שתף באמצעות

זהה וחסום יישומים שעשויים להיות בלתי רצויים

  • מאמר

חל על:

פלטפורמות

  • Windows

האנטי-וירוס של Microsoft Defender זמין בגירסאות/המהדורות הבאות של Windows ו- Windows Server:

  • Windows Server 2022
  • Windows Server 2019
  • Windows Server, גרסה 1803 ואילך
  • Windows Server 2016
  • Windows Server 2012 R2 (נדרש Microsoft Defender for Endpoint)
  • Windows 11
  • Windows 10
  • Windows 8.1

עבור macOS, ראה זיהוי וחסימה של יישומים שעלולים להיות בלתי רצויים באמצעות Defender for Endpoint ב- macOS.

עבור Linux, ראה זיהוי וחסימה של יישומים שעלולים להיות בלתי רצויים באמצעות Defender for Endpoint ב- Linux.

יישומים שעלולים להיות בלתי רצויים (PUA) הם קטגוריית תוכנה שעשויה לגרום למחשב לפעול לאט, להציג פרסומות בלתי צפויות, או במקרה הגרוע ביותר, להתקין תוכנות אחרות שעשויות להיות בלתי צפויות או בלתי רצויות. PUA אינה נחשבת לווירוס, לתוכנה זדונית או לסוג אחר של איום, אך היא עשויה לבצע פעולות ב נקודות קצה שמשפיעות לרעה על ביצועי נקודת הקצה או על השימוש בהן. המונח PUA יכול גם להתייחס ליישום בעל מוניטין גרוע, כפי ש- Microsoft Defender for Endpoint מעריך, עקב סוגים מסוימים של התנהגות לא רצויה.

להלן כמה דוגמאות:

  • תוכנת פרסום המציגה פרסומות או קידומי מכירות, כולל תוכנות שמוסיף פרסומות לדפי אינטרנט.
  • תוכנות איגוד המציעות להתקין תוכנות אחרות שלא חתומות בחתימה דיגיטלית על-ידי אותה ישות. כמו כן, תוכנה המציעה להתקין תוכנות אחרות שמזהות PUA.
  • תוכנת התחמקות שמנסה באופן פעיל להתחמק מזיהוי מוצרי אבטחה, כולל תוכנה הפועלת באופן שונה בנוכחות מוצרי אבטחה.

עצה

לקבלת דוגמאות נוספות ודיון בקריטריונים שבהם אנו משתמשים כדי לתייג יישומים לתשומת לב מיוחדת מתכונות אבטחה, ראה כיצד Microsoft מזהה תוכנות זדוניות ויישומים שעלולים להיות בלתי רצויים.

אפליקציות שעשויות להיות בלתי רצויות עלולות להגדיל את הסיכון להידבקות ברשת שלך בתוכנות זדוניות בפועל, להפוך הידבקות בתוכנות זדוניות לקשה יותר לזיהוי, או לעלות לצוותי ה- IT והאבטחה שלך זמן ומאמץ לנקות אותן. אם המנוי של הארגון שלך כולל את Microsoft Defender for Endpoint, באפשרותך גם להגדיר את ה- PUA של האנטי-וירוס של Microsoft Defender לחסימה, כדי לחסום אפליקציות שנחשבות ל- PUA במכשירי Windows.

קבל מידע נוסף על מנויי Windows Enterprise.

עצה

כמלווה למאמר זה, עיין במדריך ההגדרה של Microsoft Defender for Endpoint כדי לסקור שיטות עבודה מומלצות וללמוד על כלים חיוניים כגון הפחתת פני השטח של ההתקפה וההגנה מהדור הבא. לקבלת חוויה מותאמת אישית המבוססת על הסביבה שלך, באפשרותך לגשת למדריך ההגדרה האוטומטי של Defender for Endpoint במרכז הניהול של Microsoft 365.

מייקרוסופט אדג'

Microsoft Edge החדש, המבוסס על Chromium, חוסם הורדות של אפליקציות שעשויות להיות בלתי רצויות וכתובות URL של משאבים משויכת. תכונה זו מסופקת באמצעות Microsoft Defender SmartScreen.

אפשר הגנה על PUA ב- Microsoft Edge המבוסס על Chromium

אף על פי שהגנת יישומים שעלולה להיות בלתי רצויה ב- Microsoft Edge (גירסה 80.0.361.50 המבוססת על Chromium) מבוטלת כברירת מחדל, ניתן להפעיל אותה בקלות מתוך הדפדפן.

  1. בדפדפן Microsoft Edge, בחר את שלוש הנקודות ולאחר מכן בחר הגדרות.

  2. בחר פרטיות, חיפוש ושירותים.

  3. תחת המקטע אבטחה , הפעל את חסום אפליקציות שעלולות להיות בלתי רצויות.

עצה

אם אתה משתמש ב- Microsoft Edge (מבוסס-Chromium), תוכל לחקור בבטחה את התכונה של חסימת כתובות URL של הגנת PUA על-ידי בדיקתה באחד מדפי ההדגמה של Microsoft Defender SmartScreen.

חסימת כתובות URL באמצעות Microsoft Defender SmartScreen

ב- Microsoft Edge המבוסס על Chromium כאשר הגנת PUA מופעלת, Microsoft Defender SmartScreen מגן עליך מפני כתובות URL המשויכות ל- PUA.

מנהלי אבטחה יכולים לקבוע את התצורה של האופן שבו Microsoft Edge ו- Microsoft Defender SmartScreen פועלים יחד כדי להגן על קבוצות של משתמשים מפני כתובות URL המשויכות ל- PUA. קיימות כמה הגדרות מדיניות קבוצתית זמינות באופן מפורש עבור Microsoft Defender SmartScreen, כולל אחת לחסימת PUA. בנוסף, מנהלי מערכת יכולים להגדיר את Microsoft Defender SmartScreen כולו, באמצעות הגדרות מדיניות קבוצתית כדי להפעיל או לכבות את Microsoft Defender SmartScreen.

למרות של- Microsoft Defender for Endpoint יש רשימת חסימות משלה בהתבסס על ערכת נתונים המנוהלת על-ידי Microsoft, באפשרותך להתאים אישית רשימה זו בהתבסס על בינת האיומים שלך. אם אתה יוצר ומנהל מחוונים בפורטל נקודות הקצה של Microsoft Defender עבור, Microsoft Defender SmartScreen מכבד את ההגדרות החדשות.

האנטי-וירוס של Microsoft Defender והגנת PUA

תכונת ההגנה על אפליקציות שעלולות להיות בלתי רצויות (PUA) באנטי-וירוס של Microsoft Defender יכולה לזהות ולחסום PUA ב נקודות קצה ברשת שלך.

בלוקי האנטי-וירוס של Microsoft Defender זיהו קבצי PUA וניסיונות להוריד, להעביר, להפעיל או להתקין אותם. לאחר מכן, קבצי PUA חסומים מועברים להסגר. כאשר קובץ PUA מזוהה ב נקודת קצה, האנטי-וירוס של Microsoft Defender שולח הודעה למשתמש (אלא אם ההודעות הפכו ללא זמינות באותה תבנית כמו זיהוי איומים אחרים. ההודעה מוצגת מראש כדי PUA: לציין את התוכן שלה.

ההודעה מופיעה ברשימת ההסגר הרגילה בתוך האפליקציה 'אבטחת Windows'.

קביעת תצורה של הגנת PUA באנטי-וירוס של Microsoft Defender

באפשרותך להפעיל הגנת PUA באמצעות ניהול הגדרות אבטחה של נקודת קצה של Microsoft, Microsoft Intune, מנהל התצורה של Microsoft , מדיניות קבוצתית או באמצעות רכיבי cmdlet של PowerShell.

תחילה, נסה להשתמש בהגנת PUA במצב ביקורת. הוא מזהה יישומים שעלולים להיות בלתי רצויים מבלי לחסום אותם בפועל. זיהויים נלכדים ביומן האירועים של Windows. הגנה על PUA במצב ביקורת שימושית אם החברה שלך מבצעת בדיקת תאימות אבטחת תוכנה פנימית וחשוב להימנע מתוצאות חיוביות מוטעות.

השתמש ב- Microsoft Defender for Endpoint Security Settings Management כדי לקבוע את התצורה של הגנת PUA

עיין במאמרים הבאים:

השתמש ב- Intune כדי לקבוע את התצורה של הגנת PUA

עיין במאמרים הבאים:

השתמש במנהל התצורה כדי לקבוע את התצורה של הגנת PUA

הגנת PUA מופעלת כברירת מחדל במנהל התצורה של Microsoft (הענף הנוכחי).

ראה כיצד ליצור ולפרוס פריטי מדיניות למניעת תוכנות זדוניות: הגדרות סריקות מתוזמנות לקבלת פרטים על קביעת התצורה של מנהל התצורה של Microsoft (הענף הנוכחי).

עבור System Center 2012 Configuration Manager, ראה כיצד לפרוס מדיניות הגנת יישומים שעשויה להיות בלתי רצויה עבור הגנת נקודת קצה במנהל התצורה.

הערה

אירועי PUA שנחסמו על-ידי האנטי-וירוס של Microsoft Defender מדווחים במציג האירועים של Windows ולא במנהל התצורה של Microsoft.

שימוש במדיניות קבוצתית כדי לקבוע את התצורה של הגנת PUA

  1. הורד והתקן תבניות ניהול (.admx) עבור עדכון מאוקטובר 2021 של Windows 11 (21H2)

  2. במחשב ניהול המדיניות הקבוצתית שלך, פתח את מסוף ניהול המדיניות הקבוצתית.

  3. בחר את אובייקט המדיניות הקבוצתית שברצונך לקבוע את תצורתו ולאחר מכן בחר ערוך.

  4. בעורך ניהול מדיניות קבוצתית, עבור אל תצורת המחשב ובחר תבניות מנהליות.

  5. הרחב את העץ לרכיבי Windows אנטי-וירוס>של Microsoft Defender.

  6. לחץ פעמיים על קבע תצורה של זיהוי עבור יישומים שעלולים להיות בלתי רצויים והגדר אותו כזמין.

  7. באפשרויות, בחר חסום כדי לחסום יישומים שעלולים להיות בלתי רצויים, או בחר מצב ביקורת כדי לבדוק כיצד ההגדרה פועלת בסביבה שלך. בחר אישור.

  8. פרוס את אובייקט המדיניות הקבוצתית כפי שאתה עושה בדרך כלל.

השתמש ברכיבי cmdlet של PowerShell כדי לקבוע את התצורה של הגנת PUA

כדי להפוך את הגנת PUA לזמינה

Set-MpPreference -PUAProtection Enabled

הגדרת הערך עבור cmdlet זה מפעילה Enabled את התכונה אם היא הפכה ללא זמינה.

כדי להגדיר הגנה של PUA למצב ביקורת

Set-MpPreference -PUAProtection AuditMode

הגדרה AuditMode מזהה יחידות PU מבלי לחסום אותן.

כדי להפוך את הגנת PUA ללא זמינה

מומלץ להפעיל את הגנת PUA. עם זאת, באפשרותך לבטל אותו באמצעות ה- cmdlet הבא:

Set-MpPreference -PUAProtection Disabled

הגדרת הערך עבור cmdlet זה Disabled מבטלת את התכונה אם היא זמינה.

לקבלת מידע נוסף, ראה שימוש ברכיבי cmdlet של PowerShell כדי להגדיר ולהפעיל רכיבי cmdlet של האנטי-וירוס של Microsoft Defender והאנטי-וירוס של Defender.

בדיקה וודאו שהחסימה של PUA פועלת

לאחר הפיכת PUA לזמין במצב חסימה, באפשרותך לבדוק כדי לוודא שהוא פועל כראוי. לקבלת מידע נוסף, ראה הדגמה של יישומים שעלולים להיות בלתי רצויים (PUA).

הצגת אירועי PUA באמצעות PowerShell

אירועי PUA מדווחים במציג האירועים של Windows, אך לא במנהל התצורה של Microsoft או ב- Intune. באפשרותך גם להשתמש ב- Get-MpThreat cmdlet כדי להציג איומים שהאנטי-וירוס של Microsoft Defender טפל בהם. להלן דוגמה:

CategoryID       : 27
DidThreatExecute : False
IsActive         : False
Resources        : {webfile:_q:\Builds\Dalton_Download_Manager_3223905758.exe|http://d18yzm5yb8map8.cloudfront.net/
                    fo4yue@kxqdw/Dalton_Download_Manager.exe|pid:14196,ProcessStart:132378130057195714}
RollupStatus     : 33
SchemaVersion    : 1.0.0.0
SeverityID       : 1
ThreatID         : 213927
ThreatName       : PUA:Win32/InstallCore
TypeID           : 0
PSComputerName   :

קבל הודעות דואר אלקטרוני על זיהויי PUA

באפשרותך להפעיל הודעות דואר אלקטרוני כדי לקבל דואר לגבי זיהויי PUA. לקבלת מידע נוסף על אירועי האנטי-וירוס של Microsoft Defender, ראה פתרון בעיות במתן מזהה אירוע. אירועי PUA נרשמים תחת מזהה אירוע 1160.

הצגת אירועי PUA באמצעות ציד מתקדם

אם אתה משתמש ב- Microsoft Defender for Endpoint, באפשרותך להשתמש בשאילתת ציד מתקדמת כדי להציג אירועי PUA. להלן שאילתה לדוגמה:

DeviceEvents
| where ActionType == "AntivirusDetection"
| extend x = parse_json(AdditionalFields)
| project Timestamp, DeviceName, FolderPath, FileName, SHA256, ThreatName = tostring(x.ThreatName), WasExecutingWhileDetected = tostring(x.WasExecutingWhileDetected), WasRemediated = tostring(x.WasRemediated)
| where ThreatName startswith_cs 'PUA:'

לקבלת מידע נוסף על ציד מתקדם, ראה ציד יזום אחר איומים באמצעות ציד מתקדם.

אל תכלול קבצים בהגנה על PUA

לעתים קובץ נחסם בטעות על-ידי הגנת PUA, או שנדרשת תכונה של PUA כדי להשלים משימה. במקרים אלה, ניתן להוסיף קובץ לרשימת אי-הכללה.

לקבלת מידע נוסף, ראה קביעת תצורה ואימתה של פריטים שאינם נכללים בהתבסס על סיומת הקובץ ומיקום התיקיה.

עצה

אם אתה מחפש מידע הקשור לאנטי-וירוס עבור פלטפורמות אחרות, ראה:

למידע נוסף

עצה

האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילה הטכנית שלנו: Microsoft Defender for Endpoint Tech Community.