Delen via


Mogelijk ongewenste toepassingen detecteren en blokkeren

Van toepassing op:

Platforms

  • Windows

Microsoft Defender Antivirus is beschikbaar in de volgende edities/versies van Windows en Windows Server:

  • Windows Server 2022
  • Windows Server 2019
  • Windows Server versie 1803 of hoger
  • Windows Server 2016
  • Windows Server 2012 R2 (vereist Microsoft Defender voor Eindpunt)
  • Windows 11
  • Windows 10
  • Windows 8.1

Voor macOS raadpleegt u Mogelijk ongewenste toepassingen detecteren en blokkeren met Defender voor Eindpunt in macOS.

Voor Linux raadpleegt u Mogelijk ongewenste toepassingen detecteren en blokkeren met Defender voor Eindpunt in Linux.

Mogelijk ongewenste toepassingen (PUA) zijn een softwarecategorie die ervoor kan zorgen dat uw computer vertraagt, onverwachte advertenties weergeeft of in het slechtste geval andere software installeert die onverwacht of ongewenst is. PUA wordt niet beschouwd als een virus, malware of een ander type bedreiging, maar het kan acties uitvoeren op eindpunten die de prestaties of het gebruik van eindpunten nadelig beïnvloeden. De term PUA kan ook verwijzen naar een toepassing met een slechte reputatie, zoals beoordeeld door Microsoft Defender voor Eindpunt, vanwege bepaalde soorten ongewenste gedragingen.

Dit zijn enkele voorbeelden:

  • Reclamesoftware waarop advertenties of promoties worden weergegeven, waaronder software waarmee advertenties op webpagina's worden geplaatst.
  • Software bundelen die aanbiedt om andere software te installeren die niet digitaal is ondertekend door dezelfde entiteit. En ook software die aanbiedt om andere software te installeren die aangemerkt kan worden als PUA.
  • Ontduikingssoftware die actief probeert detectie door beveiligingsproducten te ontduiken, waaronder software die zich anders gedraagt in de aanwezigheid van beveiligingsproducten.

Tip

Zie voor meer voorbeelden en een discussie over de criteria die we gebruiken bij het labelen van toepassingen voor speciale aandacht van beveiligingsfuncties Hoe Microsoft malware en mogelijk ongewenste toepassingen identificeert.

Mogelijk ongewenste toepassingen kunnen het risico vergroten dat uw netwerk wordt geïnfecteerd met werkelijke malware, ervoor zorgen dat malware minder goed te herkennen is of dat het voor uw IT- en beveiligingsteams tijd en moeite kost om ze op te ruimen. Als het abonnement van uw organisatie Microsoft Defender voor Eindpunt bevat, kunt u ook instellen dat Microsoft Defender Antivirus-PUA wordt geblokkeerd, om apps te blokkeren die als PUA worden beschouwd op Windows-apparaten.

Meer informatie over Windows Enterprise-abonnementen.

Tip

Als aanvulling op dit artikel raadpleegt u onze handleiding voor het instellen van Microsoft Defender voor Eindpunt om best practices te bekijken en meer te weten te komen over essentiële hulpprogramma's, zoals kwetsbaarheid voor aanvallen verminderen en beveiliging van de volgende generatie. Voor een aangepaste ervaring op basis van uw omgeving hebt u toegang tot de handleiding voor geautomatiseerde installatie van Defender voor Eindpunt in de Microsoft 365-beheercentrum.

Microsoft Edge

Met het nieuwe Microsoft Edge, dat op Chromium is gebaseerd, blokkeert u mogelijk ongewenste toepassingsdownloads en bijbehorende resource-URL's. Deze functie is beschikbaar via Microsoft Defender SmartScreen.

PUA-beveiliging inschakelen in het op Chromium gebaseerde Microsoft Edge

Hoewel mogelijk ongewenste toepassingsbeveiliging in Microsoft Edge (gebaseerd op Chromium, versie 80.0.361.50) standaard is uitgeschakeld, kan dit eenvoudig vanuit de browser worden ingeschakeld.

  1. Selecteer in uw Microsoft Edge-browser het beletselteken en kies vervolgens Instellingen.

  2. Selecteer privacy, zoekopdrachten en services.

  3. Schakel onder de sectie BeveiligingMogelijk ongewenste apps blokkeren in.

Tip

Als u Microsoft Edge (Gebaseerd op Chromium) gebruikt, kunt u de functie voor URL-blokkering van PUA-beveiliging verkennen door deze te testen op een van onze Microsoft Defender SmartScreen-demopagina's.

URL's blokkeren met Microsoft Defender SmartScreen

In Chromium microsoft edge met PUA-beveiliging ingeschakeld, beschermt Microsoft Defender SmartScreen u tegen AAN PUA gekoppelde URL's.

Beveiligingsbeheerders kunnen configureren hoe Microsoft Edge en Microsoft Defender SmartScreen samenwerken om groepen gebruikers te beschermen tegen URL's die aan PUA zijn gekoppeld. Er zijn verschillende instellingen voor groepsbeleid expliciet beschikbaar voor Microsoft Defender SmartScreen, waaronder voor het blokkeren van PUA-. Daarnaast kunnen beheerders Microsoft Defender SmartScreen- configureren met groepsbeleidsinstellingen om Microsoft Defender SmartScreen in of uit te schakelen.

Hoewel Microsoft Defender voor Eindpunt een eigen blokkeringslijst heeft op basis van een gegevensset die wordt beheerd door Microsoft, kunt u deze lijst aanpassen op basis van uw eigen bedreigingsinformatie. Als u in de portal van Microsoft Defender voor Eindpunt indicatoren maakt en beheert, respecteert Microsoft Defender SmartScreen de nieuwe instellingen.

Microsoft Defender Antivirus en PUA-beveiliging

Met de beveiligingsfunctie voor mogelijk ongewenste toepassingen (PUA) in Microsoft Defender Antivirus kunt u PUA detecteren en blokkeren voor eindpunten in uw netwerk.

Microsoft Defender Antivirus blokkeert PUA-bestanden en pogingen om ze te downloaden, te verplaatsen, uit te voeren of te installeren. Geblokkeerde PUA-bestanden worden vervolgens in quarantaine geplaatst. Wanneer een PUA-bestand wordt aangetroffen op een eindpunt, stuurt Microsoft Defender Antivirus een melding naar de gebruiker (tenzij meldingen zijn uitgeschakeld in dezelfde indeling als andere bedreigingsdetecties. De melding wordt voorafgegaan door PUA: om de inhoud aan te geven.

De melding wordt weergegeven in de gebruikelijke quarantainelijst in de app voor Windows-beveiliging.

PUA-beveiliging configureren in Microsoft Defender Antivirus

U kunt PUA-beveiliging inschakelen met Microsoft Defender voor Eindpunt Beheer van beveiligingsinstellingen, Microsoft Intune, Microsoft Configuration Manager, groepsbeleid of via PowerShell cmdlets.

Probeer eerst PUA-beveiliging te gebruiken in de controlemodus. Het detecteert mogelijk ongewenste toepassingen zonder ze daadwerkelijk te blokkeren. Detecties worden vastgelegd in het Windows-gebeurtenislogboek. PUA-beveiliging in de controlemodus is handig als uw bedrijf een interne nalevingscontrole voor softwarebeveiliging uitvoert en het belangrijk is om fout-positieven te voorkomen.

Beheer van Microsoft Defender voor Eindpunt beveiligingsinstellingen gebruiken om PUA-beveiliging te configureren

Zie de volgende artikelen:

Intune gebruiken om PUA-beveiliging te configureren

Zie de volgende artikelen:

Configuration Manager gebruiken om PUA-beveiliging te configureren

PUA-beveiliging is standaard ingeschakeld in de Microsoft Configuration Manager (Current Branch).

Zie Antimalwarebeleid maken en implementeren: Instellingen voor geplande scans voor meer informatie over het configureren van Microsoft Configuration Manager (Current Branch).

Zie Hoe beleid voor het beveiligen tegen mogelijk ongewenste toepassingen te implementeren voor eindpuntbeveiliging in Configuration Manager voor System Center 2012 Configuration Manager.

Opmerking

PUA-gebeurtenissen die door Microsoft Defender Antivirus worden geblokkeerd, worden gerapporteerd in de Windows-Logboeken en niet in Microsoft Configuration Manager.

Groepsbeleid gebruiken om PUA-beveiliging te configureren

  1. Download en installeer Beheersjablonen (.admx) voor Windows 11-update van oktober 2021 (21H2)

  2. Open op uw computer voor groepsbeleidsbeheer de Console groepsbeleidsbeheer.

  3. Selecteer het groepsbeleidsobject dat u wilt configureren en kies Bewerken.

  4. Ga in de Groepsbeleidsbeheereditor naar Computerconfiguratie en selecteer Beheersjablonen.

  5. Vouw de boomstructuur uit naar Windows-onderdelen>Microsoft Defender Antivirus.

  6. Dubbelklik op Detectie configureren voor mogelijk ongewenste toepassingen en stel deze in op Ingeschakeld.

  7. In Optiesselecteert u Blokkeren om mogelijk ongewenste toepassingen te blokkeren of selecteert u Auditmodus om te testen hoe de instelling werkt in uw omgeving. Kies OK.

  8. Implementeer uw groepsbeleidsobject zoals u dat gewoonlijk doet.

PowerShell-cmdlets gebruiken om PUA-beveiliging te configureren

Om PUA-beveiliging in te schakelen

Set-MpPreference -PUAProtection Enabled

Als u de waarde voor deze cmdlet instelt op Enabled schakelt u de functie in als deze is uitgeschakeld.

PUA-beveiliging instellen op controlemodus

Set-MpPreference -PUAProtection AuditMode

Door in te stellen op AuditMode worden PUA's gedetecteerd zonder ze te blokkeren.

Om PUA-beveiliging uit te schakelen

U wordt aangeraden PUA-beveiliging ingeschakeld te laten. U kunt de cmdlet echter uitschakelen met behulp van de volgende cmdlet:

Set-MpPreference -PUAProtection Disabled

Als u de waarde voor deze cmdlet instelt op Disabled schakelt u de functie uit als deze is ingeschakeld.

Zie PowerShell-cmdlets gebruiken om powershell-cmdlets te configureren en Microsoft Defender Antivirus en Defender Antivirus-cmdletste configureren en uit te voeren.

Testen en controleren of PUA-blokkering werkt

Zodra u PUA hebt ingeschakeld in de blokmodus, kunt u testen of deze goed werkt. Zie Demonstratie van mogelijk ongewenste toepassingen (PUA) voor meer informatie.

PUA-gebeurtenissen weergeven met PowerShell

PUA-gebeurtenissen worden gerapporteerd in de Windows-Logboeken, maar niet in Microsoft Configuration Manager of in Intune. U kunt de Get-MpThreat cmdlet ook gebruiken om bedreigingen te bekijken die door Microsoft Defender Antivirus zijn verwerkt. Hier volgt een voorbeeld:

CategoryID       : 27
DidThreatExecute : False
IsActive         : False
Resources        : {webfile:_q:\Builds\Dalton_Download_Manager_3223905758.exe|http://d18yzm5yb8map8.cloudfront.net/
                    fo4yue@kxqdw/Dalton_Download_Manager.exe|pid:14196,ProcessStart:132378130057195714}
RollupStatus     : 33
SchemaVersion    : 1.0.0.0
SeverityID       : 1
ThreatID         : 213927
ThreatName       : PUA:Win32/InstallCore
TypeID           : 0
PSComputerName   :

Meldingen per e-mail ontvangen over PUA-detecties

U kunt e-mailmeldingen inschakelen om e-mail over PUA-detecties te ontvangen. Zie Problemen met gebeurtenis-id's oplossen voor meer informatie over Microsoft Defender Antivirus-gebeurtenissen. PUA-gebeurtenissen worden vastgelegd onder gebeurtenis-id 1160.

PUA-evenementen bekijken met geavanceerde opsporing

Als u Microsoft Defender voor Eindpuntgebruikt, kunt u een geavanceerde opsporingsquery uitvoeren om PUA-evenementen te bekijken. Hier volgt een voorbeeldquery:

DeviceEvents
| where ActionType == "AntivirusDetection"
| extend x = parse_json(AdditionalFields)
| project Timestamp, DeviceName, FolderPath, FileName, SHA256, ThreatName = tostring(x.ThreatName), WasExecutingWhileDetected = tostring(x.WasExecutingWhileDetected), WasRemediated = tostring(x.WasRemediated)
| where ThreatName startswith_cs 'PUA:'

Zie voor meer informatie over geavanceerde opsporing Proactief zoeken op bedreigingen met geavanceerde opsporing.

Bestanden uitsluiten van PUA-beveiliging

Soms wordt een bestand ten onrechte geblokkeerd door PUA-beveiliging of is een functie van een PUA vereist om een taak te voltooien. In deze gevallen kan een bestand worden toegevoegd aan een lijst met uitsluitingen.

Zie voor meer informatie Uitgesloten items configureren en valideren op basis van de bestandsextensie en maplocatie.

Zie ook

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.