Registrer og bloker potentielt uønskede programmer
Gælder for:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Edge
- Microsoft Defender Antivirus
Platforme
- Windows
Potentielt uønskede programmer (PUA) er en kategori af software, der kan få din maskine til at køre langsomt, vise uventede annoncer eller i værste fald installere anden software, der kan være uventet eller uønsket. PUA betragtes ikke som en virus, malware eller anden type trussel, men den kan udføre handlinger på slutpunkter, der påvirker slutpunktets ydeevne eller brug negativt. Udtrykket PUA kan også henvise til et program, der har et dårligt ry, som vurderet af Microsoft Defender for Endpoint, på grund af visse former for uønsket adfærd.
Her er nogle eksempler:
- Reklamesoftware , der viser reklamer eller kampagner, herunder software, der indsætter reklamer på websider.
- Bundling-software , der tilbyder at installere anden software, der ikke er digitalt signeret af den samme enhed. Også software, der tilbyder at installere anden software, der er kvalificeret som PUA.
- Undvigelsessoftware , der aktivt forsøger at undgå registrering af sikkerhedsprodukter, herunder software, der opfører sig anderledes i tilstedeværelse af sikkerhedsprodukter.
Tip
Hvis du vil have flere eksempler og en diskussion af de kriterier, vi bruger til at mærke programmer med særlig opmærksomhed fra sikkerhedsfunktioner, skal du se Sådan identificerer Microsoft malware og potentielt uønskede programmer.
Potentielt uønskede programmer kan øge risikoen for, at dit netværk bliver inficeret med faktisk malware, gøre malwareinfektioner sværere at identificere eller koste din it- og sikkerhedsteams tid og kræfter på at rense dem op. PUA-beskyttelse understøttes på Windows 11, Windows 10, Windows Server 2022, Windows Server 2019 og Windows Server 2016. Hvis organisationens abonnement omfatter Microsoft Defender for Endpoint, blokerer Microsoft Defender Antivirus apps, der som standard anses for at være PUA på Windows-enheder.
Få mere at vide om Windows Enterprise-abonnementer.
Tip
Som en ledsager til denne artikel anbefaler vi, at du bruger Microsoft Defender for Endpoint automatiserede konfigurationsvejledning, når du er logget på Microsoft 365 Administration. Denne vejledning tilpasser din oplevelse baseret på dit miljø. Hvis du vil gennemse de bedste fremgangsmåder uden at logge på og aktivere automatiserede konfigurationsfunktioner, skal du gå til installationsvejledningen til Microsoft 365.
Microsoft Edge
Den nye Microsoft Edge, som er Chromium-baseret, blokerer potentielt uønskede programoverførsler og tilknyttede ressource-URL-adresser. Denne funktion leveres via Microsoft Defender SmartScreen.
Aktivér PUA-beskyttelse i Chromium-baseret Microsoft Edge
Selvom potentielt uønsket programbeskyttelse i Microsoft Edge (Chromium-baseret version 80.0.361.50) er slået fra som standard, kan den nemt aktiveres fra browseren.
I din Microsoft Edge-browser skal du vælge ellipsen og derefter vælge Indstillinger.
Vælg Beskyttelse af personlige oplysninger, søgning og tjenester.
Under afsnittet Sikkerhed skal du aktivere Bloker potentielt uønskede apps.
Tip
Hvis du kører Microsoft Edge (Chromium-baseret), kan du sikkert udforske funktionen URL-blokering i PUA-beskyttelse ved at teste den på en af vores Microsoft Defender SmartScreen-demosider.
Bloker URL-adresser med Microsoft Defender SmartScreen
I Chromium-baseret Microsoft Edge med PUA-beskyttelse slået til, beskytter Microsoft Defender SmartScreen dig mod PUA-tilknyttede URL-adresser.
Sikkerhedsadministratorer kan konfigurere, hvordan Microsoft Edge og Microsoft Defender SmartScreen arbejder sammen for at beskytte grupper af brugere mod PUA-tilknyttede URL-adresser. Der er flere gruppepolitikindstillinger eksplicit for Microsoft Defender SmartScreen tilgængelig, herunder en til blokering af PUA. Derudover kan administratorer konfigurere Microsoft Defender SmartScreen som helhed ved hjælp af gruppepolitikindstillinger til at slå Microsoft Defender SmartScreen til eller fra.
Selvom Microsoft Defender for Endpoint har sin egen blokliste baseret på et datasæt, der administreres af Microsoft, kan du tilpasse denne liste baseret på din egen trusselsintelligens. Hvis du opretter og administrerer indikatorer på Microsoft Defender for Endpoint-portalen, respekterer Microsoft Defender SmartScreen de nye indstillinger.
Microsoft Defender antivirus- og PUA-beskyttelse
Den potentielt uønskede funktion pua-beskyttelse i Microsoft Defender Antivirus kan registrere og blokere PUA på slutpunkter i dit netværk.
Bemærk!
Denne funktion er tilgængelig i Windows 11, Windows 10, Windows Server 2022, Windows Server 2019 og Windows Server 2016.
Microsoft Defender Antivirus blokerer registrerede PUA-filer og forsøg på at downloade, flytte, køre eller installere dem. Blokerede PUA-filer flyttes derefter til karantæne. Når der registreres en PUA-fil på et slutpunkt, sender Microsoft Defender Antivirus en meddelelse til brugeren (medmindre meddelelser er blevet deaktiveret i samme format som andre trusselsregistreringer. Meddelelsen er på forhånd med PUA:
for at angive dens indhold.
Meddelelsen vises på den sædvanlige karantæneliste i Windows Sikkerhed-appen.
Konfigurer PUA-beskyttelse i Microsoft Defender Antivirus
Du kan aktivere PUA-beskyttelse med Microsoft Intune, Microsoft Configuration Manager, Gruppepolitik eller via PowerShell-cmdlet'er.
Prøv først at bruge PUA-beskyttelse i overvågningstilstand. Den registrerer potentielt uønskede programmer uden faktisk at blokere dem. Registreringer registreres i Windows-hændelsesloggen. PUA-beskyttelse i overvågningstilstand er nyttig, hvis din virksomhed udfører en intern kontrol af softwaresikkerhedsoverholdelse, og det er vigtigt at undgå falske positiver.
Brug Intune til at konfigurere PUA-beskyttelse
Se følgende artikler:
- Konfigurer indstillinger for enhedsbegrænsning i Microsoft Intune
- indstillinger for Windows 10 Microsoft Defender antivirusenhedsbegrænsning i Intune
Brug Configuration Manager til at konfigurere PUA-beskyttelse
PUA-beskyttelse er som standard aktiveret i Microsoft Configuration Manager (aktuel forgrening).
Se Sådan opretter og installerer du antimalwarepolitikker: Indstillinger for planlagte scanninger for at få oplysninger om konfiguration af Microsoft Configuration Manager (aktuel gren).
I forbindelse med System Center 2012 Configuration Manager skal du se Sådan installerer du potentielt uønsket politik for programbeskyttelse for Endpoint Protection i Configuration Manager.
Bemærk!
PUA-hændelser, der er blokeret af Microsoft Defender Antivirus, rapporteres i Windows-Logbog og ikke i Microsoft Configuration Manager.
Brug Gruppepolitik til at konfigurere PUA-beskyttelse
Download og installér administrative skabeloner (.admx) til Windows 11 oktober 2021-opdatering (21H2)
Åbn administrationskonsollen for Gruppepolitik på administrationscomputeren til Gruppepolitik.
Vælg det Gruppepolitik objekt, du vil konfigurere, og vælg derefter Rediger.
I redigeringsprogrammet til administration af gruppepolitik skal du gå til Computerkonfiguration og vælge Administrative skabeloner.
Udvid træet til Windows-komponenter>Microsoft Defender Antivirus.
Dobbeltklik på Konfigurer registrering for potentielt uønskede programmer.
Vælg Aktiveret for at aktivere PUA-beskyttelse.
Under Indstillinger skal du vælge Bloker for at blokere potentielt uønskede programmer eller vælge Overvågningstilstand for at teste, hvordan indstillingen fungerer i dit miljø. Vælg OK.
Udrul dit Gruppepolitik objekt, som du normalt gør.
Brug PowerShell-cmdlet'er til at konfigurere PUA-beskyttelse
Sådan aktiverer du PUA-beskyttelse
Set-MpPreference -PUAProtection Enabled
Angivelse af værdien for denne cmdlet til at Enabled
aktivere funktionen, hvis den er blevet deaktiveret.
Sådan angiver du PUA-beskyttelse til overvågningstilstand
Set-MpPreference -PUAProtection AuditMode
Når du angiver en indstilling AuditMode
, registreres pua'er uden at blokere dem.
Sådan deaktiverer du PUA-beskyttelse
Vi anbefaler, at PUA-beskyttelse er slået til. Du kan dog slå den fra ved hjælp af følgende cmdlet:
Set-MpPreference -PUAProtection Disabled
Hvis du angiver værdien for denne cmdlet for at Disabled
slå funktionen fra, hvis den er blevet aktiveret.
Du kan få flere oplysninger under Brug PowerShell-cmdlet'er til at konfigurere og køre Microsoft Defender Antivirus- og Defender Antivirus-cmdlet'er.
Få vist PUA-hændelser ved hjælp af PowerShell
PUA-hændelser rapporteres i Windows-Logbog, men ikke i Microsoft Configuration Manager eller i Intune. Du kan også bruge cmdlet'en Get-MpThreat
til at få vist de trusler, som Microsoft Defender Antivirus håndteret. Her er et eksempel:
CategoryID : 27
DidThreatExecute : False
IsActive : False
Resources : {webfile:_q:\Builds\Dalton_Download_Manager_3223905758.exe|http://d18yzm5yb8map8.cloudfront.net/
fo4yue@kxqdw/Dalton_Download_Manager.exe|pid:14196,ProcessStart:132378130057195714}
RollupStatus : 33
SchemaVersion : 1.0.0.0
SeverityID : 1
ThreatID : 213927
ThreatName : PUA:Win32/InstallCore
TypeID : 0
PSComputerName :
Få mailmeddelelser om PUA-registreringer
Du kan slå mailmeddelelser til for at modtage mail om PUA-registreringer.
Se Fejlfinding af hændelses-id'er for at få oplysninger om visning af Microsoft Defender Antivirus-hændelser. PUA-hændelser registreres under hændelses-id 1160.
Se PUA-begivenheder ved hjælp af avanceret jagt
Hvis du bruger Microsoft Defender for Endpoint, kan du bruge en avanceret jagtforespørgsel til at få vist PUA-hændelser. Her er et eksempel på en forespørgsel:
DeviceEvents
| where ActionType == "AntivirusDetection"
| extend x = parse_json(AdditionalFields)
| project Timestamp, DeviceName, FolderPath, FileName, SHA256, ThreatName = tostring(x.ThreatName), WasExecutingWhileDetected = tostring(x.WasExecutingWhileDetected), WasRemediated = tostring(x.WasRemediated)
| where ThreatName startswith_cs 'PUA:'
Du kan få mere at vide om avanceret jagt under Proaktiv jagt efter trusler med avanceret jagt.
Udelad filer fra PUA-beskyttelse
Nogle gange blokeres en fil fejlagtigt af PUA-beskyttelse, eller en funktion i en PUA er påkrævet for at fuldføre en opgave. I disse tilfælde kan en fil føjes til en udeladelsesliste.
Du kan få flere oplysninger under Konfigurer og valider udeladelser baseret på filtypenavn og mappeplacering.
Tip
Hvis du leder efter antivirusrelaterede oplysninger til andre platforme, skal du se:
- Angiv indstillinger for Microsoft Defender for Endpoint på macOS-
- Microsoft Defender for Endpoint på Mac
- Politikindstillinger for macOS Antivirus for Microsoft Defender Antivirus for Intune
- Angiv indstillinger for Microsoft Defender for Endpoint på Linux
- Microsoft Defender for Endpoint på Linux
- Konfigurer Defender for Endpoint på Android-funktioner
- Konfigurer Microsoft Defender for Endpoint på iOS-funktioner
Se også
Tip
Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: I hele 2024 udfaser vi GitHub-problemer som feedbackmekanisme for indhold og erstatter det med et nyt feedbacksystem. Du kan få flere oplysninger under:Indsend og få vist feedback om