Detetar e bloquear aplicações potencialmente indesejadas

Aplica-se a:

• API do Microsoft Defender para Endpoint 1
• Microsoft Defender para Endpoint Plano 2
• Microsoft Edge
• Antivírus do Microsoft Defender

Plataformas

• Windows

As aplicações potencialmente indesejadas (PUA) são uma categoria de software que pode fazer com que o seu computador seja executado lentamente, apresentar anúncios inesperados ou, na pior das hipóteses, instalar outro software que possa ser inesperado ou indesejável. O PUA não é considerado um vírus, software maligno ou outro tipo de ameaça, mas pode executar ações em pontos finais que afetam negativamente o desempenho ou a utilização do ponto final. O termo PUA também pode referir-se a uma aplicação com má reputação, conforme avaliado pela Microsoft Defender para Endpoint, devido a determinados tipos de comportamento indesejável.

Eis alguns exemplos:

• Software publicitário que apresenta anúncios ou promoções, incluindo software que insere anúncios em páginas Web.
• Agrupar software que oferece a instalação de outro software que não seja assinado digitalmente pela mesma entidade. Além disso, software que oferece a instalação de outro software que se qualifica como PUA.
• Software de evasão que tenta ativamente evitar a deteção por produtos de segurança, incluindo software que se comporta de forma diferente na presença de produtos de segurança.

Sugestão

Para obter mais exemplos e um debate sobre os critérios que utilizamos para etiquetar aplicações a fim de obter atenção especial das funcionalidades de segurança, consulte Como a Microsoft identifica malware e aplicações potencialmente indesejadas.

As aplicações potencialmente indesejadas podem aumentar o risco de a sua rede ser infetada com malware real, dificultar a identificação de infeções de malware ou implicar que as equipas de TI e de segurança despendam de tempo e de esforço para limpá-las. A proteção contra PUA é suportada no Windows 11, Windows 10, Windows Server 2022, Windows Server 2019 e Windows Server 2016. Se a subscrição da sua organização incluir o Microsoft Defender for Endpoint, o Antivírus do Microsoft Defender bloqueia as aplicações que são consideradas PUA por predefinição em dispositivos Windows.

Saiba mais sobre as subscrição do Windows Enterprise.

Sugestão

Como complemento deste artigo, recomendamos que utilize o guia de configuração automatizada Microsoft Defender para Endpoint quando tiver sessão iniciada no centro de administração do Microsoft 365. Este guia irá personalizar a sua experiência com base no seu ambiente. Para rever as melhores práticas sem iniciar sessão e ativar as funcionalidades de configuração automatizada, aceda ao Guia de configuração do Microsoft 365.

Microsoft Edge

O novo Microsoft Edge, que é baseado no Chromium, bloqueia transferências de aplicações potencialmente indesejadas e URLs de recursos associados. Esta funcionalidade é fornecida através do Microsoft Defender SmartScreen.

Ativar a proteção contra PUA no Microsoft Edge baseado no Chromium

Embora a proteção de aplicações potencialmente indesejadas no Microsoft Edge (baseada no Chromium, versão 80.0.361.50) esteja desligada por predefinição, pode ser facilmente ligada a partir do browser.

1. No browser Microsoft Edge, selecione as reticências e, em seguida, selecione Definições.

2. Selecione Privacidade, pesquisa e serviços.

3. Na secção Segurança, ative Bloquear aplicações potencialmente indesejadas.

Sugestão

Se estiver a executar o Microsoft Edge (baseado no Chromium), pode explorar em segurança a funcionalidade de bloqueio de URL da proteção contra PUA ao testá-la numa das nossas páginas de demonstração do Microsoft Defender SmartScreen.

Bloquear URLs com o Microsoft Defender SmartScreen

No Microsoft Edge baseado em Chromium com a proteção contra PUA ativada, Microsoft Defender SmartScreen protege-o de URLs associados a PUA.

Os administradores de segurança podem configurar como o Microsoft Edge e o Microsoft Defender SmartScreen funcionam em conjunto para proteger grupos de utilizadores de URLs associados a PUA. Existem várias definições de política de grupo explicitamente disponíveis para o Microsoft Defender SmartScreen, incluindo uma para bloquear PUA. Além disso, os administradores podem configurar o Microsoft Defender SmartScreen como um todo, utilizando as definições de política de grupo para ativar ou desativar o Microsoft Defender SmartScreen.

Embora o Microsoft Defender para Endpoint tenha a sua própria lista de bloqueios baseada num conjunto de dados gerido pela Microsoft, pode personalizar esta lista com base nas suas próprias informações sobre ameaças. Se criar e gerir indicadores no portal do Microsoft Defender para Endpoint, o Microsoft Defender SmartScreen respeitará as novas definições.

Antivírus do Microsoft Defender e proteção contra PUA

A funcionalidade de proteção de aplicações potencialmente indesejadas (PUA) no Antivírus do Microsoft Defender pode detetar e bloquear PUA nos pontos finais da sua rede.

Nota

Esta funcionalidade é suportada no Windows 11, Windows 10, Windows Server 2022, Windows Server 2019 e Windows Server 2016.

O Antivírus do Microsoft Defender bloqueia ficheiros PUA detetados e quaisquer tentativas de transferir, mover, executar ou instalá-los. Os ficheiros PUA bloqueados são então movidos para quarentena. Quando um ficheiro PUA é detetado num ponto final, o Antivírus do Microsoft Defender envia uma notificação ao utilizador (a menos que as notificações tenham sido desativadas no mesmo formato que outras deteções de ameaças. A notificação é precedida com PUA: para indicar o seu conteúdo.

A notificação aparece na lista de quarentena habitual da aplicação Segurança do Windows.

Configurar a proteção contra PUA no Antivírus do Microsoft Defender

Pode ativar a proteção contra PUA com Microsoft Intune, Microsoft Configuration Manager, Política de Grupo ou através de cmdlets do PowerShell.

Inicialmente, experimente utilizar a proteção contra PUA no modo de auditoria. Deteta aplicações potencialmente indesejadas sem realmente bloqueá-las. As deteções são capturadas no registo de Eventos do Windows. A proteção contra PUA no modo de auditoria é útil se a sua empresa estiver a realizar uma verificação de conformidade de segurança de software interna e for importante evitar falsos positivos.

Utilizar o Intune para configurar a proteção contra PUA

Veja os seguintes artigos:

• Configurar definições de restrição de dispositivos no Microsoft Intune
• Microsoft Defender definições de restrição de dispositivos antivírus para Windows 10 no Intune

Utilizar o Configuration Manager para configurar a proteção contra PUA

A proteção contra PUA está ativada por predefinição no Microsoft Configuration Manager (Current Branch).

Veja Como criar e implementar políticas antimalware: Definições de análises agendadas para obter detalhes sobre como configurar Microsoft Configuration Manager (Current Branch).

Para o System Center 2012 Configuration Manager, consulte Como Implementar uma Política de Proteção de Aplicações Potencialmente Indesejadas para o Endpoint Protection no Configuration Manager.

Nota

Os eventos PUA bloqueados por Microsoft Defender Antivírus são reportados no windows Visualizador de Eventos e não no Microsoft Configuration Manager.

Utilizar a Política de Grupo para configurar a proteção contra PUA

1. Transferir e instalar os Modelos Administrativos (.admx) para a Atualização de Outubro de 2021 do Windows 11 (21H2)

2. No computador de gestão da Política de Grupo, abra a Consola de Gestão de Políticas de Grupo.

3. Selecione o Objeto de Política de Grupo que pretende configurar e, em seguida, selecione Editar.

4. No Editor de Gestão de Políticas de Grupo, vá para Configuração do computador e selecione Modelos administrativos.

5. Expanda a árvore para Componentes> do Windows Microsoft Defender Antivírus.

6. Faça duplo clique em Configurar a deteção para aplicações potencialmente indesejadas.

7. Selecione Ativado para ativar a proteção contra PUA.

8. Em Opções, selecione Bloquear para bloquear aplicações potencialmente indesejadas ou selecione Modo de Auditoria para testar como a definição funciona no seu ambiente. Selecione OK.

9. Implemente o objeto de Política de Grupo como habitualmente.

Utilize cmdlets do PowerShell para configurar a proteção contra PUA

Para ativar a proteção contra PUA

Set-MpPreference -PUAProtection Enabled

Definir o valor deste cmdlet para Enabled ativa a funcionalidade se tiver sido desativada.

Para definir a proteção contra PUA para o modo de auditoria

Set-MpPreference -PUAProtection AuditMode

Definir o AuditMode deteta PUA sem bloqueá-los.

Para desativar a proteção contra PUA

Recomendamos que mantenha a proteção contra PUA ativada. No entanto, pode desativar ao utilizar o seguinte cmdlet:

Set-MpPreference -PUAProtection Disabled

Definir o valor deste cmdlet para Disabled desativa a funcionalidade se tiver sido ativada.

Para obter mais informações, consulte Utilizar cmdlets do PowerShell para configurar e executar o Antivírus do Microsoft Defender e cmdlets do Antivírus do Defender.

Ver eventos PUA com o PowerShell

Os eventos PUA são reportados na Visualizador de Eventos do Windows, mas não em Microsoft Configuration Manager ou em Intune. Também pode utilizar o cmdlet Get-MpThreat para ver as ameaças que o Antivírus do Microsoft Defender tratou. Eis um exemplo:

CategoryID       : 27
DidThreatExecute : False
IsActive         : False
Resources        : {webfile:_q:\Builds\Dalton_Download_Manager_3223905758.exe|http://d18yzm5yb8map8.cloudfront.net/
                    fo4yue@kxqdw/Dalton_Download_Manager.exe|pid:14196,ProcessStart:132378130057195714}
RollupStatus     : 33
SchemaVersion    : 1.0.0.0
SeverityID       : 1
ThreatID         : 213927
ThreatName       : PUA:Win32/InstallCore
TypeID           : 0
PSComputerName   :

Obter notificações por e-mail sobre deteções PUA

Pode ativar as notificações por e-mail para receber e-mails sobre deteções de PUA.

Consulte Resolução de problemas de IDs de eventos para obter detalhes sobre a visualização de eventos do Antivírus do Microsoft Defender. Os eventos PUA são registados no ID de evento 1160.

Ver eventos PUA com a investigação avançada

Se estiver a utilizar o Microsoft Defender para Endpoint, pode utilizar uma consulta de investigação avançada para ver eventos PUA. Eis uma consulta de exemplo:

DeviceEvents
| where ActionType == "AntivirusDetection"
| extend x = parse_json(AdditionalFields)
| project Timestamp, DeviceName, FolderPath, FileName, SHA256, ThreatName = tostring(x.ThreatName), WasExecutingWhileDetected = tostring(x.WasExecutingWhileDetected), WasRemediated = tostring(x.WasRemediated)
| where ThreatName startswith_cs 'PUA:'

Para saber mais sobre a investigação avançada, consulte Buscar ameaças de forma proativa com a investigação avançada.

Excluir ficheiros da proteção contra PUA

Por vezes, um ficheiro é bloqueado incorretamente pela proteção contra PUA ou é necessária uma funcionalidade de PUA para concluir uma tarefa. Nestes casos, um ficheiro pode ser adicionado a uma lista de exclusão.

Para obter mais informações, consulte Configurar e validar exclusões com base na extensão de ficheiros e na localização da pasta.

Sugestão

Se estiver à procura de informações relacionadas com o Antivírus para outras plataformas, consulte:

• Definir preferências para o Microsoft Defender para Endpoint no macOS
• Microsoft Defender para Endpoint no Mac
• Definições de política de Antivírus do macOS para o Antivírus do Microsoft Defender para Intune
• Definir preferências para o Microsoft Defender para Endpoint no Linux
• Microsoft Defender para Endpoint no Linux
• Configurar o Microsoft Defender para Endpoint em funcionalidades do Android
• Configurar o Microsoft Defender para Endpoint em funcionalidades do iOS

Consulte também

• Proteção de próxima geração
• Configurar a proteção comportamental, heurística e em tempo real

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.