Partilhar via


Detetar e bloquear aplicações potencialmente indesejadas

Aplica-se a:

Plataformas

  • Windows

Microsoft Defender Antivírus está disponível nas seguintes edições/versões do Windows e do Windows Server:

  • Windows Server 2022
  • Windows Server 2019
  • Windows Server, versão 1803 ou posterior
  • Windows Server 2016
  • Windows Server 2012 R2 (Requer Microsoft Defender para Endpoint)
  • Windows 11
  • Windows 10
  • Windows 8.1

Para macOS, veja Detetar e bloquear aplicações potencialmente indesejadas com o Defender para Endpoint no macOS.

Para Linux, veja Detetar e bloquear aplicações potencialmente indesejadas com o Defender para Endpoint no Linux.

As aplicações potencialmente indesejadas (PUA) são uma categoria de software que pode fazer com que o seu computador seja executado lentamente, apresentar anúncios inesperados ou, na pior das hipóteses, instalar outro software que possa ser inesperado ou indesejável. O PUA não é considerado um vírus, software maligno ou outro tipo de ameaça, mas pode executar ações em pontos finais que afetam negativamente o desempenho ou a utilização do ponto final. O termo PUA também pode referir-se a uma aplicação com má reputação, conforme avaliado pela Microsoft Defender para Endpoint, devido a determinados tipos de comportamento indesejável.

Eis alguns exemplos:

  • Software publicitário que apresenta anúncios ou promoções, incluindo software que insere anúncios em páginas Web.
  • Agrupar software que oferece a instalação de outro software que não seja assinado digitalmente pela mesma entidade. Além disso, software que oferece a instalação de outro software que se qualifica como PUA.
  • Software de evasão que tenta ativamente evitar a deteção por produtos de segurança, incluindo software que se comporta de forma diferente na presença de produtos de segurança.

Sugestão

Para obter mais exemplos e um debate sobre os critérios que utilizamos para etiquetar aplicações a fim de obter atenção especial das funcionalidades de segurança, consulte Como a Microsoft identifica malware e aplicações potencialmente indesejadas.

As aplicações potencialmente indesejadas podem aumentar o risco de a sua rede ser infetada com malware real, dificultar a identificação de infeções de malware ou implicar que as equipas de TI e de segurança despendam de tempo e de esforço para limpá-las. Se a subscrição da sua organização incluir Microsoft Defender para Endpoint, também pode definir Microsoft Defender PUA antivírus para bloquear, de modo a bloquear aplicações consideradas PUA em dispositivos Windows.

Saiba mais sobre as subscrição do Windows Enterprise.

Sugestão

Como complemento a este artigo, consulte o nosso guia de configuração Microsoft Defender para Endpoint para rever as melhores práticas e saber mais sobre ferramentas essenciais, como a redução da superfície de ataque e a proteção da próxima geração. Para uma experiência personalizada com base no seu ambiente, pode aceder ao guia de configuração automatizada do Defender para Endpoint no centro de administração do Microsoft 365.

Microsoft Edge

O novo Microsoft Edge, que é baseado no Chromium, bloqueia transferências de aplicações potencialmente indesejadas e URLs de recursos associados. Esta funcionalidade é fornecida através do Microsoft Defender SmartScreen.

Ativar a proteção contra PUA no Microsoft Edge baseado no Chromium

Embora a proteção de aplicações potencialmente indesejadas no Microsoft Edge (baseada no Chromium, versão 80.0.361.50) esteja desligada por predefinição, pode ser facilmente ligada a partir do browser.

  1. No browser Microsoft Edge, selecione as reticências e, em seguida, selecione Definições.

  2. Selecione Privacidade, pesquisa e serviços.

  3. Na secção Segurança, ative Bloquear aplicações potencialmente indesejadas.

Sugestão

Se estiver a executar o Microsoft Edge (baseado no Chromium), pode explorar em segurança a funcionalidade de bloqueio de URL da proteção contra PUA ao testá-la numa das nossas páginas de demonstração do Microsoft Defender SmartScreen.

Bloquear URLs com o Microsoft Defender SmartScreen

No Microsoft Edge baseado em Chromium com a proteção contra PUA ativada, Microsoft Defender SmartScreen protege-o de URLs associados a PUA.

Os administradores de segurança podem configurar como o Microsoft Edge e o Microsoft Defender SmartScreen funcionam em conjunto para proteger grupos de utilizadores de URLs associados a PUA. Existem várias definições de política de grupo explicitamente disponíveis para o Microsoft Defender SmartScreen, incluindo uma para bloquear PUA. Além disso, os administradores podem configurar o Microsoft Defender SmartScreen como um todo, utilizando as definições de política de grupo para ativar ou desativar o Microsoft Defender SmartScreen.

Embora o Microsoft Defender para Endpoint tenha a sua própria lista de bloqueios baseada num conjunto de dados gerido pela Microsoft, pode personalizar esta lista com base nas suas próprias informações sobre ameaças. Se criar e gerir indicadores no portal do Microsoft Defender para Endpoint, o Microsoft Defender SmartScreen respeitará as novas definições.

Antivírus do Microsoft Defender e proteção contra PUA

A funcionalidade de proteção de aplicações potencialmente indesejadas (PUA) no Antivírus do Microsoft Defender pode detetar e bloquear PUA nos pontos finais da sua rede.

O Antivírus do Microsoft Defender bloqueia ficheiros PUA detetados e quaisquer tentativas de transferir, mover, executar ou instalá-los. Os ficheiros PUA bloqueados são então movidos para quarentena. Quando um ficheiro PUA é detetado num ponto final, o Antivírus do Microsoft Defender envia uma notificação ao utilizador (a menos que as notificações tenham sido desativadas no mesmo formato que outras deteções de ameaças. A notificação é precedida com PUA: para indicar o seu conteúdo.

A notificação aparece na lista de quarentena habitual da aplicação Segurança do Windows.

Configurar a proteção contra PUA no Antivírus do Microsoft Defender

Pode ativar a proteção contra PUA com a Gestão de Definições de Segurança do Microsoft Defender para Endpoint, Microsoft Intune, Microsoft Configuration Manager, Política de Grupo ou através de Cmdlets do PowerShell.

Inicialmente, experimente utilizar a proteção contra PUA no modo de auditoria. Deteta aplicações potencialmente indesejadas sem realmente bloqueá-las. As deteções são capturadas no registo de Eventos do Windows. A proteção contra PUA no modo de auditoria é útil se a sua empresa estiver a realizar uma verificação de conformidade de segurança de software interna e for importante evitar falsos positivos.

Utilizar a Gestão de Definições de Segurança do Microsoft Defender para Endpoint para configurar a proteção contra PUA

Veja os seguintes artigos:

Utilizar o Intune para configurar a proteção contra PUA

Veja os seguintes artigos:

Utilizar o Configuration Manager para configurar a proteção contra PUA

A proteção contra PUA está ativada por predefinição no Microsoft Configuration Manager (Current Branch).

Veja Como criar e implementar políticas antimalware: Definições de análises agendadas para obter detalhes sobre como configurar Microsoft Configuration Manager (Current Branch).

Para o System Center 2012 Configuration Manager, consulte Como Implementar uma Política de Proteção de Aplicações Potencialmente Indesejadas para o Endpoint Protection no Configuration Manager.

Nota

Os eventos PUA bloqueados por Microsoft Defender Antivírus são reportados no windows Visualizador de Eventos e não no Microsoft Configuration Manager.

Utilizar a Política de Grupo para configurar a proteção contra PUA

  1. Transferir e instalar os Modelos Administrativos (.admx) para a Atualização de Outubro de 2021 do Windows 11 (21H2)

  2. No computador de gestão da Política de Grupo, abra a Consola de Gestão de Políticas de Grupo.

  3. Selecione o Objeto de Política de Grupo que pretende configurar e, em seguida, selecione Editar.

  4. No Editor de Gestão de Políticas de Grupo, vá para Configuração do computador e selecione Modelos administrativos.

  5. Expanda a árvore para Componentes> do Windows Microsoft Defender Antivírus.

  6. Faça duplo clique em Configurar deteção para aplicações potencialmente indesejadas e defina-a como Ativada.

  7. Em Opções, selecione Bloquear para bloquear aplicações potencialmente indesejadas ou selecione Modo de Auditoria para testar como a definição funciona no seu ambiente. Selecione OK.

  8. Implemente o objeto de Política de Grupo como habitualmente.

Utilize cmdlets do PowerShell para configurar a proteção contra PUA

Para ativar a proteção contra PUA

Set-MpPreference -PUAProtection Enabled

Definir o valor deste cmdlet para Enabled ativa a funcionalidade se tiver sido desativada.

Para definir a proteção contra PUA para o modo de auditoria

Set-MpPreference -PUAProtection AuditMode

Definir o AuditMode deteta PUA sem bloqueá-los.

Para desativar a proteção contra PUA

Recomendamos que mantenha a proteção contra PUA ativada. No entanto, pode desativar ao utilizar o seguinte cmdlet:

Set-MpPreference -PUAProtection Disabled

Definir o valor deste cmdlet para Disabled desativa a funcionalidade se tiver sido ativada.

Para obter mais informações, consulte Utilizar cmdlets do PowerShell para configurar e executar o Antivírus do Microsoft Defender e cmdlets do Antivírus do Defender.

Teste e certifique-se de que o bloqueio de PUA funciona

Assim que tiver o PUA ativado no modo de bloqueio, pode testar para se certificar de que está a funcionar corretamente. Para obter mais informações, veja Demonstração de aplicações potencialmente indesejadas (PUA).

Ver eventos PUA com o PowerShell

Os eventos PUA são reportados na Visualizador de Eventos do Windows, mas não em Microsoft Configuration Manager ou em Intune. Também pode utilizar o cmdlet Get-MpThreat para ver as ameaças que o Antivírus do Microsoft Defender tratou. Eis um exemplo:

CategoryID       : 27
DidThreatExecute : False
IsActive         : False
Resources        : {webfile:_q:\Builds\Dalton_Download_Manager_3223905758.exe|http://d18yzm5yb8map8.cloudfront.net/
                    fo4yue@kxqdw/Dalton_Download_Manager.exe|pid:14196,ProcessStart:132378130057195714}
RollupStatus     : 33
SchemaVersion    : 1.0.0.0
SeverityID       : 1
ThreatID         : 213927
ThreatName       : PUA:Win32/InstallCore
TypeID           : 0
PSComputerName   :

Obter notificações por e-mail sobre deteções PUA

Pode ativar as notificações por e-mail para receber e-mails sobre deteções de PUA. Para obter mais informações sobre Microsoft Defender eventos antivírus, veja Resolver problemas de IDs de eventos. Os eventos PUA são registados no ID de evento 1160.

Ver eventos PUA com a investigação avançada

Se estiver a utilizar o Microsoft Defender para Endpoint, pode utilizar uma consulta de investigação avançada para ver eventos PUA. Eis uma consulta de exemplo:

DeviceEvents
| where ActionType == "AntivirusDetection"
| extend x = parse_json(AdditionalFields)
| project Timestamp, DeviceName, FolderPath, FileName, SHA256, ThreatName = tostring(x.ThreatName), WasExecutingWhileDetected = tostring(x.WasExecutingWhileDetected), WasRemediated = tostring(x.WasRemediated)
| where ThreatName startswith_cs 'PUA:'

Para saber mais sobre a investigação avançada, consulte Buscar ameaças de forma proativa com a investigação avançada.

Excluir ficheiros da proteção contra PUA

Por vezes, um ficheiro é bloqueado incorretamente pela proteção contra PUA ou é necessária uma funcionalidade de PUA para concluir uma tarefa. Nestes casos, um ficheiro pode ser adicionado a uma lista de exclusão.

Para obter mais informações, consulte Configurar e validar exclusões com base na extensão de ficheiros e na localização da pasta.

Consulte também

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.