Potencjalnie niechciane aplikacje (PUA) to kategoria oprogramowania, która może powodować powolne uruchamianie maszyny, wyświetlanie nieoczekiwanych reklam lub w najgorszym przypadku instalowanie innego oprogramowania, które może być nieoczekiwane lub niepożądane. Usługa PUA nie jest uważana za wirusa, złośliwe oprogramowanie ani inny typ zagrożenia, ale może wykonywać akcje w punktach końcowych, które niekorzystnie wpływają na wydajność lub użycie punktu końcowego. Termin PUA może również odnosić się do aplikacji, która ma słabą reputację, ocenianą przez Ochrona punktu końcowego w usłudze Microsoft Defender, ze względu na pewne rodzaje niepożądanego zachowania.
Oto kilka przykładów:
Oprogramowanie reklamowe , które wyświetla reklamy lub promocje, w tym oprogramowanie, które wstawia reklamy do stron internetowych.
Łączenie oprogramowania , które oferuje instalację innego oprogramowania, które nie jest podpisane cyfrowo przez tę samą jednostkę. Ponadto oprogramowanie, które oferuje instalację innego oprogramowania, które kwalifikuje się jako PUA.
Oprogramowanie do unikania opodatkowania , które aktywnie próbuje uniknąć wykrycia przez produkty zabezpieczające, w tym oprogramowanie, które zachowuje się inaczej w obecności produktów zabezpieczających.
Potencjalnie niechciane aplikacje mogą zwiększyć ryzyko zainfekowania sieci rzeczywistym złośliwym oprogramowaniem, utrudnić identyfikację infekcji złośliwym oprogramowaniem lub kosztować zespoły IT i bezpieczeństwa czas i wysiłek w celu ich oczyszczenia. Jeśli subskrypcja twojej organizacji obejmuje Ochrona punktu końcowego w usłudze Microsoft Defender, możesz również ustawić blokadę Microsoft Defender Antivirus PUA, aby blokować aplikacje, które są uważane za pua na urządzeniach z systemem Windows.
Aby zapoznać się z tym artykułem, zapoznaj się z naszym przewodnikiem po konfiguracji Ochrona punktu końcowego w usłudze Microsoft Defender, aby zapoznać się z najlepszymi rozwiązaniami i poznać podstawowe narzędzia, takie jak zmniejszanie obszaru podatnego na ataki i ochrona nowej generacji. Aby uzyskać dostosowane środowisko oparte na środowisku, możesz uzyskać dostęp do przewodnika automatycznej konfiguracji usługi Defender for Endpoint w Centrum administracyjne platformy Microsoft 365.
Microsoft Edge
Nowa przeglądarka Microsoft Edge oparta na Chromium blokuje potencjalnie niepożądane pliki do pobrania aplikacji i skojarzone adresy URL zasobów. Ta funkcja jest udostępniana za pośrednictwem Microsoft Defender SmartScreen.
Włączanie ochrony pua w przeglądarce Microsoft Edge opartej na Chromium
Mimo że potencjalnie niepożądana ochrona aplikacji w przeglądarce Microsoft Edge (oparta na Chromium wersji 80.0.361.50) jest domyślnie wyłączona, można ją łatwo włączyć z poziomu przeglądarki.
W przeglądarce Microsoft Edge wybierz wielokropek, a następnie wybierz pozycję Ustawienia.
Wybierz pozycję Prywatność, wyszukiwanie i usługi.
W sekcji Zabezpieczenia włącz opcję Blokuj potencjalnie niechciane aplikacje.
Porada
Jeśli korzystasz z przeglądarki Microsoft Edge (opartej na Chromium), możesz bezpiecznie zapoznać się z funkcją blokowania adresów URL ochrony pua, testując ją na jednej z naszych stron demonstracyjnych Microsoft Defender SmartScreen.
Blokuj adresy URL przy użyciu Microsoft Defender SmartScreen
W Chromium opartej na przeglądarce Microsoft Edge z włączoną ochroną pua Microsoft Defender SmartScreen chroni przed adresami URL skojarzonymi z pua.
Administratorzy zabezpieczeń mogą skonfigurować sposób współpracy programu Microsoft Edge i Microsoft Defender SmartScreen w celu ochrony grup użytkowników przed adresami URL skojarzonymi z pua. Istnieje kilka ustawień zasad grupy jawnie dla Microsoft Defender SmartScreen dostępne, w tym jeden do blokowania PUA. Ponadto administratorzy mogą skonfigurować Microsoft Defender Filtr SmartScreen jako całość przy użyciu ustawień zasad grupy, aby włączyć lub wyłączyć Microsoft Defender Filtr SmartScreen.
Mimo że Ochrona punktu końcowego w usłudze Microsoft Defender ma własną listę blokową opartą na zestawie danych zarządzanym przez firmę Microsoft, możesz dostosować tę listę na podstawie własnej analizy zagrożeń. Jeśli tworzysz wskaźniki i zarządzasz nimi w portalu Ochrona punktu końcowego w usłudze Microsoft Defender, Microsoft Defender SmartScreen przestrzega nowych ustawień.
ochrona przed oprogramowaniem antywirusowym Microsoft Defender i pua
Funkcja ochrony potencjalnie niechcianej aplikacji (PUA) w programie antywirusowym Microsoft Defender może wykrywać i blokować pua w punktach końcowych w sieci.
Microsoft Defender bloki antywirusowe wykryły pliki PUA i wszelkie próby ich pobrania, przeniesienia, uruchomienia lub zainstalowania. Zablokowane pliki PUA są następnie przenoszone do kwarantanny. Po wykryciu pliku PUA w punkcie końcowym program antywirusowy Microsoft Defender wysyła do użytkownika powiadomienie (chyba że powiadomienia zostały wyłączone w tym samym formacie co inne wykrycia zagrożeń. Powiadomienie jestpoprzee PUA: , aby wskazać jego zawartość.
Najpierw spróbuj użyć ochrony pua w trybie inspekcji. Wykrywa potencjalnie niechciane aplikacje bez ich faktycznego blokowania. Wykrycia są przechwytywane w dzienniku zdarzeń systemu Windows. Ochrona pua w trybie inspekcji jest przydatna, jeśli firma przeprowadza wewnętrzną kontrolę zgodności z zabezpieczeniami oprogramowania i ważne jest, aby uniknąć fałszywie dodatnich wyników.
Konfigurowanie ochrony pua przy użyciu zarządzania ustawieniami zabezpieczeń Ochrona punktu końcowego w usłudze Microsoft Defender
Zdarzenia pua zablokowane przez program antywirusowy Microsoft Defender są zgłaszane w Podgląd zdarzeń systemu Windows, a nie w Microsoft Configuration Manager.
Konfigurowanie ochrony pua przy użyciu zasady grupy
Wybierz obiekt zasady grupy, który chcesz skonfigurować, a następnie wybierz pozycję Edytuj.
W Edytorze zarządzania zasadami grupy przejdź do obszaru Konfiguracja komputera i wybierz pozycję Szablony administracyjne.
Rozwiń drzewo do pozycji Składniki> systemu Windows Microsoft Defender program antywirusowy.
Kliknij dwukrotnie pozycję Konfiguruj wykrywanie dla potencjalnie niechcianych aplikacji i ustaw ją na wartość Włączone.
W obszarze Opcje wybierz pozycję Blokuj , aby zablokować potencjalnie niechciane aplikacje, lub wybierz pozycję Tryb inspekcji , aby przetestować działanie ustawienia w środowisku. Wybierz przycisk OK.
Wdróż obiekt zasady grupy tak jak zwykle.
Konfigurowanie ochrony pua przy użyciu poleceń cmdlet programu PowerShell
Aby włączyć ochronę pua
Set-MpPreference -PUAProtection Enabled
Ustawienie wartości dla tego polecenia cmdlet Enabled powoduje włączenie funkcji, jeśli została wyłączona.
Aby ustawić ochronę pua na tryb inspekcji
Set-MpPreference -PUAProtection AuditMode
Ustawienie AuditMode wykrywa puas bez blokowania ich.
Aby wyłączyć ochronę pua
Zalecamy włączenie ochrony pua. Można go jednak wyłączyć przy użyciu następującego polecenia cmdlet:
Set-MpPreference -PUAProtection Disabled
Ustawienie wartości dla tego polecenia cmdlet Disabled powoduje wyłączenie funkcji, jeśli została włączona.
Testowanie i upewnienie się, że blokowanie pua działa
Po włączeniu funkcji PUA w trybie bloku możesz przetestować działanie, aby upewnić się, że działa prawidłowo. Aby uzyskać więcej informacji, zobacz Pokaz potencjalnie niechcianych aplikacji (PUA).
Wyświetlanie zdarzeń pua przy użyciu programu PowerShell
Zdarzenia pua są zgłaszane w Podgląd zdarzeń systemu Windows, ale nie w Microsoft Configuration Manager lub w Intune. Możesz również użyć Get-MpThreat polecenia cmdlet, aby wyświetlić zagrożenia, które Microsoft Defender obsługiwane przez program antywirusowy. Oto przykład:
Pobieranie powiadomień e-mail dotyczących wykrywania pua
Możesz włączyć powiadomienia e-mail, aby otrzymywać wiadomości e-mail dotyczące wykrywania pua. Aby uzyskać więcej informacji na temat zdarzeń programu antywirusowego Microsoft Defender, zobacz Rozwiązywanie problemów z identyfikatorami zdarzeń. Zdarzenia PUA są rejestrowane pod identyfikatorem zdarzenia 1160.
Wyświetlanie zdarzeń PUA przy użyciu zaawansowanego wyszukiwania zagrożeń
Czasami plik jest błędnie blokowany przez ochronę pua lub funkcja pua jest wymagana do wykonania zadania. W takich przypadkach plik można dodać do listy wykluczeń.
Plan and execute an endpoint deployment strategy, using essential elements of modern management, co-management approaches, and Microsoft Intune integration.