Vélhetően nemkívánatos alkalmazások észlelése és blokkolása
Érintett szolgáltatás:
- Microsoft Defender XDR
- Végponthoz készült Microsoft Defender 1. és 2. csomag
- Microsoft Defender Vállalati verzió
- Microsoft Edge
- Microsoft Defender egyéni felhasználók számára
- Microsoft Defender víruskereső
Platformok
- A Windows
A Microsoft Defender víruskereső a Windows és a Windows Server alábbi kiadásaiban/verzióiban érhető el:
- Windows Server 2022
- Windows Server 2019
- Windows Server, 1803-es vagy újabb verzió
- Windows Server 2016
- Windows Server 2012 R2 (Végponthoz készült Microsoft Defender szükséges hozzá)
- Windows 11
- Windows 10
- Windows 8.1
MacOS esetén lásd: Potenciálisan nemkívánatos alkalmazások észlelése és letiltása a végponthoz készült Defenderrel macOS rendszeren.
Linux esetén lásd: Potenciálisan nemkívánatos alkalmazások észlelése és letiltása a Végponthoz készült Defenderrel Linuxon.
A potenciálisan nemkívánatos alkalmazások (PUA) olyan szoftverkategóriák, amelyek miatt a gép lassan fut, váratlan hirdetéseket jelenít meg, vagy legrosszabb esetben váratlan vagy nemkívánatos szoftvereket telepít. A PUA nem tekinthető vírusnak, kártevőnek vagy más típusú fenyegetésnek, de olyan végpontokon hajthat végre műveleteket, amelyek hátrányosan befolyásolják a végpont teljesítményét vagy használatát. A PUA kifejezés olyan alkalmazásra is hivatkozhat, amely a Végponthoz készült Microsoft Defender szerint rossz hírnevű, bizonyos típusú nemkívánatos viselkedés miatt.
Néhány példa:
- Reklámszoftver , amely hirdetéseket vagy promóciókat jelenít meg, beleértve azokat a szoftvereket is, amelyek hirdetéseket szúrnak be a weboldalakra.
- Olyan szoftver kötekedése , amely felajánlja az ugyanazon entitás által digitálisan nem aláírt egyéb szoftverek telepítését. Emellett a PUA-nak minősülő egyéb szoftverek telepítését felajánló szoftverek.
- Olyan kijátszási szoftver , amely aktívan megpróbálja elkerülni a biztonsági termékek észlelését, beleértve a biztonsági termékek jelenlétében eltérően viselkedő szoftvereket is.
Tipp
További példákért és az alkalmazások biztonsági funkciókkal kapcsolatos különleges figyelmet igénylő címkézési feltételeinek megvitatásához lásd: Hogyan azonosítja a Microsoft a kártevőket és a potenciálisan nemkívánatos alkalmazásokat.
A potenciálisan nemkívánatos alkalmazások növelhetik a hálózat tényleges kártevőkkel való fertőzöttségének kockázatát, megnehezíthetik a kártevő-fertőzések azonosítását, vagy időt és erőfeszítést igényelhetnek az informatikai és biztonsági csapatok számára azok eltávolítására. Ha a szervezet előfizetése tartalmazza a Végponthoz készült Microsoft Defendert, beállíthatja a Microsoft Defender víruskereső PUA-t letiltás értékre, hogy letiltsa azokat az alkalmazásokat, amelyek a Windows-eszközökön PUA-nak minősülnek.
További információ a Windows Enterprise-előfizetésekről.
Tipp
A cikk kiegészítőjeként tekintse meg a Végponthoz készült Microsoft Defender beállítási útmutatóját az ajánlott eljárások áttekintéséhez és az olyan alapvető eszközök megismeréséhez, mint a támadási felület csökkentése és a következő generációs védelem. A környezeten alapuló testreszabott felhasználói élmény érdekében a Végponthoz készült Defender automatikus beállítási útmutatóját a Microsoft 365 Felügyeleti központban érheti el.
Microsoft Edge
Az új Microsoft Edge, amely Chromium-alapú, blokkolja a potenciálisan nemkívánatos alkalmazások letöltését és a társított erőforrás-URL-címeket. Ezt a funkciót a Microsoft Defender SmartScreen biztosítja.
PUA-védelem engedélyezése a Chromium-alapú Microsoft Edge-ben
Bár a Potenciálisan nemkívánatos alkalmazásvédelem a Microsoft Edge-ben (Chromium-alapú, 80.0.361.50-es verzió) alapértelmezés szerint ki van kapcsolva, egyszerűen bekapcsolható a böngészőből.
A Microsoft Edge böngészőben válassza a három pontot, majd a Beállítások lehetőséget.
Válassza az Adatvédelem, keresés és szolgáltatások lehetőséget.
A Biztonság szakaszban kapcsolja be a Vélhetően nemkívánatos alkalmazások letiltása beállítást.
Tipp
Ha Microsoft Edge-et (Chromium-alapú) használ, biztonságosan felfedezheti a PUA-védelem URL-blokkoló funkcióját, ha teszteli azt a Microsoft Defender SmartScreen bemutatóoldalaink egyikén.
URL-címek blokkolása a Microsoft Defender SmartScreen használatával
A Chromium-alapú Microsoft Edge-ben, amelyen be van kapcsolva a PUA-védelem, a Microsoft Defender SmartScreen megvédi Önt a PUA-hoz társított URL-címektől.
A biztonsági rendszergazdák konfigurálhatják , hogy a Microsoft Edge és a Microsoft Defender SmartScreen hogyan működjön együtt, hogy megvédjék a felhasználói csoportokat a PUA-hoz társított URL-címektől. A Microsoft Defender SmartScreenhez számos csoportházirend-beállítás érhető el, köztük egy a PUA blokkolására. Emellett a rendszergazdák teljes egészében konfigurálhatják a Microsoft Defender SmartScreent a csoportházirend-beállításokkal a Microsoft Defender SmartScreen be- és kikapcsolásához.
Bár a Végponthoz készült Microsoft Defender saját tiltólistával rendelkezik a Microsoft által kezelt adatkészlet alapján, ezt a listát a saját fenyegetésfelderítése alapján testre szabhatja. Ha a Végponthoz készült Microsoft Defender portálon hoz létre és kezel mutatókat , a Microsoft Defender SmartScreen figyelembe tartja az új beállításokat.
Microsoft Defender víruskereső és PUA-védelem
A Microsoft Defender víruskereső vélhetően nemkívánatos alkalmazásvédelmi (PUA) védelmi funkciója képes észlelni és letiltani a PUA-t a hálózat végpontjaiban.
A Microsoft Defender víruskereső letiltja az észlelt PUA-fájlokat, valamint a letöltési, áthelyezési, futtatási vagy telepítési kísérleteket. A letiltott PUA-fájlok ezután karanténba kerülnek. Ha a rendszer PUA-fájlt észlel egy végponton, a Microsoft Defender víruskereső értesítést küld a felhasználónak (kivéve, ha az értesítések más fenyegetésészlelésekkel azonos formátumban lettek letiltva. Az értesítés előtaggal PUA:
van el elosztva, hogy jelezze a tartalmát.
Az értesítés megjelenik a windowsos biztonsági alkalmazás szokásos karanténlistájában.
PUA-védelem konfigurálása a Microsoft Defender víruskeresőben
A PUA-védelmet a Végponthoz készült Microsoft Defender biztonsági beállításainak kezelésével, a Microsoft Intune-nal, a Microsoft Configuration Managerrel, a csoportházirenddel vagy PowerShell-parancsmagokkal engedélyezheti.
Először próbálja meg a PUA-védelmet naplózási módban használni. Észleli a potenciálisan nemkívánatos alkalmazásokat anélkül, hogy ténylegesen blokkolná őket. Az észleléseket a Windows eseménynaplója rögzíti. A PUA-védelem naplózási módban akkor hasznos, ha a vállalat belső szoftverbiztonsági megfelelőségi ellenőrzést végez, és fontos elkerülni a téves riasztásokat.
A Végponthoz készült Microsoft Defender biztonsági beállításainak kezelése a PUA-védelem konfigurálásához
Tekintse meg a következő cikkeket:
A PUA-védelem konfigurálása az Intune-nel
Tekintse meg a következő cikkeket:
- Eszközkorlátozási beállítások konfigurálása a Microsoft Intune-ban
- A Microsoft Defender víruskereső eszközkorlátozási beállításai Windows 10-hez az Intune-ban
PUA-védelem konfigurálása a Configuration Managerrel
A PUA-védelem alapértelmezés szerint engedélyezve van a Microsoft Configuration Managerben (aktuális ág).
A Microsoft Configuration Manager (aktuális ág) konfigurálásával kapcsolatos részletekért lásd : Kártevőirtó-házirendek létrehozása és telepítése: Ütemezett vizsgálatok beállításai .
A System Center 2012 Configuration Manager esetében lásd: Az Endpoint Protection potenciálisan nemkívánatos alkalmazásvédelmi szabályzatának telepítése a Configuration Managerben.
Megjegyzés:
A Microsoft Defender víruskereső által blokkolt PUA-események a Windows Eseménynaplóban jelennek meg, nem a Microsoft Configuration Managerben.
A PUA-védelem konfigurálása csoportházirend használatával
A Csoportházirend kezelése számítógépen nyissa meg a Csoportházirend kezelése konzolt.
Jelölje ki a konfigurálni kívánt csoportházirend-objektumot, majd válassza a Szerkesztés lehetőséget.
A Csoportházirend-felügyeleti szerkesztőben lépjen a Számítógép konfigurációja elemre, és válassza a Felügyeleti sablonok lehetőséget.
Bontsa ki a fát a Windows-összetevők>Microsoft Defender víruskereső területén.
Kattintson duplán az Észlelés konfigurálása vélhetően nemkívánatos alkalmazásokhoz elemre, és állítsa engedélyezve értékre.
A Beállítások területen válassza a Blokkolás lehetőséget a potenciálisan nemkívánatos alkalmazások letiltásához, vagy válassza a Naplózási mód lehetőséget a beállítás működésének teszteléséhez a környezetben. Kattintson az OK gombra.
A csoportházirend-objektumot a megszokott módon helyezheti üzembe.
A PUA-védelem konfigurálása PowerShell-parancsmagokkal
PUA-védelem engedélyezése
Set-MpPreference -PUAProtection Enabled
Ha a parancsmag értékét úgy állítja be, hogy Enabled
bekapcsolja a funkciót, ha az le van tiltva.
A PUA-védelem beállítása naplózási módra
Set-MpPreference -PUAProtection AuditMode
A beállítás AuditMode
letiltás nélkül észleli a PUA-kat.
A PUA-védelem letiltása
Javasoljuk, hogy a PUA-védelem be legyen kapcsolva. Ezt azonban a következő parancsmaggal kapcsolhatja ki:
Set-MpPreference -PUAProtection Disabled
Ha a parancsmag értékét úgy állítja be, hogy Disabled
kikapcsolja a funkciót, ha engedélyezve van.
További információ: Microsoft Defender víruskereső és Defender víruskereső parancsmagok konfigurálása és futtatása PowerShell-parancsmagokkal.
Tesztelje és ellenőrizze, hogy működik-e a PUA-blokkolás
Miután letiltott módban engedélyezte a PUA-t, tesztelheti, hogy megfelelően működik-e. További információ: Vélhetően nemkívánatos alkalmazások (PUA) bemutatója.
PUA-események megtekintése a PowerShell használatával
A PUA-események a Windows Eseménynaplóban jelennek meg, de a Microsoft Configuration Managerben vagy az Intune-ban nem. A parancsmaggal Get-MpThreat
a Microsoft Defender víruskereső által kezelt fenyegetéseket is megtekintheti. Íme egy példa:
CategoryID : 27
DidThreatExecute : False
IsActive : False
Resources : {webfile:_q:\Builds\Dalton_Download_Manager_3223905758.exe|http://d18yzm5yb8map8.cloudfront.net/
fo4yue@kxqdw/Dalton_Download_Manager.exe|pid:14196,ProcessStart:132378130057195714}
RollupStatus : 33
SchemaVersion : 1.0.0.0
SeverityID : 1
ThreatID : 213927
ThreatName : PUA:Win32/InstallCore
TypeID : 0
PSComputerName :
A PUA-észlelésekkel kapcsolatos e-mail-értesítések lekérése
Bekapcsolhatja az e-mail-értesítéseket a PUA-észlelésekkel kapcsolatos e-mailek fogadásához. További információ a Microsoft Defender víruskereső eseményeiről: Eseményazonosítók hibaelhárítása. A PUA-események az 1160-os eseményazonosító alatt vannak rögzítve.
PUA-események megtekintése speciális veszélyforrás-kereséssel
Ha a Végponthoz készült Microsoft Defendert használja, speciális keresési lekérdezéssel megtekintheti a PUA-eseményeket. Íme egy példa lekérdezésre:
DeviceEvents
| where ActionType == "AntivirusDetection"
| extend x = parse_json(AdditionalFields)
| project Timestamp, DeviceName, FolderPath, FileName, SHA256, ThreatName = tostring(x.ThreatName), WasExecutingWhileDetected = tostring(x.WasExecutingWhileDetected), WasRemediated = tostring(x.WasRemediated)
| where ThreatName startswith_cs 'PUA:'
A speciális veszélyforrás-kereséssel kapcsolatos további információkért lásd: Proaktív veszélyforrás-keresés speciális veszélyforrás-kereséssel.
Fájlok kizárása a PUA-védelemből
Előfordulhat, hogy a PUA-védelem tévesen blokkol egy fájlt, vagy a puA egy funkciójára van szükség a feladat elvégzéséhez. Ezekben az esetekben egy fájl hozzáadható egy kizárási listához.
További információ: Kizárások konfigurálása és érvényesítése fájlkiterjesztés és mappahely alapján.
Tipp
Ha más platformokra vonatkozó, víruskeresővel kapcsolatos információkat keres, lásd:
Lásd még
Tipp
Szeretne többet megtudni? Vegye fel a kapcsolatot a Microsoft Security közösségével a technikai közösségünkben: Microsoft Defender for Endpoint Tech Community.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: