Vélhetően nemkívánatos alkalmazások észlelése és blokkolása
Érintett szolgáltatás:
- Végponthoz készült Microsoft Defender 1. csomag
- Végponthoz készült Microsoft Defender 2. csomag
- Microsoft Edge
- Microsoft Defender víruskereső
Platformok
- A Windows
A potenciálisan nemkívánatos alkalmazások (PUA) olyan szoftverkategóriák, amelyek miatt a gép lassan fut, váratlan hirdetéseket jelenít meg, vagy legrosszabb esetben váratlan vagy nemkívánatos szoftvereket telepít. A PUA nem tekinthető vírusnak, kártevőnek vagy más típusú fenyegetésnek, de olyan végpontokon hajthat végre műveleteket, amelyek hátrányosan befolyásolják a végpont teljesítményét vagy használatát. A PUA kifejezés hivatkozhat olyan alkalmazásra is, amely Végponthoz készült Microsoft Defender szerint rossz hírnevű, bizonyos típusú nemkívánatos viselkedés miatt.
Néhány példa:
- Reklámszoftver , amely hirdetéseket vagy promóciókat jelenít meg, beleértve azokat a szoftvereket is, amelyek hirdetéseket szúrnak be a weboldalakra.
- Olyan szoftver kötekedése , amely felajánlja az ugyanazon entitás által digitálisan nem aláírt egyéb szoftverek telepítését. Emellett a PUA-nak minősülő egyéb szoftverek telepítését felajánló szoftverek.
- Olyan kijátszási szoftver , amely aktívan megpróbálja elkerülni a biztonsági termékek észlelését, beleértve a biztonsági termékek jelenlétében eltérően viselkedő szoftvereket is.
Tipp
További példákért és az alkalmazások biztonsági funkciókkal kapcsolatos különleges figyelmet igénylő címkézési feltételeinek megvitatásához lásd: Hogyan azonosítja a Microsoft a kártevőket és a potenciálisan nemkívánatos alkalmazásokat.
A potenciálisan nemkívánatos alkalmazások növelhetik a hálózat tényleges kártevőkkel való fertőzöttségének kockázatát, megnehezíthetik a kártevő-fertőzések azonosítását, vagy időt és erőfeszítést igényelhetnek az informatikai és biztonsági csapatok számára azok eltávolítására. A PUA-védelem Windows 11, Windows 10, Windows Server 2022, Windows Server 2019 és Windows Server 2016 esetén támogatott. Ha a szervezet előfizetése Végponthoz készült Microsoft Defender tartalmaz, Microsoft Defender víruskereső letiltja azokat az alkalmazásokat, amelyek alapértelmezés szerint PUA-nak minősülnek a Windows-eszközökön.
További információ a Windows Enterprise-előfizetésekről.
Microsoft Edge
Az új, Chromium-alapú Microsoft Edge blokkolja a potenciálisan nemkívánatos alkalmazások letöltését és a társított erőforrás-URL-címeket. Ezt a funkciót a SmartScreen Microsoft Defender biztosítja.
PUA-védelem engedélyezése Chromium-alapú Microsoft Edge-ben
Bár a Microsoft Edge (Chromium-alapú, 80.0.361.50-es verzió) alkalmazásvédelme alapértelmezés szerint ki van kapcsolva, egyszerűen bekapcsolható a böngészőből.
A Microsoft Edge böngészőben válassza a három pontot, majd a Beállítások lehetőséget.
Válassza az Adatvédelem, keresés és szolgáltatások lehetőséget.
A Biztonság szakaszban kapcsolja be a Vélhetően nemkívánatos alkalmazások letiltása beállítást.
Tipp
Ha a Microsoft Edge-et (Chromium-alapú) futtatja, biztonságosan felfedezheti a PUA-védelem URL-blokkoló funkcióját, ha teszteli azt az egyik Microsoft Defender SmartScreen bemutatóoldalunkon.
URL-címek blokkolása a SmartScreen Microsoft Defender
A Chromium-alapú Microsoft Edge-ben, amelyen a PUA-védelem be van kapcsolva, Microsoft Defender SmartScreen megvédi Önt a PUA-hoz társított URL-címektől.
A biztonsági rendszergazdák konfigurálhatják, hogy a Microsoft Edge és a Microsoft Defender SmartScreen hogyan működjön együtt a felhasználói csoportok PUA-hoz társított URL-címekkel szembeni védelme érdekében. A SmartScreen Microsoft Defender számos csoportházirend-beállítás érhető el, köztük a PUA blokkolására szolgáló beállítás is. Emellett a rendszergazdák a Microsoft Defender SmartScreen egészét is konfigurálhatják, csoportházirend-beállításokkal be- vagy kikapcsolhatják Microsoft Defender SmartScreent.
Bár Végponthoz készült Microsoft Defender a Microsoft által kezelt adatkészleten alapuló saját tiltólistával rendelkezik, a listát a saját fenyegetésfelderítése alapján testre szabhatja. Ha a Végponthoz készült Microsoft Defender portálon hoz létre és kezel mutatókat, Microsoft Defender a SmartScreen tiszteletben tartja az új beállításokat.
Microsoft Defender víruskereső és PUA-védelem
A Microsoft Defender Víruskereső vélhetően nemkívánatos alkalmazásvédelmi (PUA) védelmi funkciója képes észlelni és letiltani a PUA-t a hálózat végpontjaiban.
Megjegyzés:
Ez a funkció Windows 11, Windows 10, Windows Server 2022, Windows Server 2019 és Windows Server 2016 érhető el.
Microsoft Defender víruskereső letiltja az észlelt PUA-fájlokat, valamint a letöltési, áthelyezési, futtatási vagy telepítési kísérleteket. A letiltott PUA-fájlok ezután karanténba kerülnek. Ha a rendszer PUA-fájlt észlel egy végponton, Microsoft Defender víruskereső értesítést küld a felhasználónak (kivéve, ha az értesítések más fenyegetésészlelésekkel azonos formátumban lettek letiltva). Az értesítés előtaggal PUA:
van el elosztva, hogy jelezze a tartalmát.
Az értesítés a szokásos karanténlistában jelenik meg az Windows biztonság alkalmazásban.
PUA-védelem konfigurálása Microsoft Defender víruskeresőben
A PUA-védelmet Microsoft Intune, Microsoft Configuration Manager, Csoportházirend vagy PowerShell-parancsmagokkal engedélyezheti.
Először próbálja meg a PUA-védelmet naplózási módban használni. Észleli a potenciálisan nemkívánatos alkalmazásokat anélkül, hogy ténylegesen blokkolná őket. Az észleléseket a Windows eseménynaplója rögzíti. A PUA-védelem naplózási módban akkor hasznos, ha a vállalat belső szoftverbiztonsági megfelelőségi ellenőrzést végez, és fontos elkerülni a téves riasztásokat.
A PUA-védelem konfigurálása Intune használatával
Tekintse meg a következő cikkeket:
- Eszközkorlátozási beállítások konfigurálása a Microsoft Intune
- Microsoft Defender víruskereső eszközkorlátozási beállításai Windows 10 a Intune-ben
A PUA-védelem konfigurálása Configuration Manager használatával
A PUA-védelem alapértelmezés szerint engedélyezve van a Microsoft Configuration Manager (Aktuális ág).
A Microsoft Configuration Manager (Aktuális ág) konfigurálásával kapcsolatos részletekért lásd: Kártevőirtó-házirendek létrehozása és telepítése: Ütemezett vizsgálatok beállításai.
A System Center 2012 Configuration Manager esetében lásd: Az Endpoint Protection potenciálisan nemkívánatos alkalmazásvédelmi szabályzatának telepítése Configuration Manager.
Megjegyzés:
A Microsoft Defender Víruskereső által blokkolt PUA-eseményeket a Windows eseménymegtekintő jelenti, nem pedig a Microsoft Configuration Manager.
A PUA-védelem konfigurálása Csoportházirend használatával
Felügyeleti sablonok (.admx) letöltése és telepítése Windows 11 2021. októberi frissítéshez (21H2)
A Csoportházirend felügyeleti számítógépen nyissa meg a Csoportházirend Felügyeleti konzolt.
Jelölje ki a konfigurálni kívánt Csoportházirend objektumot, majd válassza a Szerkesztés lehetőséget.
A Csoportházirend-felügyeleti szerkesztőben lépjen a Számítógép konfigurációja elemre, és válassza a Felügyeleti sablonok lehetőséget.
Bontsa ki a fát a Windows-összetevők>Microsoft Defender víruskereső elemre.
Kattintson duplán az Észlelés konfigurálása vélhetően nemkívánatos alkalmazásokhoz elemre.
Válassza az Engedélyezve lehetőséget a PUA-védelem engedélyezéséhez.
A Beállítások területen válassza a Blokkolás lehetőséget a potenciálisan nemkívánatos alkalmazások letiltásához, vagy válassza a Naplózási mód lehetőséget a beállítás működésének teszteléséhez a környezetben. Kattintson az OK gombra.
Helyezze üzembe a Csoportházirend objektumot a megszokott módon.
A PUA-védelem konfigurálása PowerShell-parancsmagokkal
PUA-védelem engedélyezése
Set-MpPreference -PUAProtection Enabled
Ha a parancsmag értékét úgy állítja be, hogy Enabled
bekapcsolja a funkciót, ha az le van tiltva.
A PUA-védelem beállítása naplózási módra
Set-MpPreference -PUAProtection AuditMode
A beállítás AuditMode
letiltás nélkül észleli a PUA-kat.
A PUA-védelem letiltása
Javasoljuk, hogy a PUA-védelem be legyen kapcsolva. Ezt azonban a következő parancsmaggal kapcsolhatja ki:
Set-MpPreference -PUAProtection Disabled
Ha a parancsmag értékét úgy állítja be, hogy Disabled
kikapcsolja a funkciót, ha engedélyezve van.
További információ: Microsoft Defender víruskereső és Defender víruskereső parancsmagokkonfigurálása és futtatása PowerShell-parancsmagokkal.
PUA-események megtekintése a PowerShell használatával
A PUA-eseményeket a Windows eseménymegtekintő jelenti, de Microsoft Configuration Manager vagy Intune nem. A parancsmaggal megtekintheti azokat a Get-MpThreat
fenyegetéseket is, amelyeket Microsoft Defender víruskereső kezelt. Íme egy példa:
CategoryID : 27
DidThreatExecute : False
IsActive : False
Resources : {webfile:_q:\Builds\Dalton_Download_Manager_3223905758.exe|http://d18yzm5yb8map8.cloudfront.net/
fo4yue@kxqdw/Dalton_Download_Manager.exe|pid:14196,ProcessStart:132378130057195714}
RollupStatus : 33
SchemaVersion : 1.0.0.0
SeverityID : 1
ThreatID : 213927
ThreatName : PUA:Win32/InstallCore
TypeID : 0
PSComputerName :
A PUA-észlelésekkel kapcsolatos e-mail-értesítések lekérése
Bekapcsolhatja az e-mail-értesítéseket a PUA-észlelésekkel kapcsolatos e-mailek fogadásához.
A Microsoft Defender víruskereső eseményeinek megtekintésével kapcsolatos részletekért tekintse meg az eseményazonosítók hibaelhárítását ismertető cikket. A PUA-események az 1160-os eseményazonosító alatt vannak rögzítve.
PUA-események megtekintése speciális veszélyforrás-kereséssel
Ha Végponthoz készült Microsoft Defender használ, speciális veszélyforrás-keresési lekérdezéssel megtekintheti a PUA-eseményeket. Íme egy példa lekérdezésre:
DeviceEvents
| where ActionType == "AntivirusDetection"
| extend x = parse_json(AdditionalFields)
| project Timestamp, DeviceName, FolderPath, FileName, SHA256, ThreatName = tostring(x.ThreatName), WasExecutingWhileDetected = tostring(x.WasExecutingWhileDetected), WasRemediated = tostring(x.WasRemediated)
| where ThreatName startswith_cs 'PUA:'
A speciális veszélyforrás-kereséssel kapcsolatos további információkért lásd: Proaktív veszélyforrás-keresés speciális veszélyforrás-kereséssel.
Fájlok kizárása a PUA-védelemből
Előfordulhat, hogy a PUA-védelem tévesen blokkol egy fájlt, vagy a puA egy funkciójára van szükség a feladat elvégzéséhez. Ezekben az esetekben egy fájl hozzáadható egy kizárási listához.
További információ: Kizárások konfigurálása és érvényesítése fájlkiterjesztés és mappahely alapján.
Tipp
Ha más platformokra vonatkozó, víruskeresővel kapcsolatos információkat keres, lásd:
- Végponthoz készült Microsoft Defender beállítása macOS rendszeren
- Végponthoz készült Microsoft Defender Macen
- MacOS víruskereső házirend-beállításai az Intune-hoz készült Microsoft Defender víruskeresőhöz
- Végponthoz készült Microsoft Defender beállítása Linux rendszeren
- Végponthoz készült Microsoft Defender Linuxon
- Végponthoz készült Defender konfigurálása Android-funkciókon
- Végponthoz készült Microsoft Defender konfigurálása iOS-funkciókon
Lásd még
Tipp
Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: