Oppdage og blokkere potensielt uønskede programmer

Gjelder for:

• Microsoft Defender XDR
• Microsoft Defender for Endpoint Plan 1 og Plan 2
• Microsoft Defender for Business
• Microsoft Edge
• Microsoft Defender for enkeltpersoner
• Microsoft Defender Antivirus

Plattformer

• Windows

Microsoft Defender Antivirus er tilgjengelig i følgende versjoner/versjoner av Windows og Windows Server:

• Windows Server 2022
• Windows Server 2019
• Windows Server, versjon 1803 eller nyere
• Windows Server 2016
• Windows Server 2012 R2 (krever Microsoft Defender for endepunkt)
• Windows 11
• Windows 10
• Windows 8.1

For macOS kan du se Oppdage og blokkere potensielt uønskede programmer med Defender for Endpoint på macOS.

For Linux kan du se Oppdage og blokkere potensielt uønskede programmer med Defender for Endpoint på Linux.

Potensielt uønskede programmer (PUA) er en kategori med programvare som kan føre til at maskinen kjører sakte, viser uventede annonser eller i verste fall installerer annen programvare som kan være uventet eller uønsket. PUA regnes ikke som et virus, skadelig programvare eller en annen type trussel, men det kan utføre handlinger på endepunkter som har negativ innvirkning på endepunktytelsen eller bruken. Begrepet PUA kan også referere til et program som har et dårlig omdømme, som vurdert av Microsoft Defender for Endpoint, på grunn av visse typer uønsket atferd.

Her er noen eksempler:

• Reklameprogramvare som viser annonser eller kampanjer, inkludert programvare som setter inn annonser på nettsider.
• Bunting av programvare som tilbyr å installere annen programvare som ikke er digitalt signert av samme enhet. Programvare som tilbyr seg å installere annen programvare som kvalifiserer som PUA.
• Unndragelse programvare som aktivt prøver å unngå deteksjon av sikkerhetsprodukter, inkludert programvare som oppfører seg annerledes i nærvær av sikkerhetsprodukter.

Tips

Hvis du vil ha flere eksempler og en diskusjon om kriteriene vi bruker til å merke programmer for spesiell oppmerksomhet fra sikkerhetsfunksjoner, kan du se Hvordan Microsoft identifiserer skadelig programvare og potensielt uønskede programmer.

Potensielt uønskede programmer kan øke risikoen for at nettverket blir infisert med faktisk skadelig programvare, gjøre det vanskeligere å identifisere skadelig programvare eller koste IT- og sikkerhetsteamene tid og krefter på å rydde dem opp. Hvis organisasjonens abonnement inkluderer Microsoft Defender for Endpoint, kan du også angi at Microsoft Defender Antivirus PUA skal blokkeres, for å blokkere apper som anses å være PUA på Windows-enheter.

Finn ut mer om Windows Enterprise-abonnementer.

Tips

Som en følge av denne artikkelen kan du se vår installasjonsveiledning for Microsoft Defender for Endpoint for å se gjennom anbefalte fremgangsmåter og lære om viktige verktøy som reduksjon av angrepsoverflate og neste generasjons beskyttelse. Hvis du vil ha en tilpasset opplevelse basert på miljøet ditt, kan du få tilgang til automatisk konfigurasjonsveiledning for Defender for Endpoint i administrasjonssenteret for Microsoft 365.

Microsoft Edge

Den nye Microsoft Edge, som er Chromium-basert, blokkerer potensielt uønskede programnedlastinger og tilknyttede nettadresser for ressurser. Denne funksjonen leveres via Microsoft Defender SmartScreen.

Aktiver PUA-beskyttelse i Chromium-baserte Microsoft Edge

Selv om potensielt uønsket programbeskyttelse i Microsoft Edge (Chromium-basert, versjon 80.0.361.50) er deaktivert som standard, kan den enkelt aktiveres fra nettleseren.

1. Velg ellipsen i Microsoft Edge-nettleseren, og velg deretter Innstillinger.

2. Velg Personvern, søk og tjenester.

3. Under Sikkerhets-delen aktiverer du Blokker potensielt uønskede apper.

Tips

Hvis du kjører Microsoft Edge (Chromium-basert), kan du trygt utforske funksjonen for nettadresseblokkering av PUA-beskyttelse ved å teste den ut på en av våre Demonstrasjonssider for Microsoft Defender SmartScreen.

Blokker nettadresser med Microsoft Defender SmartScreen

Microsoft Defender SmartScreen beskytter deg mot PUA-tilknyttede nettadresser i Chromium-baserte Microsoft Edge med PUA-beskyttelse aktivert.

Sikkerhetsadministratorer kan konfigurere hvordan Microsoft Edge og Microsoft Defender SmartScreen arbeider sammen for å beskytte grupper av brukere mot PUA-tilknyttede nettadresser. Det finnes flere gruppepolicyinnstillinger eksplisitt for Microsoft Defender SmartScreen tilgjengelig, inkludert én for blokkering av PUA. I tillegg kan administratorer konfigurere Microsoft Defender SmartScreen som helhet ved hjelp av gruppepolicyinnstillinger for å slå Microsoft Defender SmartScreen på eller av.

Selv om Microsoft Defender for Endpoint har sin egen blokkliste basert på et datasett som administreres av Microsoft, kan du tilpasse denne listen basert på din egen trusselintelligens. Hvis du oppretter og administrerer indikatorer i Microsoft Defender for Endpoint-portalen, respekterer Microsoft Defender SmartScreen de nye innstillingene.

Microsoft Defender Antivirus- og PUA-beskyttelse

Den potensielt uønskede programbeskyttelsesfunksjonen (PUA) i Microsoft Defender Antivirus kan oppdage og blokkere PUA på endepunkter i nettverket.

Microsoft Defender Antivirus blokkerer oppdaget PUA-filer og eventuelle forsøk på å laste ned, flytte, kjøre eller installere dem. Blokkerte PUA-filer flyttes deretter til karantene. Når en PUA-fil oppdages på et endepunkt, sender Microsoft Defender Antivirus et varsel til brukeren (med mindre varsler er deaktivert i samme format som andre trusselregistreringer. Varselet er innledet med PUA: for å angi innholdet.

Varselet vises i listen over vanlige karantene i Windows Security-appen.

Konfigurer PUA-beskyttelse i Microsoft Defender Antivirus

Du kan aktivere PUA-beskyttelse med Microsoft Defender for Administrasjon av sikkerhetsinnstillinger for endepunkt, Microsoft Intune, Microsoft Configuration Manager, gruppepolicy eller via PowerShell-cmdleter.

Prøv først å bruke PUA-beskyttelse i overvåkingsmodus. Den oppdager potensielt uønskede programmer uten å blokkere dem. Gjenkjenninger fanges opp i hendelsesloggen i Windows. PUA-beskyttelse i overvåkingsmodus er nyttig hvis firmaet utfører en intern samsvarskontroll for programvaresikkerhet, og det er viktig å unngå falske positiver.

Bruk Microsoft Defender for behandling av sikkerhetsinnstillinger for endepunkt til å konfigurere PUA-beskyttelse

Se følgende artikler:

• Bruke Microsoft Defender for behandling av sikkerhetsinnstillinger for endepunkt til å administrere Microsoft Defender Antivirus

Bruk Intune til å konfigurere PUA-beskyttelse

Se følgende artikler:

• Konfigurere innstillinger for enhetsbegrensning i Microsoft Intune
• Begrensningsinnstillinger for Microsoft Defender Antivirus-enhet for Windows 10 i Intune

Bruk Configuration Manager til å konfigurere PUA-beskyttelse

PUA-beskyttelse er aktivert som standard i Microsoft Configuration Manager (Current Branch).

Se hvordan du oppretter og distribuerer policyer for beskyttelse mot skadelig programvare: Planlagte skanningsinnstillinger for mer informasjon om hvordan du konfigurerer Microsoft Configuration Manager (Current Branch).

For System Center 2012 Configuration Manager kan du se Slik distribuerer du potensielt uønsket programbeskyttelsespolicy for Endpoint Protection i Configuration Manager.

Obs!

PUA-hendelser som blokkeres av Microsoft Defender Antivirus, rapporteres i Windows Event Viewer og ikke i Microsoft Configuration Manager.

Bruk gruppepolicy til å konfigurere PUA-beskyttelse

1. Last ned og installer administrative maler (ADMX) for Windows 11- oktober 2021-oppdateringen (21H2)

2. Åpne konsollen for gruppepolicybehandling på datamaskinen for gruppepolicybehandling.

3. Velg gruppepolicyobjektet du vil konfigurere, og velg deretter Rediger.

4. I Redigeringsprogram for gruppepolicybehandling, går du til Datamaskinkonfigurasjon og velger Administrative maler.

5. Utvid treet til Windows-komponentene>Microsoft Defender Antivirus.

6. Dobbeltklikk konfigurer gjenkjenning for potensielt uønskede programmer, og sett den til Aktivert.

7. Velg Blokker i Alternativer for å blokkere potensielt uønskede programmer, eller velg Overvåkingsmodus for å teste hvordan innstillingen fungerer i miljøet. Velg OK.

8. Distribuer gruppepolicyobjektet slik du vanligvis gjør.

Bruk PowerShell-cmdleter til å konfigurere PUA-beskyttelse

Slik aktiverer du PUA-beskyttelse

Set-MpPreference -PUAProtection Enabled

Hvis du angir verdien for denne cmdleten, Enabled aktiveres funksjonen hvis den er deaktivert.

Slik angir du PUA-beskyttelse til overvåkingsmodus

Set-MpPreference -PUAProtection AuditMode

Innstilling AuditMode oppdager PUAer uten å blokkere dem.

Slik deaktiverer du PUA-beskyttelse

Vi anbefaler at PUA-beskyttelsen er aktivert. Du kan imidlertid deaktivere den ved hjelp av følgende cmdlet:

Set-MpPreference -PUAProtection Disabled

Hvis du angir verdien for denne cmdleten, Disabled deaktiveres funksjonen hvis den er aktivert.

Hvis du vil ha mer informasjon, kan du se Bruke PowerShell-cmdleter til å konfigurere og kjøre Cmdleter for Microsoft Defender Antivirus og Defender Antivirus.

Test og kontroller at PUA-blokkering fungerer

Når du har pua aktivert i blokkmodus, kan du teste for å sikre at den fungerer som den skal. Hvis du vil ha mer informasjon, kan du se potensielt uønskede programmer (PUA)-demonstrasjon.

Vis PUA-hendelser ved hjelp av PowerShell

PUA-hendelser rapporteres i Windows Event Viewer, men ikke i Microsoft Configuration Manager eller i Intune. Du kan også bruke cmdleten Get-MpThreat til å vise trusler som Microsoft Defender Antivirus håndterte. Her er et eksempel:

CategoryID       : 27
DidThreatExecute : False
IsActive         : False
Resources        : {webfile:_q:\Builds\Dalton_Download_Manager_3223905758.exe|http://d18yzm5yb8map8.cloudfront.net/
                    fo4yue@kxqdw/Dalton_Download_Manager.exe|pid:14196,ProcessStart:132378130057195714}
RollupStatus     : 33
SchemaVersion    : 1.0.0.0
SeverityID       : 1
ThreatID         : 213927
ThreatName       : PUA:Win32/InstallCore
TypeID           : 0
PSComputerName   :

Få e-postvarsler om PUA-gjenkjenninger

Du kan aktivere e-postvarsler for å motta e-post om PUA-gjenkjenninger. Hvis du vil ha mer informasjon om Microsoft Defender Antivirus-hendelser, kan du se Feilsøke hendelses-ID-er. PUA-hendelser registreres under hendelses-ID 1160.

Vis PUA-hendelser ved hjelp av avansert jakt

Hvis du bruker Microsoft Defender for endepunkt, kan du bruke en avansert jaktspørring til å vise PUA-hendelser. Her er en eksempelspørring:

DeviceEvents
| where ActionType == "AntivirusDetection"
| extend x = parse_json(AdditionalFields)
| project Timestamp, DeviceName, FolderPath, FileName, SHA256, ThreatName = tostring(x.ThreatName), WasExecutingWhileDetected = tostring(x.WasExecutingWhileDetected), WasRemediated = tostring(x.WasRemediated)
| where ThreatName startswith_cs 'PUA:'

Hvis du vil lære mer om avansert jakt, kan du se Proaktivt jakte på trusler med avansert jakt.

Utelat filer fra PUA-beskyttelse

Noen ganger blokkeres en fil feilaktig av PUA-beskyttelse, eller en funksjon i en PUA kreves for å fullføre en oppgave. I slike tilfeller kan en fil legges til i en utelatelsesliste.

Hvis du vil ha mer informasjon, kan du se Konfigurere og validere utelatelser basert på filtype og mappeplassering.

Tips

Hvis du leter etter antivirusrelatert informasjon for andre plattformer, kan du se:

• Microsoft Defender for endepunkt på Mac
• Microsoft Defender for endepunkt på Linux
• Konfigurer Defender for endepunkt på Android-funksjoner
• Konfigurer Microsoft Defender for endepunkt for iOS-funksjoner

Se også

• Neste generasjons beskyttelse
• Konfigurer atferdsmessig, heuristikk og sanntidsbeskyttelse

Tips

Vil du lære mer? Engasjer deg med Microsoft Security-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender for Endpoint Tech Community.