Megosztás a következőn keresztül:

Vélhetően nemkívánatos alkalmazások észlelése és blokkolása

  • Cikk

Érintett szolgáltatás:

Platformok

  • A Windows

A Microsoft Defender víruskereső a Windows és a Windows Server alábbi kiadásaiban/verzióiban érhető el:

  • Windows Server 2022
  • Windows Server 2019
  • Windows Server, 1803-es vagy újabb verzió
  • Windows Server 2016
  • Windows Server 2012 R2 (Végponthoz készült Microsoft Defender szükséges hozzá)
  • Windows 11
  • Windows 10
  • Windows 8.1

MacOS esetén lásd: Potenciálisan nemkívánatos alkalmazások észlelése és letiltása a végponthoz készült Defenderrel macOS rendszeren.

Linux esetén lásd: Potenciálisan nemkívánatos alkalmazások észlelése és letiltása a Végponthoz készült Defenderrel Linuxon.

A potenciálisan nemkívánatos alkalmazások (PUA) olyan szoftverkategóriák, amelyek miatt a gép lassan fut, váratlan hirdetéseket jelenít meg, vagy legrosszabb esetben váratlan vagy nemkívánatos szoftvereket telepít. A PUA nem tekinthető vírusnak, kártevőnek vagy más típusú fenyegetésnek, de olyan végpontokon hajthat végre műveleteket, amelyek hátrányosan befolyásolják a végpont teljesítményét vagy használatát. A PUA kifejezés olyan alkalmazásra is hivatkozhat, amely a Végponthoz készült Microsoft Defender szerint rossz hírnevű, bizonyos típusú nemkívánatos viselkedés miatt.

Néhány példa:

  • Reklámszoftver , amely hirdetéseket vagy promóciókat jelenít meg, beleértve azokat a szoftvereket is, amelyek hirdetéseket szúrnak be a weboldalakra.
  • Olyan szoftver kötekedése , amely felajánlja az ugyanazon entitás által digitálisan nem aláírt egyéb szoftverek telepítését. Emellett a PUA-nak minősülő egyéb szoftverek telepítését felajánló szoftverek.
  • Olyan kijátszási szoftver , amely aktívan megpróbálja elkerülni a biztonsági termékek észlelését, beleértve a biztonsági termékek jelenlétében eltérően viselkedő szoftvereket is.

Tipp

További példákért és az alkalmazások biztonsági funkciókkal kapcsolatos különleges figyelmet igénylő címkézési feltételeinek megvitatásához lásd: Hogyan azonosítja a Microsoft a kártevőket és a potenciálisan nemkívánatos alkalmazásokat.

A potenciálisan nemkívánatos alkalmazások növelhetik a hálózat tényleges kártevőkkel való fertőzöttségének kockázatát, megnehezíthetik a kártevő-fertőzések azonosítását, vagy időt és erőfeszítést igényelhetnek az informatikai és biztonsági csapatok számára azok eltávolítására. Ha a szervezet előfizetése tartalmazza a Végponthoz készült Microsoft Defendert, beállíthatja a Microsoft Defender víruskereső PUA-t letiltás értékre, hogy letiltsa azokat az alkalmazásokat, amelyek a Windows-eszközökön PUA-nak minősülnek.

További információ a Windows Enterprise-előfizetésekről.

Tipp

A cikk kiegészítőjeként tekintse meg a Végponthoz készült Microsoft Defender beállítási útmutatóját az ajánlott eljárások áttekintéséhez és az olyan alapvető eszközök megismeréséhez, mint a támadási felület csökkentése és a következő generációs védelem. A környezeten alapuló testreszabott felhasználói élmény érdekében a Végponthoz készült Defender automatikus beállítási útmutatóját a Microsoft 365 Felügyeleti központban érheti el.

Microsoft Edge

Az új Microsoft Edge, amely Chromium-alapú, blokkolja a potenciálisan nemkívánatos alkalmazások letöltését és a társított erőforrás-URL-címeket. Ezt a funkciót a Microsoft Defender SmartScreen biztosítja.

PUA-védelem engedélyezése a Chromium-alapú Microsoft Edge-ben

Bár a Potenciálisan nemkívánatos alkalmazásvédelem a Microsoft Edge-ben (Chromium-alapú, 80.0.361.50-es verzió) alapértelmezés szerint ki van kapcsolva, egyszerűen bekapcsolható a böngészőből.

  1. A Microsoft Edge böngészőben válassza a három pontot, majd a Beállítások lehetőséget.

  2. Válassza az Adatvédelem, keresés és szolgáltatások lehetőséget.

  3. A Biztonság szakaszban kapcsolja be a Vélhetően nemkívánatos alkalmazások letiltása beállítást.

Tipp

Ha Microsoft Edge-et (Chromium-alapú) használ, biztonságosan felfedezheti a PUA-védelem URL-blokkoló funkcióját, ha teszteli azt a Microsoft Defender SmartScreen bemutatóoldalaink egyikén.

URL-címek blokkolása a Microsoft Defender SmartScreen használatával

A Chromium-alapú Microsoft Edge-ben, amelyen be van kapcsolva a PUA-védelem, a Microsoft Defender SmartScreen megvédi Önt a PUA-hoz társított URL-címektől.

A biztonsági rendszergazdák konfigurálhatják , hogy a Microsoft Edge és a Microsoft Defender SmartScreen hogyan működjön együtt, hogy megvédjék a felhasználói csoportokat a PUA-hoz társított URL-címektől. A Microsoft Defender SmartScreenhez számos csoportházirend-beállítás érhető el, köztük egy a PUA blokkolására. Emellett a rendszergazdák teljes egészében konfigurálhatják a Microsoft Defender SmartScreent a csoportházirend-beállításokkal a Microsoft Defender SmartScreen be- és kikapcsolásához.

Bár a Végponthoz készült Microsoft Defender saját tiltólistával rendelkezik a Microsoft által kezelt adatkészlet alapján, ezt a listát a saját fenyegetésfelderítése alapján testre szabhatja. Ha a Végponthoz készült Microsoft Defender portálon hoz létre és kezel mutatókat , a Microsoft Defender SmartScreen figyelembe tartja az új beállításokat.

Microsoft Defender víruskereső és PUA-védelem

A Microsoft Defender víruskereső vélhetően nemkívánatos alkalmazásvédelmi (PUA) védelmi funkciója képes észlelni és letiltani a PUA-t a hálózat végpontjaiban.

A Microsoft Defender víruskereső letiltja az észlelt PUA-fájlokat, valamint a letöltési, áthelyezési, futtatási vagy telepítési kísérleteket. A letiltott PUA-fájlok ezután karanténba kerülnek. Ha a rendszer PUA-fájlt észlel egy végponton, a Microsoft Defender víruskereső értesítést küld a felhasználónak (kivéve, ha az értesítések más fenyegetésészlelésekkel azonos formátumban lettek letiltva. Az értesítés előtaggal PUA: van el elosztva, hogy jelezze a tartalmát.

Az értesítés megjelenik a windowsos biztonsági alkalmazás szokásos karanténlistájában.

PUA-védelem konfigurálása a Microsoft Defender víruskeresőben

A PUA-védelmet a Végponthoz készült Microsoft Defender biztonsági beállításainak kezelésével, a Microsoft Intune-nal, a Microsoft Configuration Managerrel, a csoportházirenddel vagy PowerShell-parancsmagokkal engedélyezheti.

Először próbálja meg a PUA-védelmet naplózási módban használni. Észleli a potenciálisan nemkívánatos alkalmazásokat anélkül, hogy ténylegesen blokkolná őket. Az észleléseket a Windows eseménynaplója rögzíti. A PUA-védelem naplózási módban akkor hasznos, ha a vállalat belső szoftverbiztonsági megfelelőségi ellenőrzést végez, és fontos elkerülni a téves riasztásokat.

A Végponthoz készült Microsoft Defender biztonsági beállításainak kezelése a PUA-védelem konfigurálásához

Tekintse meg a következő cikkeket:

A PUA-védelem konfigurálása az Intune-nel

Tekintse meg a következő cikkeket:

PUA-védelem konfigurálása a Configuration Managerrel

A PUA-védelem alapértelmezés szerint engedélyezve van a Microsoft Configuration Managerben (aktuális ág).

A Microsoft Configuration Manager (aktuális ág) konfigurálásával kapcsolatos részletekért lásd : Kártevőirtó-házirendek létrehozása és telepítése: Ütemezett vizsgálatok beállításai .

A System Center 2012 Configuration Manager esetében lásd: Az Endpoint Protection potenciálisan nemkívánatos alkalmazásvédelmi szabályzatának telepítése a Configuration Managerben.

Megjegyzés:

A Microsoft Defender víruskereső által blokkolt PUA-események a Windows Eseménynaplóban jelennek meg, nem a Microsoft Configuration Managerben.

A PUA-védelem konfigurálása csoportházirend használatával

  1. Felügyeleti sablonok (.admx) letöltése és telepítése a Windows 11 2021. októberi frissítéséhez (21H2)

  2. A Csoportházirend kezelése számítógépen nyissa meg a Csoportházirend kezelése konzolt.

  3. Jelölje ki a konfigurálni kívánt csoportházirend-objektumot, majd válassza a Szerkesztés lehetőséget.

  4. A Csoportházirend-felügyeleti szerkesztőben lépjen a Számítógép konfigurációja elemre, és válassza a Felügyeleti sablonok lehetőséget.

  5. Bontsa ki a fát a Windows-összetevők>Microsoft Defender víruskereső területén.

  6. Kattintson duplán az Észlelés konfigurálása vélhetően nemkívánatos alkalmazásokhoz elemre, és állítsa engedélyezve értékre.

  7. A Beállítások területen válassza a Blokkolás lehetőséget a potenciálisan nemkívánatos alkalmazások letiltásához, vagy válassza a Naplózási mód lehetőséget a beállítás működésének teszteléséhez a környezetben. Kattintson az OK gombra.

  8. A csoportházirend-objektumot a megszokott módon helyezheti üzembe.

A PUA-védelem konfigurálása PowerShell-parancsmagokkal

PUA-védelem engedélyezése

Set-MpPreference -PUAProtection Enabled

Ha a parancsmag értékét úgy állítja be, hogy Enabled bekapcsolja a funkciót, ha az le van tiltva.

A PUA-védelem beállítása naplózási módra

Set-MpPreference -PUAProtection AuditMode

A beállítás AuditMode letiltás nélkül észleli a PUA-kat.

A PUA-védelem letiltása

Javasoljuk, hogy a PUA-védelem be legyen kapcsolva. Ezt azonban a következő parancsmaggal kapcsolhatja ki:

Set-MpPreference -PUAProtection Disabled

Ha a parancsmag értékét úgy állítja be, hogy Disabled kikapcsolja a funkciót, ha engedélyezve van.

További információ: Microsoft Defender víruskereső és Defender víruskereső parancsmagok konfigurálása és futtatása PowerShell-parancsmagokkal.

Tesztelje és ellenőrizze, hogy működik-e a PUA-blokkolás

Miután letiltott módban engedélyezte a PUA-t, tesztelheti, hogy megfelelően működik-e. További információ: Vélhetően nemkívánatos alkalmazások (PUA) bemutatója.

PUA-események megtekintése a PowerShell használatával

A PUA-események a Windows Eseménynaplóban jelennek meg, de a Microsoft Configuration Managerben vagy az Intune-ban nem. A parancsmaggal Get-MpThreat a Microsoft Defender víruskereső által kezelt fenyegetéseket is megtekintheti. Íme egy példa:

CategoryID       : 27
DidThreatExecute : False
IsActive         : False
Resources        : {webfile:_q:\Builds\Dalton_Download_Manager_3223905758.exe|http://d18yzm5yb8map8.cloudfront.net/
                    fo4yue@kxqdw/Dalton_Download_Manager.exe|pid:14196,ProcessStart:132378130057195714}
RollupStatus     : 33
SchemaVersion    : 1.0.0.0
SeverityID       : 1
ThreatID         : 213927
ThreatName       : PUA:Win32/InstallCore
TypeID           : 0
PSComputerName   :

A PUA-észlelésekkel kapcsolatos e-mail-értesítések lekérése

Bekapcsolhatja az e-mail-értesítéseket a PUA-észlelésekkel kapcsolatos e-mailek fogadásához. További információ a Microsoft Defender víruskereső eseményeiről: Eseményazonosítók hibaelhárítása. A PUA-események az 1160-os eseményazonosító alatt vannak rögzítve.

PUA-események megtekintése speciális veszélyforrás-kereséssel

Ha a Végponthoz készült Microsoft Defendert használja, speciális keresési lekérdezéssel megtekintheti a PUA-eseményeket. Íme egy példa lekérdezésre:

DeviceEvents
| where ActionType == "AntivirusDetection"
| extend x = parse_json(AdditionalFields)
| project Timestamp, DeviceName, FolderPath, FileName, SHA256, ThreatName = tostring(x.ThreatName), WasExecutingWhileDetected = tostring(x.WasExecutingWhileDetected), WasRemediated = tostring(x.WasRemediated)
| where ThreatName startswith_cs 'PUA:'

A speciális veszélyforrás-kereséssel kapcsolatos további információkért lásd: Proaktív veszélyforrás-keresés speciális veszélyforrás-kereséssel.

Fájlok kizárása a PUA-védelemből

Előfordulhat, hogy a PUA-védelem tévesen blokkol egy fájlt, vagy a puA egy funkciójára van szükség a feladat elvégzéséhez. Ezekben az esetekben egy fájl hozzáadható egy kizárási listához.

További információ: Kizárások konfigurálása és érvényesítése fájlkiterjesztés és mappahely alapján.

Tipp

Ha más platformokra vonatkozó, víruskeresővel kapcsolatos információkat keres, lásd:

Lásd még

Tipp

Szeretne többet megtudni? Vegye fel a kapcsolatot a Microsoft Security közösségével a technikai közösségünkben: Microsoft Defender for Endpoint Tech Community.