Detectar y bloquear aplicaciones potencialmente no deseadas

  • Artículo

Se aplica a:

Plataformas

  • Windows

Las aplicaciones potencialmente no deseadas (PUA) son una categoría de software que puede hacer que su equipo funcione lentamente, muestre anuncios inesperados o, en el peor de los casos, instale otro software que pueda ser inesperado o no deseado. PUA no se considera un virus, malware u otro tipo de amenaza, pero puede realizar acciones en puntos de conexión que afecten negativamente al rendimiento o al uso del punto de conexión. El término PUA también puede hacer referencia a una aplicación que tenga mala reputación, según la evaluación de Microsoft Defender para punto de conexión, debido a determinados tipos de comportamiento no deseado.

Estos son algunos ejemplos:

  • Software de publicidad, que muestra anuncios o promociones, incluido software que inserta anuncios en páginas web.
  • Agrupación de software que ofrece para instalar otro software que no está firmado digitalmente por la misma entidad. Además, existe software que ofrece instalar otro software que se considera PUA.
  • Software de evasión, que intenta evitar activamente que los productos de seguridad lo detecten, incluido software que se comporta de forma diferente en presencia de productos de seguridad.

Sugerencia

Para obtener más ejemplos y una explicación de los criterios que usamos para etiquetar aplicaciones para que las características de seguridad les presten especial atención, consulte Cómo identifica Microsoft el malware y las aplicaciones potencialmente no deseadas.

Las aplicaciones potencialmente no deseadas pueden aumentar el riesgo de que la red se infecte con malware real, hacer que las infecciones de malware sean más difíciles de identificar o costarle a los equipos de TI y seguridad tiempo y esfuerzo para limpiarlas. La protección de PUA se admite en Windows 11, Windows 10, Windows Server 2022, Windows Server 2019 y Windows Server 2016. Si la suscripción de su organización incluye Protección contra amenazas avanzada de Microsoft Defender, Antivirus de Microsoft Defender bloquea las aplicaciones que se consideran PUA de forma predeterminada en dispositivos Windows.

Obtenga más información sobre las suscripciones de Windows Enterprise.

Sugerencia

Como complemento a este artículo, se recomienda usar la guía de configuración automatizada de Microsoft Defender para punto de conexión al iniciar sesión en el Centro de administración de Microsoft 365. Esta guía personalizará la experiencia en función del entorno. Para revisar los procedimientos recomendados sin iniciar sesión ni activar las características de instalación automatizada, vaya a la guía de instalación de Microsoft 365.

Microsoft Edge

El nuevo Microsoft Edge, basado Chromium, bloquea las descargas de aplicaciones potencialmente no deseadas y las direcciones URL de recursos asociados. Esta característica se ofrece a través de SmartScreen de Microsoft Defender.

Habilitar la protección de PUA en Microsoft Edge basado en Chromium

Si bien la protección de aplicaciones potencialmente no deseadas en Microsoft Edge (basada en Chromium, versión 80.0.361.50) está desactivada de manera predeterminada, se puede activar fácilmente desde el explorador.

  1. En el explorador Microsoft Edge, seleccione los puntos suspensivos y, a continuación, elija Configuración.

  2. Seleccione Privacidad, búsqueda y servicios.

  3. En la sección Seguridad, active Bloquear aplicaciones potencialmente no deseadas.

Sugerencia

Si ejecuta Microsoft Edge (basado en Chromium), puede explorar de forma segura la característica de bloqueo de direcciones URL de la protección contra PUA. Puede probarla en una de nuestras Páginas de demostración de SmartScreen de Microsoft Defender.

Bloquear direcciones URL con SmartScreen de Microsoft Defender

En microsoft Edge basado en Chromium con la protección pua activada, Microsoft Defender SmartScreen le protege frente a direcciones URL asociadas a PUA.

Los administradores de seguridad pueden configurar la manera en la que Microsoft Edge y SmartScreen de Microsoft Defender trabajan juntos para proteger a grupos de usuarios frente a direcciones URL asociadas a PUA. Hay disponibles varias opciones de configuración de directiva de grupo expresamente para SmartScreen de Microsoft Defender, incluida una configuración para bloquear PUA. Además, los administradores pueden configurar SmartScreen de Microsoft Defender en general, con la configuración de directiva de grupo para activar o desactivar SmartScreen de Microsoft Defender.

Aunque Microsoft Defender para punto de conexión tiene su propia lista de bloqueo basada en un conjunto de datos administrado por Microsoft, puede personalizar esta lista según su propia inteligencia sobre amenazas. Si crea y administra indicadores en el portal de Microsoft Defender para punto de conexión, SmartScreen de Microsoft Defender respetará la nueva configuración.

Antivirus de Microsoft Defender y protección contra PUA

La característica de protección contra aplicaciones potencialmente no deseadas (PUA) de Antivirus de Microsoft Defender puede detectar y bloquear PUA en los puntos de conexión de su red.

Nota:

Esta característica está disponible en Windows 11, Windows 10, Windows Server 2022, Windows Server 2019 y Windows Server 2016.

Antivirus de Microsoft Defender bloquea los archivos PUA que se detecten y cualquier intento de descargarlos, moverlos, ejecutarlos o instalarlos. A continuación, los archivos PUA bloqueados se ponen en cuarentena. Cuando se detecta un archivo PUA en un punto de conexión, el Antivirus de Microsoft Defender envía una notificación al usuario (a menos que se hayan deshabilitado las notificaciones) en el mismo formato de otras detecciones de amenazas. A la notificación se antepone PUA: para indicar su contenido.

La notificación aparece en la lista habitual de cuarentena dentro de la aplicación de Seguridad de Windows.

Configurar la protección contra PUA en Antivirus de Microsoft Defender

Puede habilitar la protección de PUA con Microsoft Intune, Microsoft Configuration Manager, directiva de grupo o mediante cmdlets de PowerShell.

En primer lugar, pruebe a usar la protección de PUA en modo de auditoría. Detecta aplicaciones potencialmente no deseadas sin bloquearlas realmente. Las detecciones se capturan en el registro de eventos de Windows. La protección de PUA en modo de auditoría es útil si su empresa está realizando una comprobación interna de cumplimiento de seguridad de software y es importante evitar falsos positivos.

Usar Intune para configurar la protección contra PUA

Consulte los siguientes artículos:

Usar Configuration Manager para configurar la protección contra PUA

La protección pua está habilitada de forma predeterminada en el Microsoft Configuration Manager (rama actual).

Consulte Creación e implementación de directivas antimalware: Configuración de exámenes programados para obtener más información sobre cómo configurar Microsoft Configuration Manager (rama actual).

Para System Center 2012 Configuration Manager, consulte Cómo implementar una directiva de protección de aplicaciones potencialmente no deseadas para Endpoint Protection en Configuration Manager.

Nota:

Los eventos PUA bloqueados por Microsoft Defender Antivirus se notifican en el Visor de eventos de Windows y no en Microsoft Configuration Manager.

Usar una directiva de grupo para configurar la protección contra PUA

  1. Descargar e instalar Plantillas administrativas (.admx) para la actualización de octubre de 2021 de Windows 11 (21H2)

  2. En el equipo de administración de directivas de grupo, abra la Consola de administración de directivas de grupo.

  3. Seleccione el objeto de directiva de grupo que quiera configurar y, después, seleccione Editar.

  4. En el Editor de administración de directiva de grupo, vaya a Configuración del equipo y seleccione Plantillas administrativas.

  5. Expanda el árbol en Componentes de Windows>Antivirus de Microsoft Defender.

  6. Haga doble clic en Configurar la detección de aplicaciones potencialmente no deseadas.

  7. Seleccione Habilitado para habilitar la protección contra PUA.

  8. En Opciones, seleccione Bloquear para bloquear aplicaciones potencialmente no deseadas o seleccione Modo de auditoría para probar cómo funciona la configuración en su entorno. Seleccione Aceptar.

  9. Implemente el objeto de directiva de grupo como lo haría normalmente.

Usar cmdlets de PowerShell para configurar la protección contra PUA

Para habilitar la protección contra PUA

Set-MpPreference -PUAProtection Enabled

Al establecer el valor de este cmdlet en Enabled, se activa la característica si se había deshabilitado.

Para configurar la protección contra PUA en modo de auditoría

Set-MpPreference -PUAProtection AuditMode

Al establecer AuditMode se detectan las PUA sin bloquearlas.

Para deshabilitar la protección contra PUA

Se recomienda mantener activada la protección contra PUA. Sin embargo, puede desactivarla con el cmdlet siguiente:

Set-MpPreference -PUAProtection Disabled

Al establecer el valor de este cmdlet en Disabled, se desactiva la característica si se había habilitado.

Para obtener más información, vea Usar cmdlets de PowerShell para configurar y ejecutar el Antivirus de Microsoft Defender y Cmdlets de Antivirus de Microsoft Defender.

Ver eventos de PUA con PowerShell

Los eventos PUA se notifican en el Visor de eventos de Windows, pero no en Microsoft Configuration Manager ni en Intune. Asimismo, puede usar el cmdlet Get-MpThreat para ver las amenazas que Antivirus de Microsoft Defender ha administrado. Aquí le mostramos un ejemplo:

CategoryID       : 27
DidThreatExecute : False
IsActive         : False
Resources        : {webfile:_q:\Builds\Dalton_Download_Manager_3223905758.exe|http://d18yzm5yb8map8.cloudfront.net/
                    fo4yue@kxqdw/Dalton_Download_Manager.exe|pid:14196,ProcessStart:132378130057195714}
RollupStatus     : 33
SchemaVersion    : 1.0.0.0
SeverityID       : 1
ThreatID         : 213927
ThreatName       : PUA:Win32/InstallCore
TypeID           : 0
PSComputerName   :

Obtener notificaciones de correo electrónico sobre las detecciones de PUA

Puede activar las notificaciones de correo electrónico para recibir un correo electrónico sobre las detecciones de PUA.

Consulte Solucionar id. de evento para obtener más información sobre cómo ver los eventos de Antivirus de Microsoft Defender. Los eventos de PUA se registran en el id. de evento 1160.

Ver eventos de PUA con la búsqueda avanzada de amenazas

Si usa Microsoft Defender para punto de conexión, puede usar una consulta de búsqueda avanzada de amenazas para ver eventos de PUA. Esta es una consulta de ejemplo:

DeviceEvents
| where ActionType == "AntivirusDetection"
| extend x = parse_json(AdditionalFields)
| project Timestamp, DeviceName, FolderPath, FileName, SHA256, ThreatName = tostring(x.ThreatName), WasExecutingWhileDetected = tostring(x.WasExecutingWhileDetected), WasRemediated = tostring(x.WasRemediated)
| where ThreatName startswith_cs 'PUA:'

Para más información sobre la búsqueda avanzada de amenazas, consulte Buscar amenazas de forma proactiva con la búsqueda avanzada de amenazas.

Excluir archivos de la protección contra PUA

A veces, la protección contra PUA bloquea un archivo por error, o se requiere una característica de una PUA para completar una tarea. En estos casos, se puede agregar un archivo a una lista de exclusiones.

Para más información, consulte Configurar y validar exclusiones según la extensión de archivo y la ubicación de carpeta.

Sugerencia

Si busca información relacionada con el antivirus para otras plataformas, consulte:

Vea también

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.