שתף באמצעות


זהה וחסום יישומים שעשויים להיות בלתי רצויים

חל על:

פלטפורמות

  • Windows

Microsoft Defender אנטי-וירוס זמין בגירסאות/המהדורות הבאות של Windows ו- Windows Server:

  • Windows Server 2022
  • Windows Server 2019
  • Windows Server, גרסה 1803 ואילך
  • Windows Server 2016
  • Windows Server 2012 R2 (נדרש Microsoft Defender עבור נקודת קצה)
  • Windows 11
  • Windows 10
  • Windows 8.1

עבור macOS, ראה זיהוי וחסימה של יישומים שעלולים להיות בלתי רצויים באמצעות Defender for Endpoint ב- macOS.

עבור Linux, ראה זיהוי וחסימה של יישומים שעלולים להיות בלתי רצויים באמצעות Defender for Endpoint ב- Linux.

יישומים שעלולים להיות בלתי רצויים (PUA) הם קטגוריית תוכנה שעשויה לגרום למחשב לפעול לאט, להציג פרסומות בלתי צפויות, או במקרה הגרוע ביותר, להתקין תוכנות אחרות שעשויות להיות בלתי צפויות או בלתי רצויות. PUA אינה נחשבת לווירוס, לתוכנה זדונית או לסוג אחר של איום, אך היא עשויה לבצע פעולות ב נקודות קצה שמשפיעות לרעה על ביצועי נקודת הקצה או על השימוש בהן. המונח PUA יכול גם להתייחס ליישום בעל מוניטין גרוע, כפי שהערכת Microsoft Defender עבור נקודת קצה, עקב סוגים מסוימים של התנהגות לא רצויה.

להלן כמה דוגמאות:

  • תוכנת פרסום המציגה פרסומות או קידומי מכירות, כולל תוכנות שמוסיף פרסומות לדפי אינטרנט.
  • תוכנות איגוד המציעות להתקין תוכנות אחרות שלא חתומות בחתימה דיגיטלית על-ידי אותה ישות. כמו כן, תוכנה המציעה להתקין תוכנות אחרות שמזהות PUA.
  • תוכנת התחמקות שמנסה באופן פעיל להתחמק מזיהוי מוצרי אבטחה, כולל תוכנה הפועלת באופן שונה בנוכחות מוצרי אבטחה.

עצה

לקבלת דוגמאות נוספות ודיון בקריטריונים שבהם אנו משתמשים כדי לתייג יישומים לתשומת לב מיוחדת מתכונות אבטחה, ראה כיצד Microsoft מזהה תוכנות זדוניות ויישומים שעלולים להיות בלתי רצויים.

אפליקציות שעשויות להיות בלתי רצויות עלולות להגדיל את הסיכון להידבקות ברשת שלך בתוכנות זדוניות בפועל, להפוך הידבקות בתוכנות זדוניות לקשה יותר לזיהוי, או לעלות לצוותי ה- IT והאבטחה שלך זמן ומאמץ לנקות אותן. אם המנוי של הארגון שלך כולל Microsoft Defender עבור נקודת קצה, באפשרותך גם להגדיר את ה- PUA של האנטי Microsoft Defender Antivirus לחסימה, כדי לחסום אפליקציות שנחשבות ל- PUA במכשירי Windows.

קבל מידע נוסף על מנויי Windows Enterprise.

עצה

כמלווה למאמר זה, עיין במדריך ההגדרה Microsoft Defender עבור נקודת קצה כדי לסקור את שיטות העבודה המומלצות וללמוד על כלים חיוניים כגון הפחתת פני השטח של ההתקפה וההגנה מהדור הבא. לקבלת חוויה מותאמת אישית המבוססת על הסביבה שלך, באפשרותך לגשת למדריך ההגדרה האוטומטי של Defender for Endpoint מרכז הניהול של Microsoft 365.

מייקרוסופט אדג'

Microsoft Edge החדש, המבוסס על Chromium, חוסם הורדות של אפליקציות שעשויות להיות בלתי רצויות וכתובות URL משויכת למשאבים. תכונה זו מסופקת באמצעות Microsoft Defender SmartScreen.

אפשר הגנת PUA ב Chromium Microsoft Edge מבוסס-דפדפן

אף על פי שהגנת יישומים שעלולה להיות בלתי רצויה ב- Microsoft Edge (גירסה 80.0.361.50 המבוססת על Chromium) מבוטלת כברירת מחדל, ניתן להפעיל אותה בקלות מתוך הדפדפן.

  1. בדפדפן Microsoft Edge, בחר את שלוש הנקודות ולאחר מכן בחר הגדרות.

  2. בחר פרטיות, חיפוש ושירותים.

  3. תחת המקטע אבטחה , הפעל את חסום אפליקציות שעלולות להיות בלתי רצויות.

עצה

אם אתה משתמש ב- Microsoft Edge (מבוסס-Chromium), תוכל לחקור בבטחה את התכונה של חסימת כתובות URL של הגנת PUA על-ידי בדיקתה באחד מדפי ההדגמה של SmartScreen Microsoft Defender SmartScreen שלנו.

חסימת כתובות URL באמצעות Microsoft Defender SmartScreen

ב Chromium Microsoft Edge מבוסס-דפדפן, כאשר הגנת PUA מופעלת, Microsoft Defender SmartScreen מגן עליך מפני כתובות URL המשויכות ל- PUA.

מנהלי אבטחה יכולים לקבוע את התצורה של האופן שבו Microsoft Edge Microsoft Defender SmartScreen פועלים יחד כדי להגן על קבוצות של משתמשים מפני כתובות URL המשויכות ל- PUA. קיימות כמה הגדרות מדיניות קבוצתית באופן מפורש עבור Microsoft Defender SmartScreen, כולל אחת לחסימת PUA. בנוסף, מנהלי מערכת יכולים להגדיר Microsoft Defender SmartScreen כולו, באמצעות הגדרות מדיניות קבוצתית כדי להפעיל או Microsoft Defender SmartScreen.

למרות Microsoft Defender עבור נקודת קצה רשימת חסימות משלה בהתבסס על ערכת נתונים המנוהלת על-ידי Microsoft, באפשרותך להתאים אישית רשימה זו בהתבסס על בינת האיומים שלך. אם אתה יוצר ומנהל מחוונים בפורטל Microsoft Defender עבור נקודת קצה, Microsoft Defender SmartScreen מכבד את ההגדרות החדשות.

Microsoft Defender אנטי-וירוס והגנה מפני PUA

תכונת ההגנה על יישום (PUA) שעשויה להיות בלתי רצויה ב- Microsoft Defender Antivirus יכולה לזהות ולחסום PUA ב נקודות קצה ברשת שלך.

Microsoft Defender אנטי-וירוס זוהו קבצי PUA וניסיונות להוריד, להעביר, להפעיל או להתקין אותם. לאחר מכן, קבצי PUA חסומים מועברים להסגר. כאשר קובץ PUA מזוהה ב נקודת קצה, Microsoft Defender האנטי-וירוס שולח הודעה למשתמש (אלא אם ההודעות הפכו ללא זמינות באותה תבנית כמו זיהויי איומים אחרים. ההודעה מוצגת מראש כדי PUA: לציין את התוכן שלה.

ההודעה מופיעה ברשימת ההסגר הרגילה בתוך אבטחת Windows האפליקציה.

קביעת התצורה של הגנת PUA Microsoft Defender אנטי-וירוס

באפשרותך להפעיל הגנת PUA Microsoft Defender עבור נקודת קצה ניהול הגדרות אבטחה, Microsoft Intune, Microsoft Configuration Manager, מדיניות קבוצתית או דרך רכיבי cmdlet של PowerShell.

תחילה, נסה להשתמש בהגנת PUA במצב ביקורת. הוא מזהה יישומים שעלולים להיות בלתי רצויים מבלי לחסום אותם בפועל. זיהויים נלכדים ביומן האירועים של Windows. הגנה על PUA במצב ביקורת שימושית אם החברה שלך מבצעת בדיקת תאימות אבטחת תוכנה פנימית וחשוב להימנע מתוצאות חיוביות מוטעות.

השתמש Microsoft Defender עבור נקודת קצה הגדרות אבטחה כדי לקבוע את התצורה של הגנת PUA

עיין במאמרים הבאים:

השתמש Intune כדי לקבוע תצורה של הגנת PUA

עיין במאמרים הבאים:

השתמש Configuration Manager כדי לקבוע תצורה של הגנת PUA

הגנת PUA מופעלת כברירת מחדל ב- Microsoft Configuration Manager (הענף הנוכחי).

ראה כיצד ליצור ולפרוס פריטי מדיניות למניעת תוכנות זדוניות: הגדרות סריקות מתוזמנות לקבלת פרטים אודות קביעת התצורה של Microsoft Configuration Manager (הענף הנוכחי).

עבור System Center 2012 Configuration Manager, ראה כיצד לפרוס מדיניות הגנה על יישומים שעלולה להיות בלתי רצויה עבור הגנה על נקודות קצה ב- Configuration Manager.

הערה

אירועי PUA שנחסמו על-ידי Microsoft Defender האנטי-וירוס מדווחים מציג האירועים Windows ולא Microsoft Configuration Manager.

השתמש מדיניות קבוצתית כדי לקבוע את התצורה של הגנת PUA

  1. הורד והתקן תבניות ניהול (.admx) עבור Windows 11 אוקטובר 2021 (21H2)

  2. במחשב הניהול מדיניות קבוצתית שלך, פתח את מדיניות קבוצתית הניהול.

  3. בחר את מדיניות קבוצתית האובייקט שברצונך לקבוע את תצורתו ולאחר מכן בחר ערוך.

  4. בעורך ניהול מדיניות קבוצתית, עבור אל תצורת המחשב ובחר תבניות מנהליות.

  5. הרחב את העץ לרכיבי> Windows Microsoft Defender אנטי-וירוס.

  6. לחץ פעמיים על קבע תצורה של זיהוי עבור יישומים שעלולים להיות בלתי רצויים והגדר אותו כזמין.

  7. באפשרויות, בחר חסום כדי לחסום יישומים שעלולים להיות בלתי רצויים, או בחר מצב ביקורת כדי לבדוק כיצד ההגדרה פועלת בסביבה שלך. בחר אישור.

  8. פרוס את מדיניות קבוצתית שלך כפי שאתה עושה בדרך כלל.

השתמש ברכיבי cmdlet של PowerShell כדי לקבוע את התצורה של הגנת PUA

כדי להפוך את הגנת PUA לזמינה

Set-MpPreference -PUAProtection Enabled

הגדרת הערך עבור cmdlet זה מפעילה Enabled את התכונה אם היא הפכה ללא זמינה.

כדי להגדיר הגנה של PUA למצב ביקורת

Set-MpPreference -PUAProtection AuditMode

הגדרה AuditMode מזהה יחידות PU מבלי לחסום אותן.

כדי להפוך את הגנת PUA ללא זמינה

מומלץ להפעיל את הגנת PUA. עם זאת, באפשרותך לבטל אותו באמצעות ה- cmdlet הבא:

Set-MpPreference -PUAProtection Disabled

הגדרת הערך עבור cmdlet זה Disabled מבטלת את התכונה אם היא זמינה.

לקבלת מידע נוסף, ראה שימוש ברכיבי cmdlet של PowerShell כדי להגדיר ולהפעיל Microsoft Defender אנטי-וירוס אנטי-וירוס של Defender cmdlet.

בדיקה וודאו שהחסימה של PUA פועלת

לאחר הפיכת PUA לזמין במצב חסימה, באפשרותך לבדוק כדי לוודא שהוא פועל כראוי. לקבלת מידע נוסף, ראה הדגמה של יישומים שעלולים להיות בלתי רצויים (PUA).

הצגת אירועי PUA באמצעות PowerShell

אירועי PUA מדווחים ב- Windows מציג האירועים, אך לא ב- Microsoft Configuration Manager או Intune. באפשרותך גם להשתמש ב- Get-MpThreat cmdlet כדי להציג איומים Microsoft Defender אנטי-וירוס. להלן דוגמה:

CategoryID       : 27
DidThreatExecute : False
IsActive         : False
Resources        : {webfile:_q:\Builds\Dalton_Download_Manager_3223905758.exe|http://d18yzm5yb8map8.cloudfront.net/
                    fo4yue@kxqdw/Dalton_Download_Manager.exe|pid:14196,ProcessStart:132378130057195714}
RollupStatus     : 33
SchemaVersion    : 1.0.0.0
SeverityID       : 1
ThreatID         : 213927
ThreatName       : PUA:Win32/InstallCore
TypeID           : 0
PSComputerName   :

קבל הודעות דואר אלקטרוני על זיהויי PUA

באפשרותך להפעיל הודעות דואר אלקטרוני כדי לקבל דואר לגבי זיהויי PUA. לקבלת מידע נוסף על Microsoft Defender אנטי-וירוס, ראה פתרון בעיות במעודי אירועים. אירועי PUA נרשמים תחת מזהה אירוע 1160.

הצגת אירועי PUA באמצעות ציד מתקדם

אם אתה משתמש ב- Microsoft Defender עבור נקודת קצה, באפשרותך להשתמש בשאילתת ציד מתקדמת כדי להציג אירועי PUA. להלן שאילתה לדוגמה:

DeviceEvents
| where ActionType == "AntivirusDetection"
| extend x = parse_json(AdditionalFields)
| project Timestamp, DeviceName, FolderPath, FileName, SHA256, ThreatName = tostring(x.ThreatName), WasExecutingWhileDetected = tostring(x.WasExecutingWhileDetected), WasRemediated = tostring(x.WasRemediated)
| where ThreatName startswith_cs 'PUA:'

לקבלת מידע נוסף על ציד מתקדם, ראה ציד יזום אחר איומים באמצעות ציד מתקדם.

אל תכלול קבצים בהגנה על PUA

לעתים קובץ נחסם בטעות על-ידי הגנת PUA, או שנדרשת תכונה של PUA כדי להשלים משימה. במקרים אלה, ניתן להוסיף קובץ לרשימת אי-הכללה.

לקבלת מידע נוסף, ראה קביעת תצורה ואימתה של פריטים שאינם נכללים בהתבסס על סיומת הקובץ ומיקום התיקיה.

למידע נוסף

עצה

האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.