Mogelijk ongewenste toepassingen detecteren en blokkeren

Van toepassing op:

Platforms

  • Windows

Mogelijk ongewenste toepassingen (PUA) zijn een softwarecategorie die ervoor kan zorgen dat uw computer vertraagt, onverwachte advertenties weergeeft of in het slechtste geval andere software installeert die onverwacht of ongewenst is. PUA wordt niet beschouwd als een virus, malware of ander type bedreiging, maar kan acties uitvoeren op eindpunten die de prestaties of het gebruik van eindpunten nadelig beïnvloeden. De term PUA kan ook verwijzen naar een toepassing met een slechte reputatie, zoals beoordeeld door Microsoft Defender voor Eindpunt, vanwege bepaalde soorten ongewenste gedragingen.

Dit zijn enkele voorbeelden:

  • Reclamesoftware waarop advertenties of promoties worden weergegeven, waaronder software waarmee advertenties op webpagina's worden geplaatst.
  • Installatiesoftware die aanbiedt andere software te installeren die niet digitaal is ondertekend door dezelfde entiteit. En ook software die aanbiedt om andere software te installeren die aangemerkt kan worden als PUA.
  • Ontduikingssoftware die actief probeert detectie door beveiligingsproducten te ontduiken, waaronder software die zich anders gedraagt in de aanwezigheid van beveiligingsproducten.

Tip

Zie voor meer voorbeelden en een discussie over de criteria die we gebruiken bij het labelen van toepassingen voor speciale aandacht van beveiligingsfuncties Hoe Microsoft malware en mogelijk ongewenste toepassingen identificeert.

Mogelijk ongewenste toepassingen kunnen het risico vergroten dat uw netwerk wordt geïnfecteerd met werkelijke malware, ervoor zorgen dat malware minder goed te herkennen is of dat het voor uw IT- en beveiligingsteams tijd en moeite kost om ze op te ruimen. PUA-beveiliging wordt ondersteund op Windows 11, Windows 10, Windows Server 2022, Windows Server 2019 en Windows Server 2016. Als het abonnement van uw organisatie Microsoft Defender voor Eindpunt bevat, blokkeert Microsoft Defender Antivirus apps die standaard als PUA worden beschouwd op Windows-apparaten.

Meer informatie over Windows Enterprise-abonnementen.

Microsoft Edge

Met het nieuwe Microsoft Edge, dat op Chromium is gebaseerd, blokkeert u mogelijk ongewenste toepassingsdownloads en bijbehorende resource-URL's. Deze functie is beschikbaar via Microsoft Defender SmartScreen.

PUA-beveiliging inschakelen in het op Chromium gebaseerde Microsoft Edge

Hoewel mogelijk ongewenste toepassingsbeveiliging in Microsoft Edge (gebaseerd op Chromium, versie 80.0.361.50) standaard is uitgeschakeld, kan dit eenvoudig vanuit de browser worden ingeschakeld.

  1. Selecteer de drie puntjes in uw Microsoft Edge-browser en kies vervolgens Instellingen.

  2. Selecteer privacy, zoekopdrachten en services.

  3. Schakel onder de sectie Beveiliging Mogelijk ongewenste apps blokkeren in.

Tip

Als u Microsoft Edge (Gebaseerd op Chromium) gebruikt, kunt u de functie voor URL-blokkering van PUA-beveiliging verkennen door deze te testen op een van onze Microsoft Defender SmartScreen-demopagina's.

URL's blokkeren met Microsoft Defender SmartScreen

In het op Chromium gebaseerde Microsoft Edge met PUA-beveiliging ingeschakeld, beschermt Microsoft Defender SmartScreen u tegen URL's die aan PUA zijn gekoppeld.

Beveiligingsbeheerders kunnen configureren hoe Microsoft Edge en Microsoft Defender SmartScreen samenwerken om groepen gebruikers te beschermen tegen URL's die aan PUA zijn gekoppeld. Er zijn verschillende instellingen voor groepsbeleid expliciet beschikbaar voor Microsoft Defender SmartScreen, waaronder voor het blokkeren van PUA-. Daarnaast kunnen beheerders Microsoft Defender SmartScreen- configureren met groepsbeleidsinstellingen om Microsoft Defender SmartScreen in of uit te schakelen.

Hoewel Microsoft Defender voor Eindpunt een eigen blokkeringslijst heeft op basis van een gegevensset die wordt beheerd door Microsoft, kunt u deze lijst aanpassen op basis van uw eigen bedreigingsinformatie. Als u in de portal van Microsoft Defender voor Eindpunt indicatoren maakt en beheert, respecteert Microsoft Defender SmartScreen de nieuwe instellingen.

Microsoft Defender Antivirus en PUA-beveiliging

Met de beveiligingsfunctie voor mogelijk ongewenste toepassingen (PUA) in Microsoft Defender Antivirus kunt u PUA detecteren en blokkeren voor eindpunten in uw netwerk.

Notitie

Deze functie is beschikbaar in Windows 11, Windows 10, Windows Server 2022, Windows Server 2019 en Windows Server 2016.

Microsoft Defender Antivirus blokkeert PUA-bestanden en pogingen om ze te downloaden, te verplaatsen, uit te voeren of te installeren. Geblokkeerde PUA-bestanden worden vervolgens in quarantaine geplaatst. Wanneer een PUA-bestand wordt aangetroffen op een eindpunt, stuurt Microsoft Defender Antivirus een melding naar de gebruiker (tenzij meldingen zijn uitgeschakeld in dezelfde indeling als andere bedreigingsdetecties. De melding wordt voorafgegaan door PUA: om de inhoud aan te geven.

De melding wordt weergegeven in de gebruikelijke quarantainelijst in de app voor Windows-beveiliging.

PUA-beveiliging configureren in Microsoft Defender Antivirus

U kunt PUA-beveiliging inschakelen met Microsoft Intune, Microsoft Endpoint Configuration Manager, Groepsbeleidof via PowerShell-cmdlets.

U kunt PUA-beveiliging ook gebruiken in de controlemodus om mogelijk ongewenste toepassingen te detecteren zonder deze te blokkeren. De detecties worden vastgelegd in het gebeurtenislogboek van Windows. PUA-beveiliging in de controlemodus is handig als uw bedrijf een interne controle op de naleving van softwarebeveiliging uitvoert en u fout-positieven wilt voorkomen.

Intune gebruiken om PUA-beveiliging te configureren

Zie Instellingen voor apparaatbeperkingen configureren in Microsoft Intune en Microsoft Defender Antivirus-apparaatbeperkingsinstellingen voor Windows 10 in Intune voor meer informatie.

Configuration Manager gebruiken om PUA-beveiliging te configureren

PUA-beveiliging is standaard ingeschakeld in Microsoft Endpoint Manager (Current Branch).

Zie Hoe u antimalwarebeleid kunt maken en implementeren: Instellingen voor geplande scans voor meer informatie over het configureren van Microsoft Endpoint Manager (Current Branch).

Zie Hoe beleid voor het beveiligen tegen mogelijk ongewenste toepassingen te implementeren voor eindpuntbeveiliging in Configuration Manager voor System Center 2012 Configuration Manager.

Notitie

PUA-gebeurtenissen die worden geblokkeerd door Microsoft Defender Antivirus, worden gerapporteerd in de Windows Event Viewer en niet in Microsoft Endpoint Configuration Manager.

Groepsbeleid gebruiken om PUA-beveiliging te configureren

  1. Download en installeer Beheersjablonen (.admx) voor Windows 11-update van oktober 2021 (21H2)

  2. Open op uw computer voor groepsbeleidsbeheer de Console groepsbeleidsbeheer.

  3. Selecteer het groepsbeleidsobject dat u wilt configureren en kies Bewerken.

  4. Ga in de Groepsbeleidsbeheereditor naar Computerconfiguratie en selecteer Beheersjablonen.

  5. Vouw de boomstructuur uit naar Windows-onderdelen > Microsoft Defender Antivirus.

  6. Dubbelklik op Detectie configureren voor mogelijk ongewenste toepassingen.

  7. Selecteer Inschakelen om PUA-beveiliging in te schakelen.

  8. In Opties selecteert u Blokkeren om mogelijk ongewenste toepassingen te blokkeren of selecteert u Auditmodus om te testen hoe de instelling werkt in uw omgeving. Selecteer OK.

  9. Implementeer uw groepsbeleidsobject zoals u dat gewoonlijk doet.

PowerShell-cmdlets gebruiken om PUA-beveiliging te configureren

Om PUA-beveiliging in te schakelen

Set-MpPreference -PUAProtection Enabled

Als u de waarde voor deze cmdlet instelt op Enabled schakelt u de functie in als deze is uitgeschakeld.

PUA-beveiliging instellen op controlemodus

Set-MpPreference -PUAProtection AuditMode

Door in te stellen op AuditMode worden PUA's gedetecteerd zonder ze te blokkeren.

Om PUA-beveiliging uit te schakelen

U wordt aangeraden PUA-beveiliging ingeschakeld te laten. U kunt de cmdlet echter uitschakelen met behulp van de volgende cmdlet:

Set-MpPreference -PUAProtection Disabled

Als u de waarde voor deze cmdlet instelt op Disabled schakelt u de functie uit als deze is ingeschakeld.

Zie PowerShell-cmdlets gebruiken om powershell-cmdlets te configureren en Microsoft Defender Antivirus en Defender Antivirus-cmdletste configureren en uit te voeren.

PUA-gebeurtenissen weergeven met PowerShell

PUA-gebeurtenissen worden gerapporteerd in Windows Event Viewer, maar niet in Microsoft Endpoint Manager of in Intune. U kunt de Get-MpThreat cmdlet ook gebruiken om bedreigingen te bekijken die door Microsoft Defender Antivirus zijn verwerkt. Hier volgt een voorbeeld:

CategoryID       : 27
DidThreatExecute : False
IsActive         : False
Resources        : {webfile:_q:\Builds\Dalton_Download_Manager_3223905758.exe|http://d18yzm5yb8map8.cloudfront.net/
                    fo4yue@kxqdw/Dalton_Download_Manager.exe|pid:14196,ProcessStart:132378130057195714}
RollupStatus     : 33
SchemaVersion    : 1.0.0.0
SeverityID       : 1
ThreatID         : 213927
ThreatName       : PUA:Win32/InstallCore
TypeID           : 0
PSComputerName   :

Meldingen per e-mail ontvangen over PUA-detecties

U kunt e-mailmeldingen inschakelen om e-mail over PUA-detecties te ontvangen.

Zie Probleemoplossing van gebeurtenis-id's voor meer informatie over het weergeven van Microsoft Defender Antivirus-gebeurtenissen. PUA-gebeurtenissen worden vastgelegd onder gebeurtenis-id 1160.

PUA-evenementen bekijken met geavanceerde opsporing

Als u Microsoft Defender voor Eindpuntgebruikt, kunt u een geavanceerde opsporingsquery uitvoeren om PUA-evenementen te bekijken. Hier volgt een voorbeeld van een query:

DeviceEvents
| where ActionType == "AntivirusDetection"
| extend x = parse_json(AdditionalFields)
| project Timestamp, DeviceName, FolderPath, FileName, SHA256, ThreatName = tostring(x.ThreatName), WasExecutingWhileDetected = tostring(x.WasExecutingWhileDetected), WasRemediated = tostring(x.WasRemediated)
| where ThreatName startswith_cs 'PUA:'

Zie voor meer informatie over geavanceerde opsporing Proactief zoeken op bedreigingen met geavanceerde opsporing.

Bestanden uitsluiten van PUA-beveiliging

Soms wordt een bestand ten onrechte geblokkeerd door PUA-beveiliging of is een functie van een PUA vereist om een taak te voltooien. In deze gevallen kan een bestand worden toegevoegd aan een lijst met uitsluitingen.

Zie voor meer informatie Uitgesloten items configureren en valideren op basis van de bestandsextensie en maplocatie.

Zie ook