Tunnista ja estä mahdollisesti ei-toivotut sovellukset
Koskee seuraavia:
- Microsoft Defender XDR
- Microsoft Defender for Endpoint Plan 1 ja Plan 2
- Microsoft Defender for Business
- Microsoft Edge
- Microsoft Defender yksityishenkilöille
- Microsoft Defenderin virustentorjunta
Käyttöympäristöt
- Windows
Microsoft Defenderin virustentorjunta on saatavilla seuraavissa Windowsin ja Windows Serverin versioissa:
- Windows Server 2022
- Windows Server 2019
- Windows Server, versio 1803 tai uudempi
- Windows Server 2016
- Windows Server 2012 R2 (Edellyttää Microsoft Defender for Endpointia)
- Windows 11
- Windows 10
- Windows 8.1
MacOS: katso kohta Mahdollisesti ei-toivottujen sovellusten havaitseminen ja estäminen Defender for Endpointilla macOS:ssä.
Linuxia varten katso Kohta Mahdollisesti ei-toivottujen sovellusten havaitseminen ja estäminen Defender for Endpointilla Linuxissa.
Mahdollisesti ei-toivotut sovellukset (PUA) ovat ohjelmistoluokka, joka voi saada koneesi toimimaan hitaasti, näyttämään odottamattomia mainoksia tai pahimmillaan asentamaan muita ohjelmistoja, jotka saattavat olla odottamattomia tai ei-toivottuja. PUA:a ei pidetä viruksena, haittaohjelmana tai muunlaisena uhkana, mutta se saattaa suorittaa toimintoja päätepisteissä, jotka vaikuttavat haitallisesti päätepisteen suorituskykyyn tai käyttöön. Termi PUA voi myös viitata sovellukseen, jolla on huono maine Microsoft Defender for Endpointin arvion mukaan tietynlaisen ei-toivotun käyttäytymisen vuoksi.
Seuraavassa on joitakin esimerkkejä:
- Mainosohjelmisto , joka näyttää mainoksia tai tarjouksia, mukaan lukien ohjelmisto, joka lisää mainoksia verkkosivuille.
- Bundling-ohjelmisto , joka tarjoutuu asentamaan muita ohjelmistoja, joita sama entiteetti ei ole allekirjoittanut digitaalisesti. Lisäksi ohjelmisto, joka tarjoaa asentaa muita ohjelmistoja, jotka ovat kelvollinen PUA.
- Veronkierto-ohjelmisto , joka pyrkii aktiivisesti välttämään suojaustuotteiden tunnistamista, mukaan lukien ohjelmistot, jotka toimivat eri tavalla suojaustuotteiden läsnä ollessa.
Vihje
Lisätietoja ja keskustelu kriteereistä, joita käytämme sovellusten merkitsemiseen suojausominaisuuksien erityistä huomiota varten, on artikkelissa Miten Microsoft tunnistaa haittaohjelmat ja mahdollisesti ei-toivotut sovellukset.
Mahdollisesti ei-toivotut sovellukset voivat lisätä riskiä, että verkkosi saa tartunnan todellisesta haittaohjelmasta, vaikeuttaa haittaohjelmatartuntojen tunnistamista tai maksaa IT- ja tietoturvatiimeille aikaa ja vaivaa niiden puhdistamiseksi. Jos organisaatiosi tilaukseen sisältyy Microsoft Defender for Endpoint, voit myös määrittää Microsoft Defenderin virustentorjuntaohjelman PUA:n estämään sovellukset, joita pidetään PUA:na Windows-laitteissa.
Lue lisätietoja Windows Enterprise -tilauksista.
Vihje
Tämän artikkelin kumppanina tutustu Microsoft Defender for Endpointin määritysoppaaseen , jossa kerrotaan parhaista käytännöistä ja olennaisista työkaluista, kuten hyökkäyspinnan vähentämisestä ja seuraavan sukupolven suojauksesta. Ympäristöösi perustuvan mukautetun käyttökokemuksen saat Defender for Endpointin automaattisen asennuksen oppaasta Microsoft 365 -hallintakeskuksessa.
Microsoft Edge
Chromium-pohjainen uusi Microsoft Edge estää mahdollisesti ei-toivotut sovelluslataukset ja niihin liittyvät resurssien URL-osoitteet. Tämä ominaisuus tarjotaan Microsoft Defender SmartScreenin kautta.
PUA-suojauksen käyttöönotto Chromium-pohjaisessa Microsoft Edgessä
Vaikka microsoft Edgessä (Chromium-pohjainen versio 80.0.361.50) mahdollisesti ei ole käytössä, se voidaan helposti kytkeä käyttöön selaimessa.
Valitse Microsoft Edge -selaimessa kolme pistettä ja valitse sitten Asetukset.
Valitse Tietosuoja, haku ja palvelut.
Ota Suojaus-osiossaestä mahdollisesti ei-toivotut sovellukset.
Vihje
Jos käytössäsi on Microsoft Edge (Chromium-pohjainen), voit turvallisesti tutustua PUA-suojauksen URL-esto-ominaisuuteen testaamalla sitä jollakin Microsoft Defender SmartScreen -esittelysivuillamme.
Url-osoitteiden estäminen Microsoft Defender SmartScreenillä
Chromium-pohjaisessa Microsoft Edgessä, jossa PUA-suojaus on käytössä, Microsoft Defender SmartScreen suojaa sinua PUA:hon liittyviltä URL-osoitteilta.
Suojauksen järjestelmänvalvojat voivat määrittää , miten Microsoft Edge ja Microsoft Defender SmartScreen toimivat yhdessä suojatakseen käyttäjäryhmiä PUA:hon liittyviltä URL-osoitteilta. Microsoft Defender SmartScreeniä varten on käytettävissä useita ryhmäkäytäntöasetuksia , joista yksi PUA:n estämiseen. Lisäksi järjestelmänvalvojat voivat määrittää Microsoft Defender SmartScreenin kokonaisuutena ryhmäkäytäntöasetusten avulla, jos haluat ottaa Microsoft Defender SmartScreenin käyttöön tai poistaa sen käytöstä.
Vaikka Microsoft Defender for Endpointilla on oma estettyjen luettelonsa, joka perustuu Microsoftin hallinnoimaan tietojoukkoon, voit mukauttaa tätä luetteloa omien uhkatietojen perusteella. Jos luot ja hallitset ilmaisimia Microsoft Defender for Endpoint -portaalissa, Microsoft Defender SmartScreen noudattaa uusia asetuksia.
Microsoft Defenderin virustentorjunta ja PUA-suojaus
Microsoft Defenderin virustentorjuntaohjelman mahdollisesti ei-toivottu sovelluksen (PUA) suojausominaisuus voi tunnistaa ja estää PUA:n verkon päätepisteissä.
Microsoft Defenderin virustentorjunta estää PUA-tiedostojen ja niiden lataamisen, siirtämisen, suorittamisen tai asentamisen yritykset. Estetyt PUA-tiedostot siirretään karanteeniin. Kun päätepisteestä havaitaan PUA-tiedosto, Microsoft Defenderin virustentorjunta lähettää käyttäjälle ilmoituksen (ellei ilmoituksia ole poistettu käytöstä samassa muodossa kuin muita uhkien tunnistuksia. Ilmoituksen perässä PUA:
on sen sisällön ilmaiseminen.
Ilmoitus näkyy Windowsin tietoturvasovelluksen tavanomaisessa karanteeniluettelossa.
PUA-suojauksen määrittäminen Microsoft Defenderin virustentorjuntaohjelmassa
Voit ottaa PUA-suojauksen käyttöön Microsoft Defender for Endpoint Security Settings Managementin, Microsoft Intunen, Microsoft Configuration Managerin, ryhmäkäytännön tai PowerShellin cmdlet-komentojen kautta.
Kokeile aluksi KÄYTTÄÄ PUA-suojausta valvontatilassa. Se havaitsee mahdollisesti ei-toivotut sovellukset estämättä niitä. Tunnistuksia tallennetaan Windowsin tapahtumalokiin. PUA-suojaus valvontatilassa on hyödyllistä, jos yrityksesi suorittaa sisäisen ohjelmistosuojauksen yhteensopivuustarkistusta ja on tärkeää välttää vääriä positiivisia.
Käytä Microsoft Defender for Endpoint Security Settings Managementia PUA-suojauksen määrittämiseen
Tutustu seuraaviin artikkeleihin:
Käytä Intunea PUA-suojauksen määrittämiseen
Tutustu seuraaviin artikkeleihin:
- Laiterajoitusasetusten määrittäminen Microsoft Intunessa
- Microsoft Defenderin virustentorjuntaohjelman laiterajoitusasetukset Windows 10:lle Intunessa
Määritä PUA-suojaus Configuration Managerin avulla
PUA-suojaus on oletusarvoisesti käytössä Microsoft Configuration Managerissa (nykyinen haara).
Lisätietoja Microsoft Configuration Managerin (nykyinen haara) määrittämisestä on ohjeaiheessa Haittaohjelmien torjuntakäytäntöjen luominen ja käyttöönotto: Ajoitetut skannausasetukset .
Lisätietoja System Center 2012 Configuration Managerista on artikkelissa Mahdollisesti ei-toivottujen sovellusten suojauskäytännön käyttöönotto endpoint-suojauksessa Configuration Managerissa.
Huomautus
Microsoft Defenderin virustentorjunnan estämät PUA-tapahtumat raportoidaan Windowsin tapahtumienvalvontaohjelmassa, ei Microsoft Configuration Managerissa.
Määritä PUA-suojaus ryhmäkäytännön avulla
Windows 11. lokakuuta 2021 päivityksen (21H2) hallintamallien (.admx) lataaminen ja asentaminen
Avaa ryhmäkäytäntöjen hallintatietokoneessa ryhmäkäytäntöjen hallintakonsoli.
Valitse ryhmäkäytäntöobjekti, jonka haluat määrittää, ja valitse sitten Muokkaa.
Siirry ryhmäkäytäntö Hallintaeditorissatietokoneen määritykseen ja valitse hallintamallit.
Laajenna puu kohtaan Windowsin osat>Microsoft Defenderin virustentorjunta.
Kaksoisnapsauta Määritä tunnistaminen mahdollisesti ei-toivotuille sovelluksille ja määritä sen arvoksi Käytössä.
Valitse Asetukset-kohdassaEstä , jos haluat estää mahdollisesti ei-toivotut sovellukset, tai valitse Valvontatila testataksesi, miten asetus toimii ympäristössäsi. Valitse OK.
Ota ryhmäkäytäntöobjekti käyttöön tavalliseen tapaasi.
PUA-suojauksen määrittäminen PowerShellin cmdlet-komentojen avulla
PUA-suojauksen ottaminen käyttöön
Set-MpPreference -PUAProtection Enabled
Määritä tämän cmdlet-komennon arvo niin Enabled
, että ominaisuus otetaan käyttöön, jos se on poistettu käytöstä.
PUA-suojauksen määrittäminen valvontatilaan
Set-MpPreference -PUAProtection AuditMode
Asetus AuditMode
tunnistaa PUA:t estämättä niitä.
PUA-suojauksen poistaminen käytöstä
Suosittelemme, että pua-suojaus on käytössä. Voit kuitenkin poistaa sen käytöstä käyttämällä seuraavaa cmdlet-komentoa:
Set-MpPreference -PUAProtection Disabled
Määritä tämän cmdlet-komennon arvo niin Disabled
, että ominaisuus poistetaan käytöstä, jos se on otettu käyttöön.
Lisätietoja on artikkelissa Microsoft Defenderin virustentorjunnan ja Defenderin virustentorjunnan cmdlet-komentojenmäärittäminen ja suorittaminen PowerShellin cmdlet-komentojen avulla.
Testaa ja varmista, että PUA-esto toimii
Kun PUA on otettu käyttöön lohkotilassa, voit testata, että se toimii oikein. Lisätietoja on kohdassa Mahdollisesti ei-toivottujen sovellusten (PUA) esittely.
NÄYTÄ PUA-tapahtumat PowerShellin avulla
PUA-tapahtumat raportoidaan Windows event Viewerissä, mutta ei Microsoft Configuration Managerissa tai Intunessa. Cmdlet-komennon Get-MpThreat
avulla voit myös tarkastella Uhkia, joita Microsoft Defenderin virustentorjunta käsitteli. Tässä on esimerkki:
CategoryID : 27
DidThreatExecute : False
IsActive : False
Resources : {webfile:_q:\Builds\Dalton_Download_Manager_3223905758.exe|http://d18yzm5yb8map8.cloudfront.net/
fo4yue@kxqdw/Dalton_Download_Manager.exe|pid:14196,ProcessStart:132378130057195714}
RollupStatus : 33
SchemaVersion : 1.0.0.0
SeverityID : 1
ThreatID : 213927
ThreatName : PUA:Win32/InstallCore
TypeID : 0
PSComputerName :
Pua-tunnistuksia koskevien sähköposti-ilmoitusten saaminen
Voit ottaa käyttöön sähköposti-ilmoitukset, jos haluat saada pua-tunnistuksia koskevat sähköposti-ilmoitukset. Lisätietoja Microsoft Defenderin virustentorjuntatapahtumista on kohdassa Tapahtumien tunnuksien vianmääritys. PUA-tapahtumat tallennetaan tapahtumatunnuksella 1160.
Näytä PUA-tapahtumat kehittyneen metsästyksen avulla
Jos käytät Microsoft Defender for Endpointia, voit tarkastella PUA-tapahtumia kehittyneen metsästyskyselyn avulla. Tässä on esimerkkikysely:
DeviceEvents
| where ActionType == "AntivirusDetection"
| extend x = parse_json(AdditionalFields)
| project Timestamp, DeviceName, FolderPath, FileName, SHA256, ThreatName = tostring(x.ThreatName), WasExecutingWhileDetected = tostring(x.WasExecutingWhileDetected), WasRemediated = tostring(x.WasRemediated)
| where ThreatName startswith_cs 'PUA:'
Lisätietoja kehittyneestä metsästyksestä on artikkelissa Uhkien ennakoiva metsästys kehittyneellä metsästyksellä.
Jätä pois tiedostoja PUA-suojauksesta
Joskus PUA-suojaus estää tiedoston virheen tai PUA-ominaisuus vaaditaan tehtävän suorittamiseen. Näissä tapauksissa tiedosto voidaan lisätä poissulkemisluetteloon.
Lisätietoja on artikkelissa Poikkeusten määrittäminen ja vahvistaminen tiedostotunnisteen ja kansiosijainnin perusteella.
Vihje
Jos etsit virustentorjuntaan liittyviä tietoja muista ympäristöistä, katso:
Tutustu myös seuraaviin ohjeartikkeleihin:
- Seuraavan sukupolven suojaus
- Käyttäytymisen, heuristiikan ja reaaliaikaisen suojauksen määrittäminen
Vihje
Haluatko tietää lisää? Ole yhteydessä Microsoft Security -yhteisöön teknologiayhteisössämme: Microsoft Defender for Endpoint Tech -yhteisössä.
Palaute
https://aka.ms/ContentUserFeedback.
Tulossa pian: Vuoden 2024 aikana poistamme asteittain GitHub Issuesin käytöstä sisällön palautemekanismina ja korvaamme sen uudella palautejärjestelmällä. Lisätietoja on täällä:Lähetä ja näytä palaute kohteelle