זהה וחסום יישומים שעשויים להיות בלתי רצויים

חל על:

• Microsoft Defender עבור תוכנית 1 של נקודת קצה
• Microsoft Defender עבור תוכנית 2 של נקודת קצה
• מייקרוסופט אדג'
• האנטי-וירוס של Microsoft Defender

פלטפורמות

• Windows

יישומים שעלולים להיות בלתי רצויים (PUA) הם קטגוריית תוכנה שעשויה לגרום למחשב לפעול לאט, להציג פרסומות בלתי צפויות, או במקרה הגרוע ביותר, להתקין תוכנות אחרות שעשויות להיות בלתי צפויות או בלתי רצויות. PUA אינה נחשבת לווירוס, לתוכנה זדונית או לסוג אחר של איום, אך היא עשויה לבצע פעולות ב נקודות קצה שמשפיעות לרעה על ביצועי נקודת הקצה או על השימוש בהן. המונח PUA יכול גם להתייחס ליישום בעל מוניטין גרוע, כפי שהערכת Microsoft Defender עבור נקודת קצה, עקב סוגים מסוימים של התנהגות לא רצויה.

להלן כמה דוגמאות:

• תוכנת פרסום המציגה פרסומות או קידומי מכירות, כולל תוכנות שמוסיף פרסומות לדפי אינטרנט.
• תוכנות איגוד המציעות להתקין תוכנות אחרות שלא חתומות בחתימה דיגיטלית על-ידי אותה ישות. כמו כן, תוכנה המציעה להתקין תוכנות אחרות שמזהות PUA.
• תוכנת התחמקות שמנסה באופן פעיל להתחמק מזיהוי מוצרי אבטחה, כולל תוכנה הפועלת באופן שונה בנוכחות מוצרי אבטחה.

עצה

לקבלת דוגמאות נוספות ודיון בקריטריונים שבהם אנו משתמשים כדי לתייג יישומים לתשומת לב מיוחדת מתכונות אבטחה, ראה כיצד Microsoft מזהה תוכנות זדוניות ויישומים שעלולים להיות בלתי רצויים.

אפליקציות שעשויות להיות בלתי רצויות עלולות להגדיל את הסיכון להידבקות ברשת שלך בתוכנות זדוניות בפועל, להפוך הידבקות בתוכנות זדוניות לקשה יותר לזיהוי, או לעלות לצוותי ה- IT והאבטחה שלך זמן ומאמץ לנקות אותן. הגנת PUA נתמכת ב- Windows 11, Windows 10, Windows Server 2022, Windows Server 2019 ו- Windows Server 2016. אם המנוי של הארגון שלך כולל את Microsoft Defender עבור נקודת קצה, Microsoft Defender האנטי-וירוס חוסם אפליקציות שנחשבות ל- PUA כברירת מחדל במכשירי Windows.

קבל מידע נוסף על מנויי Windows Enterprise.

עצה

כמלווה למאמר זה, מומלץ להשתמש במדריך Microsoft Defender עבור נקודת קצה אוטומטי בעת הכניסה למאמר מרכז הניהול של Microsoft 365. מדריך זה מתאים אישית את החוויה שלך בהתבסס על הסביבה שלך. כדי לסקור שיטות עבודה מומלצות מבלי להיכנס והפעלת תכונות הגדרה אוטומטיות, עבור אל מדריך ההגדרה של Microsoft 365.

מייקרוסופט אדג'

Microsoft Edge החדש, המבוסס על Chromium, חוסם הורדות של אפליקציות שעשויות להיות בלתי רצויות וכתובות URL משויכת למשאבים. תכונה זו מסופקת באמצעות Microsoft Defender SmartScreen.

אפשר הגנת PUA ב Chromium Microsoft Edge מבוסס-דפדפן

אף על פי שהגנת יישומים שעלולה להיות בלתי רצויה ב- Microsoft Edge (גירסה 80.0.361.50 המבוססת על Chromium) מבוטלת כברירת מחדל, ניתן להפעיל אותה בקלות מתוך הדפדפן.

1. בדפדפן Microsoft Edge, בחר את שלוש הנקודות ולאחר מכן בחר הגדרות.

2. בחר פרטיות, חיפוש ושירותים.

3. תחת המקטע אבטחה , הפעל את חסום אפליקציות שעלולות להיות בלתי רצויות.

עצה

אם אתה משתמש ב- Microsoft Edge (מבוסס-Chromium), תוכל לחקור בבטחה את התכונה של חסימת כתובות URL של הגנת PUA על-ידי בדיקתה באחד מדפי ההדגמה של SmartScreen Microsoft Defender SmartScreen שלנו.

חסימת כתובות URL באמצעות Microsoft Defender SmartScreen

ב Chromium Microsoft Edge מבוסס-דפדפן, כאשר הגנת PUA מופעלת, Microsoft Defender SmartScreen מגן עליך מפני כתובות URL המשויכות ל- PUA.

מנהלי אבטחה יכולים לקבוע את התצורה של האופן שבו Microsoft Edge Microsoft Defender SmartScreen פועלים יחד כדי להגן על קבוצות של משתמשים מפני כתובות URL המשויכות ל- PUA. קיימות כמה הגדרות מדיניות קבוצתית באופן מפורש עבור Microsoft Defender SmartScreen, כולל אחת לחסימת PUA. בנוסף, מנהלי מערכת יכולים להגדיר Microsoft Defender SmartScreen כולו, באמצעות הגדרות מדיניות קבוצתית כדי להפעיל או Microsoft Defender SmartScreen.

למרות Microsoft Defender עבור נקודת קצה רשימת חסימות משלה בהתבסס על ערכת נתונים המנוהלת על-ידי Microsoft, באפשרותך להתאים אישית רשימה זו בהתבסס על בינת האיומים שלך. אם אתה יוצר ומנהל מחוונים בפורטל Microsoft Defender עבור נקודת קצה, Microsoft Defender SmartScreen מכבד את ההגדרות החדשות.

Microsoft Defender אנטי-וירוס והגנה מפני PUA

תכונת ההגנה על יישום (PUA) שעשויה להיות בלתי רצויה ב- Microsoft Defender Antivirus יכולה לזהות ולחסום PUA ב נקודות קצה ברשת שלך.

הערה

תכונה זו זמינה ב- Windows 11, Windows 10, Windows Server 2022, Windows Server 2019 ו- Windows Server 2016.

Microsoft Defender אנטי-וירוס זוהו קבצי PUA וניסיונות להוריד, להעביר, להפעיל או להתקין אותם. לאחר מכן, קבצי PUA חסומים מועברים להסגר. כאשר קובץ PUA מזוהה ב נקודת קצה, Microsoft Defender האנטי-וירוס שולח הודעה למשתמש (אלא אם ההודעות הפכו ללא זמינות באותה תבנית כמו זיהויי איומים אחרים. ההודעה מוצגת מראש כדי PUA: לציין את התוכן שלה.

ההודעה מופיעה ברשימת ההסגר הרגילה בתוך אבטחת Windows האפליקציה.

קביעת התצורה של הגנת PUA Microsoft Defender אנטי-וירוס

באפשרותך להפעיל הגנת PUA באמצעות Microsoft Intune, Microsoft Configuration Manager, מדיניות קבוצתית או באמצעות רכיבי cmdlet של PowerShell.

תחילה, נסה להשתמש בהגנת PUA במצב ביקורת. הוא מזהה יישומים שעלולים להיות בלתי רצויים מבלי לחסום אותם בפועל. זיהויים נלכדים ביומן האירועים של Windows. הגנה על PUA במצב ביקורת שימושית אם החברה שלך מבצעת בדיקת תאימות אבטחת תוכנה פנימית וחשוב להימנע מתוצאות חיוביות מוטעות.

השתמש Intune כדי לקבוע תצורה של הגנת PUA

עיין במאמרים הבאים:

• קביעת תצורה של הגדרות הגבלת מכשיר Microsoft Intune
• Microsoft Defender הגדרות הגבלת מכשיר אנטי-וירוס עבור Windows 10 ב- Intune

השתמש Configuration Manager כדי לקבוע תצורה של הגנת PUA

הגנת PUA מופעלת כברירת מחדל ב- Microsoft Configuration Manager (הענף הנוכחי).

ראה כיצד ליצור ולפרוס פריטי מדיניות למניעת תוכנות זדוניות: הגדרות סריקות מתוזמנות לקבלת פרטים אודות קביעת התצורה של Microsoft Configuration Manager (הענף הנוכחי).

עבור System Center 2012 Configuration Manager, ראה כיצד לפרוס מדיניות הגנה על יישומים שעלולה להיות בלתי רצויה עבור הגנה על נקודות קצה ב- Configuration Manager.

הערה

אירועי PUA שנחסמו על-ידי Microsoft Defender האנטי-וירוס מדווחים מציג האירועים Windows ולא Microsoft Configuration Manager.

השתמש מדיניות קבוצתית כדי לקבוע את התצורה של הגנת PUA

1. הורד והתקן תבניות ניהול (.admx) עבור Windows 11 אוקטובר 2021 (21H2)

2. במחשב הניהול מדיניות קבוצתית שלך, פתח את מדיניות קבוצתית הניהול.

3. בחר את מדיניות קבוצתית האובייקט שברצונך לקבוע את תצורתו ולאחר מכן בחר ערוך.

4. בעורך ניהול מדיניות קבוצתית, עבור אל תצורת המחשב ובחר תבניות מנהליות.

5. הרחב את העץ לרכיבי> Windows Microsoft Defender אנטי-וירוס.

6. לחץ פעמיים על קביעת תצורה של זיהוי עבור יישומים שעלולים להיות בלתי רצויים.

7. בחר זמין כדי להפוך את הגנת PUA לזמינה.

8. באפשרויות, בחר חסום כדי לחסום יישומים שעלולים להיות בלתי רצויים, או בחר מצב ביקורת כדי לבדוק כיצד ההגדרה פועלת בסביבה שלך. בחר אישור.

9. פרוס את מדיניות קבוצתית שלך כפי שאתה עושה בדרך כלל.

השתמש ברכיבי cmdlet של PowerShell כדי לקבוע את התצורה של הגנת PUA

כדי להפוך את הגנת PUA לזמינה

Set-MpPreference -PUAProtection Enabled

הגדרת הערך עבור cmdlet זה מפעילה Enabled את התכונה אם היא הפכה ללא זמינה.

כדי להגדיר הגנה של PUA למצב ביקורת

Set-MpPreference -PUAProtection AuditMode

הגדרה AuditMode מזהה יחידות PU מבלי לחסום אותן.

כדי להפוך את הגנת PUA ללא זמינה

מומלץ להפעיל את הגנת PUA. עם זאת, באפשרותך לבטל אותו באמצעות ה- cmdlet הבא:

Set-MpPreference -PUAProtection Disabled

הגדרת הערך עבור cmdlet זה Disabled מבטלת את התכונה אם היא זמינה.

לקבלת מידע נוסף, ראה שימוש ברכיבי cmdlet של PowerShell כדי להגדיר ולהפעיל רכיבי cmdlet של אנטי Microsoft Defender וירוסואנטי-וירוס של Defender.

הצגת אירועי PUA באמצעות PowerShell

אירועי PUA מדווחים ב- Windows מציג האירועים, אך לא ב- Microsoft Configuration Manager או Intune. באפשרותך גם להשתמש ב- Get-MpThreat cmdlet כדי להציג איומים Microsoft Defender אנטי-וירוס. להלן דוגמה:

CategoryID       : 27
DidThreatExecute : False
IsActive         : False
Resources        : {webfile:_q:\Builds\Dalton_Download_Manager_3223905758.exe|http://d18yzm5yb8map8.cloudfront.net/
                    fo4yue@kxqdw/Dalton_Download_Manager.exe|pid:14196,ProcessStart:132378130057195714}
RollupStatus     : 33
SchemaVersion    : 1.0.0.0
SeverityID       : 1
ThreatID         : 213927
ThreatName       : PUA:Win32/InstallCore
TypeID           : 0
PSComputerName   :

קבל הודעות דואר אלקטרוני על זיהויי PUA

באפשרותך להפעיל הודעות דואר אלקטרוני כדי לקבל דואר לגבי זיהויי PUA.

ראה פתרון בעיות במתוני אירועים לקבלת פרטים על הצגת Microsoft Defender אנטי-וירוס. אירועי PUA נרשמים תחת מזהה אירוע 1160.

הצגת אירועי PUA באמצעות ציד מתקדם

אם אתה משתמש ב- Microsoft Defender עבור נקודת קצה, באפשרותך להשתמש בשאילתת ציד מתקדמת כדי להציג אירועי PUA. להלן שאילתה לדוגמה:

DeviceEvents
| where ActionType == "AntivirusDetection"
| extend x = parse_json(AdditionalFields)
| project Timestamp, DeviceName, FolderPath, FileName, SHA256, ThreatName = tostring(x.ThreatName), WasExecutingWhileDetected = tostring(x.WasExecutingWhileDetected), WasRemediated = tostring(x.WasRemediated)
| where ThreatName startswith_cs 'PUA:'

לקבלת מידע נוסף על ציד מתקדם, ראה ציד יזום אחר איומים באמצעות ציד מתקדם.

אל תכלול קבצים בהגנה על PUA

לעתים קובץ נחסם בטעות על-ידי הגנת PUA, או שנדרשת תכונה של PUA כדי להשלים משימה. במקרים אלה, ניתן להוסיף קובץ לרשימת אי-הכללה.

לקבלת מידע נוסף, ראה קביעת תצורה ואימתה של פריטים שאינם נכללים בהתבסס על סיומת הקובץ ומיקום התיקיה.

עצה

אם אתה מחפש מידע הקשור לאנטי-וירוס עבור פלטפורמות אחרות, ראה:

• הגדרת העדפות עבור Microsoft Defender עבור נקודת קצה ב- macOS
• Microsoft Defender עבור נקודת קצה ב- Mac
• הגדרות מדיניות אנטי-וירוס של macOS עבור אנטי-וירוס של Microsoft Defender עבור Intune
• הגדרת העדפות עבור Microsoft Defender עבור נקודת קצה ב- Linux
• בעיות בביצועי Microsoft Defender עבור נקודת קצה ב- Linux
• קביעת התצורה של Defender עבור נקודת קצה בתכונות Android
• קביעת התצורה של Microsoft Defender עבור נקודת קצה בתכונות iOS

למידע נוסף

• הגנה של הדור הבא
• קבע תצורה של הגנה התנהגותית, האוריסטית והגנה בזמן אמת

עצה

האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.