Find og bloker potentielt uønskede programmer

  • Artikel

Gælder for:

Platforme

  • Windows

Potentielt uønskede programmer (PUA) er en kategori af software, der kan få din maskine til at køre langsomt, vise uventede annoncer eller i værste fald installere anden software, der kan være uventet eller uønsket. PUA betragtes ikke som en virus, malware eller anden type trussel, men den kan udføre handlinger på slutpunkter, der påvirker slutpunktets ydeevne eller brug negativt. Udtrykket PUA kan også henvise til et program, der har et dårligt ry, som vurderet af Microsoft Defender for Endpoint, på grund af visse former for uønsket adfærd.

Her er nogle eksempler:

  • Reklamesoftware , der viser reklamer eller kampagner, herunder software, der indsætter reklamer på websider.
  • Bundling-software , der tilbyder at installere anden software, der ikke er digitalt signeret af den samme enhed. Også software, der tilbyder at installere anden software, der er kvalificeret som PUA.
  • Undvigelsessoftware , der aktivt forsøger at undgå registrering af sikkerhedsprodukter, herunder software, der opfører sig anderledes i tilstedeværelse af sikkerhedsprodukter.

Tip

Hvis du vil have flere eksempler og en diskussion af de kriterier, vi bruger til at mærke programmer med særlig opmærksomhed fra sikkerhedsfunktioner, skal du se Sådan identificerer Microsoft malware og potentielt uønskede programmer.

Potentielt uønskede programmer kan øge risikoen for, at dit netværk bliver inficeret med faktisk malware, gøre malwareinfektioner sværere at identificere eller koste din it- og sikkerhedsteams tid og kræfter på at rense dem op. PUA-beskyttelse understøttes på Windows 11, Windows 10, Windows Server 2022, Windows Server 2019 og Windows Server 2016. Hvis organisationens abonnement omfatter Microsoft Defender for Endpoint, blokerer Microsoft Defender Antivirus apps, der som standard anses for at være PUA på Windows-enheder.

Få mere at vide om Windows Enterprise-abonnementer.

Microsoft Edge

Den nye Microsoft Edge, som er Chromium-baseret, blokerer potentielt uønskede programoverførsler og tilknyttede ressource-URL-adresser. Denne funktion leveres via Microsoft Defender SmartScreen.

Aktivér PUA-beskyttelse i Chromium-baseret Microsoft Edge

Selvom potentielt uønsket programbeskyttelse i Microsoft Edge (Chromium-baseret version 80.0.361.50) er slået fra som standard, kan den nemt aktiveres fra browseren.

  1. I din Microsoft Edge-browser skal du vælge ellipsen og derefter vælge Indstillinger.

  2. Vælg Beskyttelse af personlige oplysninger, søgning og tjenester.

  3. Under afsnittet Sikkerhed skal du aktivere Bloker potentielt uønskede apps.

Tip

Hvis du kører Microsoft Edge (Chromium-baseret), kan du sikkert udforske funktionen URL-blokering i PUA-beskyttelse ved at teste den på en af vores Microsoft Defender SmartScreen-demosider.

Bloker URL-adresser med Microsoft Defender SmartScreen

I Chromium-baseret Microsoft Edge med PUA-beskyttelse slået til, beskytter Microsoft Defender SmartScreen dig mod PUA-tilknyttede URL-adresser.

Sikkerhedsadministratorer kan konfigurere, hvordan Microsoft Edge og Microsoft Defender SmartScreen arbejder sammen for at beskytte grupper af brugere mod PUA-tilknyttede URL-adresser. Der er flere gruppepolitikindstillinger eksplicit for Microsoft Defender SmartScreen tilgængelig, herunder en til blokering af PUA. Derudover kan administratorer konfigurere Microsoft Defender SmartScreen som helhed ved hjælp af gruppepolitikindstillinger til at slå Microsoft Defender SmartScreen til eller fra.

Selvom Microsoft Defender for Endpoint har sin egen blokliste baseret på et datasæt, der administreres af Microsoft, kan du tilpasse denne liste baseret på din egen trusselsintelligens. Hvis du opretter og administrerer indikatorer på Microsoft Defender for Endpoint-portalen, respekterer Microsoft Defender SmartScreen de nye indstillinger.

Microsoft Defender antivirus- og PUA-beskyttelse

Den potentielt uønskede funktion pua-beskyttelse i Microsoft Defender Antivirus kan registrere og blokere PUA på slutpunkter i dit netværk.

Bemærk!

Denne funktion er tilgængelig i Windows 11, Windows 10, Windows Server 2022, Windows Server 2019 og Windows Server 2016.

Microsoft Defender Antivirus blokerer registrerede PUA-filer og forsøg på at downloade, flytte, køre eller installere dem. Blokerede PUA-filer flyttes derefter til karantæne. Når der registreres en PUA-fil på et slutpunkt, sender Microsoft Defender Antivirus en meddelelse til brugeren (medmindre meddelelser er blevet deaktiveret i samme format som andre trusselsregistreringer. Meddelelsen er på forhånd med PUA: for at angive dens indhold.

Meddelelsen vises på den sædvanlige karantæneliste i Windows Sikkerhed-appen.

Konfigurer PUA-beskyttelse i Microsoft Defender Antivirus

Du kan aktivere PUA-beskyttelse med Microsoft Intune, Microsoft Configuration Manager, Gruppepolitik eller via PowerShell-cmdlet'er.

Prøv først at bruge PUA-beskyttelse i overvågningstilstand. Den registrerer potentielt uønskede programmer uden faktisk at blokere dem. Registreringer registreres i Windows-hændelsesloggen. PUA-beskyttelse i overvågningstilstand er nyttig, hvis din virksomhed udfører en intern kontrol af softwaresikkerhedsoverholdelse, og det er vigtigt at undgå falske positiver.

Brug Intune til at konfigurere PUA-beskyttelse

Se følgende artikler:

Brug Configuration Manager til at konfigurere PUA-beskyttelse

PUA-beskyttelse er som standard aktiveret i Microsoft Configuration Manager (aktuel forgrening).

Se Sådan opretter og installerer du antimalwarepolitikker: Indstillinger for planlagte scanninger for at få oplysninger om konfiguration af Microsoft Configuration Manager (aktuel gren).

I forbindelse med System Center 2012 Configuration Manager skal du se Sådan installerer du potentielt uønsket politik for programbeskyttelse for Endpoint Protection i Configuration Manager.

Bemærk!

PUA-hændelser, der er blokeret af Microsoft Defender Antivirus, rapporteres i Windows Logbog og ikke i Microsoft Configuration Manager.

Brug Gruppepolitik til at konfigurere PUA-beskyttelse

  1. Download og installér administrative skabeloner (.admx) til Windows 11 oktober 2021-opdatering (21H2)

  2. Åbn administrationskonsollen for Gruppepolitik på administrationscomputeren til Gruppepolitik.

  3. Vælg det Gruppepolitik objekt, du vil konfigurere, og vælg derefter Rediger.

  4. I redigeringsprogrammet til administration af gruppepolitik skal du gå til Computerkonfiguration og vælge Administrative skabeloner.

  5. Udvid træet til Windows-komponenter>Microsoft Defender Antivirus.

  6. Dobbeltklik på Konfigurer registrering for potentielt uønskede programmer.

  7. Vælg Aktiveret for at aktivere PUA-beskyttelse.

  8. Under Indstillinger skal du vælge Bloker for at blokere potentielt uønskede programmer eller vælge Overvågningstilstand for at teste, hvordan indstillingen fungerer i dit miljø. Vælg OK.

  9. Udrul dit Gruppepolitik objekt, som du normalt gør.

Brug PowerShell-cmdlet'er til at konfigurere PUA-beskyttelse

Sådan aktiverer du PUA-beskyttelse

Set-MpPreference -PUAProtection Enabled

Angivelse af værdien for denne cmdlet til at Enabled aktivere funktionen, hvis den er blevet deaktiveret.

Sådan angiver du PUA-beskyttelse til overvågningstilstand

Set-MpPreference -PUAProtection AuditMode

Når du angiver en indstilling AuditMode , registreres pua'er uden at blokere dem.

Sådan deaktiverer du PUA-beskyttelse

Vi anbefaler, at PUA-beskyttelse er slået til. Du kan dog slå den fra ved hjælp af følgende cmdlet:

Set-MpPreference -PUAProtection Disabled

Hvis du angiver værdien for denne cmdlet for at Disabled slå funktionen fra, hvis den er blevet aktiveret.

Du kan få flere oplysninger under Brug PowerShell-cmdlet'er til at konfigurere og køre Microsoft Defender Antivirus- og Defender Antivirus-cmdlet'er.

Få vist PUA-hændelser ved hjælp af PowerShell

PUA-hændelser rapporteres i Windows Logbog, men ikke i Microsoft Configuration Manager eller i Intune. Du kan også bruge cmdlet'en Get-MpThreat til at få vist de trusler, som Microsoft Defender Antivirus håndteret. Her er et eksempel:

CategoryID       : 27
DidThreatExecute : False
IsActive         : False
Resources        : {webfile:_q:\Builds\Dalton_Download_Manager_3223905758.exe|http://d18yzm5yb8map8.cloudfront.net/
                    fo4yue@kxqdw/Dalton_Download_Manager.exe|pid:14196,ProcessStart:132378130057195714}
RollupStatus     : 33
SchemaVersion    : 1.0.0.0
SeverityID       : 1
ThreatID         : 213927
ThreatName       : PUA:Win32/InstallCore
TypeID           : 0
PSComputerName   :

Få mailmeddelelser om PUA-registreringer

Du kan slå mailmeddelelser til for at modtage mail om PUA-registreringer.

Se Fejlfinding af hændelses-id'er for at få oplysninger om visning af Microsoft Defender Antivirus-hændelser. PUA-hændelser registreres under hændelses-id 1160.

Se PUA-begivenheder ved hjælp af avanceret jagt

Hvis du bruger Microsoft Defender for Endpoint, kan du bruge en avanceret jagtforespørgsel til at få vist PUA-hændelser. Her er et eksempel på en forespørgsel:

DeviceEvents
| where ActionType == "AntivirusDetection"
| extend x = parse_json(AdditionalFields)
| project Timestamp, DeviceName, FolderPath, FileName, SHA256, ThreatName = tostring(x.ThreatName), WasExecutingWhileDetected = tostring(x.WasExecutingWhileDetected), WasRemediated = tostring(x.WasRemediated)
| where ThreatName startswith_cs 'PUA:'

Du kan få mere at vide om avanceret jagt under Proaktiv jagt efter trusler med avanceret jagt.

Udelad filer fra PUA-beskyttelse

Nogle gange blokeres en fil fejlagtigt af PUA-beskyttelse, eller en funktion i en PUA er påkrævet for at fuldføre en opgave. I disse tilfælde kan en fil føjes til en udeladelsesliste.

Du kan få flere oplysninger under Konfigurer og valider udeladelser baseret på filtypenavn og mappeplacering.

Tip

Hvis du leder efter antivirusrelaterede oplysninger til andre platforme, skal du se:

Se også

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender for Endpoint Tech Community.