Erkennen und Blockieren potenziell unerwünschter Anwendungen

Gilt für:

Plattformen

  • Windows

Potenziell unerwünschte Anwendungen (PUA) sind eine Kategorie von Software, die Ihren Computer verlangsamen, unerwartete Werbung anzeigen oder schlimmstenfalls andere Software installieren kann, die unerwartet oder unerwünscht ist. PUA werden nicht als Virus, Schadsoftware oder eine andere Art von Bedrohung angesehen, aber sie können Aktionen auf Endgeräten durchführen, welche die Leistung oder Nutzung von Endgeräten beeinträchtigen. Der Ausdruck PUA kann sich auch auf eine Anwendung beziehen, die aufgrund bestimmter unerwünschten Verhaltensweisen einen schlechten Ruf hat (gemäß Bewertung von Microsoft Defender für Endpunkt).

Hier sind einige Beispiele:

  • Werbe-Software, welche Werbung oder Aktionen anzeigt, einschließlich Software, die Werbung in Webseiten einfügt.
  • Bündelung-Software, die anbietet, andere Software zu installieren, die nicht von der gleichen Entität digital signiert ist. Ebenfalls Software, die anbietet, andere Software zu installieren, die als PUA eingestuft wird.
  • Umgehungssoftware, die aktiv versucht, sich der Erkennung durch Sicherheitsprodukte zu entziehen, einschließlich Software, die sich bei Vorhandensein von Sicherheitsprodukten anders verhält.

Tipp

Weitere Beispiele und eine Diskussion der Kriterien, die wir verwenden, um Anwendungen für die besondere Aufmerksamkeit von Sicherheitsfeatures zu kennzeichnen, finden Sie unter Wie Microsoft Schadsoftware und potenziell unerwünschte Anwendungen identifiziert.

Potenziell unerwünschte Anwendungen können das Risiko erhöhen, dass Ihr Netzwerk mit echter Schadsoftware infiziert wird, die Erkennung von Schadsoftware-Infektionen erschweren oder Ihre IT- und Sicherheitsteams Zeit und Mühe kosten, sie zu bereinigen. PUA-Schutz wird unter Windows 11, Windows 10, Windows Server 2022, Windows Server 2019 und Windows Server 2016 unterstützt. Wenn das Abonnement Ihrer Organisation Microsoft Defender für Endpunktenthält, blockiert Microsoft Defender Antivirus Apps, die standardmäßig als PUA gelten, auf Windows-Geräten.

Erfahren Sie mehr über Windows Enterprise-Abonnements.

Microsoft Edge

Der neue Microsoft Edge, der Chromium-basiert ist, blockiert das Herunterladen von potenziell unerwünschten Anwendungen und zugehöriger Ressourcen-URLs. Dieses Feature wird über Microsoft Defender SmartScreen zur Verfügung gestellt.

PUA-Schutz im Chromium-basierten Microsoft Edge aktivieren

Obwohl der Schutz vor potentiell unerwünschten Anwendungen in Microsoft Edge (Chromium-basiert, Version 80.0.361.50) standardmäßig deaktiviert ist, kann er einfach aus dem Browser heraus aktiviert werden.

  1. Wählen Sie in Ihrem Microsoft Edge-Browser die Ellipsen aus und dann Einstellungen.

  2. Wählen Sie Datenschutz, Suche und Dienste aus.

  3. Aktivieren Sie unter dem Abschnitt Sicherheit die Option Blockieren potenziell unerwünschter Apps.

Tipp

Wenn Sie Microsoft Edge (Chromium-basiert) verwenden, können Sie die URL-Blockierungsfunktion des PUA-Schutzes sicher erkunden, indem Sie diese auf einer unserer Microsoft Defender SmartScreen-Demoseiten ausprobieren.

URLs blockieren mit Microsoft Defender SmartScreen

Im Chromium-basierten Microsoft Edge mit aktiviertem PUA-Schutz schützt Microsoft Defender SmartScreen Sie vor mit PUA assoziierten URLs.

Sicherheitsadministratoren können konfigurieren, wie Microsoft Edge und Microsoft Defender SmartScreen zusammenarbeiten, um Gruppen von Benutzern vor mit PUA assoziierten URLs zu schützen. Für Microsoft Defender SmartScreen sind mehrere Gruppenrichtlinieneinstellungen explizit verfügbar, einschließlich eine zum Blockieren von PUA. Zusätzlich können Administratoren Microsoft Defender SmartScreen als Ganzes konfigurieren, indem Sie Gruppenrichtlinieneinstellungen verwenden, um Microsoft Defender SmartScreen zu aktivieren oder deaktivieren.

Obwohl Microsoft Defender für Endpunkt über eine eigene Sperrliste verfügt, die auf einem von Microsoft verwalteten Dataset basiert, können Sie diese Liste basierend auf Ihren eigenen Bedrohungsinformationen anpassen. Wenn Sie im Microsoft Defender für Endpunkt-Portal Indikatoren erstellen und verwalten, berücksichtigt Microsoft Defender SmartScreen die neuen Einstellungen.

Microsoft Defender Antivirus und PUA-Schutz

Die Schutzfunktion gegen potentiell unerwünschte Anwendungen (PUA) in Microsoft Defender Antivirus kann PUA auf Endpunkten in Ihrem Netzwerk erkennen und blockieren.

Hinweis

Dieses Feature ist in Windows 11, Windows 10, Windows Server 2022, Windows Server 2019 und Windows Server 2016 verfügbar.

Microsoft Defender Antivirus blockiert erkannte PUA-Dateien und jeden Versuch, diese herunterzuladen, zu verschieben, auszuführen oder zu installieren. Blockierte PUA-Dateien werden dann unter Quarantäne gestellt. Wenn eine PUA-Datei auf einem Endpunkt erkannt wird, sendet Microsoft Defender Antivirus eine Benachrichtigung an den Benutzer (außer wenn Benachrichtigungen deaktiviert wurden), im gleichen Format wie für andere Bedrohungserkennungen. Der Benachrichtigung wird PUA: vorangestellt, um ihren Inhalt anzuzeigen.

Die Benachrichtigung erscheint in der üblichen Quarantäneliste innerhalb der Windows-Sicherheit-App.

Konfigurieren des PUA-Schutzes in Microsoft Defender Antivirus

Sie können den PUA-Schutz mit Microsoft Intune, Microsoft Endpoint Configuration Manager, einer Gruppenrichtlinie oder mittels PowerShell-Cmdlets aktivieren.

Sie können den PUA-Schutz ebenfalls im Überwachungsmodus verwenden, um potenziell unerwünschte Anwendungen zu erkennen, ohne sie zu blockieren. Die Erkennungen werden im Windows-Ereignisprotokoll aufgezeichnet. Der PUA-Schutz im Überwachungsmodus ist nützlich, wenn Ihr Unternehmen eine interne Software-Sicherheitsüberprüfung durchführt und Sie Fehlalarme vermeiden möchten.

Verwenden von Intune zum Konfigurieren des PUA-Schutzes

Für mehr Details lesen Sie Konfigurieren von Einstellungen für Geräteeinschränkungen in Microsoft Intune und Einstellungen für Microsoft Defender Antivirus-Geräteeinschränkungen für Windows 10 in Intune.

Verwenden des Configuration Manager zum Konfigurieren des PUA-Schutzes

Der PUA-Schutz ist standardmäßig im Microsoft Endpoint Manager (Aktueller Branch) aktiviert.

Für Details zur Konfiguration des Microsoft Endpoint Manager (Aktueller Branch) lesen Sie Erstellen und Bereitstellen von Antimalware-Richtlinien: Einstellungen für geplante Scans.

Für den Configuration Manager des System Center 2012 lesen Sie Bereitstellen einer Schutzrichtlinie für potenziell unerwünschte Anwendungen für den Endpunktschutz im Configuration Manager.

Hinweis

Von Microsoft Defender Antivirus blockierte PUA-Ereignisse werden in der Windows-Ereignisanzeige gemeldet und nicht im Microsoft Endpoint Configuration Manager.

Verwenden einer Gruppenrichtlinie zum Konfigurieren des PUA-Schutzes

  1. Herunterladen und Installieren der Administrativen Vorlagen (.admx) für Windows 11, Oktober 2021 Update (21H2)

  2. Öffnen Sie auf dem Computer, der Ihre Gruppenrichtlinie verwaltet, die Gruppenrichtlinien-Verwaltungskonsole.

  3. Wählen Sie das Gruppenrichtlinien-Objekt aus, das Sie konfigurieren wollen, und wählen Sie dann Bearbeiten aus.

  4. Wechseln Sie im Gruppenrichtlinien-Verwaltungs-Editor zu Computerkonfiguration, und wählen Sie Administrative Vorlagen aus.

  5. Erweitern Sie die Struktur bis zu Windows-Komponenten>Microsoft Defender Antivirus.

  6. Doppelklicken Sie auf Erkennung für potentiell unerwünschte Anwendungen konfigurieren.

  7. Wählen Sie Aktiviert aus, um den PUA-Schutz zu aktivieren.

  8. Wählen Sie unter Optionen die Option Blockieren aus, um potentiell unerwünschte Anwendungen zu blockieren, oder wählen Sie Überwachungsmodus aus, um zu testen, wie sich die Einstellung in Ihrer Umgebung auswirken. Wählen Sie OK aus.

  9. Stellen Sie Ihr Gruppenrichtlinien-Objekt bereit, so wie Sie dies normalerweise tun.

Verwenden von PowerShell-Cmdlets zum Konfigurieren des PUA-Schutzes

So aktivieren Sie den PUA-Schutz

Set-MpPreference -PUAProtection Enabled

Wenn der Wert für dieses Cmdlet auf Enabled eingestellt wird, aktiviert dies das Feature, wenn es deaktiviert war.

So stellen Sie den PUA-Schutz auf den Überwachungsmodus ein

Set-MpPreference -PUAProtection AuditMode

Die Einstellung AuditMode erkennt PUAs, ohne sie zu blockieren.

So deaktivieren Sie den PUA-Schutz

Wir empfehlen, den PUA-Schutz aktiviert zu halten. Sie können ihn jedoch mit dem folgenden Cmdlet deaktivieren:

Set-MpPreference -PUAProtection Disabled

Wenn der Wert für dieses Cmdlet auf Disabled eingestellt wird, deaktiviert dies das Feature, wenn es aktiviert war.

Weitere Informationen finden Sie unter Verwenden von PowerShell-Cmdlets zum Konfigurieren und Ausführen von Microsoft Defender Antivirus und Defender Antivirus-Cmdlets.

PUA-Ereignisse mittels PowerShell anzeigen

PUA-Ereignisse werden in der Windows-Ereignisanzeige gemeldet, aber nicht in Microsoft Endpoint Manager oder Intune. Sie können auch das Get-MpThreat-Cmdlet verwenden, um Bedrohungen anzuzeigen, die Microsoft Defender Antivirus behandelt hat. Hier ist ein Beispiel:

CategoryID       : 27
DidThreatExecute : False
IsActive         : False
Resources        : {webfile:_q:\Builds\Dalton_Download_Manager_3223905758.exe|http://d18yzm5yb8map8.cloudfront.net/
                    fo4yue@kxqdw/Dalton_Download_Manager.exe|pid:14196,ProcessStart:132378130057195714}
RollupStatus     : 33
SchemaVersion    : 1.0.0.0
SeverityID       : 1
ThreatID         : 213927
ThreatName       : PUA:Win32/InstallCore
TypeID           : 0
PSComputerName   :

E-Mail-Benachrichtigungen über PUA-Erkennungen erhalten

Sie können E-Mail-Benachrichtigungen aktivieren, um E-Mails über PUA-Erkennungen zu erhalten.

Weitere Details zum Anzeigen von Microsoft Defender Antivirus-Ereignissen finden Sie unter Problembehandlung von Ereignis-IDs. PUA-Ereignisse werden mit der Ereignis-ID 1160 aufgezeichnet.

PUA-Ereignisse mittels der erweiterte Bedrohungssuche anzeigen

Wenn Sie Microsoft Defender für Endpunkt verwenden, können Sie eine Abfrage zur erweiterten Bedrohungssuche verwenden, um PUA-Ereignisse anzuzeigen. Hier ist eine Beispielabfrage:

DeviceEvents
| where ActionType == "AntivirusDetection"
| extend x = parse_json(AdditionalFields)
| project Timestamp, DeviceName, FolderPath, FileName, SHA256, ThreatName = tostring(x.ThreatName), WasExecutingWhileDetected = tostring(x.WasExecutingWhileDetected), WasRemediated = tostring(x.WasRemediated)
| where ThreatName startswith_cs 'PUA:'

Weiter Informationen über die erweiterte Bedrohungssuche finden Sie unter Proaktive Suche nach Bedrohungen mit der erweiterten Bedrohungssuche.

Dateien vom PUA-Schutz ausschließen

Manchmal wird eine Datei fälschlicherweise vom PUA-Schutz blockiert, oder ein Feature einer PUA wird benötigt, um eine Aufgabe zu erledigen. In diesen Fällen kann eine Datei zur Ausschlussliste hinzugefügt werden.

Weitere Informationen finden Sie unter Konfigurieren und Validieren von Ausschlüssen basierend auf Dateierweiterung und Ordnerspeicherorten.

Siehe auch