Wykryj i blokuj potencjalnie niechciane aplikacje

  • Artykuł

Dotyczy:

Platformy

  • System Windows

Potencjalnie niechciane aplikacje (PUA) to kategoria oprogramowania, która może powodować powolne uruchamianie maszyny, wyświetlanie nieoczekiwanych reklam lub w najgorszym przypadku instalowanie innego oprogramowania, które może być nieoczekiwane lub niepożądane. Usługa PUA nie jest uważana za wirusa, złośliwe oprogramowanie ani inny typ zagrożenia, ale może wykonywać akcje w punktach końcowych, które niekorzystnie wpływają na wydajność lub użycie punktu końcowego. Termin PUA może również odnosić się do aplikacji, która ma słabą reputację, ocenianą przez Ochrona punktu końcowego w usłudze Microsoft Defender, ze względu na pewne rodzaje niepożądanego zachowania.

Oto kilka przykładów:

  • Oprogramowanie reklamowe , które wyświetla reklamy lub promocje, w tym oprogramowanie, które wstawia reklamy do stron internetowych.
  • Łączenie oprogramowania , które oferuje instalację innego oprogramowania, które nie jest podpisane cyfrowo przez tę samą jednostkę. Ponadto oprogramowanie, które oferuje instalację innego oprogramowania, które kwalifikuje się jako PUA.
  • Oprogramowanie do unikania opodatkowania , które aktywnie próbuje uniknąć wykrycia przez produkty zabezpieczające, w tym oprogramowanie, które zachowuje się inaczej w obecności produktów zabezpieczających.

Porada

Aby uzyskać więcej przykładów i omówić kryteria, których używamy do etykietowania aplikacji w celu zwrócenia szczególnej uwagi z funkcji zabezpieczeń, zobacz Jak firma Microsoft identyfikuje złośliwe oprogramowanie i potencjalnie niechciane aplikacje.

Potencjalnie niechciane aplikacje mogą zwiększyć ryzyko zainfekowania sieci rzeczywistym złośliwym oprogramowaniem, utrudnić identyfikację infekcji złośliwym oprogramowaniem lub kosztować zespoły IT i bezpieczeństwa czas i wysiłek w celu ich oczyszczenia. Ochrona pua jest obsługiwana w systemach Windows 11, Windows 10, Windows Server 2022, Windows Server 2019 i Windows Server 2016. Jeśli subskrypcja organizacji obejmuje Ochrona punktu końcowego w usłudze Microsoft Defender, program antywirusowy Microsoft Defender blokuje aplikacje, które są domyślnie uważane za pua na urządzeniach z systemem Windows.

Dowiedz się więcej o subskrypcjach systemu Windows Enterprise.

Microsoft Edge

Nowa przeglądarka Microsoft Edge oparta na Chromium blokuje potencjalnie niepożądane pliki do pobrania aplikacji i skojarzone adresy URL zasobów. Ta funkcja jest udostępniana za pośrednictwem Microsoft Defender SmartScreen.

Włączanie ochrony pua w przeglądarce Microsoft Edge opartej na Chromium

Mimo że potencjalnie niepożądana ochrona aplikacji w przeglądarce Microsoft Edge (oparta na Chromium wersji 80.0.361.50) jest domyślnie wyłączona, można ją łatwo włączyć z poziomu przeglądarki.

  1. W przeglądarce Microsoft Edge wybierz wielokropek, a następnie wybierz pozycję Ustawienia.

  2. Wybierz pozycję Prywatność, wyszukiwanie i usługi.

  3. W sekcji Zabezpieczenia włącz opcję Blokuj potencjalnie niechciane aplikacje.

Porada

Jeśli korzystasz z przeglądarki Microsoft Edge (opartej na Chromium), możesz bezpiecznie zapoznać się z funkcją blokowania adresów URL ochrony pua, testując ją na jednej z naszych stron demonstracyjnych Microsoft Defender SmartScreen.

Blokuj adresy URL przy użyciu Microsoft Defender SmartScreen

W Chromium opartej na przeglądarce Microsoft Edge z włączoną ochroną pua Microsoft Defender SmartScreen chroni przed adresami URL skojarzonymi z pua.

Administratorzy zabezpieczeń mogą skonfigurować sposób współpracy programu Microsoft Edge i Microsoft Defender SmartScreen w celu ochrony grup użytkowników przed adresami URL skojarzonymi z pua. Istnieje kilka ustawień zasad grupy jawnie dla Microsoft Defender SmartScreen dostępne, w tym jeden do blokowania PUA. Ponadto administratorzy mogą skonfigurować Microsoft Defender Filtr SmartScreen jako całość przy użyciu ustawień zasad grupy, aby włączyć lub wyłączyć Microsoft Defender Filtr SmartScreen.

Mimo że Ochrona punktu końcowego w usłudze Microsoft Defender ma własną listę blokową opartą na zestawie danych zarządzanym przez firmę Microsoft, możesz dostosować tę listę na podstawie własnej analizy zagrożeń. Jeśli tworzysz wskaźniki i zarządzasz nimi w portalu Ochrona punktu końcowego w usłudze Microsoft Defender, Microsoft Defender SmartScreen przestrzega nowych ustawień.

ochrona przed oprogramowaniem antywirusowym Microsoft Defender i pua

Funkcja ochrony potencjalnie niechcianej aplikacji (PUA) w programie antywirusowym Microsoft Defender może wykrywać i blokować pua w punktach końcowych w sieci.

Uwaga

Ta funkcja jest dostępna w Windows 11, Windows 10, Windows Server 2022, Windows Server 2019 i Windows Server 2016.

Microsoft Defender bloki antywirusowe wykryły pliki PUA i wszelkie próby ich pobrania, przeniesienia, uruchomienia lub zainstalowania. Zablokowane pliki PUA są następnie przenoszone do kwarantanny. Po wykryciu pliku PUA w punkcie końcowym program antywirusowy Microsoft Defender wysyła do użytkownika powiadomienie (chyba że powiadomienia zostały wyłączone w tym samym formacie co inne wykrycia zagrożeń. Powiadomienie jestpoprzee PUA: , aby wskazać jego zawartość.

Powiadomienie zostanie wyświetlone na zwykłej liście kwarantanny w aplikacji Zabezpieczenia Windows.

Konfigurowanie ochrony pua w programie antywirusowym Microsoft Defender

Ochronę pua można włączyć za pomocą Microsoft Intune, Microsoft Configuration Manager, zasady grupy lub za pomocą poleceń cmdlet programu PowerShell.

Najpierw spróbuj użyć ochrony pua w trybie inspekcji. Wykrywa potencjalnie niechciane aplikacje bez ich faktycznego blokowania. Wykrycia są przechwytywane w dzienniku zdarzeń systemu Windows. Ochrona pua w trybie inspekcji jest przydatna, jeśli firma przeprowadza wewnętrzną kontrolę zgodności z zabezpieczeniami oprogramowania i ważne jest, aby uniknąć fałszywie dodatnich wyników.

Konfigurowanie ochrony pua przy użyciu Intune

Zobacz następujące artykuły:

Konfigurowanie ochrony pua przy użyciu Configuration Manager

Ochrona pua jest domyślnie włączona w Microsoft Configuration Manager (Current Branch).

Zobacz Jak utworzyć i wdrożyć zasady ochrony przed złośliwym kodem: zaplanowane skanowanie ustawień, aby uzyskać szczegółowe informacje na temat konfigurowania Microsoft Configuration Manager (Current Branch).

W przypadku programu System Center 2012 Configuration Manager zobacz How to Deploy Potentially Unwanted Application Protection Policy for Endpoint Protection in Configuration Manager (Jak wdrożyć potencjalnie niechciane zasady ochrony aplikacji dla programu Endpoint Protection w Configuration Manager).

Uwaga

Zdarzenia pua zablokowane przez program antywirusowy Microsoft Defender są zgłaszane w Podgląd zdarzeń systemu Windows, a nie w Microsoft Configuration Manager.

Konfigurowanie ochrony pua przy użyciu zasady grupy

  1. Pobierz i zainstaluj szablony administracyjne (.admx) dla Windows 11 aktualizacji z października 2021 r. (21H2)

  2. Na komputerze zarządzania zasady grupy otwórz konsolę zarządzania zasady grupy.

  3. Wybierz obiekt zasady grupy, który chcesz skonfigurować, a następnie wybierz pozycję Edytuj.

  4. W Edytorze zarządzania zasadami grupy przejdź do obszaru Konfiguracja komputera i wybierz pozycję Szablony administracyjne.

  5. Rozwiń drzewo do pozycji Składniki> systemu Windows Microsoft Defender program antywirusowy.

  6. Kliknij dwukrotnie pozycję Konfiguruj wykrywanie potencjalnie niechcianych aplikacji.

  7. Wybierz pozycję Włączone , aby włączyć ochronę pua.

  8. W obszarze Opcje wybierz pozycję Blokuj , aby zablokować potencjalnie niechciane aplikacje, lub wybierz pozycję Tryb inspekcji , aby przetestować działanie ustawienia w środowisku. Wybierz przycisk OK.

  9. Wdróż obiekt zasady grupy tak jak zwykle.

Konfigurowanie ochrony pua przy użyciu poleceń cmdlet programu PowerShell

Aby włączyć ochronę pua

Set-MpPreference -PUAProtection Enabled

Ustawienie wartości dla tego polecenia cmdlet Enabled powoduje włączenie funkcji, jeśli została wyłączona.

Aby ustawić ochronę pua na tryb inspekcji

Set-MpPreference -PUAProtection AuditMode

Ustawienie AuditMode wykrywa puas bez blokowania ich.

Aby wyłączyć ochronę pua

Zalecamy włączenie ochrony pua. Można go jednak wyłączyć przy użyciu następującego polecenia cmdlet:

Set-MpPreference -PUAProtection Disabled

Ustawienie wartości dla tego polecenia cmdlet Disabled powoduje wyłączenie funkcji, jeśli została włączona.

Aby uzyskać więcej informacji, zobacz Używanie poleceń cmdlet programu PowerShell do konfigurowania i uruchamiania poleceńcmdlet Microsoft Defender Antivirus i Defender Antivirus.

Wyświetlanie zdarzeń pua przy użyciu programu PowerShell

Zdarzenia pua są zgłaszane w Podgląd zdarzeń systemu Windows, ale nie w Microsoft Configuration Manager lub w Intune. Możesz również użyć Get-MpThreat polecenia cmdlet, aby wyświetlić zagrożenia, które Microsoft Defender obsługiwane przez program antywirusowy. Oto przykład:

CategoryID       : 27
DidThreatExecute : False
IsActive         : False
Resources        : {webfile:_q:\Builds\Dalton_Download_Manager_3223905758.exe|http://d18yzm5yb8map8.cloudfront.net/
                    fo4yue@kxqdw/Dalton_Download_Manager.exe|pid:14196,ProcessStart:132378130057195714}
RollupStatus     : 33
SchemaVersion    : 1.0.0.0
SeverityID       : 1
ThreatID         : 213927
ThreatName       : PUA:Win32/InstallCore
TypeID           : 0
PSComputerName   :

Pobieranie powiadomień e-mail dotyczących wykrywania pua

Możesz włączyć powiadomienia e-mail, aby otrzymywać wiadomości e-mail dotyczące wykrywania pua.

Zobacz Rozwiązywanie problemów z identyfikatorami zdarzeń, aby uzyskać szczegółowe informacje na temat wyświetlania zdarzeń programu antywirusowego Microsoft Defender. Zdarzenia PUA są rejestrowane pod identyfikatorem zdarzenia 1160.

Wyświetlanie zdarzeń PUA przy użyciu zaawansowanego wyszukiwania zagrożeń

Jeśli używasz Ochrona punktu końcowego w usłudze Microsoft Defender, możesz użyć zaawansowanego zapytania wyszukiwania zagrożeń, aby wyświetlić zdarzenia PUA. Oto przykładowe zapytanie:

DeviceEvents
| where ActionType == "AntivirusDetection"
| extend x = parse_json(AdditionalFields)
| project Timestamp, DeviceName, FolderPath, FileName, SHA256, ThreatName = tostring(x.ThreatName), WasExecutingWhileDetected = tostring(x.WasExecutingWhileDetected), WasRemediated = tostring(x.WasRemediated)
| where ThreatName startswith_cs 'PUA:'

Aby dowiedzieć się więcej na temat zaawansowanego wyszukiwania zagrożeń, zobacz Proaktywne wyszukiwanie zagrożeń przy użyciu zaawansowanego wyszukiwania zagrożeń.

Wykluczanie plików z ochrony pua

Czasami plik jest błędnie blokowany przez ochronę pua lub funkcja pua jest wymagana do wykonania zadania. W takich przypadkach plik można dodać do listy wykluczeń.

Aby uzyskać więcej informacji, zobacz Konfigurowanie i weryfikowanie wykluczeń na podstawie rozszerzenia pliku i lokalizacji folderu.

Porada

Jeśli szukasz informacji dotyczących programu antywirusowego dla innych platform, zobacz:

Zobacz też

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.