Oppdage og blokkere potensielt uønskede programmer

  • Artikkel

Gjelder for:

Plattformer

  • Windows

Potensielt uønskede programmer (PUA) er en kategori med programvare som kan føre til at maskinen kjører sakte, viser uventede annonser eller i verste fall installerer annen programvare som kan være uventet eller uønsket. PUA regnes ikke som et virus, skadelig programvare eller en annen type trussel, men det kan utføre handlinger på endepunkter som har negativ innvirkning på endepunktytelsen eller bruken. Begrepet PUA kan også referere til et program som har et dårlig omdømme, som vurdert av Microsoft Defender for endepunkt, på grunn av visse typer uønsket atferd.

Her er noen eksempler:

  • Reklameprogramvare som viser annonser eller kampanjer, inkludert programvare som setter inn annonser på nettsider.
  • Bunting av programvare som tilbyr å installere annen programvare som ikke er digitalt signert av samme enhet. Programvare som tilbyr seg å installere annen programvare som kvalifiserer som PUA.
  • Unndragelse programvare som aktivt prøver å unngå deteksjon av sikkerhetsprodukter, inkludert programvare som oppfører seg annerledes i nærvær av sikkerhetsprodukter.

Tips

Hvis du vil ha flere eksempler og en diskusjon om kriteriene vi bruker til å merke programmer for spesiell oppmerksomhet fra sikkerhetsfunksjoner, kan du se Hvordan Microsoft identifiserer skadelig programvare og potensielt uønskede programmer.

Potensielt uønskede programmer kan øke risikoen for at nettverket blir infisert med faktisk skadelig programvare, gjøre det vanskeligere å identifisere skadelig programvare eller koste IT- og sikkerhetsteamene tid og krefter på å rydde dem opp. PUA-beskyttelse støttes på Windows 11, Windows 10, Windows Server 2022, Windows Server 2019 og Windows Server 2016. Hvis organisasjonens abonnement omfatter Microsoft Defender for endepunkt, Microsoft Defender antivirusblokker apper som anses å være PUA som standard på Windows-enheter.

Mer informasjon om Windows Enterprise-abonnementer.

Tips

Som en følge av denne artikkelen anbefaler vi at du bruker Microsoft Defender for endepunkt automatisert konfigurasjonsveiledning når du er logget på Administrasjonssenter for Microsoft 365. Denne veiledningen tilpasser opplevelsen din basert på miljøet ditt. Hvis du vil se gjennom anbefalte fremgangsmåter uten å logge på og aktivere automatiserte konfigurasjonsfunksjoner, kan du gå til installasjonsveiledningen for Microsoft 365.

Microsoft Edge

Den nye Microsoft Edge, som er Chromium-basert, blokkerer potensielt uønskede programnedlastinger og tilknyttede nettadresser for ressurser. Denne funksjonen leveres via Microsoft Defender SmartScreen.

Aktiver PUA-beskyttelse i Chromium-baserte Microsoft Edge

Selv om potensielt uønsket programbeskyttelse i Microsoft Edge (Chromium-basert, versjon 80.0.361.50) er deaktivert som standard, kan den enkelt aktiveres fra nettleseren.

  1. Velg ellipsen i Microsoft Edge-nettleseren, og velg deretter Innstillinger.

  2. Velg Personvern, søk og tjenester.

  3. Under Sikkerhets-delen aktiverer du Blokker potensielt uønskede apper.

Tips

Hvis du kjører Microsoft Edge (Chromium-basert), kan du trygt utforske funksjonen for nettadresseblokkering av PUA-beskyttelse ved å teste den ut på en av våre Microsoft Defender SmartScreen-demonstrasjonssider.

Blokkere nettadresser med Microsoft Defender SmartScreen

I Chromium-baserte Microsoft Edge med PUA-beskyttelse aktivert, beskytter Microsoft Defender SmartScreen deg mot PUA-tilknyttede nettadresser.

Sikkerhetsadministratorer kan konfigurere hvordan Microsoft Edge og Microsoft Defender SmartScreen fungerer sammen for å beskytte grupper av brukere fra PUA-tilknyttede nettadresser. Det finnes flere gruppepolicyinnstillinger eksplisitt for Microsoft Defender SmartScreen tilgjengelig, inkludert én for blokkering av PUA. I tillegg kan administratorer konfigurere Microsoft Defender SmartScreen som helhet, ved hjelp av gruppepolicyinnstillinger for å slå Microsoft Defender SmartScreen på eller av.

Selv om Microsoft Defender for endepunkt har sin egen blokkliste basert på et datasett som administreres av Microsoft, kan du tilpasse denne listen basert på din egen trusselintelligens. Hvis du oppretter og administrerer indikatorer i Microsoft Defender for endepunkt-portalen, respekterer Microsoft Defender SmartScreen de nye innstillingene.

Microsoft Defender Antivirus- og PUA-beskyttelse

Den potensielt uønskede programbeskyttelsesfunksjonen (PUA) i Microsoft Defender Antivirus kan oppdage og blokkere PUA på endepunkter i nettverket.

Obs!

Denne funksjonen er tilgjengelig i Windows 11, Windows 10, Windows Server 2022, Windows Server 2019 og Windows Server 2016.

Microsoft Defender antivirusblokker oppdaget PUA-filer og eventuelle forsøk på å laste ned, flytte, kjøre eller installere dem. Blokkerte PUA-filer flyttes deretter til karantene. Når en PUA-fil oppdages på et endepunkt, sender Microsoft Defender Antivirus et varsel til brukeren (med mindre varsler er deaktivert i samme format som andre trusselregistreringer. Varselet er innledet med PUA: for å angi innholdet.

Varselet vises i den vanlige karantenelisten i Windows Sikkerhet-appen.

Konfigurer PUA-beskyttelse i Microsoft Defender Antivirus

Du kan aktivere PUA-beskyttelse med Microsoft Intune, Microsoft Configuration Manager, gruppepolicy eller via PowerShell-cmdleter.

Prøv først å bruke PUA-beskyttelse i overvåkingsmodus. Den oppdager potensielt uønskede programmer uten å blokkere dem. Gjenkjenninger fanges opp i hendelsesloggen i Windows. PUA-beskyttelse i overvåkingsmodus er nyttig hvis firmaet utfører en intern samsvarskontroll for programvaresikkerhet, og det er viktig å unngå falske positiver.

Bruk Intune til å konfigurere PUA-beskyttelse

Se følgende artikler:

Bruk Configuration Manager til å konfigurere PUA-beskyttelse

PUA-beskyttelse er aktivert som standard i Microsoft Configuration Manager (Current Branch).

Se hvordan du oppretter og distribuerer policyer for beskyttelse mot skadelig programvare: Planlagte skanningsinnstillinger for mer informasjon om hvordan du konfigurerer Microsoft Configuration Manager (Current Branch).

For System Center 2012 Configuration Manager kan du se Hvordan du distribuerer potensielt uønskede policyer for programbeskyttelse for endepunktbeskyttelse i Configuration Manager.

Obs!

PUA-hendelser som blokkeres av Microsoft Defender Antivirus, rapporteres i Windows Hendelsesliste og ikke i Microsoft Configuration Manager.

Bruk gruppepolicy til å konfigurere PUA-beskyttelse

  1. Last ned og installer administrative maler (.admx) for Windows 11 oppdateringen for oktober 2021 (21H2)

  2. Åpne administrasjonskonsollen for gruppepolicy på gruppepolicy-administrasjonsdatamaskinen.

  3. Velg gruppepolicy objektet du vil konfigurere, og velg deretter Rediger.

  4. I Redigeringsprogram for gruppepolicybehandling, går du til Datamaskinkonfigurasjon og velger Administrative maler.

  5. Utvid treet til Windows-komponenter>Microsoft Defender Antivirus.

  6. Dobbeltklikk konfigurer gjenkjenning for potensielt uønskede programmer.

  7. Velg Aktivert for å aktivere PUA-beskyttelse.

  8. Velg Blokker i Alternativer for å blokkere potensielt uønskede programmer, eller velg Overvåkingsmodus for å teste hvordan innstillingen fungerer i miljøet. Velg OK.

  9. Distribuer gruppepolicy objektet slik du vanligvis gjør.

Bruk PowerShell-cmdleter til å konfigurere PUA-beskyttelse

Slik aktiverer du PUA-beskyttelse

Set-MpPreference -PUAProtection Enabled

Hvis du angir verdien for denne cmdleten, Enabled aktiveres funksjonen hvis den er deaktivert.

Slik angir du PUA-beskyttelse til overvåkingsmodus

Set-MpPreference -PUAProtection AuditMode

Innstilling AuditMode oppdager PUAer uten å blokkere dem.

Slik deaktiverer du PUA-beskyttelse

Vi anbefaler at PUA-beskyttelsen er aktivert. Du kan imidlertid deaktivere den ved hjelp av følgende cmdlet:

Set-MpPreference -PUAProtection Disabled

Hvis du angir verdien for denne cmdleten, Disabled deaktiveres funksjonen hvis den er aktivert.

Hvis du vil ha mer informasjon, kan du se Bruke PowerShell-cmdleter til å konfigurere og kjøre Microsoft Defender antivirus- og Defender Antivirus-cmdleter.

Vis PUA-hendelser ved hjelp av PowerShell

PUA-hendelser rapporteres i Windows Hendelsesliste, men ikke i Microsoft Configuration Manager eller i Intune. Du kan også bruke cmdleten Get-MpThreat til å vise trusler som Microsoft Defender Antivirus håndteres. Her er et eksempel:

CategoryID       : 27
DidThreatExecute : False
IsActive         : False
Resources        : {webfile:_q:\Builds\Dalton_Download_Manager_3223905758.exe|http://d18yzm5yb8map8.cloudfront.net/
                    fo4yue@kxqdw/Dalton_Download_Manager.exe|pid:14196,ProcessStart:132378130057195714}
RollupStatus     : 33
SchemaVersion    : 1.0.0.0
SeverityID       : 1
ThreatID         : 213927
ThreatName       : PUA:Win32/InstallCore
TypeID           : 0
PSComputerName   :

Få e-postvarsler om PUA-gjenkjenninger

Du kan aktivere e-postvarsler for å motta e-post om PUA-gjenkjenninger.

Se feilsøke hendelses-ID-er for mer informasjon om hvordan du viser Microsoft Defender antivirushendelser. PUA-hendelser registreres under hendelses-ID 1160.

Vis PUA-hendelser ved hjelp av avansert jakt

Hvis du bruker Microsoft Defender for endepunkt, kan du bruke en avansert jaktspørring til å vise PUA-hendelser. Her er en eksempelspørring:

DeviceEvents
| where ActionType == "AntivirusDetection"
| extend x = parse_json(AdditionalFields)
| project Timestamp, DeviceName, FolderPath, FileName, SHA256, ThreatName = tostring(x.ThreatName), WasExecutingWhileDetected = tostring(x.WasExecutingWhileDetected), WasRemediated = tostring(x.WasRemediated)
| where ThreatName startswith_cs 'PUA:'

Hvis du vil lære mer om avansert jakt, kan du se Proaktivt jakte på trusler med avansert jakt.

Utelat filer fra PUA-beskyttelse

Noen ganger blokkeres en fil feilaktig av PUA-beskyttelse, eller en funksjon i en PUA kreves for å fullføre en oppgave. I slike tilfeller kan en fil legges til i en utelatelsesliste.

Hvis du vil ha mer informasjon, kan du se Konfigurere og validere utelatelser basert på filtype og mappeplassering.

Tips

Hvis du leter etter antivirusrelatert informasjon for andre plattformer, kan du se:

Se også

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.