Compartilhar via


Detectar e bloquear aplicativos potencialmente indesejados

Aplica-se a:

Plataformas

  • Windows

Microsoft Defender Antivírus está disponível nas seguintes edições/versões do Windows e do Windows Server:

  • Windows Server 2022
  • Windows Server 2019
  • Windows Server, versão 1803 ou posterior
  • Windows Server 2016
  • Windows Server 2012 R2 (Requer Microsoft Defender para Ponto de Extremidade)
  • Windows 11
  • Windows 10
  • Windows 8.1

Para macOS, veja Detetar e bloquear aplicações potencialmente indesejadas com o Defender para Endpoint no macOS.

Para Linux, veja Detetar e bloquear aplicações potencialmente indesejadas com o Defender para Endpoint no Linux.

Os aplicativos potencialmente indesejados (PUA) são uma categoria de software que pode fazer sua máquina funcionar lentamente, exibir anúncios inesperados ou, pior ainda, instalar outro software inesperado ou indesejado. O PUA não é considerado um vírus, software maligno ou outro tipo de ameaça, mas pode executar ações em pontos finais que afetam negativamente o desempenho ou a utilização do ponto final. O termo PUA também pode se referir a um aplicativo que tem uma reputação ruim, conforme avaliado pelo Microsoft Defender ATP, devido a certos tipos de comportamento indesejável.

Aqui estão alguns exemplos:

  • Software de anúncio que exibe anúncios ou promoções, incluindo software que insere anúncios em páginas da Web.
  • Agrupar software que oferece a instalação de outro software que não seja assinado digitalmente pela mesma entidade. Além disso, o software que oferece a instalação de outro software qualificado como PUA.
  • Software de evasão que tenta ativamente evitar a detecção por produtos de segurança, incluindo software que se comporta de maneira diferente na presença de produtos de segurança.

Dica

Para obter mais exemplos e uma discussão sobre os critérios que usamos para rotular aplicativos a fim de obter atenção especial dos recursos de segurança, confira Como a Microsoft identifica malware e aplicativos potencialmente indesejados.

Aplicativos potencialmente indesejados podem aumentar o risco de sua rede ser infectada com malware real, dificultar a identificação das infecções por malware ou custar tempo e esforço das equipes de TI e segurança para limpá-los. Se a subscrição da sua organização incluir Microsoft Defender para Ponto de Extremidade, também pode definir Microsoft Defender PUA antivírus para bloquear, de modo a bloquear aplicações consideradas PUA em dispositivos Windows.

Saiba mais sobre as assinaturas do Windows Enterprise.

Dica

Como complemento a este artigo, consulte o nosso guia de configuração Microsoft Defender para Ponto de Extremidade para rever as melhores práticas e saber mais sobre ferramentas essenciais, como a redução da superfície de ataque e a proteção da próxima geração. Para uma experiência personalizada com base no seu ambiente, pode aceder ao guia de configuração automatizada do Defender para Endpoint no Centro de administração do Microsoft 365.

Microsoft Edge

O novo Microsoft Edge, que é baseado no Chromium, bloqueia downloads de aplicativos potencialmente indesejados e URLs de recursos associados. Este recurso é fornecido por meio do Microsoft Defender SmartScreen.

Habilitar a proteção contra PUA no Microsoft Edge baseado no Chromium

Embora a proteção de aplicativos potencialmente indesejados no Microsoft Edge (baseado no Chromium, versão 80.0.361.50) esteja desativada por padrão, pode ser facilmente ativada a partir do navegador.

  1. No browser Microsoft Edge, selecione as reticências e, em seguida, selecione Definições.

  2. Selecione Privacidade, pesquisa e serviços.

  3. Na seção Segurança, ative Bloquear aplicativos potencialmente indesejados.

Dica

Se estiver executando o Microsoft Edge (baseado no Chromium), você poderá explorar com segurança o recurso de bloqueio de URL da proteção contra PUA testando-o em uma de nossas páginas de demonstração do Microsoft Defender SmartScreen.

Bloquear URLs com o Microsoft Defender SmartScreen

No Microsoft Edge baseado em Chromium com a proteção contra PUA ativada, Microsoft Defender SmartScreen protege-o de URLs associados a PUA.

Os administradores de segurança podem configurar como o Microsoft Edge e o Microsoft Defender SmartScreen trabalham juntos para proteger grupos de usuários contra URLs associadas ao PUA. Há várias configurações de política de grupo explicitamente disponíveis para o Microsoft Defender SmartScreen, incluindo uma para bloquear o PUA. Além disso, os administradores podem configurar o Microsoft Defender SmartScreen como um todo, usando configurações de política de grupo para ativar ou desativar o Microsoft Defender SmartScreen.

Embora o Microsoft Defender ATP tenha sua própria lista de bloqueio com base em um conjunto de dados gerenciado pela Microsoft, você pode personalizar essa lista com base em sua própria inteligência contra ameaças. Se você criar e gerenciar indicadores no portal Microsoft Defender ATP, o Microsoft Defender SmartScreen respeitará as novas configurações.

Proteção contra PUA e Microsoft Defender Antivírus

O recurso de proteção do aplicativo potencialmente indesejado (PUA) no Microsoft Defender Antivírus detecta e bloqueia o PUA em pontos de extremidade da sua rede.

O Microsoft Defender Antivírus bloqueia arquivos PUA detectados e qualquer tentativa de baixar, mover, executar ou instalá-los. Em seguida, os arquivos PUA bloqueados são movidos para a quarentena. Quando um arquivo PUA é detectado em um ponto de extremidade, o Microsoft Defender Antivírus envia uma notificação ao usuário (a menos que as notificações tenham sido desabilitadas no mesmo formato que outras detecções de ameaças. A notificação é precedida de PUA: para indicar seu conteúdo.

A notificação aparece na lista de quarentena normal dentro do aplicativo Windows Security.

Configurar a proteção contra PUA no Microsoft Defender Antivírus

Pode ativar a proteção contra PUA com a Gestão de Definições de Segurança Microsoft Defender para Ponto de Extremidade, Microsoft Intune, Microsoft Configuration Manager, Política de Grupo ou através de cmdlets do PowerShell.

Inicialmente, experimente utilizar a proteção contra PUA no modo de auditoria. Deteta aplicações potencialmente indesejadas sem realmente bloqueá-las. As deteções são capturadas no registo de Eventos do Windows. A proteção contra PUA no modo de auditoria é útil se a sua empresa estiver a realizar uma marcar de conformidade de segurança de software interna e for importante evitar falsos positivos.

Utilizar a Gestão de Definições de Segurança do Microsoft Defender para Ponto de Extremidade para configurar a proteção contra PUA

Confira os seguintes artigos:

Usar o Intune para configurar a proteção contra PUA

Confira os seguintes artigos:

Usar o Configuration Manager para configurar a proteção contra PUA

A proteção contra PUA está ativada por predefinição no Microsoft Configuration Manager (Current Branch).

Veja Como criar e implementar políticas antimalware: Definições de análises agendadas para obter detalhes sobre como configurar Microsoft Configuration Manager (Current Branch).

Para o System Center 2012 Configuration Manager, confira Como implantar a Política de Proteção do Aplicativo Potencialmente Indesejado para a Proteção do Ponto de Extremidade no Configuration Manager.

Observação

Os eventos PUA bloqueados por Microsoft Defender Antivírus são reportados no windows Visualizador de Eventos e não no Microsoft Configuration Manager.

Usar a Política de Grupo para configurar a proteção contra PUA

  1. Baixe e instale os Modelos Administrativos (.admx) para a Atualização de outubro de 2021 do Windows 11 (21H2)

  2. No computador de gerenciamento de Política de Grupo, abra o Console de Gerenciamento de Política de Grupo.

  3. Selecione o Objeto de Política de Grupo que deseja configurar e escolha Editar.

  4. No Editor de Gerenciamento de Política de Grupo, acesse Configuração do Computador e selecione Modelos Administrativos.

  5. Expanda a árvore para Componentes do Windows>Microsoft Defender Antivírus.

  6. Faça duplo clique em Configurar deteção para aplicações potencialmente indesejadas e defina-a como Ativada.

  7. Em Opções, selecione Bloquear para bloquear aplicativos potencialmente indesejados ou selecione Modo de auditoria para testar como a configuração funciona em seu ambiente. Selecione OK.

  8. Implante seu objeto de Política de Grupo como de costume.

Usar cmdlets do PowerShell para configurar a proteção contra PUA

Para habilitar a proteção contra PUA

Set-MpPreference -PUAProtection Enabled

Definir o valor deste cmdlet para Enabled ativa o recurso, caso ele tenha sido desabilitado.

Para definir a proteção contra PUA para o modo de auditoria

Set-MpPreference -PUAProtection AuditMode

Definir o AuditMode detecta PUAs sem bloqueá-los.

Para desabilitar a proteção contra PUA

Recomendamos manter a proteção contra PUA ativada. No entanto, você pode desativá-lo usando o seguinte cmdlet:

Set-MpPreference -PUAProtection Disabled

Definir o valor deste cmdlet para Disabled desativa o recurso, caso ele tenha sido habilitado.

Para obter mais informações, confira Usar cmdlets do PowerShell para configurar e executar cmdlets Microsoft Defender Antivírus e Defender Antivírus.

Teste e certifique-se de que o bloqueio de PUA funciona

Assim que tiver o PUA ativado no modo de bloqueio, pode testar para se certificar de que está a funcionar corretamente. Para obter mais informações, veja Demonstração de aplicações potencialmente indesejadas (PUA).

Exibir eventos PUA usando o PowerShell

Os eventos PUA são reportados na Visualizador de Eventos do Windows, mas não em Microsoft Configuration Manager ou em Intune. Você também pode usar o cmdlet Get-MpThreat para visualizar as ameaças manipuladas pelo Microsoft Defender Antivírus. Veja um exemplo:

CategoryID       : 27
DidThreatExecute : False
IsActive         : False
Resources        : {webfile:_q:\Builds\Dalton_Download_Manager_3223905758.exe|http://d18yzm5yb8map8.cloudfront.net/
                    fo4yue@kxqdw/Dalton_Download_Manager.exe|pid:14196,ProcessStart:132378130057195714}
RollupStatus     : 33
SchemaVersion    : 1.0.0.0
SeverityID       : 1
ThreatID         : 213927
ThreatName       : PUA:Win32/InstallCore
TypeID           : 0
PSComputerName   :

Receber notificações por email sobre detecções de PUA

Você pode ativar as notificações por email para receber emails sobre detecções de PUA. Para obter mais informações sobre Microsoft Defender eventos antivírus, veja Resolver problemas de IDs de eventos. Os eventos PUA são registrados na ID do evento 1160.

Visualizar eventos PUA usando a busca avançada de ameaças

Se estiver usando o Microsoft Defender ATP, você pode usar uma consulta de busca avançada de ameaças para visualizar eventos PUA. Veja um exemplo de consulta:

DeviceEvents
| where ActionType == "AntivirusDetection"
| extend x = parse_json(AdditionalFields)
| project Timestamp, DeviceName, FolderPath, FileName, SHA256, ThreatName = tostring(x.ThreatName), WasExecutingWhileDetected = tostring(x.WasExecutingWhileDetected), WasRemediated = tostring(x.WasRemediated)
| where ThreatName startswith_cs 'PUA:'

Para saber mais sobre a busca avançada de ameaças, confira Buscar proativamente as ameaças com a busca avançada de ameaças.

Excluir arquivos da proteção contra PUA

Às vezes, um arquivo é bloqueado erroneamente pela proteção contra PUA ou um recurso de um PUA é necessário para concluir uma tarefa. Nesses casos, é possível adicionar um arquivo a uma lista de exclusão.

Para obter mais informações, confira Configurar e validar exclusões com base na extensão do arquivo e no local da pasta.

Confira também

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.