Rilevare e bloccare applicazioni potenzialmente indesiderate

Si applica a:

• Microsoft Defender per endpoint Piano 1
• Microsoft Defender per endpoint Piano 2
• Microsoft Edge
• Antivirus Microsoft Defender

Piattaforme

• Windows

Le applicazioni potenzialmente indesiderate (PUA) sono una categoria di software che può causare il rallentamento del computer, la visualizzazione di annunci non previsti o, nel peggiore dei casi, l'installazione di altro software che potrebbe risultare indesiderato o imprevisto. PUA non è considerato un virus, malware o altro tipo di minaccia, ma potrebbe eseguire azioni sugli endpoint che influiscono negativamente sulle prestazioni o sull'uso degli endpoint. Il termine PUA può anche fare riferimento a un'applicazione con una reputazione scadente, secondo la valutazione di Microsoft Defender per endpoint, a causa di alcuni tipi di comportamento indesiderato.

Ecco alcuni esempi:

• Software pubblicitario che mostra annunci pubblicitari o promozioni, incluso il software che inserisce annunci pubblicitari nelle pagine Web.
• Software di aggregazione che offre l'installazione di altro software che non è firmato digitalmente dalla stessa entità. oppure classificato come PUA.
• Software di evasione, che tenta attivamente di evadere il rilevamento da parte dei prodotti per la sicurezza, incluso il software che si comporta in modo diverso in presenza di prodotti per la sicurezza.

Consiglio

Per altri esempi e una descrizione dei criteri che usiamo per etichettare le applicazioni per una particolare attenzione da parte delle funzionalità di sicurezza, vedere Come Microsoft identifica malware e applicazioni potenzialmente indesiderate.

Le applicazioni potenzialmente indesiderate possono aumentare il rischio che la rete venga infettata da malware effettivo, rendere le infezioni malware più difficili da identificare o costare ai team IT e della sicurezza tempo e impegno per pulirle. La protezione da applicazioni potenzialmente indesiderate è supportata in Windows 10, Windows 11, Windows Server 2019, Windows Server 2022 e Windows Server 2016. Se la sottoscrizione dell'organizzazione include Microsoft Defender per endpoint, Microsoft Defender Antivirus blocca le app considerate potenzialmente indesiderate per impostazione predefinita nei dispositivi Windows.

Altre informazioni sugli abbonamenti di Windows Enterprise.

Microsoft Edge

Il nuovo Microsoft Edge, basato su Chromium, blocca i download di applicazioni potenzialmente indesiderate e gli URL di risorse associati. Questa funzionalità viene fornita tramite Microsoft Defender SmartScreen.

Abilitare la protezione da applicazioni potenzialmente indesiderate in Microsoft Edge basato su Chromium

Anche se la protezione da applicazioni potenzialmente indesiderate in Microsoft Edge (basato su Chromium, versione 80.0.361.50) è disattivata per impostazione predefinita, può essere attivata facilmente dall'interno del browser.

1. Nel browser Microsoft Edge selezionare i puntini di sospensione e quindi scegliere Impostazioni.

2. Selezionare Privacy, ricerca e servizi.

3. Nella sezione Sicurezza attivare Blocca app potenzialmente indesiderate.

Consiglio

Se si usa Microsoft Edge (basato su Chromium), si può esplorare in sicurezza la funzionalità di blocco degli URL della protezione PUA, testandola in una delle pagine demo di Microsoft Defender SmartScreen.

Bloccare gli URL con Microsoft Defender SmartScreen

In Microsoft Edge basato su Chromium con protezione PUA attivata, Microsoft Defender SmartScreen protegge dagli URL associati a PUA.

Gli amministratori della sicurezza possono configurare il modo in cui Microsoft Edge e Microsoft Defender SmartScreen interagiscono per proteggere gruppi di utenti dagli URL associati alle applicazioni potenzialmente indesiderate. Sono disponibili diverse impostazioni di Criteri di gruppo esplicitamente destinate a Microsoft Defender SmartScreen, tra cui una per bloccare le PUA. Gli amministratori possono inoltre configurare Microsoft Defender SmartScreen nel suo insieme, usando le impostazioni di Criteri di gruppo per attivare o disattivare la funzionalità.

Anche se Microsoft Defender per endpoint ha un proprio elenco di blocco basato su un set di dati gestito da Microsoft, è possibile personalizzare questo elenco in base alla propria intelligence per le minacce. Se si creano e gestiscono indicatori nel portale di Microsoft Defender per endpoint, Microsoft Defender SmartScreen rispetta le nuove impostazioni.

Antivirus Microsoft Defender e protezione PUA

La funzionalità di protezione PUA in Antivirus Microsoft Defender può rilevare e bloccare le applicazioni potenzialmente indesiderate negli endpoint della rete.

Nota

Questa funzionalità è disponibile in Windows 11, Windows 10, Windows Server 2022, Windows Server 2019 e Windows Server 2016.

Antivirus Microsoft Defender blocca i file di PUA rilevati e gli eventuali tentativi di scaricarli, spostarli, eseguirli o installarli. I file di PUA bloccati vengono quindi spostati in quarantena. Quando viene rilevato un file PUA in un endpoint, Antivirus Microsoft Defender invia una notifica all'utente (a meno che le notifiche non siano state disabilitate nello stesso formato degli altri rilevamenti delle minacce. La notifica è preceduta da PUA: per indicarne il contenuto.

La notifica viene visualizzata nel normale elenco di quarantena nell'app Sicurezza di Windows.

Configurare la protezione PUA in Antivirus Microsoft Defender

È possibile abilitare la protezione PUA con Microsoft Intune, Microsoft Configuration Manager, Criteri di gruppo o tramite i cmdlet di PowerShell.

All'inizio, provare a usare la protezione PUA in modalità di controllo. Rileva applicazioni potenzialmente indesiderate senza bloccarle effettivamente. I rilevamenti vengono acquisiti nel registro eventi di Windows. La protezione PUA in modalità di controllo è utile se l'azienda sta effettuando un controllo di conformità della sicurezza software interno ed è importante evitare falsi positivi.

Usare Intune per configurare la protezione PUA

Fare inoltre riferimento ai seguenti articoli:

• Configurare le impostazioni di restrizione del dispositivo in Microsoft Intune
• Microsoft Defender impostazioni di restrizione dei dispositivi antivirus per Windows 10 in Intune

Usare Configuration Manager per configurare la protezione PUA

La protezione PUA è abilitata per impostazione predefinita nel Microsoft Configuration Manager (Current Branch).

Per informazioni dettagliate sulla configurazione di Microsoft Configuration Manager (Current Branch), vedere How to create and deploy antimalware policies: Scheduled scans settings (Come creare e distribuire criteri antimalware: impostazioni di analisi pianificate).

Per System Center Configuration Manager 2012, vedere Come distribuire criteri di protezione delle applicazioni potenzialmente indesiderate per Endpoint Protection in Configuration Manager.

Nota

Gli eventi PUA bloccati da Microsoft Defender Antivirus vengono segnalati in Windows Visualizzatore eventi e non in Microsoft Configuration Manager.

Usare Criteri di gruppo per configurare la protezione PUA

1. Scaricare e installare Modelli amministrativi (.admx) per Windows 11 aggiornamento ottobre 2021 (21H2)

2. Nel computer di gestione dei Criteri di gruppo aprire la Console Gestione Criteri di gruppo.

3. Selezionare l'oggetto Criteri di gruppo da configurare e quindi scegliere Modifica.

4. Nell'Editor Gestione Criteri di gruppo passare a Configurazione computer e selezionare Modelli amministrativi.

5. Espandere l'albero fino a Componenti di Windows>Antivirus Microsoft Defender.

6. Fare doppio clic su Configura il rilevamento di applicazioni potenzialmente indesiderate.

7. Selezionare Abilitata per abilitare la protezione PUA.

8. In Opzioni selezionare Blocca per bloccare le applicazioni potenzialmente indesiderate oppure selezionare Modalità di controllo per testare il funzionamento dell'impostazione nel proprio ambiente. Selezionare OK.

9. Distribuire l'oggetto Criteri di gruppo come di consueto.

Usare i cmdlet di PowerShell per configurare la protezione PUA

Per abilitare la protezione PUA

Set-MpPreference -PUAProtection Enabled

Impostando il valore di questo cmdlet su Enabled è possibile attivare la funzionalità, se è stata disabilitata.

Per impostare la protezione PUA sulla modalità di controllo

Set-MpPreference -PUAProtection AuditMode

L'impostazione AuditMode consente di rilevare le applicazioni potenzialmente indesiderate senza bloccarle.

Per disabilitare la protezione PUA

È consigliabile mantenere la protezione PUA attivata. Tuttavia, è possibile disattivarla usando il cmdlet seguente:

Set-MpPreference -PUAProtection Disabled

Impostando il valore di questo cmdlet su Disabled è possibile disattivare la funzionalità, se è stata disabilitata.

Per altre informazioni, vedi Usare i cmdlet di PowerShell per configurare ed eseguire i cmdlet di Antivirus Microsoft Defender e Antivirus Defender.

Visualizzare gli eventi PUA con PowerShell

Gli eventi PUA vengono segnalati nel Visualizzatore eventi di Windows, ma non in Microsoft Configuration Manager o in Intune. È anche possibile usare il cmdlet Get-MpThreat per visualizzare le minacce gestite da Antivirus Microsoft Defender. Ecco un esempio:

CategoryID       : 27
DidThreatExecute : False
IsActive         : False
Resources        : {webfile:_q:\Builds\Dalton_Download_Manager_3223905758.exe|http://d18yzm5yb8map8.cloudfront.net/
                    fo4yue@kxqdw/Dalton_Download_Manager.exe|pid:14196,ProcessStart:132378130057195714}
RollupStatus     : 33
SchemaVersion    : 1.0.0.0
SeverityID       : 1
ThreatID         : 213927
ThreatName       : PUA:Win32/InstallCore
TypeID           : 0
PSComputerName   :

Ricevere notifiche tramite posta elettronica sui rilevamenti di applicazioni potenzialmente indesiderate

È possibile attivare le notifiche tramite posta elettronica per ricevere messaggi relativi al rilevamento di PUA.

Vedere l'articolo su come risolvere i problemi relativi agli ID evento per informazioni dettagliate sulla visualizzazione degli eventi di Antivirus Microsoft Defender. Gli eventi PUA vengono registrati con l'ID evento 1160.

Visualizzare gli eventi PUA con la rilevazione avanzata

Se si usa Microsoft Defender per endpoint, è possibile usare una query di rilevazione avanzata per visualizzare gli eventi PUA. Ecco una query di esempio:

DeviceEvents
| where ActionType == "AntivirusDetection"
| extend x = parse_json(AdditionalFields)
| project Timestamp, DeviceName, FolderPath, FileName, SHA256, ThreatName = tostring(x.ThreatName), WasExecutingWhileDetected = tostring(x.WasExecutingWhileDetected), WasRemediated = tostring(x.WasRemediated)
| where ThreatName startswith_cs 'PUA:'

Per altre informazioni sulla rilevazione avanzata, vedere Rilevare in modo proattivo le minacce con la rilevazione avanzata.

Escludere file dalla protezione PUA

A volte un file viene erroneamente bloccato dalla protezione PUA oppure per completare un'attività è necessaria una funzionalità di un'applicazione potenzialmente indesiderata. In questi casi, è possibile aggiungere un file a un elenco di esclusione.

Per altre informazioni, vedere Configurare e convalidare le esclusioni in base all'estensione di file e al percorso della cartella.

Consiglio

Se si cercano informazioni correlate all'antivirus per altre piattaforme, vedere:

• Impostare le preferenze per Microsoft Defender per endpoint su macOS
• Microsoft Defender per endpoint su Mac
• Impostazioni dei criteri antivirus macOS per Antivirus Microsoft Defender per Intune
• Impostare le preferenze per Microsoft Defender per endpoint su Linux
• Microsoft Defender per Endpoint su Linux
• Funzionalità di configurazione di Microsoft Defender per endpoint su Android
• Funzionalità di configurazione di Microsoft Defender per endpoint su iOS

Vedere anche

• Protezione di nuova generazione
• Configurare la protezione comportamentale, euristica e in tempo reale

Consiglio

Vuoi saperne di più? Collaborare con la community di Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.