Find og bloker potentielt uønskede programmer

Gælder for:

• Microsoft Defender XDR
• Microsoft Defender for Endpoint Plan 1 og Plan 2
• Microsoft Defender for Business
• Microsoft Edge
• Microsoft Defender for Individuals
• Microsoft Defender Antivirus

Platforme

• Windows

Microsoft Defender Antivirus er tilgængelig i følgende versioner af Windows og Windows Server:

• Windows Server 2022
• Windows Server 2019
• Windows Server, version 1803 eller nyere
• Windows Server 2016
• Windows Server 2012 R2 (kræver Microsoft Defender for Endpoint)
• Windows 11
• Windows 10
• Windows 8.1

For macOS skal du se Registrer og bloker potentielt uønskede programmer med Defender for Endpoint på macOS.

Til Linux skal du se Registrer og bloker potentielt uønskede programmer med Defender for Endpoint på Linux.

Potentielt uønskede programmer (PUA) er en kategori af software, der kan få din maskine til at køre langsomt, vise uventede annoncer eller i værste fald installere anden software, der kan være uventet eller uønsket. PUA betragtes ikke som en virus, malware eller anden type trussel, men den kan udføre handlinger på slutpunkter, der påvirker slutpunktets ydeevne eller brug negativt. Udtrykket PUA kan også henvise til et program, der har et dårligt omdømme, som vurderet af Microsoft Defender for Endpoint, på grund af visse former for uønsket adfærd.

Her er nogle eksempler:

• Reklamesoftware , der viser reklamer eller kampagner, herunder software, der indsætter reklamer på websider.
• Bundling-software , der tilbyder at installere anden software, der ikke er digitalt signeret af den samme enhed. Også software, der tilbyder at installere anden software, der er kvalificeret som PUA.
• Undvigelsessoftware , der aktivt forsøger at undgå registrering af sikkerhedsprodukter, herunder software, der opfører sig anderledes i tilstedeværelse af sikkerhedsprodukter.

Tip

Hvis du vil have flere eksempler og en diskussion af de kriterier, vi bruger til at mærke programmer med særlig opmærksomhed fra sikkerhedsfunktioner, skal du se Sådan identificerer Microsoft malware og potentielt uønskede programmer.

Potentielt uønskede programmer kan øge risikoen for, at dit netværk bliver inficeret med faktisk malware, gøre malwareinfektioner sværere at identificere eller koste din it- og sikkerhedsteams tid og kræfter på at rense dem op. Hvis din organisations abonnement omfatter Microsoft Defender for Endpoint, kan du også angive Microsoft Defender Antivirus PUA til at blokere for at blokere apps, der anses for at være PUA på Windows-enheder.

Få mere at vide om Windows Enterprise-abonnementer.

Tip

Som ledsager til denne artikel kan du se vores konfigurationsvejledning til Microsoft Defender for Endpoint for at gennemgå bedste praksis og få mere at vide om vigtige værktøjer, f.eks. reduktion af angrebsoverfladen og beskyttelse i næste generation. Hvis du vil have en tilpasset oplevelse baseret på dit miljø, kan du få adgang til den automatiserede konfigurationsvejledning til Defender for Endpoint i Microsoft 365 Administration.

Microsoft Edge

Den nye Microsoft Edge, som er Chromium-baseret, blokerer potentielt uønskede programoverførsler og tilknyttede ressource-URL-adresser. Denne funktion leveres via Microsoft Defender SmartScreen.

Aktivér PUA-beskyttelse i Chromium-baseret Microsoft Edge

Selvom potentielt uønsket programbeskyttelse i Microsoft Edge (Chromium-baseret, version 80.0.361.50) er slået fra som standard, kan den nemt aktiveres fra browseren.

1. I din Microsoft Edge-browser skal du vælge ellipsen og derefter vælge Indstillinger.

2. Vælg Beskyttelse af personlige oplysninger, søgning og tjenester.

3. Under afsnittet Sikkerhed skal du aktivere Bloker potentielt uønskede apps.

Tip

Hvis du kører Microsoft Edge (Chromium-baseret), kan du sikkert udforske funktionen URL-blokering i PUA-beskyttelse ved at teste den på en af vores Microsoft Defender SmartScreen-demosider.

Bloker URL-adresser med Microsoft Defender SmartScreen

I Chromium-baseret Microsoft Edge med PUA-beskyttelse slået til beskytter Microsoft Defender SmartScreen dig mod PUA-tilknyttede URL-adresser.

Sikkerhedsadministratorer kan konfigurere , hvordan Microsoft Edge og Microsoft Defender SmartScreen arbejder sammen for at beskytte grupper af brugere mod PUA-tilknyttede URL-adresser. Der findes flere gruppepolitikindstillinger eksplicit for Microsoft Defender SmartScreen, herunder en til blokering af PUA. Desuden kan administratorer konfigurere Microsoft Defender SmartScreen som helhed ved hjælp af gruppepolitikindstillinger til at slå Microsoft Defender SmartScreen til eller fra.

Selvom Microsoft Defender for Endpoint har sin egen blokeringsliste, der er baseret på et datasæt, der administreres af Microsoft, kan du tilpasse denne liste baseret på din egen trusselsintelligens. Hvis du opretter og administrerer indikatorer på Microsoft Defender for Endpoint-portalen, respekterer Microsoft Defender SmartScreen de nye indstillinger.

Microsoft Defender Antivirus- og PUA-beskyttelse

Den potentielt uønskede funktion til programbeskyttelse i Microsoft Defender Antivirus kan registrere og blokere PUA på slutpunkter i dit netværk.

Microsoft Defender Antivirus blokerer registrerede PUA-filer og forsøg på at downloade, flytte, køre eller installere dem. Blokerede PUA-filer flyttes derefter til karantæne. Når der registreres en PUA-fil på et slutpunkt, sender Microsoft Defender Antivirus en meddelelse til brugeren (medmindre meddelelser er blevet deaktiveret i samme format som andre trusselsregistreringer. Meddelelsen er på forhånd med PUA: for at angive dens indhold.

Meddelelsen vises på den sædvanlige karantæneliste i Windows Security-appen.

Konfigurer PUA-beskyttelse i Microsoft Defender Antivirus

Du kan aktivere PUA-beskyttelse med Microsoft Defender for Endpoint Security Settings Management, Microsoft Intune, Microsoft Configuration Manager, Gruppepolitik eller via PowerShell-cmdlet'er.

Prøv først at bruge PUA-beskyttelse i overvågningstilstand. Den registrerer potentielt uønskede programmer uden faktisk at blokere dem. Registreringer registreres i Windows-hændelsesloggen. PUA-beskyttelse i overvågningstilstand er nyttig, hvis din virksomhed udfører en intern kontrol af softwaresikkerhedsoverholdelse, og det er vigtigt at undgå falske positiver.

Brug Microsoft Defender for Endpoint Security Settings Management til at konfigurere PUA-beskyttelse

Se følgende artikler:

• Brug Microsoft Defender for Endpoint Security Settings Management til at administrere Microsoft Defender Antivirus

Brug Intune til at konfigurere PUA-beskyttelse

Se følgende artikler:

• Konfigurer indstillinger for enhedsbegrænsning i Microsoft Intune
• Indstillinger for Microsoft Defender Antivirus-enhedsbegrænsning for Windows 10 i Intune

Brug Konfigurationsstyring til at konfigurere PUA-beskyttelse

PUA-beskyttelse er som standard aktiveret i Microsoft Configuration Manager (Aktuel gren).

Se Sådan opretter og installerer du antimalwarepolitikker: Indstillinger for planlagte scanninger for at få flere oplysninger om konfiguration af Microsoft Configuration Manager (Current Branch).

I System Center 2012 Configuration Manager skal du se Sådan installerer du potentielt uønskede programbeskyttelsespolitik for Endpoint Protection i Configuration Manager.

Bemærk!

PUA-hændelser, der er blokeret af Microsoft Defender Antivirus, rapporteres i Windows Logbog og ikke i Microsoft Configuration Manager.

Brug Gruppepolitik til at konfigurere PUA-beskyttelse

1. Download og installér administrative skabeloner (.admx) til Windows 11 oktober 2021-opdatering (21H2)

2. Åbn administrationskonsollen for gruppepolitik på din computer til administration af gruppepolitik.

3. Vælg det gruppepolitikobjekt, du vil konfigurere, og vælg derefter Rediger.

4. I redigeringsprogrammet til administration af gruppepolitik skal du gå til Computerkonfiguration og vælge Administrative skabeloner.

5. Udvid træet til Windows-komponenter>Microsoft Defender Antivirus.

6. Dobbeltklik på Konfigurer registrering for potentielt uønskede programmer, og angiv den til Aktiveret.

7. Under Indstillinger skal du vælge Bloker for at blokere potentielt uønskede programmer eller vælge Overvågningstilstand for at teste, hvordan indstillingen fungerer i dit miljø. Vælg OK.

8. Installer dit gruppepolitikobjekt, som du plejer.

Brug PowerShell-cmdlet'er til at konfigurere PUA-beskyttelse

Sådan aktiverer du PUA-beskyttelse

Set-MpPreference -PUAProtection Enabled

Angivelse af værdien for denne cmdlet til at Enabled aktivere funktionen, hvis den er blevet deaktiveret.

Sådan angiver du PUA-beskyttelse til overvågningstilstand

Set-MpPreference -PUAProtection AuditMode

Når du angiver en indstilling AuditMode , registreres pua'er uden at blokere dem.

Sådan deaktiverer du PUA-beskyttelse

Vi anbefaler, at PUA-beskyttelse er slået til. Du kan dog slå den fra ved hjælp af følgende cmdlet:

Set-MpPreference -PUAProtection Disabled

Hvis du angiver værdien for denne cmdlet for at Disabled slå funktionen fra, hvis den er blevet aktiveret.

Du kan få flere oplysninger under Brug PowerShell-cmdlet'er til at konfigurere og køre Microsoft Defender Antivirus - og Defender Antivirus-cmdlet'er.

Test, og sørg for, at BLOKERING AF PUA fungerer

Når du har aktiveret PUA i bloktilstand, kan du teste for at sikre, at det fungerer korrekt. Du kan få flere oplysninger under Demonstration af potentielt uønskede programmer (PUA).

Få vist PUA-hændelser ved hjælp af PowerShell

PUA-hændelser rapporteres i Windows Logbog, men ikke i Microsoft Configuration Manager eller i Intune. Du kan også bruge cmdlet'en Get-MpThreat til at få vist trusler, som Microsoft Defender Antivirus har håndteret. Her er et eksempel:

CategoryID       : 27
DidThreatExecute : False
IsActive         : False
Resources        : {webfile:_q:\Builds\Dalton_Download_Manager_3223905758.exe|http://d18yzm5yb8map8.cloudfront.net/
                    fo4yue@kxqdw/Dalton_Download_Manager.exe|pid:14196,ProcessStart:132378130057195714}
RollupStatus     : 33
SchemaVersion    : 1.0.0.0
SeverityID       : 1
ThreatID         : 213927
ThreatName       : PUA:Win32/InstallCore
TypeID           : 0
PSComputerName   :

Få mailmeddelelser om PUA-registreringer

Du kan slå mailmeddelelser til for at modtage mail om PUA-registreringer. Du kan finde flere oplysninger om Microsoft Defender Antivirus-hændelser under Fejlfinding af hændelses-id'er. PUA-hændelser registreres under hændelses-id 1160.

Se PUA-begivenheder ved hjælp af avanceret jagt

Hvis du bruger Microsoft Defender for Endpoint, kan du bruge en avanceret jagtforespørgsel til at få vist PUA-hændelser. Her er et eksempel på en forespørgsel:

DeviceEvents
| where ActionType == "AntivirusDetection"
| extend x = parse_json(AdditionalFields)
| project Timestamp, DeviceName, FolderPath, FileName, SHA256, ThreatName = tostring(x.ThreatName), WasExecutingWhileDetected = tostring(x.WasExecutingWhileDetected), WasRemediated = tostring(x.WasRemediated)
| where ThreatName startswith_cs 'PUA:'

Du kan få mere at vide om avanceret jagt under Proaktiv jagt efter trusler med avanceret jagt.

Udelad filer fra PUA-beskyttelse

Nogle gange blokeres en fil fejlagtigt af PUA-beskyttelse, eller en funktion i en PUA er påkrævet for at fuldføre en opgave. I disse tilfælde kan en fil føjes til en udeladelsesliste.

Du kan få flere oplysninger under Konfigurer og valider udeladelser baseret på filtypenavn og mappeplacering.

Tip

Hvis du leder efter antivirusrelaterede oplysninger til andre platforme, skal du se:

• Microsoft Defender for Endpoint på Mac
• Microsoft Defender for Endpoint på Linux
• Konfigurer Defender for Endpoint på Android-funktioner
• Konfigurer Microsoft Defender for Endpoint på iOS-funktioner

Se også

• Næste generations beskyttelse
• Konfigurer funktionsmåde-, heuristisk- og realtidsbeskyttelse

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender for Endpoint Tech Community.