Détecter et bloquer des applications potentiellement indésirables

S’applique à :

• Microsoft Defender pour point de terminaison Plan 1
• Microsoft Defender pour point de terminaison Plan 2
• Microsoft Edge
• Antivirus Microsoft Defender

Plateformes

• Windows

Les applications potentiellement indésirables (PUA) est une catégorie de logiciel qui peut amener votre ordinateur à fonctionner lentement, afficher des publicités inattendues ou, au pire, installer un autre programme pouvant être imprévu ou non souhaité. PuA n’est pas considéré comme un virus, un programme malveillant ou un autre type de menace, mais il peut effectuer des actions sur des points de terminaison qui affectent négativement les performances ou l’utilisation des points de terminaison. Le terme PUA peut également faire référence à une application ayant une réputation médiocre, tel qu’évalué par Microsoft Defender pour point de terminaison, en raison de types de comportement indésirables.

Voici quelques exemples :

• Logiciel de publicité qui affiche des publicités ou des promotions, notamment le programme qui insert des publicités sur des pages web.
• Regroupement de logiciels qui propose d’installer d’autres logiciels qui ne sont pas signés numériquement par la même entité. En outre, un logiciel qui propose d’installer un autre programme qui est considéré comme application potentiellement indésirable.
• Logiciel type évasion qui tente de manière active d’éviter la détection par les produits de sécurité, y compris le programme qui agit différemment en présence de produits de sécurité.

Conseil

Pour d’autres exemples et une discussion sur les critères que nous utilisons pour étiqueter des applications auxquelles il convient que les fonctionnalités de sécurité accordent une attention particulière, voir Comment Microsoft identifie les programmes malveillants et les applications potentiellement indésirables.

Les applications potentiellement indésirables peuvent augmenter le risque que votre réseau soit infecté par un vrai programme malveillant, rendre les infections de programme malveillant plus difficiles à détecter ou coûter du temps et des efforts à vos équipes informatiques et de sécurité pour les nettoyer. La protection PUA est prise en charge sur Windows 11, Windows 10, Windows Server 2022, Windows Server 2019 et Windows Server 2016. Si l’abonnement de votre organisation inclut Microsoft Defender pour point de terminaison, l’Antivirus Microsoft Defender bloque les applications considérées comme PUA par défaut sur les appareils Windows.

Découvrez plus en détails les services de Windows Entreprise.

Microsoft Edge

Le nouveau Microsoft Edge, qui est basé sur Chromium, bloque les téléchargements d’applications potentiellement indésirables et les URL de ressources associées. Cette fonctionnalité est proposée par Microsoft Defender SmartScreen.

Activer la protection contre les applications potentiellement indésirables dans Microsoft Edge basé sur Chromium

Bien que la protection contre les applications potentiellement indésirables dans Microsoft Edge (basé sur Chromium, version 80.0.361.50) soit désactivée par défaut, vous pouvez facilement l’activer dans le navigateur.

1. Dans votre navigateur Microsoft Edge, sélectionnez les points de suspension, puis choisissez Paramètres.

2. Sélectionnez Confidentialité, recherche et services.

3. Sous la section Sécurité, activez Bloquer les applications potentiellement indésirables.

Conseil

Si vous exécutez Microsoft Edge (basé sur Chromium), vous pouvez explorer en toute sécurité la fonctionnalité de blocage d’URL de la protection contre les applications potentiellement indésirables en la testant sur l’une de nos pages de démonstration Microsoft Defender SmartScreen.

Bloquer les URL avec Microsoft Defender SmartScreen

Dans Chromium Microsoft Edge avec protection puA activée, Microsoft Defender SmartScreen vous protège contre les URL associées à puA.

Les administrateurs de sécurité peuvent configurer comment Microsoft Edge et Microsoft Defender SmartScreen travaillent ensemble pour protéger des groupes d’utilisateurs contre des URL associées aux applications potentiellement indésirables. Il existe plusieurs paramètres de stratégie de groupe explicitement disponibles pour Microsoft Defender SmartScreen, notamment une bloquant les applications potentiellement indésirables. En outre, les administrateurs peuvent configurer Microsoft Defender SmartScreen dans son ensemble, en utilisant les paramètres de stratégie de groupe pour activer ou désactiver Microsoft Defender SmartScreen.

Bien que Microsoft Defender pour point de terminaison ait sa propre liste de blocage basée sur un jeu de données gérées par Microsoft, vous pouvez personnaliser cette liste en fonction de votre propre veille contre les menaces. Si vous créez et gérez des indicateurs dans le portail Microsoft Defender pour point de terminaison, Microsoft Defender SmartScreen respecte les nouveaux paramètres.

Antivirus Microsoft Defender et la protection contre les applications potentiellement indésirables (PUA)

La fonctionnalité de protection contre les applications potentiellement indésirables (PUA) dans l’Antivirus Microsoft Defender peut détecter et bloquer les applications potentiellement indésirables (PUA) sur les points de terminaison dans votre réseau.

Remarque

Cette fonctionnalité est disponible dans Windows 11, Windows 10, Windows Server 2022, Windows Server 2019 et Windows Server 2016.

L’Antivirus Microsoft Defender bloque les fichiers détectés d’applications potentiellement indésirables (PUA) et toutes les tentatives pour les télécharger, déplacer, exécuter ou installer. Les fichiers d’applications potentiellement indésirables (PUA) sont ensuite déplacés vers la mise en quarantaine. Lorsqu’un fichier d’applications potentiellement indésirables (PUA) est détecté sur un point de terminaison, l’Antivirus Microsoft Defender envoie une notification à l’utilisateur (sauf si les notifications sont désactivées) dans le même format que les autres détections de menaces. La notification est précédée par PUA: pour indiquer son contenu.

La notification s’affiche dans la liste de quarantaine dans l’application Sécurité Windows.

Configurer la protection contre les applications potentiellement indésirables (PUA) dans l’Antivirus Microsoft Defender

Vous pouvez activer la protection puA avec Microsoft Intune, Microsoft Configuration Manager, stratégie de groupe ou via des applets de commande PowerShell.

Dans un premier temps, essayez d’utiliser la protection PUA en mode audit. Il détecte les applications potentiellement indésirables sans les bloquer réellement. Les détections sont capturées dans le journal des événements Windows. La protection puA en mode audit est utile si votre entreprise effectue un case activée interne de conformité de sécurité logicielle et qu’il est important d’éviter les faux positifs.

Utiliser Intune pour configurer la protection contre les applications potentiellement indésirables (PUA)

Consultez les articles suivants :

• Configurer des paramètres de restriction d’appareils dans Microsoft Intune
• Paramètres de restriction d’appareil antivirus Microsoft Defender pour les Windows 10 dans Intune

Utiliser Configuration Manager pour configurer la protection contre les applications potentiellement indésirables (PUA)

La protection puA est activée par défaut dans le Microsoft Configuration Manager (Current Branch).

Pour plus d’informations sur la configuration des Microsoft Configuration Manager (Current Branch), consultez How to create and deploy antimalware policies : Scheduled scans settings.

Pour System Center 2012 Configuration Manager, voir Comment déployer la stratégie de protection contre les applications potentiellement indésirables (PUA) pour Endpoint protection dans Configuration Manager.

Remarque

Les événements PUA bloqués par Microsoft Defender Antivirus sont signalés dans le observateur d'événements Windows et non dans Microsoft Configuration Manager.

Utiliser la stratégie de groupe pour configurer la protection contre les applications potentiellement indésirables (PUA)

1. Télécharger et installer Modèles d’administration (.admx) pour Windows 11, mise à jour d’octobre 2021 (21H2)

2. Sur votre ordinateur de gestion des stratégies de groupe, ouvrez laConsole de gestion des stratégies de groupe.

3. Sélectionnez l’objet de stratégie de groupe que vous souhaitez configurer, puis choisissez Modifier.

4. Dans l’Éditeur de gestion des stratégies de groupe, accédez à Configuration ordinateur, puis sélectionnez Modèles d’administration.

5. Développez l’arborescence sur Composants Windows>Antivirus Microsoft Defender.

6. Cliquez deux fois sur Configurer la détection pour les applications potentiellement indésirables (PUA).

7. Sélectionnez Activé pour activer la protection contre les applications potentiellement indésirables (PUA).

8. Dans Options, sélectionnez Bloquer pour bloquer les applications potentiellement indésirables ou Mode Audit pour tester le fonctionnement du setting dans votre environnement. Sélectionnez OK.

9. Déployez votre objet de stratégie de groupe comme vous le faites habituellement.

Utiliser les cmdlets PowerShell pour configurer la protection contre les applications potentiellement indésirables (PUA)

Pour activer la protection contre les applications potentiellement indésirables (PUA)

Set-MpPreference -PUAProtection Enabled

La configuration de la valeur de cette cmdlet sur Enabled active la fonctionnalité si elle a été désactivée.

Définir la protection contre les applications potentiellement indésirables (PUA) sur le mode audit

Set-MpPreference -PUAProtection AuditMode

La définition de AuditMode détecte les applications potentiellement indésirables (PUA) sans les bloquer.

Pour désactiver la protection contre les applications potentiellement indésirables (PUA)

Nous vous recommandons de maintenir la protection contre les applications potentiellement indésirables (PUA) activé. Toutefois, vous pouvez la désactiver en utilisant la cmdlet suivante :

Set-MpPreference -PUAProtection Disabled

La configuration de la valeur de cette cmdlet sur Disabled désactive la fonctionnalité si elle a été activée.

Pour plus d’informations, consultez Utiliser les applets de commande PowerShell pour configurer et exécuter l’antivirus Microsoft Defender et les Applets de commande de l’antivirus Defender.

Afficher les événements d’applications potentiellement indésirables (PUA)

Les événements PUA sont signalés dans le observateur d'événements Windows, mais pas dans Microsoft Configuration Manager ou dans Intune. Vous pouvez également utiliser la cmdlet Get-MpThreat pour afficher les menaces traitées par l’Antivirus Windows Defender. Voici un exemple :

CategoryID       : 27
DidThreatExecute : False
IsActive         : False
Resources        : {webfile:_q:\Builds\Dalton_Download_Manager_3223905758.exe|http://d18yzm5yb8map8.cloudfront.net/
                    fo4yue@kxqdw/Dalton_Download_Manager.exe|pid:14196,ProcessStart:132378130057195714}
RollupStatus     : 33
SchemaVersion    : 1.0.0.0
SeverityID       : 1
ThreatID         : 213927
ThreatName       : PUA:Win32/InstallCore
TypeID           : 0
PSComputerName   :

Obtenir des notifications par courrier électronique à propos des détections de la protection contre les applications potentiellement indésirables (PUA)

Vous pouvez activer les notifications par -email pour recevoir le courrier à propos de la détection des applications potentiellement indésirables (PUA).

Consultez Résoudre des problèmes relatifs aux ID d’événement pour plus de détails sur l’affichage des événements de l’Antivirus Windows Defender. Les événements des applications potentiellement indésirables (PUA) sont enregistrés sous l’ID d’événement 1160.

Afficher les événements des applications potentiellement indésirables (PUA) à l’aide du repérage avancé

Si vous utilisez Microsoft Defender pour point de terminaison, vous pouvez utiliser une requête de repérage avancé pour afficher les événements des applications potentiellement indésirables (PUA). Voici une requête d’exemple :

DeviceEvents
| where ActionType == "AntivirusDetection"
| extend x = parse_json(AdditionalFields)
| project Timestamp, DeviceName, FolderPath, FileName, SHA256, ThreatName = tostring(x.ThreatName), WasExecutingWhileDetected = tostring(x.WasExecutingWhileDetected), WasRemediated = tostring(x.WasRemediated)
| where ThreatName startswith_cs 'PUA:'

Pour en savoir plus sur le repérage avancé, voir Repérer de manière proactive les menaces grâce au repérage avancé.

Exclure des fichiers de la protection contre les applications potentiellement indésirables (PUA)

Un fichier est parfois bloqué par erreur par la protection contre les applications potentiellement indésirables (PUA) ou une fonctionnalité d’une application potentiellement indésirable (PUA) est nécessaire pour effectuer une tâche. Dans ces cas, un fichier peut être ajouté à une liste d’exclusion.

Pour plus d’informations, voir Configurer et valider des exclusions en fonction de l’extension de fichier et de l’emplacement du dossier.

Conseil

Si vous recherchez des informations relatives à l’antivirus pour d’autres plateformes, consultez :

• Définir les préférences pour Microsoft Defender pour point de terminaison sur macOS
• Microsoft Defender pour point de terminaison sur Mac
• Paramètres de stratégie antivirus macOS pour Antivirus Microsoft Defender pour Intune
• Définir les préférences pour Microsoft Defender pour point de terminaison sur Linux
• Microsoft Defender pour point de terminaison Linux
• Configurer Defender pour point de terminaison pour des fonctionnalités Android
• configurer Microsoft Defender pour point de terminaison sur les fonctionnalités iOS

Voir aussi

• Protection de nouvelle génération
• Configurer la protection comportementale, heuristique et en temps réel.

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.