Erkennen und Blockieren möglicherweise unerwünschter Anwendungen

Betrifft

Das Pua-Schutzfeature (potenziell unerwünschte Anwendung) in Windows Defender Antivirus kann Pua auf Endpunkten in Ihrem Netzwerk erkennen und blockieren.

Diese Anwendungen werden nicht als Viren, Schadsoftware oder andere Arten von Bedrohungen betrachtet, sie können jedoch Aktionen auf Endpunkten ausführen, die sich negativ auf die Leistung oder Verwendung auswirken können. Pua kann auch auf Anwendungen verweisen, die als schlechter Ruf gelten.

Typisches PUA-Verhalten:

  • Verschiedene Arten von Softwarebündelung
  • Anzeigen Injektion in Webbrowser
  • Treiber- und Registrierungsoptimierer, die Probleme erkennen, eine Bezahlung zur Behebung verlangen, aber auf dem Endpunkt beibehalten werden und keine Änderungen oder Optimierungen vornehmen (auch bekannt als "Rogue Antivirus"-Programme)

Diese Apps können das Risiko einer Infizierung Ihres Netzwerks mit Schadsoftware erhöhen, dazu führen, dass Schadsoftwareinfektionen schwieriger zu erkennen sind, und IT-Ressourcen Zeit zum Bereinigen der Anwendungen kosten.

Tipp

Sie können auch die Microsoft Defender ATP-Demo Website unter Demo.WD.Microsoft.com besuchen, um zu bestätigen, dass das Feature funktioniert, und sehen Sie, wie es funktioniert.

Funktionsweise

Windows Defender-Antivirus blockiert erkannte Pua-Dateien und versucht, Sie herunterzuladen, zu verschieben, auszuführen oder zu installieren. Blockierte Pua-Dateien werden dann in Quarantäne verschoben.

Wenn ein Pua auf einem Endpunkt erkannt wird, zeigt Windows Defender Antivirus dem Benutzer eine Benachrichtigung an (es sei denn, Benachrichtigungen wurden deaktiviert) im gleichen Format wie normale Bedrohungserkennungen (mit "Pua:").

Sie werden auch in der üblichen Quarantäneliste in der Windows-Sicherheits-Appangezeigt.

Anzeigen von PUA-Ereignissen

Pua-Ereignisse werden in der Windows-Ereignisanzeige, aber nicht in System Center Configuration Manager oder InTune gemeldet.

Sie können e-Mail-Benachrichtigungen für Pua-Erkennungen aktivieren.

Einzelheiten zur Anzeige von Windows Defender Antivirus-Ereignissen finden Sie unter Beheben von Ereignis-IDs. PUA-Ereignisse werden unter Ereignis-ID 1160 aufgezeichnet.

Konfigurieren des Pua-Schutzes

Sie können den Pua-Schutz mit Microsoft InTune, System Center Configuration Manager, Gruppenrichtlinien oder PowerShell-Cmdlets aktivieren.

Sie können auch den PUA-Überwachungsmodus verwenden, um PUA zu erkennen, ohne sie zu blockieren. Die Erkennungen werden im Windows-Ereignisprotokoll aufgezeichnet.

Dieses Feature ist hilfreich, wenn Ihr Unternehmen eine interne Compliance-Prüfung der Softwaresicherheit durchführt und Sie falsch positive Ergebnisse vermeiden möchten.

Verwenden von InTune zum Konfigurieren des Pua-Schutzes

Weitere Informationen finden Sie unter Konfigurieren von Einstellungen für Geräteeinschränkungen in Microsoft InTune und Windows Defender-Antivirus-Geräte Einschränkungseinstellungen für Windows 10 in InTune .

Verwenden von Configuration Manager zum Konfigurieren des Pua-Schutzes:

Der PUA-Schutz ist standardmäßig in System Center Konfigurations-Manager (Current Branch), einschließlich Version 1606 und höher, aktiviert.

Informationen zum Konfigurieren von System Center Konfigurations-Manager (Current Branch) finden Sie unter Erstellen und Bereitstellen von Richtlinien für Antischadsoftware: Einstellungen für geplante Überprüfungen.

Informationen zu Konfigurations-Manager 2012 finden Sie unter Bereitstellen einer Richtlinie zum Schutz vor möglicherweise unerwünschten Anwendungen für Endpoint Protection in Konfigurations-Manager.

Hinweis

PUA-Ereignisse werden in der Windows-Ereignisanzeige und nicht in System Center Konfigurations-Manager gemeldet.

Verwenden von Gruppenrichtlinien zum Konfigurieren des Pua-Schutzes:

  1. Öffnen Sie auf Ihrem Gruppenrichtlinien-Verwaltungscomputer die Gruppenrichtlinien-Verwaltungskonsole, klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt, das Sie konfigurieren möchten, und klicken Sie auf Bearbeiten.

  2. Wechseln Sie im Gruppenrichtlinien-Verwaltungs-Editor zu Computer Konfiguration , und klicken Sie auf Administrative Vorlagen.

  3. Erweitern Sie die Struktur bis Windows-Komponenten > Windows Defender Antivirus.

  4. Doppelklicken Sie auf Schutz für potenziell unerwünschte Anwendungen konfigurieren.

  5. Klicken Sie auf aktiviert , um den Pua-Schutz zu aktivieren.

  6. Wählen Sie unter Optionendie Option blockieren aus, um potenziell unerwünschte Anwendungen zu blockieren, oder wählen Sie Überwachungsmodus aus, um zu testen, wie die Einstellung in Ihrer Umgebung funktionieren soll. Klicken Sie auf OK.

Verwenden von PowerShell-Cmdlets zum Konfigurieren des Pua-Schutzes:

Verwenden Sie das folgende Cmdlet:

Set-MpPreference -PUAProtection

Das Festlegen des Werts für dieses Cmdlets auf Enabledaktiviert das Feature, wenn es deaktiviert wurde.

Durch das Festlegen von AuditModewerden PUAs zwar erkannt, aber nicht blockiert.

Weitere Informationen zur Verwendung von PowerShell mit Windows Defender Antivirus finden Sie unter Verwenden von PowerShell-Cmdlets zum Konfigurieren und Ausführen von Windows Defender Antivirus und Defender-Cmdlets.

Verwandte Themen