Détecter et bloquer les applications potentiellement indésirablesDetect and block potentially unwanted applications

S’applique à :Applies to:

Les applications potentiellement indésirables (PUA) sont une catégorie de logiciels qui peuvent ralentir votre ordinateur, afficher des publicités inattendues ou, au pire, installer d'autres logiciels qui peuvent être inattendus ou indésirables.Potentially unwanted applications (PUA) are a category of software that can cause your machine to run slowly, display unexpected ads, or at worst, install other software that might be unexpected or unwanted. PuA n'est pas considéré comme un virus, un programme malveillant ou un autre type de menace, mais il peut effectuer des actions sur les points de terminaison qui affectent négativement les performances ou l'utilisation des points de terminaison.PUA is not considered a virus, malware, or other type of threat, but it might perform actions on endpoints that adversely affect endpoint performance or use. Le terme PUA peut également faire référence à une application dont la réputation est médiocre, tel qu'évalué par Microsoft Defender for Endpoint, en raison de certains types de comportement indésirable.The term PUA can also refer to an application that has a poor reputation, as assessed by Microsoft Defender for Endpoint, due to certain kinds of undesirable behavior.

Voici quelques exemples :Here are some examples:

  • Logiciels publicitaires qui affichent des publicités ou des promotions, y compris les logiciels qui insère des publicités sur des pages web.Advertising software that displays advertisements or promotions, including software that inserts advertisements to webpages.
  • Regroupement de logiciels qui offrent l'installation d'autres logiciels qui ne sont pas signés numériquement par la même entité.Bundling software that offers to install other software that is not digitally signed by the same entity. En outre, les logiciels qui offrent d'installer d'autres logiciels éligibles en tant que PUA.Also, software that offers to install other software that qualifies as PUA.
  • Logiciels de production qui tentent activement d'éviter la détection par les produits de sécurité, y compris les logiciels qui se comportent différemment en présence des produits de sécurité.Evasion software that actively tries to evade detection by security products, including software that behaves differently in the presence of security products.

Conseil

Pour obtenir plus d'exemples et une discussion sur les critères que nous utilisons pour étiqueter les applications pour attirer une attention particulière des fonctionnalités de sécurité, voir Comment Microsoft identifie les programmes malveillants et les applications potentiellement indésirables.For more examples and a discussion of the criteria we use to label applications for special attention from security features, see How Microsoft identifies malware and potentially unwanted applications.

Les applications potentiellement indésirables peuvent augmenter le risque que votre réseau soit infecté par des programmes malveillants réels, rendre l'identification des programmes malveillants plus difficile à identifier ou perdre des ressources informatiques lors de leur nettoyage.Potentially unwanted applications can increase the risk of your network being infected with actual malware, make malware infections harder to identify, or waste IT resources in cleaning them up. La protection PUA est prise en charge sur Windows 10, Windows Server 2019 et Windows Server 2016.PUA protection is supported on Windows 10, Windows Server 2019, and Windows Server 2016. Dans Windows 10 (version 2004 et ultérieure), l'Antivirus Microsoft Defender bloque les applications considérées comme des appareils PUA pour Entreprise (E5) par défaut.In Windows 10 (version 2004 and later), Microsoft Defender Antivirus blocks apps that are considered PUA for Enterprise (E5) devices by default.

Microsoft EdgeMicrosoft Edge

Le nouveau Microsoft Edge,basé sur Chromium, bloque les téléchargements d'applications potentiellement indésirables et les URL de ressources associées.The new Microsoft Edge, which is Chromium-based, blocks potentially unwanted application downloads and associated resource URLs. Cette fonctionnalité est fournie via Microsoft Defender SmartScreen.This feature is provided via Microsoft Defender SmartScreen.

Activer la protection PUA dans Microsoft Edge basé sur ChromiumEnable PUA protection in Chromium-based Microsoft Edge

Bien que la protection des applications potentiellement indésirables dans Microsoft Edge (basée sur Chromium, version 80.0.361.50) soit désactivée par défaut, elle peut facilement être désactivée à partir du navigateur.Although potentially unwanted application protection in Microsoft Edge (Chromium-based, version 80.0.361.50) is turned off by default, it can easily be turned on from within the browser.

  1. Dans votre navigateur Edge, sélectionnez les ellipses, puis choisissez Paramètres.In your Edge browser, select the ellipses, and then choose Settings.

  2. Sélectionnez Confidentialité, recherche et services.Select Privacy, search, and services.

  3. Sous la section Sécurité, activer bloquer les applications potentiellement indésirables.Under the Security section, turn on Block potentially unwanted apps.

Conseil

Si vous exécutez Microsoft Edge (basé sur Chromium), vous pouvez explorer en toute sécurité la fonctionnalité de blocage d'URL de la protection PUA en la testant sur l'une de nos pages de démonstration Microsoft Defender SmartScreen.If you are running Microsoft Edge (Chromium-based), you can safely explore the URL-blocking feature of PUA protection by testing it out on one of our Microsoft Defender SmartScreen demo pages.

Bloquer les URL avec Microsoft Defender SmartScreenBlock URLs with Microsoft Defender SmartScreen

Dans edge basé sur Chromium avec une protection PUA désactivée, Microsoft Defender SmartScreen vous protège contre les URL associées à PUA.In Chromium-based Edge with PUA protection turned on, Microsoft Defender SmartScreen protects you from PUA-associated URLs.

Les administrateurs de sécurité peuvent configurer la façon dont Microsoft Edge et Microsoft Defender SmartScreen fonctionnent ensemble pour protéger les groupes d'utilisateurs contre les URL associées à puA.Security admins can configure how Microsoft Edge and Microsoft Defender SmartScreen work together to protect groups of users from PUA-associated URLs. Plusieurs paramètres de stratégie de groupe sont explicitement disponibles pour Microsoft Defender SmartScreen, y compris un pour le blocage de PUA.There are several group policy settings explicitly for Microsoft Defender SmartScreen available, including one for blocking PUA. En outre, les administrateurs peuvent configurer Microsoft Defender SmartScreen dans son ensemble, à l'aide des paramètres de stratégie de groupe pour activer ou désactiver Microsoft Defender SmartScreen.In addition, admins can configure Microsoft Defender SmartScreen as a whole, using group policy settings to turn Microsoft Defender SmartScreen on or off.

Bien que Microsoft Defender pour point de terminaison possède sa propre liste de blocage basée sur un jeu de données géré par Microsoft, vous pouvez personnaliser cette liste en fonction de vos propres renseignements sur les menaces.Although Microsoft Defender for Endpoint has its own blocklist based upon a data set managed by Microsoft, you can customize this list based on your own threat intelligence. Si vous créez et gérez des indicateurs dans le portail Microsoft Defender pour points de terminaison, Microsoft Defender SmartScreen respecte les nouveaux paramètres.If you create and manage indicators in the Microsoft Defender for Endpoint portal, Microsoft Defender SmartScreen respects the new settings.

Antivirus Microsoft Defender et protection PUAMicrosoft Defender Antivirus and PUA protection

La fonctionnalité de protection des applications potentiellement indésirables (PUA) de l'Antivirus Microsoft Defender peut détecter et bloquer la fonctionnalité PUA sur les points de terminaison de votre réseau.The potentially unwanted application (PUA) protection feature in Microsoft Defender Antivirus can detect and block PUA on endpoints in your network.

Notes

Cette fonctionnalité est disponible dans Windows 10, Windows Server 2019 et Windows Server 2016.This feature is available in Windows 10, Windows Server 2019, and Windows Server 2016.

L'Antivirus Microsoft Defender bloque les fichiers PUA détectés et toute tentative de téléchargement, de déplacement, d'exécuter ou d'installation de ces fichiers.Microsoft Defender Antivirus blocks detected PUA files and any attempts to download, move, run, or install them. Les fichiers PUA bloqués sont ensuite mis en quarantaine.Blocked PUA files are then moved to quarantine. Lorsqu'un fichier PUA est détecté sur un point de terminaison, l'Antivirus Microsoft Defender envoie une notification à l'utilisateur (sauf si lesnotificationsont été désactivées) dans le même format que les autres détections de menaces.When a PUA file is detected on an endpoint, Microsoft Defender Antivirus sends a notification to the user (unless notifications have been disabled) in the same format as other threat detections. La notification est précédée pour PUA: indiquer son contenu.The notification is prefaced with PUA: to indicate its content.

La notification apparaît dans la liste de mise en quarantaine habituelle dans l'application Sécurité Windows.The notification appears in the usual quarantine list within the Windows Security app.

Configurer la protection PUA dans l'Antivirus Microsoft DefenderConfigure PUA protection in Microsoft Defender Antivirus

Vous pouvez activer la protection PUA avec Microsoft Intune, Microsoft Endpoint Configuration Manager,la stratégie de groupe ouvia des cmdlets PowerShell.You can enable PUA protection with Microsoft Intune, Microsoft Endpoint Configuration Manager, Group Policy, or via PowerShell cmdlets.

Vous pouvez également utiliser la protection PUA en mode audit pour détecter les applications potentiellement indésirables sans les bloquer.You can also use PUA protection in audit mode to detect potentially unwanted applications without blocking them. Les détections sont capturées dans le journal des événements Windows.The detections are captured in the Windows event log.

Conseil

Visitez le site web de démonstration microsoft Defender pour points de terminaison sur demo.wd.microsoft.com pour vérifier que la fonctionnalité fonctionne et la voir en action.Visit the Microsoft Defender for Endpoint demo website at demo.wd.microsoft.com to confirm that the feature is working, and see it in action.

La protection PUA en mode audit est utile si votre entreprise effectue une vérification interne de la conformité des logiciels et que vous souhaitez éviter les faux positifs.PUA protection in audit mode is useful if your company is conducting an internal software security compliance check and you'd like to avoid any false positives.

Utiliser Intune pour configurer la protection PUAUse Intune to configure PUA protection

Pour plus d'informations, voir Configurer les paramètres de restriction d'appareil dans Microsoft Intune et l'Antivirus Microsoft Defender pour Windows 10 dans Intune.See Configure device restriction settings in Microsoft Intune and Microsoft Defender Antivirus device restriction settings for Windows 10 in Intune for more details.

Utiliser Configuration Manager pour configurer la protection PUAUse Configuration Manager to configure PUA protection

La protection PUA est activée par défaut dans Microsoft Endpoint Manager (Current Branch).PUA protection is enabled by default in the Microsoft Endpoint Manager (Current Branch).

Découvrez comment créer et déployer des stratégies de logiciel anti-programme malveillant : paramètres d'analyse programmés pour plus d'informations sur la configuration de Microsoft Endpoint Manager (Current Branch).See How to create and deploy antimalware policies: Scheduled scans settings for details on configuring Microsoft Endpoint Manager (Current Branch).

For System Center 2012 Configuration Manager, see How to Deploy Potentially Unwanted Application Protection Policy for Endpoint Protection in Configuration Manager.For System Center 2012 Configuration Manager, see How to Deploy Potentially Unwanted Application Protection Policy for Endpoint Protection in Configuration Manager.

Notes

Les événements PUA bloqués par l'Antivirus Microsoft Defender sont signalés dans l'Observateur d'événements Windows et non dans Microsoft Endpoint Configuration Manager.PUA events blocked by Microsoft Defender Antivirus are reported in the Windows Event Viewer and not in Microsoft Endpoint Configuration Manager.

Utiliser une stratégie de groupe pour configurer la protection PUAUse Group Policy to configure PUA protection

  1. Télécharger et installer des modèles d'administration (.admx) pour la mise à jour d'octobre 2020 de Windows 10 (20H2)Download and install Administrative Templates (.admx) for Windows 10 October 2020 Update (20H2)

  2. Sur votre ordinateur de gestion des stratégies de groupe, ouvrez la Console de gestion des stratégies de groupe.On your Group Policy management computer, open the Group Policy Management Console.

  3. Sélectionnez l'objet de stratégie de groupe que vous souhaitez configurer, puis sélectionnez Modifier.Select the Group Policy Object you want to configure, and then choose Edit.

  4. Dans l'Éditeur de gestion des stratégies de groupe, sélectionnez Configuration ordinateur et sélectionnez Modèles d'administration.In the Group Policy Management Editor, go to Computer configuration and select Administrative templates.

  5. Développez l'arborescence des composants Windows > de l'Antivirus Microsoft Defender.Expand the tree to Windows Components > Microsoft Defender Antivirus.

  6. Double-cliquez sur Configurer la détection pour les applications potentiellement indésirables.Double-click Configure detection for potentially unwanted applications.

  7. Sélectionnez Activé pour activer la protection PUA.Select Enabled to enable PUA protection.

  8. Dans Options, sélectionnez Bloquer pour bloquer les applications potentiellement indésirables, ou sélectionnez Mode Audit pour tester le fonctionnement du paramètre dans votre environnement.In Options, select Block to block potentially unwanted applications, or select Audit Mode to test how the setting works in your environment. Sélectionnez OK.Select OK.

  9. Déployez votre objet de stratégie de groupe comme vous le faites généralement.Deploy your Group Policy object as you usually do.

Utiliser les cmdlets PowerShell pour configurer la protection PUAUse PowerShell cmdlets to configure PUA protection

Pour activer la protection PUATo enable PUA protection

Set-MpPreference -PUAProtection Enabled

Définir la valeur de cette cmdlet pour Enabled qu'elle allume la fonctionnalité si elle a été désactivée.Setting the value for this cmdlet to Enabled turns on the feature if it has been disabled.

Pour définir la protection PUA en mode auditTo set PUA protection to audit mode

Set-MpPreference -PUAProtection AuditMode

Le AuditMode paramètre détecte les puAs sans les bloquer.Setting AuditMode detects PUAs without blocking them.

Pour désactiver la protection PUATo disable PUA protection

Nous vous recommandons de maintenir la protection PUA allumée.We recommend keeping PUA protection turned on. Toutefois, vous pouvez la désactiver à l'aide de l'cmdlet suivante :However, you can turn it off by using the following cmdlet:

Set-MpPreference -PUAProtection Disabled

La définition de la valeur de cette cmdlet pour la mettre hors de la fonctionnalité si Disabled elle a été activée.Setting the value for this cmdlet to Disabled turns off the feature if it has been enabled.

Pour plus d'informations, voir Utiliser les cmdlets PowerShell pour configurer et exécuter l'Antivirus Microsoft Defender et les cmdlets Defender.For more information, see Use PowerShell cmdlets to configure and run Microsoft Defender Antivirus and Defender cmdlets.

Afficher les événements PUA à l'aide de PowerShellView PUA events using PowerShell

Les événements PUA sont signalés dans l'Observateur d'événements Windows, mais pas dans Microsoft Endpoint Manager ou dans Intune.PUA events are reported in the Windows Event Viewer, but not in Microsoft Endpoint Manager or in Intune. Vous pouvez également utiliser la cmdlet pour afficher les menaces gérées par Get-MpThreat l'Antivirus Microsoft Defender.You can also use the Get-MpThreat cmdlet to view threats that Microsoft Defender Antivirus handled. Voici un exemple :Here's an example:

CategoryID       : 27
DidThreatExecute : False
IsActive         : False
Resources        : {webfile:_q:\Builds\Dalton_Download_Manager_3223905758.exe|http://d18yzm5yb8map8.cloudfront.net/
                    fo4yue@kxqdw/Dalton_Download_Manager.exe|pid:14196,ProcessStart:132378130057195714}
RollupStatus     : 33
SchemaVersion    : 1.0.0.0
SeverityID       : 1
ThreatID         : 213927
ThreatName       : PUA:Win32/InstallCore
TypeID           : 0
PSComputerName   :

Obtenir des notifications par courrier électronique sur les détections PUAGet email notifications about PUA detections

Vous pouvez activer les notifications par courrier électronique pour recevoir des messages sur les détections PUA.You can turn on email notifications to receive mail about PUA detections.

Pour plus d'informations sur l'affichage des événements de l'Antivirus Microsoft Defender, voir Les ID d'événement de résolution des problèmes.See Troubleshoot event IDs for details on viewing Microsoft Defender Antivirus events. Les événements PUA sont enregistrés sous l'ID d'événement 1160.PUA events are recorded under event ID 1160.

Afficher les événements PUA à l'aide de la recherche avancéeView PUA events using advanced hunting

Si vous utilisez Microsoft Defender pour lepoint de terminaison, vous pouvez utiliser une requête de chasse avancée pour afficher les événements PUA.If you're using Microsoft Defender for Endpoint, you can use an advanced hunting query to view PUA events. Voici un exemple de requête :Here's an example query:

DeviceEvents
| where ActionType == "AntivirusDetection"
| extend x = parse_json(AdditionalFields)
| evaluate bag_unpack(x)
| where ThreatName startswith_cs 'PUA:'
| project Timestamp, DeviceName, FolderPath, FileName, SHA256, ThreatName, WasExecutingWhileDetected, WasRemediated

Pour en savoir plus sur le chasse avancée, consultez la recherche proactive de menaces avec le chasse avancée.To learn more about advanced hunting, see Proactively hunt for threats with advanced hunting.

Exclure des fichiers de la protection PUAExclude files from PUA protection

Parfois, un fichier est bloqué par erreur par la protection PUA ou une fonctionnalité d'une PUA est nécessaire pour effectuer une tâche.Sometimes a file is erroneously blocked by PUA protection, or a feature of a PUA is required to complete a task. Dans ce cas, un fichier peut être ajouté à une liste d'exclusions.In these cases, a file can be added to an exclusion list.

Pour plus d'informations, voir Configurer et valider des exclusions en fonction de l'extension de fichier et de l'emplacement du dossier.For more information, see Configure and validate exclusions based on file extension and folder location.

Articles associésSee also