偵測並封鎖潛在的垃圾應用程式

適用於：

• 適用於端點的 Microsoft Defender 方案 1
• 適用於端點的 Microsoft Defender 方案 2
• Microsoft Edge
• Microsoft Defender 防毒軟體

平台

• Windows

潛在的垃圾應用程式（PUA）是一類軟體，可能導致您的機器執行速度緩慢、顯示非預期的廣告、或者最壞的情況是安裝其他非預期或不想要的軟體。 PUA 不會被視為病毒、惡意代碼或其他類型的威脅，但可能會對端點執行會對端點效能或使用造成不良影響的動作。 由於某些不良行為，經由 Microsoft Defender 進階威脅防護進行評估，術語 PUA 也可以指聲譽不佳的應用程式。

範例如下：

• 用於顯示廣告或促銷的 廣告軟體，包括將廣告插入網頁的軟體。
• 統合軟體 ，其提供安裝其他未由相同實體進行數位簽署的軟體。 另外，用於安裝其他符合 PUA 要求的軟體的軟體。
• 積極嘗試逃避安全性產品偵測的 逃避軟體，包括在有安全性產品的情況下，行為會不同的軟體。

提示

若需要更多範例以及關於我們用來標籤應用程式以從安全性功能中特別注意的準則的討論，請參閱 Microsoft 如何識別惡意軟體和潛在的垃圾應用程式。

潛在的垃圾應用程式可能會增加網路被實際惡意軟體感染的風險、使惡意軟體感染難以識別，或讓 IT 和安全性小組花費時間和精力來清理它們。 Windows 11、Windows 10、Windows Server 2022、Windows Server 2019 和 Windows Server 2016 均支援 PUA 保護。 如果貴組織的訂閱包含適用於端點的 Microsoft Defender，Microsoft Defender 防毒軟體會封鎖 Windows 裝置上預設認定為 PUA 的應用程式。

深入了解 Windows 企業版訂閱。

Microsoft Edge

基於 Chromium 的 新 Microsoft Edge 可以封鎖潛在的垃圾應用程式下載和相關的資源 URL。 透過 Microsoft Defender SmartScreen 提供此功能。

在基於 Chromium 的 Microsoft Edge 中啟用 PUA 保護

儘管 Microsoft Edge (基於 Chromium ,版本 80.0.361.50) 中的潛在的垃圾應用程式保護預設為關閉狀態，但可以輕鬆地從瀏覽器中開啟它。

1. 在 Microsoft Edge 瀏覽器中，選取省略號，然後選擇 [ 設定]。

2. 選取 隱私、搜尋和服務。

3. 在 [安全性] 章節下，開啟 [封鎖潛在的垃圾應用程式]。

提示

如果您在執行 Microsoft Edge (基於 Chromium)，透過在其中一個 [Microsoft Defender SmartScreen 示範頁面] 進行測試，您可以安全地探索 PUA 保護的 URL 封鎖功能。

使用 Microsoft Defender SmartScreen 封鎖 URL

在已開啟 PUA 保護 Chromium 型 Microsoft Edge 中，Microsoft Defender SmartScreen 可保護您免於使用 PUA 相關聯的 URL。

安全性管理員可以 設定 Microsoft Edge 和 Microsoft Defender SmartScreen 如何共同工作，以保護使用者群組免受與PUA 相關的 URL 的侵害。 有幾種明確適用於 Microsoft Defender SmartScreen 的 群組原則設定，其中包括一種 用於封鎖 PUA 的原則設定。 此外，使用群組原則設定開啟或關閉 Microsoft Defender SmartScreen，管理員可以整體 設定 Microsoft Defender SmartScreen。

雖然 Microsoft Defender 進階威脅防護根據 Microsoft 管理的資料集有自己的封鎖清單，您可以根據自己的威脅情報來自訂這個清單。 如果您在 Microsoft Defender 進階威脅防護入口網站中 建立和管理指標，則 Microsoft Defender SmartScreen 將遵守新設定。

Microsoft Defender 防毒軟體和 PUA 保護

Microsoft Defender 防毒軟體中的潛在的垃圾應用程式 (PUA) 保護功能可以偵測並封鎖網路中端點上的 PUA。

注意事項

Windows 11、Windows 10、Windows Server 2022、Windows Server 2019 和 Windows Server 2016 中均提供此功能。

Microsoft Defender 防毒軟體封鎖偵測到的 PUA 檔案以及任和下載、移動、執行或安裝它們的嘗試。 已封鎖的 PUA 檔案會被移至隔離。 當在端點上偵測到 PUA 檔案時，Microsoft Defender 防毒軟體會以與其他威脅偵測相同的格式，向使用者發送通知 (除非已停用通知)。 通知以 PUA: 開頭以表示其內容。

通知將顯示在慣例的 Windows 安全性應用程式隔離清單中。

在 Microsoft Defender 防毒軟體設定 PUA 保護

您可以使用 Microsoft Intune、Microsoft Configuration Manager、群組原則 或透過PowerShell Cmdlet 啟用PUA保護。

一開始，請嘗試在稽核模式中使用PUA保護。 它會偵測潛在的垃圾應用程式，而不會實際封鎖它們。 偵測會擷取到 Windows 事件記錄檔中。 如果您的公司正在進行內部軟體安全性合規性檢查，而且請務必避免誤判，則稽核模式中的 PUA 保護非常有用。

使用 Intune 來設定 PUA 保護

請參閱下列文章：

• 在 Microsoft Intune 中設定裝置限制設定
• Microsoft Defender 中 Windows 10 的防病毒軟體裝置限制設定 Intune

使用 Configuration Manager 來設定 PUA 保護

根據預設，#DA42B6B3859F041F5815C5C4224EEEB1E (最新分支) 中會啟用PUA保護。

如需設定最新分支) Microsoft Configuration Manager (詳細資訊，請參閱如何建立和部署反惡意代碼原則：排程的掃描設定。

針對 System Center 2012 Configuration Manager，請參閱 如何在 Configuration Manager 中為端點保護部署潛在的垃圾應用程式保護原則。

注意事項

#D141252B75F5E494E86DAF3D2E8AF90AB 防病毒軟體封鎖的PUA事件會在Windows 事件檢視器 中回報，而不是在 Microsoft Configuration Manager 中報告。

使用群組原則來設定 PUA 保護

1. 下載並安裝 Windows 11 的系統管理範本 (.admx) 2021 年 10 月更新 (21H2)

2. 在您的群組原則管理電腦，開啟 群組原則管理主控台。

3. 選取您想設定的群組原則物件，然後選擇 編制。

4. 在 [群組原則管理編輯器] 中，移至 [電腦設定] 然後選取 [系統管理範本]。

5. 展開 Windows 元件>Microsoft Defender 防毒軟體的樹狀結構。

6. 按兩下以 設定潛在的垃圾應用程式 (PUA) 的偵測。

7. 選取 [啟用] 來啟用 PUA 保護。

8. 在 [選項]，選取 [封鎖] 來封鎖潛在的垃圾應用程式，或選取 [稽核模式] 來測試您環境中的設定如何運作。 選取 [確定]。

9. 如常部署您的群組原則物件。

使用 PowerShell Cmdlet 來設定 PUA 保護

啟用 PUA 保護

Set-MpPreference -PUAProtection Enabled

將此 Cmdlet 的值設定為 Enabled，會開啟已被停用的功能。

將 PUSA 保護設定到稽核模式

Set-MpPreference -PUAProtection AuditMode

設定 AuditMode 可以偵測 PUA 但不封鎖它們。

停用 PUA 保護

我們推薦持續開啟 PUA 保護。 不過，如果您可以使用下列 Cmdlet 來關閉它:

Set-MpPreference -PUAProtection Disabled

將此 Cmdlet 的值設定為 Disabled，會關閉已被啟用的功能。

如需詳細資訊，請參閱 使用 PowerShell Cmdlets 設定和執行 Microsoft Defender 防毒軟體 和 Defender 防毒軟體 cmdlets。

使用 PowerShell 檢視 PUA 事件

PUA 事件會在 Windows 事件檢視器 中報告，但不會在 Microsoft Configuration Manager 或 Intune 中報告。 您也可以使用 Get-MpThreat Cmdlet 來檢視 Microsoft Defender 防毒軟體已經處理的威脅。 以下為範例:

CategoryID       : 27
DidThreatExecute : False
IsActive         : False
Resources        : {webfile:_q:\Builds\Dalton_Download_Manager_3223905758.exe|http://d18yzm5yb8map8.cloudfront.net/
                    fo4yue@kxqdw/Dalton_Download_Manager.exe|pid:14196,ProcessStart:132378130057195714}
RollupStatus     : 33
SchemaVersion    : 1.0.0.0
SeverityID       : 1
ThreatID         : 213927
ThreatName       : PUA:Win32/InstallCore
TypeID           : 0
PSComputerName   :

收取關於 PUA 偵測的電子郵件通知

您開業開啟電子郵件通知以接收關於 PUA 偵測的電子郵件。

關於檢視 Microsoft Defender 防毒軟體事件的詳細資料，請參閲 《疑難排解事件識別碼》。 PUA 事件記錄在事件識別碼 1160 下。

使用進階搜捕檢視 PUA 事件

如果您使用 Microsoft Defender 進階威脅防護，則可以使用進階搜捕查詢來檢視 PUA 事件。 以下為範例查詢:

DeviceEvents
| where ActionType == "AntivirusDetection"
| extend x = parse_json(AdditionalFields)
| project Timestamp, DeviceName, FolderPath, FileName, SHA256, ThreatName = tostring(x.ThreatName), WasExecutingWhileDetected = tostring(x.WasExecutingWhileDetected), WasRemediated = tostring(x.WasRemediated)
| where ThreatName startswith_cs 'PUA:'

深入了解進階搜捕，請參閲 《使用進階搜捕主動搜捕威脅》。

排除來自 PUA 保護的檔案

有時一個檔案會不小心被 PUA 保護封鎖，或者需要 PUA 的功能來完成一個工作。 在這些情況下，檔案可以新增到排除項目清單。

如需詳細資訊，請參閱 《設定及驗證基於檔案副檔名和資料夾位置的排除》。

提示

如果您在尋找其他平台適用的防毒軟體相關資訊，請參閱：

• 設定 macOS 上適用於端點的 Microsoft Defender 的喜好設定
• macOS 上適用於端點的 Microsoft Defender
• 適用於 Intune 版 Microsoft Defender 防毒軟體 的 macOS 防毒軟體原則設定
• 為 Linux 上適用於端點的 Microsoft Defender 設定喜好設定
• Linux 上適用於端點的 Microsoft Defender
• 設定 Android 上適用於端點的 Microsoft Defender 功能
• 設定 iOS 上適用於端點的 Microsoft Defender 功能

另請參閱

• 新一代保護
• 設定行為、啟發學習法和即時保護

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群：適用於端點的 Microsoft Defender 技術社群。