Vélhetően nemkívánatos alkalmazások észlelése és blokkolása
Érintett szolgáltatás:
- Microsoft Defender XDR
- Végponthoz készült Microsoft Defender 1. és 2. csomag
- Microsoft Defender Vállalati verzió
- Microsoft Edge
- Microsoft Defender egyéni felhasználók számára
- Microsoft Defender víruskereső
Platformok
- A Windows
Microsoft Defender víruskereső a Windows és a Windows Server alábbi kiadásaiban/verzióiban érhető el:
- Windows Server 2022
- Windows Server 2019
- Windows Server, 1803-es vagy újabb verzió
- Windows Server 2016
- Windows Server 2012 R2 (Végponthoz készült Microsoft Defender szükséges)
- Windows 11
- Windows 10
- Windows 8.1
MacOS esetén lásd: Potenciálisan nemkívánatos alkalmazások észlelése és letiltása a végponthoz készült Defenderrel macOS rendszeren.
Linux esetén lásd: Potenciálisan nemkívánatos alkalmazások észlelése és letiltása a Végponthoz készült Defenderrel Linuxon.
A potenciálisan nemkívánatos alkalmazások (PUA) olyan szoftverkategóriák, amelyek miatt a gép lassan fut, váratlan hirdetéseket jelenít meg, vagy legrosszabb esetben váratlan vagy nemkívánatos szoftvereket telepít. A PUA nem tekinthető vírusnak, kártevőnek vagy más típusú fenyegetésnek, de olyan végpontokon hajthat végre műveleteket, amelyek hátrányosan befolyásolják a végpont teljesítményét vagy használatát. A PUA kifejezés hivatkozhat olyan alkalmazásra is, amely Végponthoz készült Microsoft Defender szerint rossz hírnevű, bizonyos típusú nemkívánatos viselkedés miatt.
Néhány példa:
- Reklámszoftver , amely hirdetéseket vagy promóciókat jelenít meg, beleértve azokat a szoftvereket is, amelyek hirdetéseket szúrnak be a weboldalakra.
- Olyan szoftver kötekedése , amely felajánlja az ugyanazon entitás által digitálisan nem aláírt egyéb szoftverek telepítését. Emellett a PUA-nak minősülő egyéb szoftverek telepítését felajánló szoftverek.
- Olyan kijátszási szoftver , amely aktívan megpróbálja elkerülni a biztonsági termékek észlelését, beleértve a biztonsági termékek jelenlétében eltérően viselkedő szoftvereket is.
Tipp
További példákért és az alkalmazások biztonsági funkciókkal kapcsolatos különleges figyelmet igénylő címkézési feltételeinek megvitatásához lásd: Hogyan azonosítja a Microsoft a kártevőket és a potenciálisan nemkívánatos alkalmazásokat.
A potenciálisan nemkívánatos alkalmazások növelhetik a hálózat tényleges kártevőkkel való fertőzöttségének kockázatát, megnehezíthetik a kártevő-fertőzések azonosítását, vagy időt és erőfeszítést igényelhetnek az informatikai és biztonsági csapatok számára azok eltávolítására. Ha a szervezet előfizetése Végponthoz készült Microsoft Defender tartalmaz, akkor a Microsoft Defender víruskereső PUA-t is letilthatja, hogy letiltsa a Windows-eszközökön PUA-nak minősülő alkalmazásokat.
További információ a Windows Enterprise-előfizetésekről.
Tipp
A cikk kiegészítőjeként javasoljuk, hogy használja az Végponthoz készült Microsoft Defender automatikus beállítási útmutatót, amely segít az olyan alapvető eszközök és automatizált funkciók használatában, mint a támadási felület csökkentése és a következő generációs védelem. Ha bejelentkezett a Microsoft 365 Felügyeleti központ, ez az útmutató a környezete alapján testre szabja a felhasználói élményt. Ha az ajánlott eljárásokat bejelentkezés és automatikus beállítási funkciók aktiválása nélkül szeretné áttekinteni, tekintse meg a Microsoft 365 beállítási útmutatóját.
Microsoft Edge
Az új, Chromium-alapú Microsoft Edge blokkolja a potenciálisan nemkívánatos alkalmazások letöltését és a társított erőforrás-URL-címeket. Ezt a funkciót a SmartScreen Microsoft Defender biztosítja.
PUA-védelem engedélyezése Chromium-alapú Microsoft Edge-ben
Bár a Microsoft Edge (Chromium-alapú, 80.0.361.50-es verzió) alkalmazásvédelme alapértelmezés szerint ki van kapcsolva, egyszerűen bekapcsolható a böngészőből.
A Microsoft Edge böngészőben válassza a három pontot, majd a Beállítások lehetőséget.
Válassza az Adatvédelem, keresés és szolgáltatások lehetőséget.
A Biztonság szakaszban kapcsolja be a Vélhetően nemkívánatos alkalmazások letiltása beállítást.
Tipp
Ha a Microsoft Edge-et (Chromium-alapú) futtatja, biztonságosan felfedezheti a PUA-védelem URL-blokkoló funkcióját, ha teszteli azt az egyik Microsoft Defender SmartScreen bemutatóoldalunkon.
URL-címek blokkolása a SmartScreen Microsoft Defender
A Chromium-alapú Microsoft Edge-ben, amelyen a PUA-védelem be van kapcsolva, Microsoft Defender SmartScreen megvédi Önt a PUA-hoz társított URL-címektől.
A biztonsági rendszergazdák konfigurálhatják, hogy a Microsoft Edge és a Microsoft Defender SmartScreen hogyan működjön együtt a felhasználói csoportok PUA-hoz társított URL-címekkel szembeni védelme érdekében. A SmartScreen Microsoft Defender számos csoportházirend-beállítás érhető el, köztük a PUA blokkolására szolgáló beállítás is. Emellett a rendszergazdák a Microsoft Defender SmartScreen egészét is konfigurálhatják, csoportházirend-beállításokkal be- vagy kikapcsolhatják Microsoft Defender SmartScreent.
Bár Végponthoz készült Microsoft Defender a Microsoft által kezelt adatkészleten alapuló saját tiltólistával rendelkezik, a listát a saját fenyegetésfelderítése alapján testre szabhatja. Ha a Végponthoz készült Microsoft Defender portálon hoz létre és kezel mutatókat, Microsoft Defender a SmartScreen tiszteletben tartja az új beállításokat.
Microsoft Defender víruskereső és PUA-védelem
A Microsoft Defender Víruskereső vélhetően nemkívánatos alkalmazásvédelmi (PUA) védelmi funkciója képes észlelni és letiltani a PUA-t a hálózat végpontjaiban.
Microsoft Defender víruskereső letiltja az észlelt PUA-fájlokat, valamint a letöltési, áthelyezési, futtatási vagy telepítési kísérleteket. A letiltott PUA-fájlok ezután karanténba kerülnek. Ha a rendszer PUA-fájlt észlel egy végponton, Microsoft Defender víruskereső értesítést küld a felhasználónak (kivéve, ha az értesítések más fenyegetésészlelésekkel azonos formátumban lettek letiltva). Az értesítés előtaggal PUA:
van el elosztva, hogy jelezze a tartalmát.
Az értesítés a szokásos karanténlistában jelenik meg az Windows biztonság alkalmazásban.
PUA-védelem konfigurálása Microsoft Defender víruskeresőben
A PUA-védelmet engedélyezheti Végponthoz készült Microsoft Defender biztonsági beállítások kezelésével, Microsoft Intune, Microsoft Configuration Manager, Csoportházirend vagy a PowerShell-parancsmagok.
Először próbálja meg a PUA-védelmet naplózási módban használni. Észleli a potenciálisan nemkívánatos alkalmazásokat anélkül, hogy ténylegesen blokkolná őket. Az észleléseket a Windows eseménynaplója rögzíti. A PUA-védelem naplózási módban akkor hasznos, ha a vállalat belső szoftverbiztonsági megfelelőségi ellenőrzést végez, és fontos elkerülni a téves riasztásokat.
A PUA-védelem konfigurálása Végponthoz készült Microsoft Defender biztonsági beállítások kezelésével
Tekintse meg a következő cikkeket:
A PUA-védelem konfigurálása Intune használatával
Tekintse meg a következő cikkeket:
- Eszközkorlátozási beállítások konfigurálása a Microsoft Intune
- Microsoft Defender víruskereső eszközkorlátozási beállításai Windows 10 a Intune-ben
A PUA-védelem konfigurálása Configuration Manager használatával
A PUA-védelem alapértelmezés szerint engedélyezve van a Microsoft Configuration Manager (Aktuális ág).
A Microsoft Configuration Manager (Aktuális ág) konfigurálásával kapcsolatos részletekért lásd: Kártevőirtó-házirendek létrehozása és telepítése: Ütemezett vizsgálatok beállításai.
A System Center 2012 Configuration Manager esetében lásd: Az Endpoint Protection potenciálisan nemkívánatos alkalmazásvédelmi szabályzatának telepítése Configuration Manager.
Megjegyzés:
A Microsoft Defender Víruskereső által blokkolt PUA-eseményeket a Windows eseménymegtekintő jelenti, nem pedig a Microsoft Configuration Manager.
A PUA-védelem konfigurálása Csoportházirend használatával
Felügyeleti sablonok (.admx) letöltése és telepítése Windows 11 2021. októberi frissítéshez (21H2)
A Csoportházirend felügyeleti számítógépen nyissa meg a Csoportházirend Felügyeleti konzolt.
Jelölje ki a konfigurálni kívánt Csoportházirend objektumot, majd válassza a Szerkesztés lehetőséget.
A Csoportházirend-felügyeleti szerkesztőben lépjen a Számítógép konfigurációja elemre, és válassza a Felügyeleti sablonok lehetőséget.
Bontsa ki a fát a Windows-összetevők>Microsoft Defender víruskereső elemre.
Kattintson duplán az Észlelés konfigurálása vélhetően nemkívánatos alkalmazásokhoz elemre, és állítsa engedélyezve értékre.
A Beállítások területen válassza a Blokkolás lehetőséget a potenciálisan nemkívánatos alkalmazások letiltásához, vagy válassza a Naplózási mód lehetőséget a beállítás működésének teszteléséhez a környezetben. Kattintson az OK gombra.
Helyezze üzembe a Csoportházirend objektumot a megszokott módon.
A PUA-védelem konfigurálása PowerShell-parancsmagokkal
PUA-védelem engedélyezése
Set-MpPreference -PUAProtection Enabled
Ha a parancsmag értékét úgy állítja be, hogy Enabled
bekapcsolja a funkciót, ha az le van tiltva.
A PUA-védelem beállítása naplózási módra
Set-MpPreference -PUAProtection AuditMode
A beállítás AuditMode
letiltás nélkül észleli a PUA-kat.
A PUA-védelem letiltása
Javasoljuk, hogy a PUA-védelem be legyen kapcsolva. Ezt azonban a következő parancsmaggal kapcsolhatja ki:
Set-MpPreference -PUAProtection Disabled
Ha a parancsmag értékét úgy állítja be, hogy Disabled
kikapcsolja a funkciót, ha engedélyezve van.
További információ: Microsoft Defender víruskereső és Defender víruskereső parancsmagokkonfigurálása és futtatása PowerShell-parancsmagokkal.
Tesztelje és ellenőrizze, hogy működik-e a PUA-blokkolás
Miután letiltott módban engedélyezte a PUA-t, tesztelheti, hogy megfelelően működik-e. További információ: Vélhetően nemkívánatos alkalmazások (PUA) bemutatója.
PUA-események megtekintése a PowerShell használatával
A PUA-eseményeket a Windows eseménymegtekintő jelenti, de Microsoft Configuration Manager vagy Intune nem. A parancsmaggal megtekintheti azokat a Get-MpThreat
fenyegetéseket is, amelyeket Microsoft Defender víruskereső kezelt. Íme egy példa:
CategoryID : 27
DidThreatExecute : False
IsActive : False
Resources : {webfile:_q:\Builds\Dalton_Download_Manager_3223905758.exe|http://d18yzm5yb8map8.cloudfront.net/
fo4yue@kxqdw/Dalton_Download_Manager.exe|pid:14196,ProcessStart:132378130057195714}
RollupStatus : 33
SchemaVersion : 1.0.0.0
SeverityID : 1
ThreatID : 213927
ThreatName : PUA:Win32/InstallCore
TypeID : 0
PSComputerName :
A PUA-észlelésekkel kapcsolatos e-mail-értesítések lekérése
Bekapcsolhatja az e-mail-értesítéseket a PUA-észlelésekkel kapcsolatos e-mailek fogadásához. A Microsoft Defender víruskereső eseményekkel kapcsolatos további információkért lásd: Eseményazonosítók hibaelhárítása. A PUA-események az 1160-os eseményazonosító alatt vannak rögzítve.
PUA-események megtekintése speciális veszélyforrás-kereséssel
Ha Végponthoz készült Microsoft Defender használ, speciális veszélyforrás-keresési lekérdezéssel megtekintheti a PUA-eseményeket. Íme egy példa lekérdezésre:
DeviceEvents
| where ActionType == "AntivirusDetection"
| extend x = parse_json(AdditionalFields)
| project Timestamp, DeviceName, FolderPath, FileName, SHA256, ThreatName = tostring(x.ThreatName), WasExecutingWhileDetected = tostring(x.WasExecutingWhileDetected), WasRemediated = tostring(x.WasRemediated)
| where ThreatName startswith_cs 'PUA:'
A speciális veszélyforrás-kereséssel kapcsolatos további információkért lásd: Proaktív veszélyforrás-keresés speciális veszélyforrás-kereséssel.
Fájlok kizárása a PUA-védelemből
Előfordulhat, hogy a PUA-védelem tévesen blokkol egy fájlt, vagy a puA egy funkciójára van szükség a feladat elvégzéséhez. Ezekben az esetekben egy fájl hozzáadható egy kizárási listához.
További információ: Kizárások konfigurálása és érvényesítése fájlkiterjesztés és mappahely alapján.
Tipp
Ha más platformokra vonatkozó, víruskeresővel kapcsolatos információkat keres, lásd:
Lásd még
Tipp
Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: