Erkennen und Blockieren möglicherweise unerwünschter AnwendungenDetect and block potentially unwanted applications

Wichtig

Willkommen bei Microsoft Defender für Endpoint, dem neuen Namen für den erweiterten Bedrohungsschutz von Microsoft Defender.Welcome to Microsoft Defender for Endpoint, the new name for Microsoft Defender Advanced Threat Protection. Weitere Informationen zu diesem und anderen Updates finden Sie hier.Read more about this and other updates here. Wir werden in naher Zukunft Namen in Produkten und in den Dokumenten aktualisieren.We'll be updating names in products and in the docs in the near future.

Gilt für:Applies to:

Hinweis

Potenziell unerwünschte Anwendungen (Pua) sind eine Kategorie von Software, die dazu führen kann, dass Ihr Computer langsamer läuft, unerwartete anzeigen anzeigen oder schlimmstenfalls andere Software installieren, die unerwartet oder unerwünscht sein könnte.Potentially unwanted applications (PUA) are a category of software that can cause your machine to run slowly, display unexpected ads, or at worst, install other software which might be unexpected or unwanted. Standardmäßig unter Windows 10 (Version 2004 und höher) blockiert Microsoft Defender-Antivirus-apps, die als Pua, for Enterprise (E5)-Geräte gelten.By default in Windows 10 (version 2004 and later), Microsoft Defender Antivirus blocks apps that are considered PUA, for Enterprise (E5) devices.

Potenziell unerwünschte Anwendungen (Pua) werden nicht als Viren, Malware oder andere Arten von Bedrohungen angesehen, Sie können jedoch Aktionen an Endpunkten durchführen, die sich negativ auf die Endpunkt Leistung oder-Verwendung auswirken.Potentially unwanted applications (PUA) are not considered viruses, malware, or other types of threats, but they might perform actions on endpoints which adversely affect endpoint performance or use. Pua kann auch auf eine Anwendung verweisen, die aufgrund bestimmter Arten von unerwünschtem Verhalten eine schlechte Reputation hat, wie Sie von Microsoft Defender für Endpoint bewertet wurde.PUA can also refer to an application that has a poor reputation, as assessed by Microsoft Defender for Endpoint, due to certain kinds of undesirable behavior.

Zum Beispiel:For example:

  • Werbungs Software: Software, die anzeigen oder Werbeaktionen anzeigt, einschließlich Software, mit der Werbung auf Webseiten eingefügt wird.Advertising software: Software that displays advertisements or promotions, including software that inserts advertisements to webpages.
  • Software Bündelung: Software, die das Installieren anderer Software anbietet, die nicht Digital von derselben Entität signiert ist.Bundling software: Software that offers to install other software that is not digitally signed by the same entity. Außerdem Software, die anbietet, andere Software zu installieren, die als Pua qualifizieren.Also, software that offers to install other software that qualify as PUA.
  • Evasion-Software: Software, die aktiv versucht, die Erkennung durch Sicherheitsprodukte zu umgehen, einschließlich Software, die in Anwesenheit von Sicherheitsprodukten anders verhält.Evasion software: Software that actively tries to evade detection by security products, including software that behaves differently in the presence of security products.

Weitere Beispiele und eine Erläuterung der Kriterien, die wir zum Beschriften von Anwendungen verwenden, um besondere Berücksichtung von Sicherheitsfeatures zu erhalten, finden Sie unter so erkennt Microsoft Malware und potenziell unerwünschte Anwendungen.For more examples and a discussion of the criteria we use to label applications for special attention from security features, see How Microsoft identifies malware and potentially unwanted applications.

Potenziell unerwünschte Anwendungen können das Risiko erhöhen, dass Ihr Netzwerk mit tatsächlicher Schadsoftware infiziert ist, Malware-Infektionen schwerer zu erkennen oder IT-Ressourcen zu verschwenden, um Sie zu bereinigen.Potentially unwanted applications can increase the risk of your network being infected with actual malware, make malware infections harder to identify, or waste IT resources in cleaning them up.

FunktionsweiseHow it works

Microsoft EdgeMicrosoft Edge

Die nächste Hauptversion von Microsoft Edge, die Chrom basiert ist, blockiert potenziell unerwünschte Anwendungsdownloads und zugehörige Ressourcen-URLs.The next major version of Microsoft Edge, which is Chromium-based, blocks potentially unwanted application downloads and associated resource URLs. Dieses Feature wird über Microsoft Defender SmartScreenbereitgestellt.This feature is provided via Microsoft Defender SmartScreen.

Aktivieren des Pua-Schutzes in Chromium-basiertem Microsoft EdgeEnable PUA protection in Chromium-based Microsoft Edge

Obwohl der Schutz potenziell unerwünschter Anwendungen in Microsoft Edge (Chrom basiert, Version 80.0.361.50) standardmäßig deaktiviert ist, kann er einfach über den Browser aktiviert werden.Although potentially unwanted application protection in Microsoft Edge (Chromium-based, version 80.0.361.50) is turned off by default, it can easily be turned on from within the browser.

  1. Wählen Sie die Auslassungszeichen aus, und wählen Sie dann Einstellungenaus.Select the ellipses, and then choose Settings.
  2. Wählen Sie Datenschutz und Dienste aus.Select Privacy and services.
  3. Aktivieren Sie im Abschnitt Dienste die Option potenziell unerwünschte apps blockieren.Under the Services section, turn on Block potentially unwanted apps.

Tipp

Wenn Sie Microsoft Edge (Chrom basiert) ausführen, können Sie die URL-Blockierungsfunktion des Pua-Schutzes problemlos erkunden, indem Sie Sie auf einer unserer Windows Defender- Demo Seitentesten.If you are running Microsoft Edge (Chromium-based), you can safely explore the URL-blocking feature of PUA protection by testing it out on one of our Windows Defender SmartScreen demo pages.

Blockieren von URLs mit Windows Defender-SmartScreenBlocking URLs with Windows Defender SmartScreen

In Chrom basiertem Edge mit aktiviertem Pua-Schutz schützt Windows Defender SmartScreen Sie vor Pua-zugehörigen URLs.In Chromium-based Edge with PUA protection turned on, Windows Defender SmartScreen will protect you from PUA-associated URLs.

Administratoren können Konfigurieren , wie Microsoft Edge und Windows Defender-SmartScreen zusammenarbeiten, um Gruppen von Benutzern vor Pua-verknüpften URLs zu schützen.Admins can configure how Microsoft Edge and Windows Defender SmartScreen work together to protect groups of users from PUA-associated URLs. Es gibt mehrere Gruppenrichtlinien Einstellungen , die explizit für Windows Defender-SmartScreen verfügbar sind, einschließlich einer für das Blockieren von Pua.There are several group policy settings explicitly for Windows Defender SmartScreen available, including one for blocking PUA. Darüber hinaus können Administratoren den Windows Defender-SmartScreen als Ganzes mithilfe von Gruppenrichtlinieneinstellungen konfigurieren, um den SmartScreen-Status von Windows Defender zu aktivieren oder zu deaktivieren.In addition, admins can configure Windows Defender SmartScreen as a whole, using group policy settings to turn Windows Defender SmartScreen on or off.

Obwohl Microsoft Defender für Endpoint über eine eigene Sperrliste verfügt, basierend auf einer von Microsoft verwalteten Datengruppe, können Sie diese Liste auf der Grundlage ihrer eigenen Bedrohungs Intelligenz anpassen.Although Microsoft Defender for Endpoint has its own block list, based upon a data set managed by Microsoft, you can customize this list based on your own threat intelligence. Wenn Sie Indikatoren im Microsoft Defender für Endpoint-Portal Erstellen und verwalten , werden die neuen Einstellungen von Windows Defender SmartScreen berücksichtigt.If you create and manage indicators in the Microsoft Defender for Endpoint portal, Windows Defender SmartScreen will respect the new settings.

Microsoft Defender AntivirusMicrosoft Defender Antivirus

Das Pua-Schutzfeature (potenziell unerwünschte Anwendung) in Microsoft Defender Antivirus kann Pua auf Endpunkten in Ihrem Netzwerk erkennen und blockieren.The potentially unwanted application (PUA) protection feature in Microsoft Defender Antivirus can detect and block PUAs on endpoints in your network.

Hinweis

Dieses Feature steht nur in Windows 10 zur Verfügung.This feature is only available in Windows 10.

Microsoft Defender-Antivirus blockiert erkannte Pua-Dateien und alle Versuche, diese herunterzuladen, zu verschieben, auszuführen oder zu installieren.Microsoft Defender Antivirus blocks detected PUA files and any attempts to download, move, run, or install them. Blockierte Pua-Dateien werden in Quarantäne verschoben.Blocked PUA files are then moved to quarantine.

Wenn eine Pua-Datei an einem Endpunkt erkannt wird, sendet Microsoft Defender Antivirus eine Benachrichtigung an den Benutzer (es sei denn, Benachrichtigungen wurden deaktiviert) im gleichen Format wie andere Bedrohungserkennungen.When a PUA file is detected on an endpoint, Microsoft Defender Antivirus sends a notification to the user (unless notifications have been disabled) in the same format as other threat detections. Die Benachrichtigung wird mit Pua: um den Inhalt anzugeben.The notification will be prefaced with PUA: to indicate its content.

Die Benachrichtigung wird in der üblichen Quarantäneliste in der Windows-Sicherheits-Appangezeigt.The notification appears in the usual quarantine list within the Windows Security app.

Konfigurieren des Pua-Schutzes in Microsoft Defender AntivirusConfigure PUA protection in Microsoft Defender Antivirus

Sie können den Pua-Schutz mit Microsoft InTune, Microsoft Endpoint Configuration Manager, Gruppenrichtlinien oder über PowerShell-Cmdlets aktivieren.You can enable PUA protection with Microsoft Intune, Microsoft Endpoint Configuration Manager, Group Policy, or via PowerShell cmdlets.

Sie können auch den Pua-Überwachungsmodus verwenden, um Pua zu erkennen, ohne Sie zu blockieren.You can also use the PUA audit mode to detect PUAs without blocking them. Die Erkennungen werden im Windows-Ereignisprotokoll aufgezeichnet.The detections will be captured in the Windows event log.

Tipp

Sie können die Microsoft Defender für Endpoint-Demo Website unter Demo.WD.Microsoft.com besuchen, um zu bestätigen, dass das Feature funktioniert, und es in Aktion zu sehen.You can visit the Microsoft Defender for Endpoint demo website at demo.wd.microsoft.com to confirm that the feature is working, and see it in action.

Der Pua-Überwachungsmodus ist nützlich, wenn Ihr Unternehmen eine interne Software-Sicherheits Konformitätsprüfung durchführt und Sie alle falsch positiven Fehler vermeiden möchten.PUA audit mode is useful if your company is conducting an internal software security compliance check and you'd like to avoid any false positives.

Verwenden von InTune zum Konfigurieren des Pua-SchutzesUse Intune to configure PUA protection

Weitere Informationen finden Sie unter Konfigurieren von Einstellungen für Geräteeinschränkungen in Microsoft InTune -und Microsoft Defender-Antivirus-Geräteeinschränkungen für Windows 10 in InTune .See Configure device restriction settings in Microsoft Intune and Microsoft Defender Antivirus device restriction settings for Windows 10 in Intune for more details.

Verwenden von Configuration Manager zum Konfigurieren des Pua-SchutzesUse Configuration Manager to configure PUA protection

Der Pua-Schutz ist im Microsoft Endpoint Configuration Manager (Current Branch) standardmäßig aktiviert.PUA protection is enabled by default in the Microsoft Endpoint Configuration Manager (Current Branch).

Weitere Informationen finden Sie unter Erstellen und Bereitstellen von Antimalware-Richtlinien: Einstellungen für geplante Scans für Details zum Konfigurieren des Microsoft Endpoint Configuration Manager (Current Branch).See How to create and deploy antimalware policies: Scheduled scans settings for details on configuring Microsoft Endpoint Configuration Manager (Current Branch).

Informationen zu System Center 2012-Konfigurations-Manager finden Sie unter Bereitstellen von potenziell unerwünschten Anwendungsschutz Richtlinien für den Endpunktschutz in Configuration Manager.For System Center 2012 Configuration Manager, see How to Deploy Potentially Unwanted Application Protection Policy for Endpoint Protection in Configuration Manager.

Hinweis

Pua-Ereignisse, die von Microsoft Defender Antivirus blockiert werden, werden in der Windows-Ereignisanzeige und nicht im Microsoft Endpoint Configuration Manager angezeigt.PUA events blocked by Microsoft Defender Antivirus are reported in the Windows Event Viewer and not in Microsoft Endpoint Configuration Manager.

Verwenden von Gruppenrichtlinien zum Konfigurieren des Pua-SchutzesUse Group Policy to configure PUA protection
  1. Öffnen Sie auf Ihrem Gruppenrichtlinien-Verwaltungscomputer die Gruppenrichtlinien-Verwaltungskonsole, klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt, das Sie konfigurieren möchten, und wählen Sie Bearbeitenaus.On your Group Policy management computer, open the Group Policy Management Console, right-click the Group Policy Object you want to configure, and select Edit.

  2. Wechseln Sie im Gruppenrichtlinien-Verwaltungs-Editorzu Computer Konfiguration , und wählen Sie Administrative Vorlagenaus.In the Group Policy Management Editor, go to Computer configuration and select Administrative templates.

  3. Erweitern Sie die Struktur auf Windows-Komponenten > Microsoft Defender Antivirus.Expand the tree to Windows components > Microsoft Defender Antivirus.

  4. Doppelklicken Sie auf Schutz für potenziell unerwünschte Anwendungen konfigurieren.Double-click Configure protection for potentially unwanted applications.

  5. Wählen Sie aktiviert aus, um den Pua-Schutz zu aktivieren.Select Enabled to enable PUA protection.

  6. Wählen Sie unter Optionendie Option blockieren aus, um potenziell unerwünschte Anwendungen zu blockieren, oder wählen Sie Überwachungsmodus aus, um zu testen, wie die Einstellung in Ihrer Umgebung funktionieren soll.In Options, select Block to block potentially unwanted applications, or select Audit Mode to test how the setting will work in your environment. Wählen Sie OK aus.Select OK.

Verwenden von PowerShell-Cmdlets zum Konfigurieren des Pua-SchutzesUse PowerShell cmdlets to configure PUA protection
So aktivieren Sie den Pua-SchutzTo enable PUA protection
Set-MpPreference -PUAProtection enable

Das Festlegen des Werts für dieses Cmdlets auf Enabledaktiviert das Feature, wenn es deaktiviert wurde.Setting the value for this cmdlet to Enabled will turn the feature on if it has been disabled.

So setzen Sie den Pua-Schutz auf den ÜberwachungsmodusTo set PUA protection to audit mode
Set-MpPreference -PUAProtection auditmode

AuditModeDie Einstellung erkennt Pua, ohne Sie zu blockieren.Setting AuditMode will detect PUAs without blocking them.

So deaktivieren Sie den Pua-SchutzTo disable PUA protection

Wir empfehlen, den Pua-Schutz eingeschaltet zu halten.We recommend keeping PUA protection turned on. Sie können die Funktion jedoch mithilfe des folgenden Cmdlets deaktivieren:However, you can turn it off by using the following cmdlet:

Set-MpPreference -PUAProtection disable

Wenn Sie den Wert für dieses Cmdlet festlegen, Disabled wird das Feature deaktiviert, wenn es aktiviert wurde.Setting the value for this cmdlet to Disabled will turn the feature off if it has been enabled.

Weitere Informationen zur Verwendung von PowerShell mit Microsoft Defender Antivirus finden Sie unter Verwenden von PowerShell-Cmdlets zum Konfigurieren und Ausführen von Microsoft Defender-Antivirus -und Defender- Cmdlets .See Use PowerShell cmdlets to configure and run Microsoft Defender Antivirus and Defender cmdlets for more information on how to use PowerShell with Microsoft Defender Antivirus.

Anzeigen von PUA-EreignissenView PUA events

Pua-Ereignisse werden in der Windows-Ereignisanzeige, aber nicht im Microsoft Endpoint Configuration Manager oder in InTune gemeldet.PUA events are reported in the Windows Event Viewer, but not in Microsoft Endpoint Configuration Manager or in Intune.

Sie können e-Mail-Benachrichtigungen aktivieren, um e-Mails zu Pua-Erkennungen zu erhalten.You can turn on email notifications to receive mail about PUA detections.

Details zur Anzeige von Microsoft Defender-Antivirus-Ereignissen finden Sie unter Problembehandlung bei Ereignis-IDs .See Troubleshoot event IDs for details on viewing Microsoft Defender Antivirus events. Pua-Ereignisse werden unter Ereignis-ID 1160aufgezeichnet.PUA events are recorded under event ID 1160.

Allow-Listing-appsAllow-listing apps

Manchmal wird eine Datei fälschlicherweise durch den Pua-Schutz blockiert, oder es ist eine Funktion eines Pua erforderlich, um eine Aufgabe abzuschließen.Sometimes a file is erroneously blocked by PUA protection, or a feature of a PUA is required to complete a task. In diesen Fällen kann eine Datei Allow-listed sein.In these cases, a file can be allow-listed. Informationen zum Zulassen von Dateien, die derzeit vom Pua-Schutz in Microsoft Defender Antivirus blockiert werden, finden Sie unter Konfigurieren des Endpunkt Schutzes in Configuration Manager .See How to Configure Endpoint Protection in Configuration Manager for information on allowing files which are currently blocked by PUA protection in Microsoft Defender Antivirus.

Verwandte ArtikelRelated articles