Vélhetően nemkívánatos alkalmazások észlelése és blokkolása

  • Cikk

Érintett szolgáltatás:

Platformok

  • A Windows

A potenciálisan nemkívánatos alkalmazások (PUA) olyan szoftverkategóriák, amelyek miatt a gép lassan fut, váratlan hirdetéseket jelenít meg, vagy legrosszabb esetben váratlan vagy nemkívánatos szoftvereket telepít. A PUA nem tekinthető vírusnak, kártevőnek vagy más típusú fenyegetésnek, de olyan végpontokon hajthat végre műveleteket, amelyek hátrányosan befolyásolják a végpont teljesítményét vagy használatát. A PUA kifejezés hivatkozhat olyan alkalmazásra is, amely Végponthoz készült Microsoft Defender szerint rossz hírnevű, bizonyos típusú nemkívánatos viselkedés miatt.

Néhány példa:

  • Reklámszoftver , amely hirdetéseket vagy promóciókat jelenít meg, beleértve azokat a szoftvereket is, amelyek hirdetéseket szúrnak be a weboldalakra.
  • Olyan szoftver kötekedése , amely felajánlja az ugyanazon entitás által digitálisan nem aláírt egyéb szoftverek telepítését. Emellett a PUA-nak minősülő egyéb szoftverek telepítését felajánló szoftverek.
  • Olyan kijátszási szoftver , amely aktívan megpróbálja elkerülni a biztonsági termékek észlelését, beleértve a biztonsági termékek jelenlétében eltérően viselkedő szoftvereket is.

Tipp

További példákért és az alkalmazások biztonsági funkciókkal kapcsolatos különleges figyelmet igénylő címkézési feltételeinek megvitatásához lásd: Hogyan azonosítja a Microsoft a kártevőket és a potenciálisan nemkívánatos alkalmazásokat.

A potenciálisan nemkívánatos alkalmazások növelhetik a hálózat tényleges kártevőkkel való fertőzöttségének kockázatát, megnehezíthetik a kártevő-fertőzések azonosítását, vagy időt és erőfeszítést igényelhetnek az informatikai és biztonsági csapatok számára azok eltávolítására. A PUA-védelem Windows 11, Windows 10, Windows Server 2022, Windows Server 2019 és Windows Server 2016 esetén támogatott. Ha a szervezet előfizetése Végponthoz készült Microsoft Defender tartalmaz, Microsoft Defender víruskereső letiltja azokat az alkalmazásokat, amelyek alapértelmezés szerint PUA-nak minősülnek a Windows-eszközökön.

További információ a Windows Enterprise-előfizetésekről.

Microsoft Edge

Az új, Chromium-alapú Microsoft Edge blokkolja a potenciálisan nemkívánatos alkalmazások letöltését és a társított erőforrás-URL-címeket. Ezt a funkciót a SmartScreen Microsoft Defender biztosítja.

PUA-védelem engedélyezése Chromium-alapú Microsoft Edge-ben

Bár a Microsoft Edge (Chromium-alapú, 80.0.361.50-es verzió) alkalmazásvédelme alapértelmezés szerint ki van kapcsolva, egyszerűen bekapcsolható a böngészőből.

  1. A Microsoft Edge böngészőben válassza a három pontot, majd a Beállítások lehetőséget.

  2. Válassza az Adatvédelem, keresés és szolgáltatások lehetőséget.

  3. A Biztonság szakaszban kapcsolja be a Vélhetően nemkívánatos alkalmazások letiltása beállítást.

Tipp

Ha a Microsoft Edge-et (Chromium-alapú) futtatja, biztonságosan felfedezheti a PUA-védelem URL-blokkoló funkcióját, ha teszteli azt az egyik Microsoft Defender SmartScreen bemutatóoldalunkon.

URL-címek blokkolása a SmartScreen Microsoft Defender

A Chromium-alapú Microsoft Edge-ben, amelyen a PUA-védelem be van kapcsolva, Microsoft Defender SmartScreen megvédi Önt a PUA-hoz társított URL-címektől.

A biztonsági rendszergazdák konfigurálhatják, hogy a Microsoft Edge és a Microsoft Defender SmartScreen hogyan működjön együtt a felhasználói csoportok PUA-hoz társított URL-címekkel szembeni védelme érdekében. A SmartScreen Microsoft Defender számos csoportházirend-beállítás érhető el, köztük a PUA blokkolására szolgáló beállítás is. Emellett a rendszergazdák a Microsoft Defender SmartScreen egészét is konfigurálhatják, csoportházirend-beállításokkal be- vagy kikapcsolhatják Microsoft Defender SmartScreent.

Bár Végponthoz készült Microsoft Defender a Microsoft által kezelt adatkészleten alapuló saját tiltólistával rendelkezik, a listát a saját fenyegetésfelderítése alapján testre szabhatja. Ha a Végponthoz készült Microsoft Defender portálon hoz létre és kezel mutatókat, Microsoft Defender a SmartScreen tiszteletben tartja az új beállításokat.

Microsoft Defender víruskereső és PUA-védelem

A Microsoft Defender Víruskereső vélhetően nemkívánatos alkalmazásvédelmi (PUA) védelmi funkciója képes észlelni és letiltani a PUA-t a hálózat végpontjaiban.

Megjegyzés:

Ez a funkció Windows 11, Windows 10, Windows Server 2022, Windows Server 2019 és Windows Server 2016 érhető el.

Microsoft Defender víruskereső letiltja az észlelt PUA-fájlokat, valamint a letöltési, áthelyezési, futtatási vagy telepítési kísérleteket. A letiltott PUA-fájlok ezután karanténba kerülnek. Ha a rendszer PUA-fájlt észlel egy végponton, Microsoft Defender víruskereső értesítést küld a felhasználónak (kivéve, ha az értesítések más fenyegetésészlelésekkel azonos formátumban lettek letiltva). Az értesítés előtaggal PUA: van el elosztva, hogy jelezze a tartalmát.

Az értesítés a szokásos karanténlistában jelenik meg az Windows biztonság alkalmazásban.

PUA-védelem konfigurálása Microsoft Defender víruskeresőben

A PUA-védelmet Microsoft Intune, Microsoft Configuration Manager, Csoportházirend vagy PowerShell-parancsmagokkal engedélyezheti.

Először próbálja meg a PUA-védelmet naplózási módban használni. Észleli a potenciálisan nemkívánatos alkalmazásokat anélkül, hogy ténylegesen blokkolná őket. Az észleléseket a Windows eseménynaplója rögzíti. A PUA-védelem naplózási módban akkor hasznos, ha a vállalat belső szoftverbiztonsági megfelelőségi ellenőrzést végez, és fontos elkerülni a téves riasztásokat.

A PUA-védelem konfigurálása Intune használatával

Tekintse meg a következő cikkeket:

A PUA-védelem konfigurálása Configuration Manager használatával

A PUA-védelem alapértelmezés szerint engedélyezve van a Microsoft Configuration Manager (Aktuális ág).

A Microsoft Configuration Manager (Aktuális ág) konfigurálásával kapcsolatos részletekért lásd: Kártevőirtó-házirendek létrehozása és telepítése: Ütemezett vizsgálatok beállításai.

A System Center 2012 Configuration Manager esetében lásd: Az Endpoint Protection potenciálisan nemkívánatos alkalmazásvédelmi szabályzatának telepítése Configuration Manager.

Megjegyzés:

A Microsoft Defender Víruskereső által blokkolt PUA-eseményeket a Windows eseménymegtekintő jelenti, nem pedig a Microsoft Configuration Manager.

A PUA-védelem konfigurálása Csoportházirend használatával

  1. Felügyeleti sablonok (.admx) letöltése és telepítése Windows 11 2021. októberi frissítéshez (21H2)

  2. A Csoportházirend felügyeleti számítógépen nyissa meg a Csoportházirend Felügyeleti konzolt.

  3. Jelölje ki a konfigurálni kívánt Csoportházirend objektumot, majd válassza a Szerkesztés lehetőséget.

  4. A Csoportházirend-felügyeleti szerkesztőben lépjen a Számítógép konfigurációja elemre, és válassza a Felügyeleti sablonok lehetőséget.

  5. Bontsa ki a fát a Windows-összetevők>Microsoft Defender víruskereső elemre.

  6. Kattintson duplán az Észlelés konfigurálása vélhetően nemkívánatos alkalmazásokhoz elemre.

  7. Válassza az Engedélyezve lehetőséget a PUA-védelem engedélyezéséhez.

  8. A Beállítások területen válassza a Blokkolás lehetőséget a potenciálisan nemkívánatos alkalmazások letiltásához, vagy válassza a Naplózási mód lehetőséget a beállítás működésének teszteléséhez a környezetben. Kattintson az OK gombra.

  9. Helyezze üzembe a Csoportházirend objektumot a megszokott módon.

A PUA-védelem konfigurálása PowerShell-parancsmagokkal

PUA-védelem engedélyezése

Set-MpPreference -PUAProtection Enabled

Ha a parancsmag értékét úgy állítja be, hogy Enabled bekapcsolja a funkciót, ha az le van tiltva.

A PUA-védelem beállítása naplózási módra

Set-MpPreference -PUAProtection AuditMode

A beállítás AuditMode letiltás nélkül észleli a PUA-kat.

A PUA-védelem letiltása

Javasoljuk, hogy a PUA-védelem be legyen kapcsolva. Ezt azonban a következő parancsmaggal kapcsolhatja ki:

Set-MpPreference -PUAProtection Disabled

Ha a parancsmag értékét úgy állítja be, hogy Disabled kikapcsolja a funkciót, ha engedélyezve van.

További információ: Microsoft Defender víruskereső és Defender víruskereső parancsmagokkonfigurálása és futtatása PowerShell-parancsmagokkal.

PUA-események megtekintése a PowerShell használatával

A PUA-eseményeket a Windows eseménymegtekintő jelenti, de Microsoft Configuration Manager vagy Intune nem. A parancsmaggal megtekintheti azokat a Get-MpThreat fenyegetéseket is, amelyeket Microsoft Defender víruskereső kezelt. Íme egy példa:

CategoryID       : 27
DidThreatExecute : False
IsActive         : False
Resources        : {webfile:_q:\Builds\Dalton_Download_Manager_3223905758.exe|http://d18yzm5yb8map8.cloudfront.net/
                    fo4yue@kxqdw/Dalton_Download_Manager.exe|pid:14196,ProcessStart:132378130057195714}
RollupStatus     : 33
SchemaVersion    : 1.0.0.0
SeverityID       : 1
ThreatID         : 213927
ThreatName       : PUA:Win32/InstallCore
TypeID           : 0
PSComputerName   :

A PUA-észlelésekkel kapcsolatos e-mail-értesítések lekérése

Bekapcsolhatja az e-mail-értesítéseket a PUA-észlelésekkel kapcsolatos e-mailek fogadásához.

A Microsoft Defender víruskereső eseményeinek megtekintésével kapcsolatos részletekért tekintse meg az eseményazonosítók hibaelhárítását ismertető cikket. A PUA-események az 1160-os eseményazonosító alatt vannak rögzítve.

PUA-események megtekintése speciális veszélyforrás-kereséssel

Ha Végponthoz készült Microsoft Defender használ, speciális veszélyforrás-keresési lekérdezéssel megtekintheti a PUA-eseményeket. Íme egy példa lekérdezésre:

DeviceEvents
| where ActionType == "AntivirusDetection"
| extend x = parse_json(AdditionalFields)
| project Timestamp, DeviceName, FolderPath, FileName, SHA256, ThreatName = tostring(x.ThreatName), WasExecutingWhileDetected = tostring(x.WasExecutingWhileDetected), WasRemediated = tostring(x.WasRemediated)
| where ThreatName startswith_cs 'PUA:'

A speciális veszélyforrás-kereséssel kapcsolatos további információkért lásd: Proaktív veszélyforrás-keresés speciális veszélyforrás-kereséssel.

Fájlok kizárása a PUA-védelemből

Előfordulhat, hogy a PUA-védelem tévesen blokkol egy fájlt, vagy a puA egy funkciójára van szükség a feladat elvégzéséhez. Ezekben az esetekben egy fájl hozzáadható egy kizárási listához.

További információ: Kizárások konfigurálása és érvényesítése fájlkiterjesztés és mappahely alapján.

Tipp

Ha más platformokra vonatkozó, víruskeresővel kapcsolatos információkat keres, lásd:

Lásd még

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.