Erkennen und Blockieren potenziell unerwünschter Anwendungen

  • Artikel

Gilt für:

Plattformen

  • Windows

Potenziell unerwünschte Anwendungen (PUA) sind eine Kategorie von Software, die Ihren Computer verlangsamen, unerwartete Werbung anzeigen oder schlimmstenfalls andere Software installieren kann, die unerwartet oder unerwünscht ist. PUA wird nicht als Virus, Schadsoftware oder eine andere Art von Bedrohung angesehen, aber es kann Aktionen auf Endpunkten ausführen, die sich negativ auf die Leistung oder Verwendung von Endpunkten auswirken. Der Ausdruck PUA kann sich auch auf eine Anwendung beziehen, die aufgrund bestimmter unerwünschten Verhaltensweisen einen schlechten Ruf hat (gemäß Bewertung von Microsoft Defender für Endpunkt).

Hier sind einige Beispiele:

  • Werbe-Software, welche Werbung oder Aktionen anzeigt, einschließlich Software, die Werbung in Webseiten einfügt.
  • Bündelung von Software , die die Installation anderer Software anbietet, die nicht von derselben Entität digital signiert ist. Ebenfalls Software, die anbietet, andere Software zu installieren, die als PUA eingestuft wird.
  • Umgehungssoftware, die aktiv versucht, sich der Erkennung durch Sicherheitsprodukte zu entziehen, einschließlich Software, die sich bei Vorhandensein von Sicherheitsprodukten anders verhält.

Tipp

Weitere Beispiele und eine Diskussion der Kriterien, die wir verwenden, um Anwendungen für die besondere Aufmerksamkeit von Sicherheitsfeatures zu kennzeichnen, finden Sie unter Wie Microsoft Schadsoftware und potenziell unerwünschte Anwendungen identifiziert.

Potenziell unerwünschte Anwendungen können das Risiko erhöhen, dass Ihr Netzwerk mit echter Schadsoftware infiziert wird, die Erkennung von Schadsoftware-Infektionen erschweren oder Ihre IT- und Sicherheitsteams Zeit und Mühe kosten, sie zu bereinigen. PUA-Schutz wird unter Windows 11, Windows 10, Windows Server 2022, Windows Server 2019 und Windows Server 2016 unterstützt. Wenn das Abonnement Ihrer Organisation Microsoft Defender für Endpunktenthält, blockiert Microsoft Defender Antivirus Apps, die standardmäßig als PUA gelten, auf Windows-Geräten.

Erfahren Sie mehr über Windows Enterprise-Abonnements.

Tipp

Als Begleitartikel zu diesem Artikel empfehlen wir, den Leitfaden zur automatisierten einrichtung von Microsoft Defender for Endpoint zu verwenden, wenn Sie bei der Microsoft 365 Admin Center angemeldet sind. In diesem Leitfaden wird Ihre Benutzererfahrung basierend auf Ihrer Umgebung angepasst. Um bewährte Methoden zu überprüfen, ohne sich anzumelden und features für die automatisierte Einrichtung zu aktivieren, wechseln Sie zum Microsoft 365-Setuphandbuch.

Microsoft Edge

Der neue Microsoft Edge, der Chromium-basiert ist, blockiert das Herunterladen von potenziell unerwünschten Anwendungen und zugehöriger Ressourcen-URLs. Dieses Feature wird über Microsoft Defender SmartScreen zur Verfügung gestellt.

PUA-Schutz im Chromium-basierten Microsoft Edge aktivieren

Obwohl der Schutz vor potentiell unerwünschten Anwendungen in Microsoft Edge (Chromium-basiert, Version 80.0.361.50) standardmäßig deaktiviert ist, kann er einfach aus dem Browser heraus aktiviert werden.

  1. Wählen Sie in Ihrem Microsoft Edge-Browser die Auslassungspunkte und dann Einstellungen aus.

  2. Wählen Sie Datenschutz, Suche und Dienste aus.

  3. Aktivieren Sie unter dem Abschnitt Sicherheit die Option Blockieren potenziell unerwünschter Apps.

Tipp

Wenn Sie Microsoft Edge (Chromium-basiert) verwenden, können Sie die URL-Blockierungsfunktion des PUA-Schutzes sicher erkunden, indem Sie diese auf einer unserer Microsoft Defender SmartScreen-Demoseiten ausprobieren.

URLs blockieren mit Microsoft Defender SmartScreen

In Chromium-basierten Microsoft Edge mit aktiviertem PUA-Schutz schützt Microsoft Defender SmartScreen Sie vor PUA-zugeordneten URLs.

Sicherheitsadministratoren können konfigurieren, wie Microsoft Edge und Microsoft Defender SmartScreen zusammenarbeiten, um Gruppen von Benutzern vor mit PUA assoziierten URLs zu schützen. Für Microsoft Defender SmartScreen sind mehrere Gruppenrichtlinieneinstellungen explizit verfügbar, einschließlich eine zum Blockieren von PUA. Zusätzlich können Administratoren Microsoft Defender SmartScreen als Ganzes konfigurieren, indem Sie Gruppenrichtlinieneinstellungen verwenden, um Microsoft Defender SmartScreen zu aktivieren oder deaktivieren.

Obwohl Microsoft Defender für Endpunkt über eine eigene Sperrliste verfügt, die auf einem von Microsoft verwalteten Dataset basiert, können Sie diese Liste basierend auf Ihren eigenen Bedrohungsinformationen anpassen. Wenn Sie im Microsoft Defender für Endpunkt-Portal Indikatoren erstellen und verwalten, berücksichtigt Microsoft Defender SmartScreen die neuen Einstellungen.

Microsoft Defender Antivirus und PUA-Schutz

Die Schutzfunktion gegen potentiell unerwünschte Anwendungen (PUA) in Microsoft Defender Antivirus kann PUA auf Endpunkten in Ihrem Netzwerk erkennen und blockieren.

Hinweis

Dieses Feature ist in Windows 11, Windows 10, Windows Server 2022, Windows Server 2019 und Windows Server 2016 verfügbar.

Microsoft Defender Antivirus blockiert erkannte PUA-Dateien und jeden Versuch, diese herunterzuladen, zu verschieben, auszuführen oder zu installieren. Blockierte PUA-Dateien werden dann unter Quarantäne gestellt. Wenn eine PUA-Datei auf einem Endpunkt erkannt wird, sendet Microsoft Defender Antivirus eine Benachrichtigung an den Benutzer (außer wenn Benachrichtigungen deaktiviert wurden), im gleichen Format wie für andere Bedrohungserkennungen. Der Benachrichtigung wird PUA: vorangestellt, um ihren Inhalt anzuzeigen.

Die Benachrichtigung erscheint in der üblichen Quarantäneliste innerhalb der Windows-Sicherheit-App.

Konfigurieren des PUA-Schutzes in Microsoft Defender Antivirus

Sie können den PUA-Schutz mit Microsoft Intune, Microsoft Configuration Manager, Gruppenrichtlinie oder über PowerShell-Cmdlets aktivieren.

Versuchen Sie zunächst, pua-Schutz im Überwachungsmodus zu verwenden. Es erkennt potenziell unerwünschte Anwendungen, ohne sie tatsächlich zu blockieren. Erkennungen werden im Windows-Ereignisprotokoll erfasst. PUA-Schutz im Überwachungsmodus ist nützlich, wenn Ihr Unternehmen eine interne Überprüfung der Softwaresicherheitskonformität durchführt und es wichtig ist, falsch positive Ergebnisse zu vermeiden.

Verwenden von Intune zum Konfigurieren des PUA-Schutzes

Lesen Sie die folgenden Artikel:

Verwenden des Configuration Manager zum Konfigurieren des PUA-Schutzes

PUA-Schutz ist standardmäßig im Microsoft Configuration Manager (Current Branch) aktiviert.

Ausführliche Informationen zum Konfigurieren von Microsoft Configuration Manager (Current Branch) finden Sie unter Erstellen und Bereitstellen von Antischadsoftwarerichtlinien: Einstellungen für geplante Überprüfungen.

Für den Configuration Manager des System Center 2012 lesen Sie Bereitstellen einer Schutzrichtlinie für potenziell unerwünschte Anwendungen für den Endpunktschutz im Configuration Manager.

Hinweis

Von Microsoft Defender Antivirus blockierte PUA-Ereignisse werden im Windows-Ereignisanzeige und nicht in Microsoft Configuration Manager gemeldet.

Verwenden einer Gruppenrichtlinie zum Konfigurieren des PUA-Schutzes

  1. Herunterladen und Installieren der Administrativen Vorlagen (.admx) für Windows 11, Oktober 2021 Update (21H2)

  2. Öffnen Sie auf dem Computer, der Ihre Gruppenrichtlinie verwaltet, die Gruppenrichtlinien-Verwaltungskonsole.

  3. Wählen Sie das Gruppenrichtlinien-Objekt aus, das Sie konfigurieren wollen, und wählen Sie dann Bearbeiten aus.

  4. Wechseln Sie im Gruppenrichtlinien-Verwaltungs-Editor zu Computerkonfiguration, und wählen Sie Administrative Vorlagen aus.

  5. Erweitern Sie die Struktur bis zu Windows-Komponenten>Microsoft Defender Antivirus.

  6. Doppelklicken Sie auf Erkennung für potentiell unerwünschte Anwendungen konfigurieren.

  7. Wählen Sie Aktiviert aus, um den PUA-Schutz zu aktivieren.

  8. Wählen Sie unter Optionen die Option Blockieren aus, um potentiell unerwünschte Anwendungen zu blockieren, oder wählen Sie Überwachungsmodus aus, um zu testen, wie sich die Einstellung in Ihrer Umgebung auswirken. Wählen Sie OK aus.

  9. Stellen Sie Ihr Gruppenrichtlinien-Objekt bereit, so wie Sie dies normalerweise tun.

Verwenden von PowerShell-Cmdlets zum Konfigurieren des PUA-Schutzes

So aktivieren Sie den PUA-Schutz

Set-MpPreference -PUAProtection Enabled

Wenn der Wert für dieses Cmdlet auf Enabled eingestellt wird, aktiviert dies das Feature, wenn es deaktiviert war.

So stellen Sie den PUA-Schutz auf den Überwachungsmodus ein

Set-MpPreference -PUAProtection AuditMode

Die Einstellung AuditMode erkennt PUAs, ohne sie zu blockieren.

So deaktivieren Sie den PUA-Schutz

Wir empfehlen, den PUA-Schutz aktiviert zu halten. Sie können ihn jedoch mit dem folgenden Cmdlet deaktivieren:

Set-MpPreference -PUAProtection Disabled

Wenn der Wert für dieses Cmdlet auf Disabled eingestellt wird, deaktiviert dies das Feature, wenn es aktiviert war.

Weitere Informationen finden Sie unter Verwenden von PowerShell-Cmdlets zum Konfigurieren und Ausführen von Microsoft Defender Antivirus und Defender Antivirus-Cmdlets.

PUA-Ereignisse mittels PowerShell anzeigen

PUA-Ereignisse werden im Windows-Ereignisanzeige, aber nicht in Microsoft Configuration Manager oder in Intune gemeldet. Sie können auch das Get-MpThreat-Cmdlet verwenden, um Bedrohungen anzuzeigen, die Microsoft Defender Antivirus behandelt hat. Hier ist ein Beispiel:

CategoryID       : 27
DidThreatExecute : False
IsActive         : False
Resources        : {webfile:_q:\Builds\Dalton_Download_Manager_3223905758.exe|http://d18yzm5yb8map8.cloudfront.net/
                    fo4yue@kxqdw/Dalton_Download_Manager.exe|pid:14196,ProcessStart:132378130057195714}
RollupStatus     : 33
SchemaVersion    : 1.0.0.0
SeverityID       : 1
ThreatID         : 213927
ThreatName       : PUA:Win32/InstallCore
TypeID           : 0
PSComputerName   :

E-Mail-Benachrichtigungen über PUA-Erkennungen erhalten

Sie können E-Mail-Benachrichtigungen aktivieren, um E-Mails über PUA-Erkennungen zu erhalten.

Weitere Details zum Anzeigen von Microsoft Defender Antivirus-Ereignissen finden Sie unter Problembehandlung von Ereignis-IDs. PUA-Ereignisse werden mit der Ereignis-ID 1160 aufgezeichnet.

PUA-Ereignisse mittels der erweiterte Bedrohungssuche anzeigen

Wenn Sie Microsoft Defender für Endpunkt verwenden, können Sie eine Abfrage zur erweiterten Bedrohungssuche verwenden, um PUA-Ereignisse anzuzeigen. Hier ist eine Beispielabfrage:

DeviceEvents
| where ActionType == "AntivirusDetection"
| extend x = parse_json(AdditionalFields)
| project Timestamp, DeviceName, FolderPath, FileName, SHA256, ThreatName = tostring(x.ThreatName), WasExecutingWhileDetected = tostring(x.WasExecutingWhileDetected), WasRemediated = tostring(x.WasRemediated)
| where ThreatName startswith_cs 'PUA:'

Weiter Informationen über die erweiterte Bedrohungssuche finden Sie unter Proaktive Suche nach Bedrohungen mit der erweiterten Bedrohungssuche.

Dateien vom PUA-Schutz ausschließen

Manchmal wird eine Datei fälschlicherweise vom PUA-Schutz blockiert, oder ein Feature einer PUA wird benötigt, um eine Aufgabe zu erledigen. In diesen Fällen kann eine Datei zur Ausschlussliste hinzugefügt werden.

Weitere Informationen finden Sie unter Konfigurieren und Validieren von Ausschlüssen basierend auf Dateierweiterung und Ordnerspeicherorten.

Tipp

Wenn Sie nach Informationen zu Antivirensoftware für andere Plattformen suchen, lesen Sie:

Siehe auch

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.