOS.

Til Linux skal du se Registrer og bloker potentielt uønskede programmer med Defender for Endpoint på Linux.

Potentielt uønskede programmer (PUA) er en kategori af software, der kan få din maskine til at køre langsomt, vise uventede annoncer eller i værste fald installere anden software, der kan være uventet eller uønsket. PUA betragtes ikke som en virus, malware eller anden type trussel, men den kan udføre handlinger på slutpunkter, der påvirker slutpunktets ydeevne eller brug negativt. Udtrykket PUA kan også henvise til et program, der har et dårligt ry, som vurderet af Microsoft Defender for Endpoint, på grund af visse former for uønsket adfærd.

Her er nogle eksempler:

  • Reklamesoftware , der viser reklamer eller kampagner, herunder software, der indsætter reklamer på websider.
  • Bundling-software , der tilbyder at installere anden software, der ikke er digitalt signeret af den samme enhed. Også software, der tilbyder at installere anden software, der er kvalificeret som PUA.
  • Undvigelsessoftware , der aktivt forsøger at undgå registrering af sikkerhedsprodukter, herunder software, der opfører sig anderledes i tilstedeværelse af sikkerhedsprodukter.

Tip

Hvis du vil have flere eksempler og en diskussion af de kriterier, vi bruger til at mærke programmer med særlig opmærksomhed fra sikkerhedsfunktioner, skal du se Sådan identificerer Microsoft malware og potentielt uønskede programmer.

Potentielt uønskede programmer kan øge risikoen for, at dit netværk bliver inficeret med faktisk malware, gøre malwareinfektioner sværere at identificere eller koste din it- og sikkerhedsteams tid og kræfter på at rense dem op. Hvis din organisations abonnement omfatter Microsoft Defender for Endpoint, kan du også angive, at Microsoft Defender Antivirus PUA skal blokeres, for at blokere apps, der anses for at være PUA på Windows-enheder.

Få mere at vide om Windows Enterprise-abonnementer.

Tip

Som ledsager til denne artikel kan du se vores konfigurationsvejledning til Microsoft Defender for Endpoint for at gennemse bedste praksis og få mere at vide om vigtige værktøjer, f.eks. reduktion af angrebsoverfladen og næste generations beskyttelse. Hvis du vil have en tilpasset oplevelse baseret på dit miljø, kan du få adgang til den automatiserede konfigurationsvejledning til Defender for Endpoint i Microsoft 365 Administration.

Microsoft Edge

Den nye Microsoft Edge, som er Chromium-baseret, blokerer potentielt uønskede programoverførsler og tilknyttede ressource-URL-adresser. Denne funktion leveres via Microsoft Defender SmartScreen.

Aktivér PUA-beskyttelse i Chromium-baseret Microsoft Edge

Selvom potentielt uønsket programbeskyttelse i Microsoft Edge (Chromium-baseret version 80.0.361.50) er slået fra som standard, kan den nemt aktiveres fra browseren.

  1. I din Microsoft Edge-browser skal du vælge ellipsen og derefter vælge Indstillinger.

  2. Vælg Beskyttelse af personlige oplysninger, søgning og tjenester.

  3. Under afsnittet Sikkerhed skal du aktivere Bloker potentielt uønskede apps.

Tip

Hvis du kører Microsoft Edge (Chromium-baseret), kan du sikkert udforske funktionen URL-blokering i PUA-beskyttelse ved at teste den på en af vores Microsoft Defender SmartScreen-demosider.

Bloker URL-adresser med Microsoft Defender SmartScreen

I Chromium-baseret Microsoft Edge med PUA-beskyttelse slået til, beskytter Microsoft Defender SmartScreen dig mod PUA-tilknyttede URL-adresser.

Sikkerhedsadministratorer kan konfigurere, hvordan Microsoft Edge og Microsoft Defender SmartScreen arbejder sammen for at beskytte grupper af brugere mod PUA-tilknyttede URL-adresser. Der er flere gruppepolitikindstillinger eksplicit for Microsoft Defender SmartScreen tilgængelig, herunder en til blokering af PUA. Derudover kan administratorer konfigurere Microsoft Defender SmartScreen som helhed ved hjælp af gruppepolitikindstillinger til at slå Microsoft Defender SmartScreen til eller fra.

Selvom Microsoft Defender for Endpoint har sin egen blokliste baseret på et datasæt, der administreres af Microsoft, kan du tilpasse denne liste baseret på din egen trusselsintelligens. Hvis du opretter og administrerer indikatorer på Microsoft Defender for Endpoint-portalen, respekterer Microsoft Defender SmartScreen de nye indstillinger.

Microsoft Defender antivirus- og PUA-beskyttelse

Den potentielt uønskede funktion pua-beskyttelse i Microsoft Defender Antivirus kan registrere og blokere PUA på slutpunkter i dit netværk.

Microsoft Defender Antivirus blokerer registrerede PUA-filer og forsøg på at downloade, flytte, køre eller installere dem. Blokerede PUA-filer flyttes derefter til karantæne. Når der registreres en PUA-fil på et slutpunkt, sender Microsoft Defender Antivirus en meddelelse til brugeren (medmindre meddelelser er blevet deaktiveret i samme format som andre trusselsregistreringer. Meddelelsen er på forhånd med PUA: for at angive dens indhold.

Meddelelsen vises på den sædvanlige karantæneliste i Windows Sikkerhed-appen.

Konfigurer PUA-beskyttelse i Microsoft Defender Antivirus

Du kan aktivere PUA-beskyttelse med administration af Microsoft Defender for Endpoint sikkerhedsindstillinger, Microsoft Intune, Microsoft Configuration Manager, Gruppepolitik eller via PowerShell cmdlet'er.

Prøv først at bruge PUA-beskyttelse i overvågningstilstand. Den registrerer potentielt uønskede programmer uden faktisk at blokere dem. Registreringer registreres i Windows-hændelsesloggen. PUA-beskyttelse i overvågningstilstand er nyttig, hvis din virksomhed udfører en intern kontrol af softwaresikkerhedsoverholdelse, og det er vigtigt at undgå falske positiver.

Brug Microsoft Defender for Endpoint Administration af sikkerhedsindstillinger til at konfigurere PUA-beskyttelse

Se følgende artikler:

Brug Intune til at konfigurere PUA-beskyttelse

Se følgende artikler:

Brug Configuration Manager til at konfigurere PUA-beskyttelse

PUA-beskyttelse er som standard aktiveret i Microsoft Configuration Manager (aktuel forgrening).

Se Sådan opretter og installerer du antimalwarepolitikker: Indstillinger for planlagte scanninger for at få oplysninger om konfiguration af Microsoft Configuration Manager (aktuel gren).

I forbindelse med System Center 2012 Configuration Manager skal du se Sådan installerer du potentielt uønsket politik for programbeskyttelse for Endpoint Protection i Configuration Manager.

Bemærk!

PUA-hændelser, der er blokeret af Microsoft Defender Antivirus, rapporteres i Windows-Logbog og ikke i Microsoft Configuration Manager.

Brug Gruppepolitik til at konfigurere PUA-beskyttelse

  1. Download og installér administrative skabeloner (.admx) til Windows 11 oktober 2021-opdatering (21H2)

  2. Åbn administrationskonsollen for Gruppepolitik på administrationscomputeren til Gruppepolitik.

  3. Vælg det Gruppepolitik objekt, du vil konfigurere, og vælg derefter Rediger.

  4. I redigeringsprogrammet til administration af gruppepolitik skal du gå til Computerkonfiguration og vælge Administrative skabeloner.

  5. Udvid træet til Windows-komponenter>Microsoft Defender Antivirus.

  6. Dobbeltklik på Konfigurer registrering for potentielt uønskede programmer, og angiv den til Aktiveret.

  7. Under Indstillinger skal du vælge Bloker for at blokere potentielt uønskede programmer eller vælge Overvågningstilstand for at teste, hvordan indstillingen fungerer i dit miljø. Vælg OK.

  8. Udrul dit Gruppepolitik objekt, som du normalt gør.

Brug PowerShell-cmdlet'er til at konfigurere PUA-beskyttelse

Sådan aktiverer du PUA-beskyttelse

Set-MpPreference -PUAProtection Enabled

Angivelse af værdien for denne cmdlet til at Enabled aktivere funktionen, hvis den er blevet deaktiveret.

Sådan angiver du PUA-beskyttelse til overvågningstilstand

Set-MpPreference -PUAProtection AuditMode

Når du angiver en indstilling AuditMode , registreres pua'er uden at blokere dem.

Sådan deaktiverer du PUA-beskyttelse

Vi anbefaler, at PUA-beskyttelse er slået til. Du kan dog slå den fra ved hjælp af følgende cmdlet:

Set-MpPreference -PUAProtection Disabled

Hvis du angiver værdien for denne cmdlet for at Disabled slå funktionen fra, hvis den er blevet aktiveret.

Du kan få flere oplysninger under Brug PowerShell-cmdlet'er til at konfigurere og køre Microsoft Defender Antivirus- og Defender Antivirus-cmdlet'er.

Test, og sørg for, at BLOKERING AF PUA fungerer

Når du har aktiveret PUA i bloktilstand, kan du teste for at sikre, at det fungerer korrekt. Du kan få flere oplysninger under Demonstration af potentielt uønskede programmer (PUA).

Få vist PUA-hændelser ved hjælp af PowerShell

PUA-hændelser rapporteres i Windows-Logbog, men ikke i Microsoft Configuration Manager eller i Intune. Du kan også bruge cmdlet'en Get-MpThreat til at få vist de trusler, som Microsoft Defender Antivirus håndteret. Her er et eksempel:

CategoryID       : 27
DidThreatExecute : False
IsActive         : False
Resources        : {webfile:_q:\Builds\Dalton_Download_Manager_3223905758.exe|http://d18yzm5yb8map8.cloudfront.net/
                    fo4yue@kxqdw/Dalton_Download_Manager.exe|pid:14196,ProcessStart:132378130057195714}
RollupStatus     : 33
SchemaVersion    : 1.0.0.0
SeverityID       : 1
ThreatID         : 213927
ThreatName       : PUA:Win32/InstallCore
TypeID           : 0
PSComputerName   :

Få mailmeddelelser om PUA-registreringer

Du kan slå mailmeddelelser til for at modtage mail om PUA-registreringer. Du kan finde flere oplysninger om Microsoft Defender Antivirus-hændelser under Fejlfinding af hændelses-id'er. PUA-hændelser registreres under hændelses-id 1160.

Se PUA-begivenheder ved hjælp af avanceret jagt

Hvis du bruger Microsoft Defender for Endpoint, kan du bruge en avanceret jagtforespørgsel til at få vist PUA-hændelser. Her er et eksempel på en forespørgsel:

DeviceEvents
| where ActionType == "AntivirusDetection"
| extend x = parse_json(AdditionalFields)
| project Timestamp, DeviceName, FolderPath, FileName, SHA256, ThreatName = tostring(x.ThreatName), WasExecutingWhileDetected = tostring(x.WasExecutingWhileDetected), WasRemediated = tostring(x.WasRemediated)
| where ThreatName startswith_cs 'PUA:'

Du kan få mere at vide om avanceret jagt under Proaktiv jagt efter trusler med avanceret jagt.

Udelad filer fra PUA-beskyttelse

Nogle gange blokeres en fil fejlagtigt af PUA-beskyttelse, eller en funktion i en PUA er påkrævet for at fuldføre en opgave. I disse tilfælde kan en fil føjes til en udeladelsesliste.

Du kan få flere oplysninger under Konfigurer og valider udeladelser baseret på filtypenavn og mappeplacering.

Se også

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.