偵測並封鎖潛在的垃圾應用程式
適用於:
- Microsoft Defender XDR
- 適用於端點的 Microsoft Defender方案 1 和方案 2
- 適用於企業的 Microsoft Defender
- Microsoft Edge
- Microsoft Defender 個人
- Microsoft Defender 防毒軟體
平台
- Windows
Microsoft Defender 防病毒軟體適用於下列 Windows 和 Windows Server 版本:
- Windows Server 2022
- Windows Server 2019
- Windows Server 版本 1803 或更新版本
- Windows Server 2016
- Windows Server 2012 R2 (需要 適用於端點的 Microsoft Defender)
- Windows 11
- Windows 10
- Windows 8.1
針對 macOS,請參閱 在 macOS 上使用適用於端點的 Defender 偵測和封鎖潛在的垃圾應用程式。
針對 Linux,請參閱 在 Linux 上使用適用於端點的 Defender 偵測和封鎖潛在的垃圾應用程式。
潛在的垃圾應用程式(PUA)是一類軟體,可能導致您的機器執行速度緩慢、顯示非預期的廣告、或者最壞的情況是安裝其他非預期或不想要的軟體。 PUA 不會被視為病毒、惡意代碼或其他類型的威脅,但可能會對端點執行會對端點效能或使用造成不良影響的動作。 由於某些不良行為,經由 Microsoft Defender 進階威脅防護進行評估,術語 PUA 也可以指聲譽不佳的應用程式。
範例如下:
- 用於顯示廣告或促銷的 廣告軟體,包括將廣告插入網頁的軟體。
- 統合軟體 ,其提供安裝其他未由相同實體進行數位簽署的軟體。 另外,用於安裝其他符合 PUA 要求的軟體的軟體。
- 積極嘗試逃避安全性產品偵測的 逃避軟體,包括在有安全性產品的情況下,行為會不同的軟體。
提示
若需要更多範例以及關於我們用來標籤應用程式以從安全性功能中特別注意的準則的討論,請參閱 Microsoft 如何識別惡意軟體和潛在的垃圾應用程式。
潛在的垃圾應用程式可能會增加網路被實際惡意軟體感染的風險、使惡意軟體感染難以識別,或讓 IT 和安全性小組花費時間和精力來清理它們。 如果您組織的訂用帳戶包含 適用於端點的 Microsoft Defender,您也可以將 Microsoft Defender 防病毒軟體 PUA 設定為封鎖,以封鎖在 Windows 裝置上被視為 PUA 的應用程式。
提示
作為本文的附隨者,請參閱我們的 適用於端點的 Microsoft Defender 設定指南,以檢閱最佳做法,並瞭解基本工具,例如受攻擊面縮小和新一代保護。 如需以您的環境為基礎的自定義體驗,您可以在 Microsoft 365 系統管理中心 中存取適用於端點的 Defender 自動化設定指南。
Microsoft Edge
基於 Chromium 的 新 Microsoft Edge 可以封鎖潛在的垃圾應用程式下載和相關的資源 URL。 透過 Microsoft Defender SmartScreen 提供此功能。
在基於 Chromium 的 Microsoft Edge 中啟用 PUA 保護
儘管 Microsoft Edge (基於 Chromium ,版本 80.0.361.50) 中的潛在的垃圾應用程式保護預設為關閉狀態,但可以輕鬆地從瀏覽器中開啟它。
在您的 Microsoft Edge 瀏覽器中,選取省略號,然後選擇 [ 設定]。
選取 隱私、搜尋和服務。
在 [安全性] 章節下,開啟 [封鎖潛在的垃圾應用程式]。
提示
如果您在執行 Microsoft Edge (基於 Chromium),透過在其中一個 [Microsoft Defender SmartScreen 示範頁面] 進行測試,您可以安全地探索 PUA 保護的 URL 封鎖功能。
使用 Microsoft Defender SmartScreen 封鎖 URL
在已開啟 PUA 保護的 Chromium 型 Microsoft Edge 中,Microsoft Defender SmartScreen 可保護您免於使用 PUA 相關聯的 URL。
安全性管理員可以 設定 Microsoft Edge 和 Microsoft Defender SmartScreen 如何共同工作,以保護使用者群組免受與PUA 相關的 URL 的侵害。 有幾種明確適用於 Microsoft Defender SmartScreen 的 群組原則設定,其中包括一種 用於封鎖 PUA 的原則設定。 此外,使用群組原則設定開啟或關閉 Microsoft Defender SmartScreen,管理員可以整體 設定 Microsoft Defender SmartScreen。
雖然 Microsoft Defender 進階威脅防護根據 Microsoft 管理的資料集有自己的封鎖清單,您可以根據自己的威脅情報來自訂這個清單。 如果您在 Microsoft Defender 進階威脅防護入口網站中 建立和管理指標,則 Microsoft Defender SmartScreen 將遵守新設定。
Microsoft Defender 防毒軟體和 PUA 保護
Microsoft Defender 防毒軟體中的潛在的垃圾應用程式 (PUA) 保護功能可以偵測並封鎖網路中端點上的 PUA。
Microsoft Defender 防毒軟體封鎖偵測到的 PUA 檔案以及任和下載、移動、執行或安裝它們的嘗試。 已封鎖的 PUA 檔案會被移至隔離。 當在端點上偵測到 PUA 檔案時,Microsoft Defender 防毒軟體會以與其他威脅偵測相同的格式,向使用者發送通知 (除非已停用通知)。 通知以 PUA:
開頭以表示其內容。
通知將顯示在慣例的 Windows 安全性應用程式隔離清單中。
在 Microsoft Defender 防毒軟體設定 PUA 保護
您可以使用 適用於端點的 Microsoft Defender 安全性設定管理、Microsoft Intune、Microsoft Configuration Manager、群組原則 或透過PowerShell Cmdlet來啟用PUA保護。
一開始,請嘗試在稽核模式中使用PUA保護。 它會偵測潛在的垃圾應用程式,而不會實際封鎖它們。 偵測會擷取到 Windows 事件記錄檔中。 如果您的公司正在進行內部軟體安全性合規性檢查,而且請務必避免誤判,則稽核模式中的 PUA 保護非常有用。
使用 適用於端點的 Microsoft Defender 安全性設定管理來設定PUA保護
請參閱下列文章:
使用 Intune 來設定 PUA 保護
請參閱下列文章:
使用 Configuration Manager 來設定 PUA 保護
根據預設,#D93C9BB85ACBC4C67A5524254B7ED8A59 (最新分支) 中會啟用PUA保護。
如需設定最新分支) 的詳細 Microsoft Configuration Manager (資訊,請參閱如何建立和部署反惡意代碼原則:排程的掃描設定。
針對 System Center 2012 Configuration Manager,請參閱 如何在 Configuration Manager 中為端點保護部署潛在的垃圾應用程式保護原則。
注意事項
#D2977ECCE5CE648C781EAFAF5C59560AF 防病毒軟體封鎖的PUA事件會在Windows 事件檢視器 中回報,而不是在Microsoft Configuration Manager中報告。
使用群組原則來設定 PUA 保護
在您的群組原則管理電腦,開啟 群組原則管理主控台。
選取您想設定的群組原則物件,然後選擇 編制。
在 [群組原則管理編輯器] 中,移至 [電腦設定] 然後選取 [系統管理範本]。
展開 Windows 元件>Microsoft Defender 防毒軟體的樹狀結構。
按兩下 [ 設定潛在垃圾應用程式的偵測],並將它設定為 [ 已啟用]。
在 [選項],選取 [封鎖] 來封鎖潛在的垃圾應用程式,或選取 [稽核模式] 來測試您環境中的設定如何運作。 選取 [確定]。
如常部署您的群組原則物件。
使用 PowerShell Cmdlet 來設定 PUA 保護
啟用 PUA 保護
Set-MpPreference -PUAProtection Enabled
將此 Cmdlet 的值設定為 Enabled
,會開啟已被停用的功能。
將 PUSA 保護設定到稽核模式
Set-MpPreference -PUAProtection AuditMode
設定 AuditMode
可以偵測 PUA 但不封鎖它們。
停用 PUA 保護
我們推薦持續開啟 PUA 保護。 不過,如果您可以使用下列 Cmdlet 來關閉它:
Set-MpPreference -PUAProtection Disabled
將此 Cmdlet 的值設定為 Disabled
,會關閉已被啟用的功能。
如需詳細資訊,請參閱 使用 PowerShell Cmdlets 設定和執行 Microsoft Defender 防毒軟體 和 Defender 防毒軟體 cmdlets。
測試並確定PUA封鎖可運作
在封鎖模式中啟用PUA之後,您可以進行測試以確定它正常運作。 如需詳細資訊,請 參閱PUA) 示範 (潛在的垃圾應用程式。
使用 PowerShell 檢視 PUA 事件
PUA 事件會在 Windows 事件檢視器 中報告,但不會在 Microsoft Configuration Manager 或 Intune 中報告。 您也可以使用 Get-MpThreat
Cmdlet 來檢視 Microsoft Defender 防毒軟體已經處理的威脅。 以下為範例:
CategoryID : 27
DidThreatExecute : False
IsActive : False
Resources : {webfile:_q:\Builds\Dalton_Download_Manager_3223905758.exe|http://d18yzm5yb8map8.cloudfront.net/
fo4yue@kxqdw/Dalton_Download_Manager.exe|pid:14196,ProcessStart:132378130057195714}
RollupStatus : 33
SchemaVersion : 1.0.0.0
SeverityID : 1
ThreatID : 213927
ThreatName : PUA:Win32/InstallCore
TypeID : 0
PSComputerName :
收取關於 PUA 偵測的電子郵件通知
您開業開啟電子郵件通知以接收關於 PUA 偵測的電子郵件。 如需 Microsoft Defender 防病毒軟體事件的詳細資訊,請參閱針對事件標識碼進行疑難解答。 PUA 事件記錄在事件識別碼 1160 下。
使用進階搜捕檢視 PUA 事件
如果您使用 Microsoft Defender 進階威脅防護,則可以使用進階搜捕查詢來檢視 PUA 事件。 以下為範例查詢:
DeviceEvents
| where ActionType == "AntivirusDetection"
| extend x = parse_json(AdditionalFields)
| project Timestamp, DeviceName, FolderPath, FileName, SHA256, ThreatName = tostring(x.ThreatName), WasExecutingWhileDetected = tostring(x.WasExecutingWhileDetected), WasRemediated = tostring(x.WasRemediated)
| where ThreatName startswith_cs 'PUA:'
深入了解進階搜捕,請參閲 《使用進階搜捕主動搜捕威脅》。
排除來自 PUA 保護的檔案
有時一個檔案會不小心被 PUA 保護封鎖,或者需要 PUA 的功能來完成一個工作。 在這些情況下,檔案可以新增到排除項目清單。
如需詳細資訊,請參閱 《設定及驗證基於檔案副檔名和資料夾位置的排除》。
提示
如果您在尋找其他平台適用的防毒軟體相關資訊,請參閱:
另請參閱
提示
想要深入了解? Engage 技術社群中的Microsoft安全性社群:適用於端點的 Microsoft Defender 技術社群。