Detectar y bloquear aplicaciones potencialmente no deseadas

Se aplica a:

• Microsoft Defender XDR
• Microsoft Defender para punto de conexión, plan 1 y plan 2
• Microsoft Defender para Empresas
• Microsoft Edge
• Microsoft Defender para individuos
• Antivirus de Microsoft Defender

Plataformas

• Windows

Antivirus de Microsoft Defender está disponible en las siguientes ediciones o versiones de Windows y Windows Server:

• Windows Server 2022
• Windows Server 2019
• Windows Server, versión 1803 o posterior
• Windows Server 2016
• Windows Server 2012 R2 (requiere Microsoft Defender para punto de conexión)
• Windows 11
• Windows 10
• Windows 8.1

Para macOS, consulte Detectar y bloquear aplicaciones potencialmente no deseadas con Defender para punto de conexión en macOS.

Para Linux, consulte Detectar y bloquear aplicaciones potencialmente no deseadas con Defender para punto de conexión en Linux.

Las aplicaciones potencialmente no deseadas (PUA) son una categoría de software que puede hacer que su equipo funcione lentamente, muestre anuncios inesperados o, en el peor de los casos, instale otro software que pueda ser inesperado o no deseado. PUA no se considera un virus, malware u otro tipo de amenaza, pero puede realizar acciones en puntos de conexión que afecten negativamente al rendimiento o al uso del punto de conexión. El término PUA también puede hacer referencia a una aplicación que tenga mala reputación, según la evaluación de Microsoft Defender para punto de conexión, debido a determinados tipos de comportamiento no deseado.

Estos son algunos ejemplos:

• Software de publicidad, que muestra anuncios o promociones, incluido software que inserta anuncios en páginas web.
• Agrupación de software que ofrece para instalar otro software que no está firmado digitalmente por la misma entidad. Además, existe software que ofrece instalar otro software que se considera PUA.
• Software de evasión, que intenta evitar activamente que los productos de seguridad lo detecten, incluido software que se comporta de forma diferente en presencia de productos de seguridad.

Sugerencia

Para obtener más ejemplos y una explicación de los criterios que usamos para etiquetar aplicaciones para que las características de seguridad les presten especial atención, consulte Cómo identifica Microsoft el malware y las aplicaciones potencialmente no deseadas.

Las aplicaciones potencialmente no deseadas pueden aumentar el riesgo de que la red se infecte con malware real, hacer que las infecciones de malware sean más difíciles de identificar o costarle a los equipos de TI y seguridad tiempo y esfuerzo para limpiarlas. Si la suscripción de su organización incluye Microsoft Defender para punto de conexión, también puede establecer pua de Antivirus de Microsoft Defender para bloquearlas, con el fin de bloquear las aplicaciones que se consideran PUA en dispositivos Windows.

Obtenga más información sobre las suscripciones de Windows Enterprise.

Sugerencia

Como complemento a este artículo, consulte nuestra guía de configuración de Microsoft Defender para punto de conexión para revisar los procedimientos recomendados y obtener información sobre herramientas esenciales, como la reducción de la superficie expuesta a ataques y la protección de próxima generación. Para obtener una experiencia personalizada basada en su entorno, puede acceder a la guía de configuración automatizada de Defender para punto de conexión en el Centro de administración de Microsoft 365.

Microsoft Edge

El nuevo Microsoft Edge, basado Chromium, bloquea las descargas de aplicaciones potencialmente no deseadas y las direcciones URL de recursos asociados. Esta característica se ofrece a través de SmartScreen de Microsoft Defender.

Habilitar la protección de PUA en Microsoft Edge basado en Chromium

Si bien la protección de aplicaciones potencialmente no deseadas en Microsoft Edge (basada en Chromium, versión 80.0.361.50) está desactivada de manera predeterminada, se puede activar fácilmente desde el explorador.

1. En el explorador Microsoft Edge, seleccione los puntos suspensivos y, a continuación, elija Configuración.

2. Seleccione Privacidad, búsqueda y servicios.

3. En la sección Seguridad, active Bloquear aplicaciones potencialmente no deseadas.

Sugerencia

Si ejecuta Microsoft Edge (basado en Chromium), puede explorar de forma segura la característica de bloqueo de direcciones URL de la protección contra PUA. Puede probarla en una de nuestras Páginas de demostración de SmartScreen de Microsoft Defender.

Bloquear direcciones URL con SmartScreen de Microsoft Defender

En Microsoft Edge basado en Chromium con la protección pua activada, SmartScreen de Microsoft Defender le protege frente a direcciones URL asociadas a PUA.

Los administradores de seguridad pueden configurar la manera en la que Microsoft Edge y SmartScreen de Microsoft Defender trabajan juntos para proteger a grupos de usuarios frente a direcciones URL asociadas a PUA. Hay disponibles varias opciones de configuración de directiva de grupo expresamente para SmartScreen de Microsoft Defender, incluida una configuración para bloquear PUA. Además, los administradores pueden configurar SmartScreen de Microsoft Defender en general, con la configuración de directiva de grupo para activar o desactivar SmartScreen de Microsoft Defender.

Aunque Microsoft Defender para punto de conexión tiene su propia lista de bloqueo basada en un conjunto de datos administrado por Microsoft, puede personalizar esta lista según su propia inteligencia sobre amenazas. Si crea y administra indicadores en el portal de Microsoft Defender para punto de conexión, SmartScreen de Microsoft Defender respetará la nueva configuración.

Antivirus de Microsoft Defender y protección contra PUA

La característica de protección contra aplicaciones potencialmente no deseadas (PUA) de Antivirus de Microsoft Defender puede detectar y bloquear PUA en los puntos de conexión de su red.

Antivirus de Microsoft Defender bloquea los archivos PUA que se detecten y cualquier intento de descargarlos, moverlos, ejecutarlos o instalarlos. A continuación, los archivos PUA bloqueados se ponen en cuarentena. Cuando se detecta un archivo PUA en un punto de conexión, el Antivirus de Microsoft Defender envía una notificación al usuario (a menos que se hayan deshabilitado las notificaciones) en el mismo formato de otras detecciones de amenazas. A la notificación se antepone PUA: para indicar su contenido.

La notificación aparece en la lista habitual de cuarentena dentro de la aplicación de Seguridad de Windows.

Configurar la protección contra PUA en Antivirus de Microsoft Defender

Puede habilitar la protección pua con la administración de la configuración de seguridad de Microsoft Defender para punto de conexión, Microsoft Intune, Microsoft Configuration Manager, directiva de grupo o mediante cmdlets de PowerShell.

En primer lugar, pruebe a usar la protección de PUA en modo de auditoría. Detecta aplicaciones potencialmente no deseadas sin bloquearlas realmente. Las detecciones se capturan en el registro de eventos de Windows. La protección de PUA en modo de auditoría es útil si su empresa está realizando una comprobación interna de cumplimiento de seguridad de software y es importante evitar falsos positivos.

Uso de La administración de la configuración de seguridad de Microsoft Defender para punto de conexión para configurar la protección de PUA

Consulte los siguientes artículos:

• Uso de la administración de la configuración de seguridad de Microsoft Defender para punto de conexión para administrar el Antivirus de Microsoft Defender

Usar Intune para configurar la protección contra PUA

Consulte los siguientes artículos:

• Configurar restricciones de dispositivos en Microsoft Intune
• Configuración de restricción de dispositivos del Antivirus de Microsoft Defender para Windows 10 en Intune

Usar Configuration Manager para configurar la protección contra PUA

La protección pua está habilitada de forma predeterminada en Microsoft Configuration Manager (rama actual).

Consulte Creación e implementación de directivas antimalware: configuración de exámenes programados para obtener más información sobre cómo configurar Microsoft Configuration Manager (rama actual).

Para System Center 2012 Configuration Manager, consulte Cómo implementar una directiva de protección de aplicaciones potencialmente no deseadas para Endpoint Protection en Configuration Manager.

Nota:

Los eventos PUA bloqueados por el Antivirus de Microsoft Defender se notifican en el Visor de eventos de Windows y no en Microsoft Configuration Manager.

Usar una directiva de grupo para configurar la protección contra PUA

1. Descargar e instalar Plantillas administrativas (.admx) para la actualización de octubre de 2021 de Windows 11 (21H2)

2. En el equipo de administración de directivas de grupo, abra la Consola de administración de directivas de grupo.

3. Seleccione el objeto de directiva de grupo que quiera configurar y, después, seleccione Editar.

4. En el Editor de administración de directiva de grupo, vaya a Configuración del equipo y seleccione Plantillas administrativas.

5. Expanda el árbol en Componentes de Windows>Antivirus de Microsoft Defender.

6. Haga doble clic en Configurar detección para aplicaciones potencialmente no deseadas y establézcala en Habilitado.

7. En Opciones, seleccione Bloquear para bloquear aplicaciones potencialmente no deseadas o seleccione Modo de auditoría para probar cómo funciona la configuración en su entorno. Seleccione Aceptar.

8. Implemente el objeto de directiva de grupo como lo haría normalmente.

Usar cmdlets de PowerShell para configurar la protección contra PUA

Para habilitar la protección contra PUA

Set-MpPreference -PUAProtection Enabled

Al establecer el valor de este cmdlet en Enabled, se activa la característica si se había deshabilitado.

Para configurar la protección contra PUA en modo de auditoría

Set-MpPreference -PUAProtection AuditMode

Al establecer AuditMode se detectan las PUA sin bloquearlas.

Para deshabilitar la protección contra PUA

Se recomienda mantener activada la protección contra PUA. Sin embargo, puede desactivarla con el cmdlet siguiente:

Set-MpPreference -PUAProtection Disabled

Al establecer el valor de este cmdlet en Disabled, se desactiva la característica si se había habilitado.

Para obtener más información, vea Usar cmdlets de PowerShell para configurar y ejecutar el Antivirus de Microsoft Defender y Cmdlets de Antivirus de Microsoft Defender.

Probar y asegurarse de que el bloqueo de PUA funciona

Una vez que haya habilitado pua en modo de bloque, puede probar para asegurarse de que funciona correctamente. Para obtener más información, vea Demostración de aplicaciones potencialmente no deseadas (PUA).

Ver eventos de PUA con PowerShell

Los eventos PUA se notifican en el Visor de eventos de Windows, pero no en Microsoft Configuration Manager ni en Intune. Asimismo, puede usar el cmdlet Get-MpThreat para ver las amenazas que Antivirus de Microsoft Defender ha administrado. Aquí le mostramos un ejemplo:

CategoryID       : 27
DidThreatExecute : False
IsActive         : False
Resources        : {webfile:_q:\Builds\Dalton_Download_Manager_3223905758.exe|http://d18yzm5yb8map8.cloudfront.net/
                    fo4yue@kxqdw/Dalton_Download_Manager.exe|pid:14196,ProcessStart:132378130057195714}
RollupStatus     : 33
SchemaVersion    : 1.0.0.0
SeverityID       : 1
ThreatID         : 213927
ThreatName       : PUA:Win32/InstallCore
TypeID           : 0
PSComputerName   :

Obtener notificaciones de correo electrónico sobre las detecciones de PUA

Puede activar las notificaciones de correo electrónico para recibir un correo electrónico sobre las detecciones de PUA. Para obtener más información sobre los eventos del Antivirus de Microsoft Defender, consulte Solución de problemas de identificadores de eventos. Los eventos de PUA se registran en el id. de evento 1160.

Ver eventos de PUA con la búsqueda avanzada de amenazas

Si usa Microsoft Defender para punto de conexión, puede usar una consulta de búsqueda avanzada de amenazas para ver eventos de PUA. Esta es una consulta de ejemplo:

DeviceEvents
| where ActionType == "AntivirusDetection"
| extend x = parse_json(AdditionalFields)
| project Timestamp, DeviceName, FolderPath, FileName, SHA256, ThreatName = tostring(x.ThreatName), WasExecutingWhileDetected = tostring(x.WasExecutingWhileDetected), WasRemediated = tostring(x.WasRemediated)
| where ThreatName startswith_cs 'PUA:'

Para más información sobre la búsqueda avanzada de amenazas, consulte Buscar amenazas de forma proactiva con la búsqueda avanzada de amenazas.

Excluir archivos de la protección contra PUA

A veces, la protección contra PUA bloquea un archivo por error, o se requiere una característica de una PUA para completar una tarea. En estos casos, se puede agregar un archivo a una lista de exclusiones.

Para más información, consulte Configurar y validar exclusiones según la extensión de archivo y la ubicación de carpeta.

Sugerencia

Si busca información relacionada con el antivirus para otras plataformas, consulte:

• Microsoft Defender para punto de conexión en Mac
• Microsoft Defender para punto de conexión en Linux
• Configurar Defender para punto de conexión en características de Android
• Configurar Microsoft Defender para punto de conexión en las características iOS

Vea también

• Protección de última generación
• Configurar la protección en tiempo real, heurística y de comportamiento

Sugerencia

¿Desea obtener más información? Interactúe con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.