检测并阻止可能不需要的应用程序

适用于:

平台

  • Windows

Microsoft Defender防病毒在以下版本的 Windows 和 Windows Server 中可用:

  • Windows Server 2022
  • Windows Server 2019
  • Windows Server 版本 1803 或更高版本
  • Windows Server 2016
  • Windows Server 2012 R2 (需要Microsoft Defender for Endpoint)
  • Windows 11
  • Windows 10
  • Windows 8.1

对于 macOS,请参阅 在 macOS 上使用 Defender for Endpoint 检测和阻止可能不需要的应用程序

对于 Linux,请参阅 在 Linux 上使用 Defender for Endpoint 检测和阻止可能不需要的应用程序

可能不需要的应用程序 (PUA) 用来指代一类软件,它们会导致计算机运行缓慢、显示意外广告,最糟的是,它还会安装其他意外的或不需要的软件。 PUA 不被视为病毒、恶意软件或其他类型的威胁,但它可能会在终结点上执行对终结点性能或使用产生不利影响的操作。 PUA 这个术语也可以指那些由于某些不当行为,被 Microsoft Defender for Endpoint 评估为具有较差信誉的应用程序。

下面是一些示例:

  • 显示广告或促销的广告软件,包括将广告插入网页的软件。
  • 捆绑软件 ,用于安装其他未由同一实体进行数字签名的软件。 此外,提出安装其他软件的软件属于 PUA。
  • 积极尝试逃避安全产品检测的规避软件,包括在存在安全产品的情况下行为不同的软件。

提示

有关更多示例和讨论我们用于标记应用程序以引起对安全功能特别关注的条件,请参阅 Microsoft 如何识别恶意软件和可能不需要的应用程序

可能不需要的应用程序可能会增加网络受到实际恶意软件感染的风险,使恶意软件感染更难识别,或者使 IT 和安全团队花费很多时间和精力进行清理。 如果组织的订阅包含Microsoft Defender for Endpoint,则还可以将 Microsoft Defender防病毒 PUA 设置为阻止,以阻止在 Windows 设备上被视为 PUA 的应用。

详细了解 Windows 企业版订阅

提示

作为本文的配套内容,请参阅我们的Microsoft Defender for Endpoint设置指南,查看最佳做法并了解基本工具,例如攻击面减少和下一代保护。 对于基于环境的自定义体验,可以访问 Microsoft 365 管理中心 中的 Defender for Endpoint 自动设置指南

Microsoft Edge

新的 Microsoft Edge(基于 Chromium) 会阻止潜在的不需要的应用程序下载和关联的资源 URL。 此功能通过Microsoft Defender SmartScreen提供。

在基于 Chromium 的 Microsoft Edge 中启用 PUA 保护

虽然默认情况下会关闭 Microsoft Edge 中可能不需要的应用程序保护(基于 Chromium 的版本 80.0.361.50),但可在浏览器中轻松启用。

  1. 在 Microsoft Edge 浏览器中,选择省略号,然后选择“设置”。

  2. 选择 隐私、搜索和服务

  3. 在" 安全 部分, 阻止可能不需要的应用

提示

如果运行的是 Microsoft Edge(基于 Chromium),您可以通过在我们的 Microsoft Defender SmartScreen 演示页面之一测试并测试 PUA 保护的 URL 阻止功能

使用 Microsoft Defender SmartScreen 阻止 URL

在启用 PUA 保护的基于 Chromium Microsoft Edge 中,Microsoft Defender SmartScreen 可保护你免受 PUA 相关 URL 的危害。

安全管理员可 Microsoft Edge Microsoft Defender SmartScreen 如何协同工作来保护用户组免遭 PUA 关联的 URL 的威胁。 可显式 Microsoft Defender SmartScreen 多个组策略设置,包括 PUA 策略设置的。 此外,管理员可 将 Microsoft Defender SmartScreen 配置成整体,使用组策略设置打开或关闭 Microsoft Defender SmartScreen。

虽然 Microsoft Defender for Endpoint 基于 Microsoft 托管的数据集具有自己的阻止列表,但它也可以基于自己的威胁智能自定义此列表。 若要在 Microsoft Defender for Endpoint 中“创建和管理指示器”,Microsoft Defender SmartScreen 将应用新设置。

Microsoft Defender 防病毒和 PUA 保护

Microsoft Defender 防病毒软件中可能不需要的应用程序 (PUA) 保护功能可检测和阻止网络中终结点上的 PUA。

Microsoft Defender 防病毒软件阻止检测到 PUA 文件,以及尝试下载、移动、运行或安装它们的任何尝试。 阻止的 PUA 文件随即移动到隔离区。 在终结点上检测到 PUA 文件时,Microsoft Defender 防病毒向用户发送通知(除非已禁用通知 与其他威胁检测相同的格式。 以通知的字体作为 PUA: 以指示其内容。

该通知显示在 Windows 安全应用 中正常出现的隔离

在 Microsoft Defender 防病毒软件中配置 PUA 保护

可以使用Microsoft Defender for Endpoint安全设置管理、Microsoft IntuneMicrosoft Configuration Manager组策略或通过 PowerShell cmdlet 启用 PUA 保护。

首先,请尝试在审核模式下使用 PUA 保护。 它会检测可能不需要的应用程序,而不会实际阻止它们。 检测在 Windows 事件日志中捕获。 如果公司正在进行内部软件安全合规性检查并且请务必避免误报,则审核模式下的 PUA 保护非常有用。

使用Microsoft Defender for Endpoint安全设置管理配置 PUA 保护

另请参阅以下文章:

使用 Intune 配置 PUA 保护

另请参阅以下文章:

使用配置管理器配置 PUA 保护

默认情况下,在 Microsoft Configuration Manager (Current Branch) 中启用 PUA 保护。

有关配置 Microsoft Configuration Manager (Current Branch) 的详细信息,请参阅如何创建和部署反恶意软件策略:计划的扫描设置

对于 System Center 2012 Configuration Manager,请参阅 Configuration Manager 管理中心中如何部署用于终结点保护的潜在的不需要的应用程序保护

注意

Microsoft Defender防病毒阻止的 PUA 事件在 Windows 事件查看器中报告,而不是在 Microsoft Configuration Manager 中报告。

使用组策略配置 PUA 保护

  1. 下载并安装 Windows 11 2021 年 10 月更新 (21H2) 管理模板 (.admx)

  2. 在组策略管理计算机上,打开 策略管理控制台

  3. 选择要配置的组策略对象,然后选择" 策略

  4. 策略管理编辑器中, 计算机配置 并选择 管理模板

  5. 展开树,从 Microsoft Defender Windows Components>Microsoft Defender 防病毒软件

  6. 双击“ 配置可能不需要的应用程序的检测”,并将其设置为 “已启用”。

  7. 选项中,选择 阻止 以阻止可能不需要的应用程序,或选择 审核模式 测试设置在环境中的工作方式。 选择“确定”。

  8. 如通常一样部署组策略对象。

使用 PowerShell cmdlet 配置 PUA 保护

启用 PUA 保护

Set-MpPreference -PUAProtection Enabled

如果已禁用该功能,将此 cmdlet 的值设置为 Enabled 将启用该功能。

将 PUA 保护设置为审核模式

Set-MpPreference -PUAProtection AuditMode

设置 AuditMode 可检测 PUA,且不会阻止它们。

禁用 PUA 保护

建议保持启用 PUA 保护。 但是,可以通过以下 cmdlet 将其关闭:

Set-MpPreference -PUAProtection Disabled

如果已启用该功能,将此 cmdlet 的值设置为 Disabled 将禁用该功能。

有关详细信息,请参阅使用 PowerShell cmdlet 配置并运行 Microsoft Defender 防病毒软件Defender for Cloud cmdlet

测试并确保 PUA 阻止正常工作

在块模式下启用 PUA 后,可以进行测试以确保它正常工作。 有关详细信息,请参阅 可能不需要的应用程序 (PUA) 演示

使用 PowerShell 查看 PUA 事件

PUA 事件在 Windows 事件查看器中报告,但不在Microsoft Configuration Manager或Intune中报告。 还可使用 Get-MpThreat cmdlet 查看 Microsoft Defender 防病毒软件处理的威胁。 下面是一个示例:

CategoryID       : 27
DidThreatExecute : False
IsActive         : False
Resources        : {webfile:_q:\Builds\Dalton_Download_Manager_3223905758.exe|http://d18yzm5yb8map8.cloudfront.net/
                    fo4yue@kxqdw/Dalton_Download_Manager.exe|pid:14196,ProcessStart:132378130057195714}
RollupStatus     : 33
SchemaVersion    : 1.0.0.0
SeverityID       : 1
ThreatID         : 213927
ThreatName       : PUA:Win32/InstallCore
TypeID           : 0
PSComputerName   :

获取有关 PUA 检测的电子邮件通知

你可以打开电子邮件通知以接收有关 PUA 检测的邮件。 有关Microsoft Defender防病毒事件的详细信息,请参阅排查事件 ID 问题。 PUA 事件记录在事件 ID 1160

使用高级搜寻查看 PUA 事件

如果你正在使用 Microsoft Defender for Endpoint,你可以使用高级搜寻查询来查看 PUA 事件。 示例查询如下:

DeviceEvents
| where ActionType == "AntivirusDetection"
| extend x = parse_json(AdditionalFields)
| project Timestamp, DeviceName, FolderPath, FileName, SHA256, ThreatName = tostring(x.ThreatName), WasExecutingWhileDetected = tostring(x.WasExecutingWhileDetected), WasRemediated = tostring(x.WasRemediated)
| where ThreatName startswith_cs 'PUA:'

若要了解高级搜寻的详细信息,请参阅使用高级搜寻来主动搜寻威胁

排除来自 PUA 保护的文件

有时文件被 PUA 保护错误阻止,或需要 PUA 的功能才能完成任务。 在这些情况下,可以将文件添加到排除列表。

有关详细信息,请参阅 扩展名和文件夹位置配置和验证排除

另请参阅

提示

想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区