Detectar e bloquear aplicativos potencialmente indesejados

Aplica-se a:

Plataformas

  • Windows

Os aplicativos potencialmente indesejados (PUA) são uma categoria de software que pode fazer sua máquina funcionar lentamente, exibir anúncios inesperados ou, pior ainda, instalar outro software inesperado ou indesejado. O PUA não é considerado um vírus, malware ou outro tipo de ameaça, mas pode executar ações em pontos de extremidade que afetam negativamente o desempenho ou o uso do ponto de extremidade. O termo PUA também pode se referir a um aplicativo que tem uma reputação ruim, conforme avaliado pelo Microsoft Defender ATP, devido a certos tipos de comportamento indesejável.

Aqui estão alguns exemplos:

  • Software de anúncio que exibe anúncios ou promoções, incluindo software que insere anúncios em páginas da Web.
  • Agrupar software que oferece para instalar outros softwares que não são assinados digitalmente pela mesma entidade. Além disso, o software que oferece a instalação de outro software qualificado como PUA.
  • Software de evasão que tenta ativamente evitar a detecção por produtos de segurança, incluindo software que se comporta de maneira diferente na presença de produtos de segurança.

Dica

Para obter mais exemplos e uma discussão sobre os critérios que usamos para rotular aplicativos a fim de obter atenção especial dos recursos de segurança, confira Como a Microsoft identifica malware e aplicativos potencialmente indesejados.

Aplicativos potencialmente indesejados podem aumentar o risco de sua rede ser infectada com malware real, dificultar a identificação das infecções por malware ou custar tempo e esforço das equipes de TI e segurança para limpá-los. A proteção PUA possui suporte no Windows 11, Windows 10, Windows Server 2022, Windows Server 2019 e Windows Server 2016. Se a assinatura da sua organização incluir o Microsoft Defender para Ponto de Extremidade, o Microsoft Defender Antivírus bloqueará aplicativos que são considerados PUA por padrão em dispositivos Windows.

Saiba mais sobre as assinaturas do Windows Enterprise.

Microsoft Edge

O novo Microsoft Edge, que é baseado no Chromium, bloqueia downloads de aplicativos potencialmente indesejados e URLs de recursos associados. Este recurso é fornecido por meio do Microsoft Defender SmartScreen.

Habilitar a proteção contra PUA no Microsoft Edge baseado no Chromium

Embora a proteção de aplicativos potencialmente indesejados no Microsoft Edge (baseado no Chromium, versão 80.0.361.50) esteja desativada por padrão, pode ser facilmente ativada a partir do navegador.

  1. No navegador do Microsoft Edge, selecione as reticências e escolha Configurações.

  2. Selecione Privacidade, pesquisa e serviços.

  3. Na seção Segurança, ative Bloquear aplicativos potencialmente indesejados.

Dica

Se estiver executando o Microsoft Edge (baseado no Chromium), você poderá explorar com segurança o recurso de bloqueio de URL da proteção contra PUA testando-o em uma de nossas páginas de demonstração do Microsoft Defender SmartScreen.

Bloquear URLs com o Microsoft Defender SmartScreen

No Microsoft Edge baseado em Chromium com a proteção PUA ativada, Microsoft Defender SmartScreen protege você contra URLs associadas à PUA.

Os administradores de segurança podem configurar como o Microsoft Edge e o Microsoft Defender SmartScreen trabalham juntos para proteger grupos de usuários contra URLs associadas ao PUA. Há várias configurações de política de grupo explicitamente disponíveis para o Microsoft Defender SmartScreen, incluindo uma para bloquear o PUA. Além disso, os administradores podem configurar o Microsoft Defender SmartScreen como um todo, usando configurações de política de grupo para ativar ou desativar o Microsoft Defender SmartScreen.

Embora o Microsoft Defender ATP tenha sua própria lista de bloqueio com base em um conjunto de dados gerenciado pela Microsoft, você pode personalizar essa lista com base em sua própria inteligência contra ameaças. Se você criar e gerenciar indicadores no portal Microsoft Defender ATP, o Microsoft Defender SmartScreen respeitará as novas configurações.

Proteção contra PUA e Microsoft Defender Antivírus

O recurso de proteção do aplicativo potencialmente indesejado (PUA) no Microsoft Defender Antivírus detecta e bloqueia o PUA em pontos de extremidade da sua rede.

Observação

Esse recurso está disponível no Windows 11, Windows 10, Windows Server 2022, Windows Server 2019 e Windows Server 2016.

O Microsoft Defender Antivírus bloqueia arquivos PUA detectados e qualquer tentativa de baixar, mover, executar ou instalá-los. Em seguida, os arquivos PUA bloqueados são movidos para a quarentena. Quando um arquivo PUA é detectado em um ponto de extremidade, o Microsoft Defender Antivírus envia uma notificação ao usuário (a menos que as notificações tenham sido desabilitadas no mesmo formato que outras detecções de ameaças. A notificação é precedida de PUA: para indicar seu conteúdo.

A notificação aparece na lista de quarentena normal dentro do aplicativo Windows Security.

Configurar a proteção contra PUA no Microsoft Defender Antivírus

Você pode habilitar a proteção PUA com Microsoft Intune, Microsoft Configuration Manager, Política de Grupo ou por meio de cmdlets do PowerShell.

No início, tente usar a proteção PUA no modo de auditoria. Ele detecta aplicativos potencialmente indesejados sem bloqueá-los de fato. As detecções são capturadas no log de eventos do Windows. A proteção de PUA no modo de auditoria será útil se sua empresa estiver conduzindo uma marcar interna de conformidade de segurança de software e é importante evitar falsos positivos.

Usar o Intune para configurar a proteção contra PUA

Confira os seguintes artigos:

Usar o Configuration Manager para configurar a proteção contra PUA

A proteção PUA é habilitada por padrão no Microsoft Configuration Manager (Branch Atual).

Confira Como criar e implantar políticas antimalware: configurações de verificação agendadas para obter detalhes sobre como configurar Microsoft Configuration Manager (Branch Atual).

Para o System Center 2012 Configuration Manager, confira Como implantar a Política de Proteção do Aplicativo Potencialmente Indesejado para a Proteção do Ponto de Extremidade no Configuration Manager.

Observação

Eventos PUA bloqueados pelo Microsoft Defender Antivírus são relatados no Visualizador de Eventos do Windows e não em Microsoft Configuration Manager.

Usar a Política de Grupo para configurar a proteção contra PUA

  1. Baixe e instale os Modelos Administrativos (.admx) para a Atualização de outubro de 2021 do Windows 11 (21H2)

  2. No computador de gerenciamento de Política de Grupo, abra o Console de Gerenciamento de Política de Grupo.

  3. Selecione o Objeto de Política de Grupo que deseja configurar e escolha Editar.

  4. No Editor de Gerenciamento de Política de Grupo, acesse Configuração do Computador e selecione Modelos Administrativos.

  5. Expanda a árvore para Componentes do Windows>Microsoft Defender Antivírus.

  6. Clique duas vezes em Configurar a detecção de aplicativos potencialmente indesejados.

  7. Selecione Habilitado para habilitar a proteção contra PUA.

  8. Em Opções, selecione Bloquear para bloquear aplicativos potencialmente indesejados ou selecione Modo de auditoria para testar como a configuração funciona em seu ambiente. Selecione OK.

  9. Implante seu objeto de Política de Grupo como de costume.

Usar cmdlets do PowerShell para configurar a proteção contra PUA

Para habilitar a proteção contra PUA

Set-MpPreference -PUAProtection Enabled

Definir o valor deste cmdlet para Enabled ativa o recurso, caso ele tenha sido desabilitado.

Para definir a proteção contra PUA para o modo de auditoria

Set-MpPreference -PUAProtection AuditMode

Definir o AuditMode detecta PUAs sem bloqueá-los.

Para desabilitar a proteção contra PUA

Recomendamos manter a proteção contra PUA ativada. No entanto, você pode desativá-lo usando o seguinte cmdlet:

Set-MpPreference -PUAProtection Disabled

Definir o valor deste cmdlet para Disabled desativa o recurso, caso ele tenha sido habilitado.

Para obter mais informações, confira Usar cmdlets do PowerShell para configurar e executar cmdlets Microsoft Defender Antivírus e Defender Antivírus.

Exibir eventos PUA usando o PowerShell

Eventos PUA são relatados no Visualizador de Eventos do Windows, mas não em Microsoft Configuration Manager ou em Intune. Você também pode usar o cmdlet Get-MpThreat para visualizar as ameaças manipuladas pelo Microsoft Defender Antivírus. Veja um exemplo:

CategoryID       : 27
DidThreatExecute : False
IsActive         : False
Resources        : {webfile:_q:\Builds\Dalton_Download_Manager_3223905758.exe|http://d18yzm5yb8map8.cloudfront.net/
                    fo4yue@kxqdw/Dalton_Download_Manager.exe|pid:14196,ProcessStart:132378130057195714}
RollupStatus     : 33
SchemaVersion    : 1.0.0.0
SeverityID       : 1
ThreatID         : 213927
ThreatName       : PUA:Win32/InstallCore
TypeID           : 0
PSComputerName   :

Receber notificações por email sobre detecções de PUA

Você pode ativar as notificações por email para receber emails sobre detecções de PUA.

Confira Solução de problemas de IDs de eventos para obter detalhes sobre a visualização de eventos do Microsoft Defender Antivírus. Os eventos PUA são registrados na ID do evento 1160.

Visualizar eventos PUA usando a busca avançada de ameaças

Se estiver usando o Microsoft Defender ATP, você pode usar uma consulta de busca avançada de ameaças para visualizar eventos PUA. Veja um exemplo de consulta:

DeviceEvents
| where ActionType == "AntivirusDetection"
| extend x = parse_json(AdditionalFields)
| project Timestamp, DeviceName, FolderPath, FileName, SHA256, ThreatName = tostring(x.ThreatName), WasExecutingWhileDetected = tostring(x.WasExecutingWhileDetected), WasRemediated = tostring(x.WasRemediated)
| where ThreatName startswith_cs 'PUA:'

Para saber mais sobre a busca avançada de ameaças, confira Buscar proativamente as ameaças com a busca avançada de ameaças.

Excluir arquivos da proteção contra PUA

Às vezes, um arquivo é bloqueado erroneamente pela proteção contra PUA ou um recurso de um PUA é necessário para concluir uma tarefa. Nesses casos, é possível adicionar um arquivo a uma lista de exclusão.

Para obter mais informações, confira Configurar e validar exclusões com base na extensão do arquivo e no local da pasta.

Confira também

Dica

Quer saber mais? Envolva-se com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Comunidade Tecnológica.