Tunnista ja estä mahdollisesti ei-toivotut sovellukset

Koskee seuraavia:

• Microsoft Defender XDR
• Microsoft Defender for Endpoint Plan 1 ja Plan 2
• Microsoft Defender for Business
• Microsoft Edge
• Microsoft Defender yksityishenkilöille
• Microsoft Defenderin virustentorjunta

Käyttöympäristöt

• Windows

Microsoft Defenderin virustentorjunta on saatavilla seuraavissa Windowsin ja Windows Serverin versioissa:

• Windows Server 2022
• Windows Server 2019
• Windows Server, versio 1803 tai uudempi
• Windows Server 2016
• Windows Server 2012 R2 (Edellyttää Microsoft Defender for Endpointia)
• Windows 11
• Windows 10
• Windows 8.1

MacOS: katso kohta Mahdollisesti ei-toivottujen sovellusten havaitseminen ja estäminen Defender for Endpointilla macOS:ssä.

Linuxia varten katso Kohta Mahdollisesti ei-toivottujen sovellusten havaitseminen ja estäminen Defender for Endpointilla Linuxissa.

Mahdollisesti ei-toivotut sovellukset (PUA) ovat ohjelmistoluokka, joka voi saada koneesi toimimaan hitaasti, näyttämään odottamattomia mainoksia tai pahimmillaan asentamaan muita ohjelmistoja, jotka saattavat olla odottamattomia tai ei-toivottuja. PUA:a ei pidetä viruksena, haittaohjelmana tai muunlaisena uhkana, mutta se saattaa suorittaa toimintoja päätepisteissä, jotka vaikuttavat haitallisesti päätepisteen suorituskykyyn tai käyttöön. Termi PUA voi myös viitata sovellukseen, jolla on huono maine Microsoft Defender for Endpointin arvion mukaan tietynlaisen ei-toivotun käyttäytymisen vuoksi.

Seuraavassa on joitakin esimerkkejä:

• Mainosohjelmisto , joka näyttää mainoksia tai tarjouksia, mukaan lukien ohjelmisto, joka lisää mainoksia verkkosivuille.
• Bundling-ohjelmisto , joka tarjoutuu asentamaan muita ohjelmistoja, joita sama entiteetti ei ole allekirjoittanut digitaalisesti. Lisäksi ohjelmisto, joka tarjoaa asentaa muita ohjelmistoja, jotka ovat kelvollinen PUA.
• Veronkierto-ohjelmisto , joka pyrkii aktiivisesti välttämään suojaustuotteiden tunnistamista, mukaan lukien ohjelmistot, jotka toimivat eri tavalla suojaustuotteiden läsnä ollessa.

Vihje

Lisätietoja ja keskustelu kriteereistä, joita käytämme sovellusten merkitsemiseen suojausominaisuuksien erityistä huomiota varten, on artikkelissa Miten Microsoft tunnistaa haittaohjelmat ja mahdollisesti ei-toivotut sovellukset.

Mahdollisesti ei-toivotut sovellukset voivat lisätä riskiä, että verkkosi saa tartunnan todellisesta haittaohjelmasta, vaikeuttaa haittaohjelmatartuntojen tunnistamista tai maksaa IT- ja tietoturvatiimeille aikaa ja vaivaa niiden puhdistamiseksi. Jos organisaatiosi tilaukseen sisältyy Microsoft Defender for Endpoint, voit myös määrittää Microsoft Defenderin virustentorjuntaohjelman PUA:n estämään sovellukset, joita pidetään PUA:na Windows-laitteissa.

Lue lisätietoja Windows Enterprise -tilauksista.

Vihje

Tämän artikkelin kumppanina tutustu Microsoft Defender for Endpointin määritysoppaaseen , jossa kerrotaan parhaista käytännöistä ja olennaisista työkaluista, kuten hyökkäyspinnan vähentämisestä ja seuraavan sukupolven suojauksesta. Ympäristöösi perustuvan mukautetun käyttökokemuksen saat Defender for Endpointin automaattisen asennuksen oppaasta Microsoft 365 -hallintakeskuksessa.

Microsoft Edge

Chromium-pohjainen uusi Microsoft Edge estää mahdollisesti ei-toivotut sovelluslataukset ja niihin liittyvät resurssien URL-osoitteet. Tämä ominaisuus tarjotaan Microsoft Defender SmartScreenin kautta.

PUA-suojauksen käyttöönotto Chromium-pohjaisessa Microsoft Edgessä

Vaikka microsoft Edgessä (Chromium-pohjainen versio 80.0.361.50) mahdollisesti ei ole käytössä, se voidaan helposti kytkeä käyttöön selaimessa.

1. Valitse Microsoft Edge -selaimessa kolme pistettä ja valitse sitten Asetukset.

2. Valitse Tietosuoja, haku ja palvelut.

3. Ota Suojaus-osiossaestä mahdollisesti ei-toivotut sovellukset.

Vihje

Jos käytössäsi on Microsoft Edge (Chromium-pohjainen), voit turvallisesti tutustua PUA-suojauksen URL-esto-ominaisuuteen testaamalla sitä jollakin Microsoft Defender SmartScreen -esittelysivuillamme.

Url-osoitteiden estäminen Microsoft Defender SmartScreenillä

Chromium-pohjaisessa Microsoft Edgessä, jossa PUA-suojaus on käytössä, Microsoft Defender SmartScreen suojaa sinua PUA:hon liittyviltä URL-osoitteilta.

Suojauksen järjestelmänvalvojat voivat määrittää , miten Microsoft Edge ja Microsoft Defender SmartScreen toimivat yhdessä suojatakseen käyttäjäryhmiä PUA:hon liittyviltä URL-osoitteilta. Microsoft Defender SmartScreeniä varten on käytettävissä useita ryhmäkäytäntöasetuksia , joista yksi PUA:n estämiseen. Lisäksi järjestelmänvalvojat voivat määrittää Microsoft Defender SmartScreenin kokonaisuutena ryhmäkäytäntöasetusten avulla, jos haluat ottaa Microsoft Defender SmartScreenin käyttöön tai poistaa sen käytöstä.

Vaikka Microsoft Defender for Endpointilla on oma estettyjen luettelonsa, joka perustuu Microsoftin hallinnoimaan tietojoukkoon, voit mukauttaa tätä luetteloa omien uhkatietojen perusteella. Jos luot ja hallitset ilmaisimia Microsoft Defender for Endpoint -portaalissa, Microsoft Defender SmartScreen noudattaa uusia asetuksia.

Microsoft Defenderin virustentorjunta ja PUA-suojaus

Microsoft Defenderin virustentorjuntaohjelman mahdollisesti ei-toivottu sovelluksen (PUA) suojausominaisuus voi tunnistaa ja estää PUA:n verkon päätepisteissä.

Microsoft Defenderin virustentorjunta estää PUA-tiedostojen ja niiden lataamisen, siirtämisen, suorittamisen tai asentamisen yritykset. Estetyt PUA-tiedostot siirretään karanteeniin. Kun päätepisteestä havaitaan PUA-tiedosto, Microsoft Defenderin virustentorjunta lähettää käyttäjälle ilmoituksen (ellei ilmoituksia ole poistettu käytöstä samassa muodossa kuin muita uhkien tunnistuksia. Ilmoituksen perässä PUA: on sen sisällön ilmaiseminen.

Ilmoitus näkyy Windowsin tietoturvasovelluksen tavanomaisessa karanteeniluettelossa.

PUA-suojauksen määrittäminen Microsoft Defenderin virustentorjuntaohjelmassa

Voit ottaa PUA-suojauksen käyttöön Microsoft Defender for Endpoint Security Settings Managementin, Microsoft Intunen, Microsoft Configuration Managerin, ryhmäkäytännön tai PowerShellin cmdlet-komentojen kautta.

Kokeile aluksi KÄYTTÄÄ PUA-suojausta valvontatilassa. Se havaitsee mahdollisesti ei-toivotut sovellukset estämättä niitä. Tunnistuksia tallennetaan Windowsin tapahtumalokiin. PUA-suojaus valvontatilassa on hyödyllistä, jos yrityksesi suorittaa sisäisen ohjelmistosuojauksen yhteensopivuustarkistusta ja on tärkeää välttää vääriä positiivisia.

Käytä Microsoft Defender for Endpoint Security Settings Managementia PUA-suojauksen määrittämiseen

Tutustu seuraaviin artikkeleihin:

• Microsoft Defender for Endpoint Security Settings Managementin avulla voit hallita Microsoft Defenderin virustentorjuntaa

Käytä Intunea PUA-suojauksen määrittämiseen

Tutustu seuraaviin artikkeleihin:

• Laiterajoitusasetusten määrittäminen Microsoft Intunessa
• Microsoft Defenderin virustentorjuntaohjelman laiterajoitusasetukset Windows 10:lle Intunessa

Määritä PUA-suojaus Configuration Managerin avulla

PUA-suojaus on oletusarvoisesti käytössä Microsoft Configuration Managerissa (nykyinen haara).

Lisätietoja Microsoft Configuration Managerin (nykyinen haara) määrittämisestä on ohjeaiheessa Haittaohjelmien torjuntakäytäntöjen luominen ja käyttöönotto: Ajoitetut skannausasetukset .

Lisätietoja System Center 2012 Configuration Managerista on artikkelissa Mahdollisesti ei-toivottujen sovellusten suojauskäytännön käyttöönotto endpoint-suojauksessa Configuration Managerissa.

Huomautus

Microsoft Defenderin virustentorjunnan estämät PUA-tapahtumat raportoidaan Windowsin tapahtumienvalvontaohjelmassa, ei Microsoft Configuration Managerissa.

Määritä PUA-suojaus ryhmäkäytännön avulla

1. Windows 11. lokakuuta 2021 päivityksen (21H2) hallintamallien (.admx) lataaminen ja asentaminen

2. Avaa ryhmäkäytäntöjen hallintatietokoneessa ryhmäkäytäntöjen hallintakonsoli.

3. Valitse ryhmäkäytäntöobjekti, jonka haluat määrittää, ja valitse sitten Muokkaa.

4. Siirry ryhmäkäytäntö Hallintaeditorissatietokoneen määritykseen ja valitse hallintamallit.

5. Laajenna puu kohtaan Windowsin osat>Microsoft Defenderin virustentorjunta.

6. Kaksoisnapsauta Määritä tunnistaminen mahdollisesti ei-toivotuille sovelluksille ja määritä sen arvoksi Käytössä.

7. Valitse Asetukset-kohdassaEstä , jos haluat estää mahdollisesti ei-toivotut sovellukset, tai valitse Valvontatila testataksesi, miten asetus toimii ympäristössäsi. Valitse OK.

8. Ota ryhmäkäytäntöobjekti käyttöön tavalliseen tapaasi.

PUA-suojauksen määrittäminen PowerShellin cmdlet-komentojen avulla

PUA-suojauksen ottaminen käyttöön

Set-MpPreference -PUAProtection Enabled

Määritä tämän cmdlet-komennon arvo niin Enabled , että ominaisuus otetaan käyttöön, jos se on poistettu käytöstä.

PUA-suojauksen määrittäminen valvontatilaan

Set-MpPreference -PUAProtection AuditMode

Asetus AuditMode tunnistaa PUA:t estämättä niitä.

PUA-suojauksen poistaminen käytöstä

Suosittelemme, että pua-suojaus on käytössä. Voit kuitenkin poistaa sen käytöstä käyttämällä seuraavaa cmdlet-komentoa:

Set-MpPreference -PUAProtection Disabled

Määritä tämän cmdlet-komennon arvo niin Disabled , että ominaisuus poistetaan käytöstä, jos se on otettu käyttöön.

Lisätietoja on artikkelissa Microsoft Defenderin virustentorjunnan ja Defenderin virustentorjunnan cmdlet-komentojenmäärittäminen ja suorittaminen PowerShellin cmdlet-komentojen avulla.

Testaa ja varmista, että PUA-esto toimii

Kun PUA on otettu käyttöön lohkotilassa, voit testata, että se toimii oikein. Lisätietoja on kohdassa Mahdollisesti ei-toivottujen sovellusten (PUA) esittely.

NÄYTÄ PUA-tapahtumat PowerShellin avulla

PUA-tapahtumat raportoidaan Windows event Viewerissä, mutta ei Microsoft Configuration Managerissa tai Intunessa. Cmdlet-komennon Get-MpThreat avulla voit myös tarkastella Uhkia, joita Microsoft Defenderin virustentorjunta käsitteli. Tässä on esimerkki:

CategoryID       : 27
DidThreatExecute : False
IsActive         : False
Resources        : {webfile:_q:\Builds\Dalton_Download_Manager_3223905758.exe|http://d18yzm5yb8map8.cloudfront.net/
                    fo4yue@kxqdw/Dalton_Download_Manager.exe|pid:14196,ProcessStart:132378130057195714}
RollupStatus     : 33
SchemaVersion    : 1.0.0.0
SeverityID       : 1
ThreatID         : 213927
ThreatName       : PUA:Win32/InstallCore
TypeID           : 0
PSComputerName   :

Pua-tunnistuksia koskevien sähköposti-ilmoitusten saaminen

Voit ottaa käyttöön sähköposti-ilmoitukset, jos haluat saada pua-tunnistuksia koskevat sähköposti-ilmoitukset. Lisätietoja Microsoft Defenderin virustentorjuntatapahtumista on kohdassa Tapahtumien tunnuksien vianmääritys. PUA-tapahtumat tallennetaan tapahtumatunnuksella 1160.

Näytä PUA-tapahtumat kehittyneen metsästyksen avulla

Jos käytät Microsoft Defender for Endpointia, voit tarkastella PUA-tapahtumia kehittyneen metsästyskyselyn avulla. Tässä on esimerkkikysely:

DeviceEvents
| where ActionType == "AntivirusDetection"
| extend x = parse_json(AdditionalFields)
| project Timestamp, DeviceName, FolderPath, FileName, SHA256, ThreatName = tostring(x.ThreatName), WasExecutingWhileDetected = tostring(x.WasExecutingWhileDetected), WasRemediated = tostring(x.WasRemediated)
| where ThreatName startswith_cs 'PUA:'

Lisätietoja kehittyneestä metsästyksestä on artikkelissa Uhkien ennakoiva metsästys kehittyneellä metsästyksellä.

Jätä pois tiedostoja PUA-suojauksesta

Joskus PUA-suojaus estää tiedoston virheen tai PUA-ominaisuus vaaditaan tehtävän suorittamiseen. Näissä tapauksissa tiedosto voidaan lisätä poissulkemisluetteloon.

Lisätietoja on artikkelissa Poikkeusten määrittäminen ja vahvistaminen tiedostotunnisteen ja kansiosijainnin perusteella.

Vihje

Jos etsit virustentorjuntaan liittyviä tietoja muista ympäristöistä, katso:

• Microsoft Defender for Endpoint Macissa
• Microsoft Defender for Endpoint Linuxissa
• Defender for Endpointin ominaisuuksien määrittäminen Androidissa
• Microsoft Defender for Endpointin ominaisuuksien määrittäminen iOS:ssä

Tutustu myös seuraaviin ohjeartikkeleihin:

• Seuraavan sukupolven suojaus
• Käyttäytymisen, heuristiikan ja reaaliaikaisen suojauksen määrittäminen

Vihje

Haluatko tietää lisää? Ole yhteydessä Microsoft Security -yhteisöön teknologiayhteisössämme: Microsoft Defender for Endpoint Tech -yhteisössä.