Tunnista ja estä mahdollisesti ei-toivotut sovellukset

  • Artikkeli

Koskee seuraavia:

Käyttöympäristöt

  • Windows

Mahdollisesti ei-toivotut sovellukset (PUA) ovat ohjelmistoluokka, joka voi saada koneesi toimimaan hitaasti, näyttämään odottamattomia mainoksia tai pahimmillaan asentamaan muita ohjelmistoja, jotka saattavat olla odottamattomia tai ei-toivottuja. PUA:a ei pidetä viruksena, haittaohjelmana tai muunlaisena uhkana, mutta se saattaa suorittaa toimintoja päätepisteissä, jotka vaikuttavat haitallisesti päätepisteen suorituskykyyn tai käyttöön. Termi PUA voi myös viitata sovellukseen, jolla on huono maine, kuten Microsoft Defender for Endpoint arvioi, tietyntyyppisen ei-toivotun käyttäytymisen vuoksi.

Seuraavassa on joitakin esimerkkejä:

  • Mainosohjelmisto , joka näyttää mainoksia tai tarjouksia, mukaan lukien ohjelmisto, joka lisää mainoksia verkkosivuille.
  • Bundling-ohjelmisto , joka tarjoutuu asentamaan muita ohjelmistoja, joita sama entiteetti ei ole allekirjoittanut digitaalisesti. Lisäksi ohjelmisto, joka tarjoaa asentaa muita ohjelmistoja, jotka ovat kelvollinen PUA.
  • Veronkierto-ohjelmisto , joka pyrkii aktiivisesti välttämään suojaustuotteiden tunnistamista, mukaan lukien ohjelmistot, jotka toimivat eri tavalla suojaustuotteiden läsnä ollessa.

Vihje

Lisätietoja ja keskustelu kriteereistä, joita käytämme sovellusten merkitsemiseen suojausominaisuuksien erityistä huomiota varten, on artikkelissa Miten Microsoft tunnistaa haittaohjelmat ja mahdollisesti ei-toivotut sovellukset.

Mahdollisesti ei-toivotut sovellukset voivat lisätä riskiä, että verkkosi saa tartunnan todellisesta haittaohjelmasta, vaikeuttaa haittaohjelmatartuntojen tunnistamista tai maksaa IT- ja tietoturvatiimeille aikaa ja vaivaa niiden puhdistamiseksi. PUA-suojausta tuetaan Windows 11, Windows 10, Windows Server 2022:ssa, Windows Server 2019:ssä ja Windows Server 2016:ssa. Jos organisaatiosi tilaus sisältää Microsoft Defender for Endpoint, Microsoft Defender virustentorjunta estää sovellukset, joita pidetään oletusarvoisesti PUA-laitteissa.

Lue lisätietoja Windows Enterprise -tilauksista.

Microsoft Edge

Uusi Chromium perustuva Microsoft Edge estää mahdollisesti ei-toivotut sovelluslataukset ja niihin liittyvät resurssien URL-osoitteet. Tämä ominaisuus tarjotaan SmartScreen-Microsoft Defender kautta.

PUA-suojauksen ottaminen käyttöön Chromium Microsoft Edgessä

Vaikka microsoft Edgessä (Chromium perustuva versio 80.0.361.50) on oletusarvoisesti poistettu käytöstä, se voidaan helposti kytkeä käyttöön selaimessa.

  1. Valitse Microsoft Edge -selaimessa kolme pistettä ja valitse sitten Asetukset.

  2. Valitse Tietosuoja, haku ja palvelut.

  3. Ota Suojaus-osiossaestä mahdollisesti ei-toivotut sovellukset.

Vihje

Jos käytössäsi on Microsoft Edge (Chromium pohjainen), voit turvallisesti tutustua PUA-suojauksen URL-estämistoimintoon testaamalla sitä jollakin SmartScreen-Microsoft Defender esittelysivullamme.

Estä URL-osoitteet Microsoft Defender SmartScreenillä

Chromium Microsoft Edgessä, jossa PUA-suojaus on käytössä, Microsoft Defender SmartScreen suojaa PUA:hon liittyviltä URL-osoitteilta.

Suojauksen järjestelmänvalvojat voivat määrittää, miten Microsoft Edge ja Microsoft Defender SmartScreen toimivat yhdessä, jotta käyttäjäryhmät voidaan suojata PUA:hon liittyviltä URL-osoitteilta. SmartScreen Microsoft Defender käytettävissä on useita ryhmäkäytäntöasetuksia, joista yksi on PUA:n estämiseen. Lisäksi järjestelmänvalvojat voivat määrittää Microsoft Defender SmartScreeniä kokonaisuutena ryhmäkäytäntöasetusten avulla, jos haluat ottaa SmartScreenin Microsoft Defender käyttöön tai poistaa sen käytöstä.

Vaikka Microsoft Defender for Endpoint on microsoftin hallinnoimaan tietojoukkoon perustuva oma estoluettelonsa, voit mukauttaa tätä luetteloa oman uhkatietosi perusteella. Jos luot ja hallitset ilmaisimia Microsoft Defender for Endpoint portaalissa, Microsoft Defender SmartScreen noudattaa uusia asetuksia.

Microsoft Defender virustentorjunta ja PUA-suojaus

Virustentorjuntaohjelman Microsoft Defender mahdollisesti ei-toivottu sovelluksen (PUA) suojausominaisuus voi tunnistaa ja estää PUA:n verkon päätepisteissä.

Huomautus

Tämä ominaisuus on käytettävissä Windows 11, Windows 10, Windows Server 2022:ssa, Windows Server 2019:ssä ja Windows Server 2016:ssa.

Microsoft Defender virustentorjunta estää PUA-tiedostojen lataamisen, siirtämisen, suorittamisen tai asentamisen. Estetyt PUA-tiedostot siirretään karanteeniin. Kun päätepisteestä havaitaan PUA-tiedosto, Microsoft Defender virustentorjunta lähettää käyttäjälle ilmoituksen (ellei ilmoituksia ole poistettu käytöstä samassa muodossa kuin muita uhkien tunnistuksia. Ilmoituksen perässä PUA: on sen sisällön ilmaiseminen.

Ilmoitus näkyy tavallisessa karanteeniluettelossa Windowsin suojaus sovelluksessa.

PUA-suojauksen määrittäminen Microsoft Defender virustentorjuntaohjelmassa

Voit ottaa PUA-suojauksen käyttöön Microsoft Intune, Microsoft Configuration Manager, ryhmäkäytäntö tai PowerShellin cmdlet-komentojen avulla.

Kokeile aluksi KÄYTTÄÄ PUA-suojausta valvontatilassa. Se havaitsee mahdollisesti ei-toivotut sovellukset estämättä niitä. Tunnistuksia tallennetaan Windowsin tapahtumalokiin. PUA-suojaus valvontatilassa on hyödyllistä, jos yrityksesi suorittaa sisäisen ohjelmistosuojauksen yhteensopivuustarkistusta ja on tärkeää välttää vääriä positiivisia.

PUA-suojauksen määrittäminen Intune avulla

Tutustu seuraaviin artikkeleihin:

PUA-suojauksen määrittäminen Configuration Manager avulla

PUA-suojaus on oletusarvoisesti käytössä Microsoft Configuration Manager (nykyinen haara).

Lisätietoja Microsoft Configuration Manager (nykyinen haara) määrittämisestä on ohjeaiheessa Haittaohjelmien torjuntakäytäntöjen luominen ja käyttöönotto: Ajoitetut tarkistusasetukset.

Lisätietoja System Center 2012 Configuration Manager:stä on artikkelissa Mahdollisesti ei-toivottujen sovellusten suojauskäytännön käyttöönotto päätepisteen suojauksessa Configuration Manager.

Huomautus

Microsoft Defender virustentorjuntaohjelman estämät PUA-tapahtumat raportoidaan Windows-Tapahtumienvalvonta eivätkä Microsoft Configuration Manager.

PUA-suojauksen määrittäminen ryhmäkäytäntö avulla

  1. Lataa ja asenna hallintamallit (.admx) Windows 11. lokakuuta 2021 päivitykselle (21H2)

  2. Avaa ryhmäkäytäntö hallintatietokoneesi ryhmäkäytäntö hallintakonsoli.

  3. Valitse ryhmäkäytäntö objekti, jonka haluat määrittää, ja valitse sitten Muokkaa.

  4. Siirry ryhmäkäytäntö Hallintaeditorissatietokoneen määritykseen ja valitse hallintamallit.

  5. Laajenna puu kohtaan Windowsin osat>Microsoft Defender virustentorjunta.

  6. Kaksoisnapsauta Määritä tunnistaminen mahdollisesti ei-toivotuille sovelluksille.

  7. Ota PUA-suojaus käyttöön valitsemalla Käytössä .

  8. Valitse Asetukset-kohdassaEstä , jos haluat estää mahdollisesti ei-toivotut sovellukset, tai valitse Valvontatila testataksesi, miten asetus toimii ympäristössäsi. Valitse OK.

  9. Ota ryhmäkäytäntö-objekti käyttöön tavalliseen tapaasi.

PUA-suojauksen määrittäminen PowerShellin cmdlet-komentojen avulla

PUA-suojauksen ottaminen käyttöön

Set-MpPreference -PUAProtection Enabled

Määritä tämän cmdlet-komennon arvo niin Enabled , että ominaisuus otetaan käyttöön, jos se on poistettu käytöstä.

PUA-suojauksen määrittäminen valvontatilaan

Set-MpPreference -PUAProtection AuditMode

Asetus AuditMode tunnistaa PUA:t estämättä niitä.

PUA-suojauksen poistaminen käytöstä

Suosittelemme, että pua-suojaus on käytössä. Voit kuitenkin poistaa sen käytöstä käyttämällä seuraavaa cmdlet-komentoa:

Set-MpPreference -PUAProtection Disabled

Määritä tämän cmdlet-komennon arvo niin Disabled , että ominaisuus poistetaan käytöstä, jos se on otettu käyttöön.

Lisätietoja on artikkelissa Virustentorjunnan ja Defenderin virustentorjunnancmdlet-komentojen Microsoft Defender määrittäminen ja suorittaminen PowerShellin cmdlet-komentojen avulla.

NÄYTÄ PUA-tapahtumat PowerShellin avulla

PUA-tapahtumia raportoidaan Windows Tapahtumienvalvonta, mutta ei Microsoft Configuration Manager tai Intune. Cmdlet-komennon Get-MpThreat avulla voit myös tarkastella uhkia, joita virustentorjunta Microsoft Defender käsitellyt. Tässä on esimerkki:

CategoryID       : 27
DidThreatExecute : False
IsActive         : False
Resources        : {webfile:_q:\Builds\Dalton_Download_Manager_3223905758.exe|http://d18yzm5yb8map8.cloudfront.net/
                    fo4yue@kxqdw/Dalton_Download_Manager.exe|pid:14196,ProcessStart:132378130057195714}
RollupStatus     : 33
SchemaVersion    : 1.0.0.0
SeverityID       : 1
ThreatID         : 213927
ThreatName       : PUA:Win32/InstallCore
TypeID           : 0
PSComputerName   :

Pua-tunnistuksia koskevien sähköposti-ilmoitusten saaminen

Voit ottaa käyttöön sähköposti-ilmoitukset, jos haluat saada pua-tunnistuksia koskevat sähköposti-ilmoitukset.

Lisätietoja Microsoft Defender virustentorjuntatapahtumien tarkastelemisesta on kohdassa Tapahtumien tunnuksien vianmääritys. PUA-tapahtumat tallennetaan tapahtumatunnuksella 1160.

Näytä PUA-tapahtumat kehittyneen metsästyksen avulla

Jos käytät Microsoft Defender for Endpoint, voit tarkastella PUA-tapahtumia kehittyneen metsästyskyselyn avulla. Tässä on esimerkkikysely:

DeviceEvents
| where ActionType == "AntivirusDetection"
| extend x = parse_json(AdditionalFields)
| project Timestamp, DeviceName, FolderPath, FileName, SHA256, ThreatName = tostring(x.ThreatName), WasExecutingWhileDetected = tostring(x.WasExecutingWhileDetected), WasRemediated = tostring(x.WasRemediated)
| where ThreatName startswith_cs 'PUA:'

Lisätietoja kehittyneestä metsästyksestä on artikkelissa Uhkien ennakoiva metsästys kehittyneellä metsästyksellä.

Jätä pois tiedostoja PUA-suojauksesta

Joskus PUA-suojaus estää tiedoston virheen tai PUA-ominaisuus vaaditaan tehtävän suorittamiseen. Näissä tapauksissa tiedosto voidaan lisätä poissulkemisluetteloon.

Lisätietoja on artikkelissa Poikkeusten määrittäminen ja vahvistaminen tiedostotunnisteen ja kansiosijainnin perusteella.

Vihje

Jos etsit virustentorjuntaan liittyviä tietoja muista ympäristöistä, katso:

Tutustu myös seuraaviin ohjeartikkeleihin:

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.