Detectar y bloquear aplicaciones potencialmente no deseadasDetect and block potentially unwanted applications

Se aplica a:Applies to:

Las aplicaciones potencialmente no deseadas (PUA) son una categoría de software que puede hacer que su equipo funcione lentamente, muestre anuncios inesperados o, en el peor de los casos, instale otro software que pueda ser inesperado o no deseado.Potentially unwanted applications (PUA) are a category of software that can cause your machine to run slowly, display unexpected ads, or at worst, install other software that might be unexpected or unwanted. PUA no se considera un virus, malware u otro tipo de amenaza, pero puede realizar acciones en los puntos de conexión que afecten negativamente al rendimiento o al uso de los puntos de conexión.PUA is not considered a virus, malware, or other type of threat, but it might perform actions on endpoints that adversely affect endpoint performance or use. El término PUA también puede hacer referencia a una aplicación que tenga mala reputación, según la evaluación de Microsoft Defender para punto de conexión, debido a determinados tipos de comportamiento no deseado.The term PUA can also refer to an application that has a poor reputation, as assessed by Microsoft Defender for Endpoint, due to certain kinds of undesirable behavior.

Estos son algunos ejemplos:Here are some examples:

  • Software de publicidad, que muestra anuncios o promociones, incluido software que inserta anuncios en páginas web.Advertising software that displays advertisements or promotions, including software that inserts advertisements to webpages.
  • Software de agrupación, que ofrece instalar otro software que no está firmado digitalmente por la misma entidad.Bundling software that offers to install other software that is not digitally signed by the same entity. Además, existe software que ofrece instalar otro software que se considera PUA.Also, software that offers to install other software that qualifies as PUA.
  • Software de evasión, que intenta evitar activamente que los productos de seguridad lo detecten, incluido software que se comporta de forma diferente en presencia de productos de seguridad.Evasion software that actively tries to evade detection by security products, including software that behaves differently in the presence of security products.

Sugerencia

Para obtener más ejemplos y una explicación de los criterios que usamos para etiquetar aplicaciones para que las características de seguridad les presten especial atención, consulte Cómo identifica Microsoft el malware y las aplicaciones potencialmente no deseadas.For more examples and a discussion of the criteria we use to label applications for special attention from security features, see How Microsoft identifies malware and potentially unwanted applications.

Las aplicaciones potencialmente no deseadas pueden aumentar el riesgo de que su red se infecte con malware real, puede hacer que sea más difícil identificar infecciones de malware o que se pierdan recursos de TI al limpiar las infecciones.Potentially unwanted applications can increase the risk of your network being infected with actual malware, make malware infections harder to identify, or waste IT resources in cleaning them up. La protección contra PUA es compatible con Windows 10, Windows Server 2019 y Windows Server 2016.PUA protection is supported on Windows 10, Windows Server 2019, and Windows Server 2016. En Windows 10 (versión 2004 y posteriores), Antivirus de Microsoft Defender bloquea las aplicaciones que se consideran PUA para dispositivos Enterprise (E5) de forma predeterminada.In Windows 10 (version 2004 and later), Microsoft Defender Antivirus blocks apps that are considered PUA for Enterprise (E5) devices by default.

Microsoft EdgeMicrosoft Edge

El nuevo Microsoft Edge, basado Chromium, bloquea las descargas de aplicaciones potencialmente no deseadas y las direcciones URL de recursos asociados.The new Microsoft Edge, which is Chromium-based, blocks potentially unwanted application downloads and associated resource URLs. Esta característica se ofrece a través de SmartScreen de Microsoft Defender.This feature is provided via Microsoft Defender SmartScreen.

Habilitar la protección de PUA en Microsoft Edge basado en ChromiumEnable PUA protection in Chromium-based Microsoft Edge

Si bien la protección de aplicaciones potencialmente no deseadas en Microsoft Edge (basada en Chromium, versión 80.0.361.50) está desactivada de manera predeterminada, se puede activar fácilmente desde el explorador.Although potentially unwanted application protection in Microsoft Edge (Chromium-based, version 80.0.361.50) is turned off by default, it can easily be turned on from within the browser.

  1. En el explorador Edge, seleccione los puntos suspensivos y, después, elija Configuración.In your Edge browser, select the ellipses, and then choose Settings.

  2. Seleccione Privacidad, búsqueda y servicios.Select Privacy, search, and services.

  3. En la sección Seguridad, active Bloquear aplicaciones potencialmente no deseadas.Under the Security section, turn on Block potentially unwanted apps.

Sugerencia

Si ejecuta Microsoft Edge (basado en Chromium), puede explorar de forma segura la característica de bloqueo de direcciones URL de la protección contra PUA. Puede probarla en una de nuestras Páginas de demostración de SmartScreen de Microsoft Defender.If you are running Microsoft Edge (Chromium-based), you can safely explore the URL-blocking feature of PUA protection by testing it out on one of our Microsoft Defender SmartScreen demo pages.

Bloquear direcciones URL con SmartScreen de Microsoft DefenderBlock URLs with Microsoft Defender SmartScreen

En Edge basado en Chromium con la protección activada contra PUA, SmartScreen de Microsoft Defender le protege de direcciones URL asociadas a PUA.In Chromium-based Edge with PUA protection turned on, Microsoft Defender SmartScreen protects you from PUA-associated URLs.

Los administradores de seguridad pueden configurar la manera en la que Microsoft Edge y SmartScreen de Microsoft Defender trabajan juntos para proteger a grupos de usuarios frente a direcciones URL asociadas a PUA.Security admins can configure how Microsoft Edge and Microsoft Defender SmartScreen work together to protect groups of users from PUA-associated URLs. Hay disponibles varias opciones de configuración de directiva de grupo expresamente para SmartScreen de Microsoft Defender, incluida una configuración para bloquear PUA.There are several group policy settings explicitly for Microsoft Defender SmartScreen available, including one for blocking PUA. Además, los administradores pueden configurar SmartScreen de Microsoft Defender en general, con la configuración de directiva de grupo para activar o desactivar SmartScreen de Microsoft Defender.In addition, admins can configure Microsoft Defender SmartScreen as a whole, using group policy settings to turn Microsoft Defender SmartScreen on or off.

Aunque Microsoft Defender para punto de conexión tiene su propia lista de bloqueo basada en un conjunto de datos administrado por Microsoft, puede personalizar esta lista según su propia inteligencia sobre amenazas.Although Microsoft Defender for Endpoint has its own blocklist based upon a data set managed by Microsoft, you can customize this list based on your own threat intelligence. Si crea y administra indicadores en el portal de Microsoft Defender para punto de conexión, SmartScreen de Microsoft Defender respetará la nueva configuración.If you create and manage indicators in the Microsoft Defender for Endpoint portal, Microsoft Defender SmartScreen respects the new settings.

Antivirus de Microsoft Defender y protección contra PUAMicrosoft Defender Antivirus and PUA protection

La característica de protección contra aplicaciones potencialmente no deseadas (PUA) de Antivirus de Microsoft Defender puede detectar y bloquear PUA en los puntos de conexión de su red.The potentially unwanted application (PUA) protection feature in Microsoft Defender Antivirus can detect and block PUA on endpoints in your network.

Nota

Esta característica está disponible en Windows 10, Windows Server 2019 y Windows Server 2016.This feature is available in Windows 10, Windows Server 2019, and Windows Server 2016.

Antivirus de Microsoft Defender bloquea los archivos PUA que se detecten y cualquier intento de descargarlos, moverlos, ejecutarlos o instalarlos.Microsoft Defender Antivirus blocks detected PUA files and any attempts to download, move, run, or install them. A continuación, los archivos PUA bloqueados se ponen en cuarentena.Blocked PUA files are then moved to quarantine. Cuando se detecta un archivo PUA en un punto de conexión, Antivirus de Microsoft Defender envía una notificación al usuario (a menos que se hayan deshabilitado las notificaciones) en el mismo formato de otras detecciones de amenazas.When a PUA file is detected on an endpoint, Microsoft Defender Antivirus sends a notification to the user (unless notifications have been disabled) in the same format as other threat detections. A la notificación se antepone PUA: para indicar su contenido.The notification is prefaced with PUA: to indicate its content.

La notificación aparece en la lista habitual de cuarentena dentro de la aplicación de Seguridad de Windows.The notification appears in the usual quarantine list within the Windows Security app.

Configurar la protección contra PUA en Antivirus de Microsoft DefenderConfigure PUA protection in Microsoft Defender Antivirus

Puede habilitar la protección contra PUA con Microsoft Intune, Microsoft Endpoint Configuration Manager, Directiva de grupo o mediante cmdlets de PowerShell.You can enable PUA protection with Microsoft Intune, Microsoft Endpoint Configuration Manager, Group Policy, or via PowerShell cmdlets.

También puede usar la protección contra PUA en modo de auditoría para detectar aplicaciones potencialmente no deseadas sin bloquearlas.You can also use PUA protection in audit mode to detect potentially unwanted applications without blocking them. Las detecciones se capturan en el registro de eventos de Windows.The detections are captured in the Windows event log.

Sugerencia

Visite el sitio web de demostración de Microsoft Defender para punto de conexión en demo.wd.microsoft.com para confirmar que la característica funciona y verla en acción.Visit the Microsoft Defender for Endpoint demo website at demo.wd.microsoft.com to confirm that the feature is working, and see it in action.

La protección contra PUA en el modo de auditoría es útil si su empresa está realizando una comprobación interna de cumplimiento de seguridad de software y quiere evitar falsos positivos.PUA protection in audit mode is useful if your company is conducting an internal software security compliance check and you'd like to avoid any false positives.

Usar Intune para configurar la protección contra PUAUse Intune to configure PUA protection

Consulte Configurar la configuración de restricciones de dispositivo en Microsoft Intune y la Configuración de restricciones de dispositivo de Antivirus de Microsoft Defender para Windows 10 en Intune para más información.See Configure device restriction settings in Microsoft Intune and Microsoft Defender Antivirus device restriction settings for Windows 10 in Intune for more details.

Usar Configuration Manager para configurar la protección contra PUAUse Configuration Manager to configure PUA protection

La protección contra PUA está habilitada de forma predeterminada en Microsoft Endpoint Manager (rama actual).PUA protection is enabled by default in the Microsoft Endpoint Manager (Current Branch).

Consulte Información sobre cómo crear e implementar directivas de antimalware: configuración de análisis programados para obtener más información sobre cómo configurar Microsoft Endpoint Manager (rama actual).See How to create and deploy antimalware policies: Scheduled scans settings for details on configuring Microsoft Endpoint Manager (Current Branch).

Para System Center 2012 Configuration Manager, consulte Cómo implementar una directiva de protección de aplicaciones potencialmente no deseadas para Endpoint Protection en Configuration Manager.For System Center 2012 Configuration Manager, see How to Deploy Potentially Unwanted Application Protection Policy for Endpoint Protection in Configuration Manager.

Nota

Los eventos de PUA bloqueados por Antivirus de Microsoft Defender se notifican en el Visor de eventos de Windows, en lugar de en Microsoft Endpoint Configuration Manager.PUA events blocked by Microsoft Defender Antivirus are reported in the Windows Event Viewer and not in Microsoft Endpoint Configuration Manager.

Usar una directiva de grupo para configurar la protección contra PUAUse Group Policy to configure PUA protection

  1. Descargue e instale Plantillas administrativas (.admx) para la actualización de octubre de 2020 de Windows 10 (20H2)Download and install Administrative Templates (.admx) for Windows 10 October 2020 Update (20H2)

  2. En el equipo de administración de directivas de grupo, abra la Consola de administración de directivas de grupo.On your Group Policy management computer, open the Group Policy Management Console.

  3. Seleccione el objeto de directiva de grupo que quiera configurar y, después, seleccione Editar.Select the Group Policy Object you want to configure, and then choose Edit.

  4. En el Editor de administración de directiva de grupo, vaya a Configuración del equipo y seleccione Plantillas administrativas.In the Group Policy Management Editor, go to Computer configuration and select Administrative templates.

  5. Expanda el árbol en Componentes de Windows > Antivirus de Microsoft Defender.Expand the tree to Windows Components > Microsoft Defender Antivirus.

  6. Haga doble clic en Configurar la detección de aplicaciones potencialmente no deseadas.Double-click Configure detection for potentially unwanted applications.

  7. Seleccione Habilitado para habilitar la protección contra PUA.Select Enabled to enable PUA protection.

  8. En Opciones, seleccione Bloquear para bloquear aplicaciones potencialmente no deseadas o seleccione Modo de auditoría para probar cómo funciona la configuración en su entorno.In Options, select Block to block potentially unwanted applications, or select Audit Mode to test how the setting works in your environment. Seleccione Aceptar.Select OK.

  9. Implemente el objeto de directiva de grupo como lo haría normalmente.Deploy your Group Policy object as you usually do.

Usar cmdlets de PowerShell para configurar la protección contra PUAUse PowerShell cmdlets to configure PUA protection

Para habilitar la protección contra PUATo enable PUA protection

Set-MpPreference -PUAProtection Enabled

Al establecer el valor de este cmdlet en Enabled, se activa la característica si se había deshabilitado.Setting the value for this cmdlet to Enabled turns on the feature if it has been disabled.

Para configurar la protección contra PUA en modo de auditoríaTo set PUA protection to audit mode

Set-MpPreference -PUAProtection AuditMode

Al establecer AuditMode se detectan las PUA sin bloquearlas.Setting AuditMode detects PUAs without blocking them.

Para deshabilitar la protección contra PUATo disable PUA protection

Se recomienda mantener activada la protección contra PUA.We recommend keeping PUA protection turned on. Sin embargo, puede desactivarla con el cmdlet siguiente:However, you can turn it off by using the following cmdlet:

Set-MpPreference -PUAProtection Disabled

Al establecer el valor de este cmdlet en Disabled, se desactiva la característica si se había habilitado.Setting the value for this cmdlet to Disabled turns off the feature if it has been enabled.

Para más información, consulte Usar cmdlets de PowerShell para configurar y ejecutar Antivirus de Microsoft Defender y cmdlets de Defender.For more information, see Use PowerShell cmdlets to configure and run Microsoft Defender Antivirus and Defender cmdlets.

Ver eventos de PUA con PowerShellView PUA events using PowerShell

Los eventos de PUA se notifican en el Visor de eventos de Windows, en lugar de en Microsoft Endpoint Manager o Intune.PUA events are reported in the Windows Event Viewer, but not in Microsoft Endpoint Manager or in Intune. Asimismo, puede usar el cmdlet Get-MpThreat para ver las amenazas que Antivirus de Microsoft Defender ha administrado.You can also use the Get-MpThreat cmdlet to view threats that Microsoft Defender Antivirus handled. Aquí le mostramos un ejemplo:Here's an example:

CategoryID       : 27
DidThreatExecute : False
IsActive         : False
Resources        : {webfile:_q:\Builds\Dalton_Download_Manager_3223905758.exe|http://d18yzm5yb8map8.cloudfront.net/
                    fo4yue@kxqdw/Dalton_Download_Manager.exe|pid:14196,ProcessStart:132378130057195714}
RollupStatus     : 33
SchemaVersion    : 1.0.0.0
SeverityID       : 1
ThreatID         : 213927
ThreatName       : PUA:Win32/InstallCore
TypeID           : 0
PSComputerName   :

Obtener notificaciones de correo electrónico sobre las detecciones de PUAGet email notifications about PUA detections

Puede activar las notificaciones de correo electrónico para recibir un correo electrónico sobre las detecciones de PUA.You can turn on email notifications to receive mail about PUA detections.

Consulte Solucionar id. de evento para obtener más información sobre cómo ver los eventos de Antivirus de Microsoft Defender.See Troubleshoot event IDs for details on viewing Microsoft Defender Antivirus events. Los eventos de PUA se registran en el id. de evento 1160.PUA events are recorded under event ID 1160.

Ver eventos de PUA con la búsqueda avanzada de amenazasView PUA events using advanced hunting

Si usa Microsoft Defender para punto de conexión, puede usar una consulta de búsqueda avanzada de amenazas para ver eventos de PUA.If you're using Microsoft Defender for Endpoint, you can use an advanced hunting query to view PUA events. Esta es una consulta de ejemplo:Here's an example query:

DeviceEvents
| where ActionType == "AntivirusDetection"
| extend x = parse_json(AdditionalFields)
| evaluate bag_unpack(x)
| where ThreatName startswith_cs 'PUA:'
| project Timestamp, DeviceName, FolderPath, FileName, SHA256, ThreatName, WasExecutingWhileDetected, WasRemediated

Para más información sobre la búsqueda avanzada de amenazas, consulte Buscar amenazas de forma proactiva con la búsqueda avanzada de amenazas.To learn more about advanced hunting, see Proactively hunt for threats with advanced hunting.

Excluir archivos de la protección contra PUAExclude files from PUA protection

A veces, la protección contra PUA bloquea un archivo por error, o se requiere una característica de una PUA para completar una tarea.Sometimes a file is erroneously blocked by PUA protection, or a feature of a PUA is required to complete a task. En estos casos, se puede agregar un archivo a una lista de exclusiones.In these cases, a file can be added to an exclusion list.

Para más información, consulte Configurar y validar exclusiones según la extensión de archivo y la ubicación de carpeta.For more information, see Configure and validate exclusions based on file extension and folder location.

Vea tambiénSee also