İstenmeyebilecek uygulamaları algılama ve engelleme

  • Makale

Şunlar için geçerlidir:

Platform

  • Windows

İstenmeyebilecek uygulamalar (PUA), makinenizin yavaş çalışmasına, beklenmeyen reklamlar görüntülemesine veya en kötü ihtimalle beklenmeyen veya istenmeyen olabilecek diğer yazılımları yüklemesine neden olabilecek bir yazılım kategorisidir. PUA bir virüs, kötü amaçlı yazılım veya başka bir tehdit türü olarak kabul edilmez, ancak uç nokta performansını veya kullanımını olumsuz etkileyen uç noktalarda eylemler gerçekleştirebilir. PUA terimi, bazı istenmeyen davranış türleri nedeniyle Uç Nokta için Microsoft Defender tarafından değerlendirildiği gibi kötü bir üne sahip bir uygulamaya da başvurabilir.

İşte birkaç örnek:

  • Web sayfalarına reklam ekleyen yazılımlar da dahil olmak üzere reklamları veya promosyonları görüntüleyen reklam yazılımları.
  • Aynı varlık tarafından dijital olarak imzalanan diğer yazılımları yüklemeyi teklif eden paketleme yazılımı. Ayrıca, PUA olarak nitelendiren diğer yazılımları yüklemeyi teklif eden yazılımlar.
  • Güvenlik ürünlerinin varlığında farklı davranan yazılımlar da dahil olmak üzere güvenlik ürünleri tarafından algılamayı aktif olarak atlatmaya çalışan kaçınma yazılımı.

İpucu

Daha fazla örnek ve uygulamaları güvenlik özelliklerine özel dikkat çekmek üzere etiketlemek için kullandığımız ölçütlerin tartışması için bkz. Microsoft kötü amaçlı yazılımları ve istenmeyebilecek uygulamaları nasıl tanımlar?

İstenmeyebilecek uygulamalar ağınıza gerçek kötü amaçlı yazılım bulaşma riskini artırabilir, kötü amaçlı yazılım bulaşmalarının tanımlanmasını zorlaştırabilir veya BT ve güvenlik ekiplerinizin bunları temizlemeye zaman ve çaba harcamasına neden olabilir. PUA koruması Windows 11, Windows 10, Windows Server 2022, Windows Server 2019 ve Windows Server 2016 desteklenir. Kuruluşunuzun aboneliği Uç Nokta için Microsoft Defender içeriyorsa Microsoft Defender Virüsten Koruma, Windows cihazlarında varsayılan olarak PUA olarak kabul edilen uygulamaları engeller.

Windows Enterprise abonelikleri hakkında daha fazla bilgi edinin.

İpucu

Bu makalenin eşlikçisi olarak, Microsoft 365 yönetim merkezi oturum açtığınızda Uç Nokta için Microsoft Defender otomatik kurulum kılavuzunu kullanmanızı öneririz. Bu kılavuz, ortamınıza göre deneyiminizi özelleştirecektir. Oturum açmadan ve otomatik kurulum özelliklerini etkinleştirmeden en iyi yöntemleri gözden geçirmek için Microsoft 365 kurulum kılavuzuna gidin.

Microsoft Edge

Chromium tabanlı yeni Microsoft Edge, istenmeyebilecek uygulama indirmelerini ve ilişkili kaynak URL'lerini engeller. Bu özellik Microsoft Defender SmartScreen aracılığıyla sağlanır.

Chromium tabanlı Microsoft Edge'de PUA korumasını etkinleştirme

Microsoft Edge'de istenmeyebilecek uygulama koruması (Chromium tabanlı sürüm 80.0.361.50) varsayılan olarak kapalı olsa da tarayıcı içinden kolayca açılabilir.

  1. Microsoft Edge tarayıcınızda üç noktayı ve ardından Ayarlar'ı seçin.

  2. Gizlilik, arama ve hizmetler'i seçin.

  3. Güvenlik bölümünde İstenmeyebilecek uygulamaları engelle'yi açın.

İpucu

Microsoft Edge (Chromium tabanlı) çalıştırıyorsanız, Microsoft Defender SmartScreen tanıtım sayfalarımızdan birinde test ederek PUA korumasının URL engelleme özelliğini güvenle keşfedebilirsiniz.

Microsoft Defender SmartScreen ile URL'leri engelleme

PUA koruması açık Chromium tabanlı Microsoft Edge'de Microsoft Defender SmartScreen sizi PUA ile ilişkili URL'lerden korur.

Güvenlik yöneticileri, kullanıcı gruplarını PUA ile ilişkili URL'lerden korumak için Microsoft Edge ve Microsoft Defender SmartScreen'in birlikte nasıl çalışabileceğini yapılandırabilir. Microsoft Defender SmartScreen için pua'yı engelleme de dahil olmak üzere açıkça kullanılabilen çeşitli grup ilkesi ayarları vardır. Ayrıca, yöneticiler SmartScreen'i Microsoft Defender açmak veya kapatmak için grup ilkesi ayarlarını kullanarak Microsoft Defender SmartScreen'i bir bütün olarak yapılandırabilir.

Uç Nokta için Microsoft Defender, Microsoft tarafından yönetilen bir veri kümesini temel alan kendi blok listesine sahip olsa da, bu listeyi kendi tehdit bilgilerinize göre özelleştirebilirsiniz. Uç Nokta için Microsoft Defender portalında göstergeler oluşturup yönetiyorsanız, smartscreen Microsoft Defender yeni ayarları dikkate alır.

virüsten koruma ve PUA koruması Microsoft Defender

Microsoft Defender Virüsten Koruma'daki istenmeyebilecek uygulama (PUA) koruma özelliği, ağınızdaki uç noktalarda PUA'yi algılayabilir ve engelleyebilir.

Not

Bu özellik Windows 11, Windows 10, Windows Server 2022, Windows Server 2019 ve Windows Server 2016 kullanılabilir.

Microsoft Defender Virüsten Koruma, algılanan PUA dosyalarını ve bunları indirme, taşıma, çalıştırma veya yükleme girişimlerini engeller. Engellenen PUA dosyaları karantinaya taşınır. Bir uç noktada PUA dosyası algılandığında, Microsoft Defender Virüsten Koruma kullanıcıya bir bildirim gönderir (bildirimler diğer tehdit algılamalarıyla aynı biçimde devre dışı bırakılmadığı sürece). Bildirimin içeriği belirtilmesi için ile PUA: önsözü oluşturulur.

Bildirim, Windows Güvenliği uygulamasındaki normal karantina listesinde görünür.

Microsoft Defender Virüsten Koruma'da PUA korumasını yapılandırma

PUA korumasını Microsoft Intune, Microsoft Configuration Manager, grup ilkesi veya PowerShell cmdlet'leri aracılığıyla etkinleştirebilirsiniz.

İlk olarak, denetim modunda PUA korumasını kullanmayı deneyin. İstenmeyebilecek uygulamaları gerçekten engellemeden algılar. Algılamalar Windows Olay günlüğünde yakalanır. Şirketiniz bir iç yazılım güvenliği uyumluluk denetimi gerçekleştiriyorsa ve hatalı pozitif sonuçları önlemek önemliyse, denetim modunda PUA koruması yararlıdır.

PUA korumasını yapılandırmak için Intune kullanma

Aşağıdaki makalelere bakın:

PUA korumasını yapılandırmak için Configuration Manager kullanma

PUA koruması, Microsoft Configuration Manager (Geçerli Dal) içinde varsayılan olarak etkindir.

Microsoft Configuration Manager yapılandırma (Geçerli Dal) ile ilgili ayrıntılar için bkz. Kötü amaçlı yazılımdan koruma ilkeleri oluşturma ve dağıtma: Zamanlanmış tarama ayarları.

System Center 2012 Configuration Manager için bkz. Configuration Manager'da Endpoint Protection için İstenmeyebilecek Uygulama Koruma İlkesiNi Dağıtma.

Not

Microsoft Defender Virüsten Koruma tarafından engellenen PUA olayları Microsoft Configuration Manager değil Windows Olay Görüntüleyicisi bildirilir.

PUA korumasını yapılandırmak için grup ilkesi kullanma

  1. Windows 11 Ekim 2021 Güncelleştirmesi (21H2) için Yönetim Şablonlarını (.admx) indirme ve yükleme

  2. grup ilkesi yönetim bilgisayarınızda grup ilkesi Yönetim Konsolu'nu açın.

  3. Yapılandırmak istediğiniz grup ilkesi Nesnesi'ni ve ardından Düzenle'yi seçin.

  4. Grup İlkesi Yönetimi Düzenleyicisi'nde Bilgisayar yapılandırması'na gidin ve Yönetim şablonları'nı seçin.

  5. Ağacı Windows Bileşenleri>Microsoft Defender Virüsten Koruma olarak genişletin.

  6. İstenmeyebilecek uygulamalar için algılamayı yapılandır'a çift tıklayın.

  7. PUA korumasını etkinleştirmek için Etkin'i seçin.

  8. Seçenekler'deengelle'yi seçerek istenmeyebilecek uygulamaları engelleyin veya ayarın ortamınızda nasıl çalıştığını test etmek için Denetim Modu'nu seçin. Tamam'ı seçin.

  9. grup ilkesi nesnenizi her zamanki gibi dağıtın.

PUA korumasını yapılandırmak için PowerShell cmdlet'lerini kullanma

PUA korumasını etkinleştirmek için

Set-MpPreference -PUAProtection Enabled

Bu cmdlet'in değeri, devre dışı bırakılmışsa özelliği açmak için Enabled ayarlanır.

PUA korumasını denetim moduna ayarlamak için

Set-MpPreference -PUAProtection AuditMode

Ayarı AuditMode PUA'ları engellemeden algılar.

PUA korumasını devre dışı bırakmak için

PUA korumasını açık tutmanızı öneririz. Ancak, aşağıdaki cmdlet'i kullanarak kapatabilirsiniz:

Set-MpPreference -PUAProtection Disabled

Bu cmdlet'in değeri, etkinleştirildiyse özelliği kapatacak Disabled şekilde ayarlanır.

Daha fazla bilgi için bkz. Microsoft Defender Virüsten Koruma ve Defender Virüsten Koruma cmdlet'leriniyapılandırmak ve çalıştırmak için PowerShell cmdlet'lerini kullanma.

PowerShell kullanarak PUA olaylarını görüntüleme

PUA olayları Windows Olay Görüntüleyicisi bildirilir, ancak Microsoft Configuration Manager veya Intune içinde raporlanmaz. Microsoft Defender Virüsten Get-MpThreat Koruma'nın işlediği tehditleri görüntülemek için cmdlet'ini de kullanabilirsiniz. İşte bir örnek:

CategoryID       : 27
DidThreatExecute : False
IsActive         : False
Resources        : {webfile:_q:\Builds\Dalton_Download_Manager_3223905758.exe|http://d18yzm5yb8map8.cloudfront.net/
                    fo4yue@kxqdw/Dalton_Download_Manager.exe|pid:14196,ProcessStart:132378130057195714}
RollupStatus     : 33
SchemaVersion    : 1.0.0.0
SeverityID       : 1
ThreatID         : 213927
ThreatName       : PUA:Win32/InstallCore
TypeID           : 0
PSComputerName   :

PUA algılamaları hakkında e-posta bildirimleri alma

PUA algılamaları hakkında posta almak için e-posta bildirimlerini açabilirsiniz.

Microsoft Defender Virüsten Koruma olaylarını görüntülemeyle ilgili ayrıntılar için bkz. Olay kimlikleriyle ilgili sorunları giderme. PUA olayları 1160 olay kimliği altında kaydedilir.

Gelişmiş avcılığı kullanarak PUA olaylarını görüntüleme

Uç Nokta için Microsoft Defender kullanıyorsanız PUA olaylarını görüntülemek için gelişmiş bir avcılık sorgusu kullanabilirsiniz. Aşağıda örnek bir sorgu verilmişti:

DeviceEvents
| where ActionType == "AntivirusDetection"
| extend x = parse_json(AdditionalFields)
| project Timestamp, DeviceName, FolderPath, FileName, SHA256, ThreatName = tostring(x.ThreatName), WasExecutingWhileDetected = tostring(x.WasExecutingWhileDetected), WasRemediated = tostring(x.WasRemediated)
| where ThreatName startswith_cs 'PUA:'

Gelişmiş avcılık hakkında daha fazla bilgi edinmek için bkz. Gelişmiş avcılık ile tehditleri proaktif olarak avlama.

Dosyaları PUA korumasının dışında tutma

Bazen bir dosya PUA koruması tarafından yanlışlıkla engellenir veya bir görevi tamamlamak için BIR PUA özelliği gerekir. Böyle durumlarda, dışlama listesine bir dosya eklenebilir.

Daha fazla bilgi için bkz. Dosya uzantısına ve klasör konumuna göre dışlamaları yapılandırma ve doğrulama.

İpucu

Diğer platformlar için Antivirüs ile ilgili bilgi arıyorsanız bkz:

Ayrıca bkz.

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.