Detetar e bloquear aplicações potencialmente indesejadas
Aplica-se a:
- API do Microsoft Defender para Endpoint 1
- Microsoft Defender para Endpoint Plano 2
- Microsoft Edge
- Antivírus do Microsoft Defender
Plataformas
- Windows
As aplicações potencialmente indesejadas (PUA) são uma categoria de software que pode fazer com que o seu computador seja executado lentamente, apresentar anúncios inesperados ou, na pior das hipóteses, instalar outro software que possa ser inesperado ou indesejável. O PUA não é considerado um vírus, software maligno ou outro tipo de ameaça, mas pode executar ações em pontos finais que afetam negativamente o desempenho ou a utilização do ponto final. O termo PUA também pode referir-se a uma aplicação com má reputação, conforme avaliado pela Microsoft Defender para Endpoint, devido a determinados tipos de comportamento indesejável.
Eis alguns exemplos:
- Software publicitário que apresenta anúncios ou promoções, incluindo software que insere anúncios em páginas Web.
- Agrupar software que oferece a instalação de outro software que não seja assinado digitalmente pela mesma entidade. Além disso, software que oferece a instalação de outro software que se qualifica como PUA.
- Software de evasão que tenta ativamente evitar a deteção por produtos de segurança, incluindo software que se comporta de forma diferente na presença de produtos de segurança.
Sugestão
Para obter mais exemplos e um debate sobre os critérios que utilizamos para etiquetar aplicações a fim de obter atenção especial das funcionalidades de segurança, consulte Como a Microsoft identifica malware e aplicações potencialmente indesejadas.
As aplicações potencialmente indesejadas podem aumentar o risco de a sua rede ser infetada com malware real, dificultar a identificação de infeções de malware ou implicar que as equipas de TI e de segurança despendam de tempo e de esforço para limpá-las. A proteção contra PUA é suportada no Windows 11, Windows 10, Windows Server 2022, Windows Server 2019 e Windows Server 2016. Se a subscrição da sua organização incluir o Microsoft Defender for Endpoint, o Antivírus do Microsoft Defender bloqueia as aplicações que são consideradas PUA por predefinição em dispositivos Windows.
Saiba mais sobre as subscrição do Windows Enterprise.
Microsoft Edge
O novo Microsoft Edge, que é baseado no Chromium, bloqueia transferências de aplicações potencialmente indesejadas e URLs de recursos associados. Esta funcionalidade é fornecida através do Microsoft Defender SmartScreen.
Ativar a proteção contra PUA no Microsoft Edge baseado no Chromium
Embora a proteção de aplicações potencialmente indesejadas no Microsoft Edge (baseada no Chromium, versão 80.0.361.50) esteja desligada por predefinição, pode ser facilmente ligada a partir do browser.
No browser Microsoft Edge, selecione as reticências e, em seguida, selecione Definições.
Selecione Privacidade, pesquisa e serviços.
Na secção Segurança, ative Bloquear aplicações potencialmente indesejadas.
Sugestão
Se estiver a executar o Microsoft Edge (baseado no Chromium), pode explorar em segurança a funcionalidade de bloqueio de URL da proteção contra PUA ao testá-la numa das nossas páginas de demonstração do Microsoft Defender SmartScreen.
Bloquear URLs com o Microsoft Defender SmartScreen
No Microsoft Edge baseado em Chromium com a proteção contra PUA ativada, Microsoft Defender SmartScreen protege-o de URLs associados a PUA.
Os administradores de segurança podem configurar como o Microsoft Edge e o Microsoft Defender SmartScreen funcionam em conjunto para proteger grupos de utilizadores de URLs associados a PUA. Existem várias definições de política de grupo explicitamente disponíveis para o Microsoft Defender SmartScreen, incluindo uma para bloquear PUA. Além disso, os administradores podem configurar o Microsoft Defender SmartScreen como um todo, utilizando as definições de política de grupo para ativar ou desativar o Microsoft Defender SmartScreen.
Embora o Microsoft Defender para Endpoint tenha a sua própria lista de bloqueios baseada num conjunto de dados gerido pela Microsoft, pode personalizar esta lista com base nas suas próprias informações sobre ameaças. Se criar e gerir indicadores no portal do Microsoft Defender para Endpoint, o Microsoft Defender SmartScreen respeitará as novas definições.
Antivírus do Microsoft Defender e proteção contra PUA
A funcionalidade de proteção de aplicações potencialmente indesejadas (PUA) no Antivírus do Microsoft Defender pode detetar e bloquear PUA nos pontos finais da sua rede.
Nota
Esta funcionalidade é suportada no Windows 11, Windows 10, Windows Server 2022, Windows Server 2019 e Windows Server 2016.
O Antivírus do Microsoft Defender bloqueia ficheiros PUA detetados e quaisquer tentativas de transferir, mover, executar ou instalá-los. Os ficheiros PUA bloqueados são então movidos para quarentena. Quando um ficheiro PUA é detetado num ponto final, o Antivírus do Microsoft Defender envia uma notificação ao utilizador (a menos que as notificações tenham sido desativadas no mesmo formato que outras deteções de ameaças. A notificação é precedida com PUA:
para indicar o seu conteúdo.
A notificação aparece na lista de quarentena habitual da aplicação Segurança do Windows.
Configurar a proteção contra PUA no Antivírus do Microsoft Defender
Pode ativar a proteção contra PUA com Microsoft Intune, Microsoft Configuration Manager, نهج المجموعة ou através de cmdlets do PowerShell.
Inicialmente, experimente utilizar a proteção contra PUA no modo de auditoria. Deteta aplicações potencialmente indesejadas sem realmente bloqueá-las. As deteções são capturadas no registo de Eventos do Windows. A proteção contra PUA no modo de auditoria é útil se a sua empresa estiver a realizar uma verificação de conformidade de segurança de software interna e for importante evitar falsos positivos.
Utilizar o Intune para configurar a proteção contra PUA
Veja os seguintes artigos:
- Configurar definições de restrição de dispositivos no Microsoft Intune
- Microsoft Defender definições de restrição de dispositivos antivírus para Windows 10 no Intune
Utilizar o Configuration Manager para configurar a proteção contra PUA
A proteção contra PUA está ativada por predefinição no Microsoft Configuration Manager (Current Branch).
Veja Como criar e implementar políticas antimalware: Definições de análises agendadas para obter detalhes sobre como configurar Microsoft Configuration Manager (Current Branch).
Para o System Center 2012 Configuration Manager, consulte Como Implementar uma Política de Proteção de Aplicações Potencialmente Indesejadas para o Endpoint Protection no Configuration Manager.
Nota
Os eventos PUA bloqueados pelo Antivírus do Microsoft Defender são reportados na Prohlížeč událostí do Windows e não no Microsoft Configuration Manager.
Utilizar a Política de Grupo para configurar a proteção contra PUA
Transferir e instalar os Modelos Administrativos (.admx) para a Atualização de Outubro de 2021 do Windows 11 (21H2)
No computador de gestão da Política de Grupo, abra a Consola de Gestão de Políticas de Grupo.
Selecione o Objeto de Política de Grupo que pretende configurar e, em seguida, selecione Editar.
No Editor de Gestão de Políticas de Grupo, vá para Configuração do computador e selecione Modelos administrativos.
Expanda a árvore para Componentes> do Windows Microsoft Defender Antivírus.
Faça duplo clique em Configurar a deteção para aplicações potencialmente indesejadas.
Selecione Ativado para ativar a proteção contra PUA.
Em Opções, selecione Bloquear para bloquear aplicações potencialmente indesejadas ou selecione Modo de Auditoria para testar como a definição funciona no seu ambiente. Selecione OK.
Implemente o objeto de Política de Grupo como habitualmente.
Utilize cmdlets do PowerShell para configurar a proteção contra PUA
Para ativar a proteção contra PUA
Set-MpPreference -PUAProtection Enabled
Definir o valor deste cmdlet para Enabled
ativa a funcionalidade se tiver sido desativada.
Para definir a proteção contra PUA para o modo de auditoria
Set-MpPreference -PUAProtection AuditMode
Definir o AuditMode
deteta PUA sem bloqueá-los.
Para desativar a proteção contra PUA
Recomendamos que mantenha a proteção contra PUA ativada. No entanto, pode desativar ao utilizar o seguinte cmdlet:
Set-MpPreference -PUAProtection Disabled
Definir o valor deste cmdlet para Disabled
desativa a funcionalidade se tiver sido ativada.
Para obter mais informações, consulte Utilizar cmdlets do PowerShell para configurar e executar o Antivírus do Microsoft Defender e cmdlets do Antivírus do Defender.
Ver eventos PUA com o PowerShell
Os eventos PUA são reportados na Prohlížeč událostí do Windows, mas não em Microsoft Configuration Manager ou em Intune. Também pode utilizar o cmdlet Get-MpThreat
para ver as ameaças que o Antivírus do Microsoft Defender tratou. Eis um exemplo:
CategoryID : 27
DidThreatExecute : False
IsActive : False
Resources : {webfile:_q:\Builds\Dalton_Download_Manager_3223905758.exe|http://d18yzm5yb8map8.cloudfront.net/
fo4yue@kxqdw/Dalton_Download_Manager.exe|pid:14196,ProcessStart:132378130057195714}
RollupStatus : 33
SchemaVersion : 1.0.0.0
SeverityID : 1
ThreatID : 213927
ThreatName : PUA:Win32/InstallCore
TypeID : 0
PSComputerName :
Obter notificações por e-mail sobre deteções PUA
Pode ativar as notificações por e-mail para receber e-mails sobre deteções de PUA.
Consulte Resolução de problemas de IDs de eventos para obter detalhes sobre a visualização de eventos do Antivírus do Microsoft Defender. Os eventos PUA são registados no ID de evento 1160.
Ver eventos PUA com a investigação avançada
Se estiver a utilizar o Microsoft Defender para Endpoint, pode utilizar uma consulta de investigação avançada para ver eventos PUA. Eis uma consulta de exemplo:
DeviceEvents
| where ActionType == "AntivirusDetection"
| extend x = parse_json(AdditionalFields)
| project Timestamp, DeviceName, FolderPath, FileName, SHA256, ThreatName = tostring(x.ThreatName), WasExecutingWhileDetected = tostring(x.WasExecutingWhileDetected), WasRemediated = tostring(x.WasRemediated)
| where ThreatName startswith_cs 'PUA:'
Para saber mais sobre a investigação avançada, consulte Buscar ameaças de forma proativa com a investigação avançada.
Excluir ficheiros da proteção contra PUA
Por vezes, um ficheiro é bloqueado incorretamente pela proteção contra PUA ou é necessária uma funcionalidade de PUA para concluir uma tarefa. Nestes casos, um ficheiro pode ser adicionado a uma lista de exclusão.
Para obter mais informações, consulte Configurar e validar exclusões com base na extensão de ficheiros e na localização da pasta.
Sugestão
Se estiver à procura de informações relacionadas com o Antivírus para outras plataformas, consulte:
- Definir preferências para o Microsoft Defender para Endpoint no macOS
- Microsoft Defender para Endpoint no Mac
- Definições de política de Antivírus do macOS para o Antivírus do Microsoft Defender para Intune
- Definir preferências para o Microsoft Defender para Endpoint no Linux
- Microsoft Defender para Endpoint no Linux
- Configurar o Microsoft Defender para Endpoint em funcionalidades do Android
- Configurar o Microsoft Defender para Endpoint em funcionalidades do iOS
Consulte também
Sugestão
Quer saber mais? Interaja com a comunidade de Segurança Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.
Comentários
https://aka.ms/ContentUserFeedback.
Brevemente: ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja:Submeter e ver comentários