Mogelijk ongewenste toepassingen detecteren en blokkerenDetect and block potentially unwanted applications

Van toepassing op:Applies to:

Mogelijk ongewenste toepassingen (PUA) zijn een softwarecategorie die ervoor kan zorgen dat uw computer vertraagt, onverwachte advertenties weergeeft of in het slechtste geval andere software installeert die onverwacht of ongewenst is.Potentially unwanted applications (PUA) are a category of software that can cause your machine to run slowly, display unexpected ads, or at worst, install other software that might be unexpected or unwanted. PUA wordt niet beschouwd als een virus, malware of ander type bedreiging, maar kan acties uitvoeren op eindpunten die de prestaties of het gebruik van eindpunten nadelig beïnvloeden.PUA is not considered a virus, malware, or other type of threat, but it might perform actions on endpoints that adversely affect endpoint performance or use. De term PUA kan ook verwijzen naar een toepassing met een slechte reputatie, zoals beoordeeld door Microsoft Defender voor Eindpunt, vanwege bepaalde soorten ongewenste gedragingen.The term PUA can also refer to an application that has a poor reputation, as assessed by Microsoft Defender for Endpoint, due to certain kinds of undesirable behavior.

Dit zijn enkele voorbeelden:Here are some examples:

  • Reclamesoftware waarop advertenties of promoties worden weergegeven, waaronder software waarmee advertenties op webpagina's worden geplaatst.Advertising software that displays advertisements or promotions, including software that inserts advertisements to webpages.
  • Installatiesoftware die aanbiedt andere software te installeren die niet digitaal is ondertekend door dezelfde entiteit.Bundling software that offers to install other software that is not digitally signed by the same entity. En ook software die aanbiedt om andere software te installeren die aangemerkt kan worden als PUA.Also, software that offers to install other software that qualifies as PUA.
  • Ontduikingssoftware die actief probeert detectie door beveiligingsproducten te ontduiken, waaronder software die zich anders gedraagt in de aanwezigheid van beveiligingsproducten.Evasion software that actively tries to evade detection by security products, including software that behaves differently in the presence of security products.

Tip

Zie voor meer voorbeelden en een discussie over de criteria die we gebruiken bij het labelen van toepassingen voor speciale aandacht van beveiligingsfuncties Hoe Microsoft malware en mogelijk ongewenste toepassingen identificeert.For more examples and a discussion of the criteria we use to label applications for special attention from security features, see How Microsoft identifies malware and potentially unwanted applications.

Mogelijk ongewenste toepassingen kunnen het risico vergroten dat uw netwerk wordt geïnfecteerd met werkelijke malware, ervoor zorgen dat malware minder goed te herkennen is of dat IT-resources worden verspild bij het verwijderen ervan.Potentially unwanted applications can increase the risk of your network being infected with actual malware, make malware infections harder to identify, or waste IT resources in cleaning them up. PUA-beveiliging wordt ondersteund in Windows 10, Windows Server 2019 en Windows Server 2016.PUA protection is supported on Windows 10, Windows Server 2019, and Windows Server 2016. In Windows 10 (versie 2004 en hoger) blokkeert Microsoft Defender Antivirus apps die standaard worden beschouwd als PUA voor Enterprise-apparaten (E5).In Windows 10 (version 2004 and later), Microsoft Defender Antivirus blocks apps that are considered PUA for Enterprise (E5) devices by default.

Microsoft EdgeMicrosoft Edge

Met het nieuwe Microsoft Edge, dat op Chromium is gebaseerd, blokkeert u mogelijk ongewenste toepassingsdownloads en bijbehorende resource-URL's.The new Microsoft Edge, which is Chromium-based, blocks potentially unwanted application downloads and associated resource URLs. Deze functie is beschikbaar via Microsoft Defender SmartScreen.This feature is provided via Microsoft Defender SmartScreen.

PUA-beveiliging inschakelen in het op Chromium gebaseerde Microsoft EdgeEnable PUA protection in Chromium-based Microsoft Edge

Hoewel mogelijk ongewenste toepassingsbeveiliging in Microsoft Edge (gebaseerd op Chromium, versie 80.0.361.50) standaard is uitgeschakeld, kan dit eenvoudig vanuit de browser worden ingeschakeld.Although potentially unwanted application protection in Microsoft Edge (Chromium-based, version 80.0.361.50) is turned off by default, it can easily be turned on from within the browser.

  1. Selecteer de drie puntjes in uw Microsoft Edge-browser en kies vervolgens Instellingen.In your Edge browser, select the ellipses, and then choose Settings.

  2. Selecteer privacy, zoekopdrachten en services.Select Privacy, search, and services.

  3. Schakel onder de sectie Beveiliging Mogelijk ongewenste apps blokkeren in.Under the Security section, turn on Block potentially unwanted apps.

Tip

Als u Microsoft Edge (Gebaseerd op Chromium) gebruikt, kunt u de functie voor URL-blokkering van PUA-beveiliging verkennen door deze te testen op een van onze Microsoft Defender SmartScreen-demopagina's.If you are running Microsoft Edge (Chromium-based), you can safely explore the URL-blocking feature of PUA protection by testing it out on one of our Microsoft Defender SmartScreen demo pages.

URL's blokkeren met Microsoft Defender SmartScreenBlock URLs with Microsoft Defender SmartScreen

In het op Chromium gebaseerde Microsoft Edge met PUA-beveiliging ingeschakeld, beschermt Microsoft Defender SmartScreen u tegen URL's die aan PUA zijn gekoppeld.In Chromium-based Edge with PUA protection turned on, Microsoft Defender SmartScreen protects you from PUA-associated URLs.

Beveiligingsbeheerders kunnen configureren hoe Microsoft Edge en Microsoft Defender SmartScreen samenwerken om groepen gebruikers te beschermen tegen URL's die aan PUA zijn gekoppeld.Security admins can configure how Microsoft Edge and Microsoft Defender SmartScreen work together to protect groups of users from PUA-associated URLs. Er zijn verschillende instellingen voor groepsbeleid expliciet beschikbaar voor Microsoft Defender SmartScreen, waaronder voor het blokkeren van PUA-.There are several group policy settings explicitly for Microsoft Defender SmartScreen available, including one for blocking PUA. Daarnaast kunnen beheerders Microsoft Defender SmartScreen- configureren met groepsbeleidsinstellingen om Microsoft Defender SmartScreen in of uit te schakelen.In addition, admins can configure Microsoft Defender SmartScreen as a whole, using group policy settings to turn Microsoft Defender SmartScreen on or off.

Hoewel Microsoft Defender voor Eindpunt een eigen blokkeringslijst heeft op basis van een gegevensset die wordt beheerd door Microsoft, kunt u deze lijst aanpassen op basis van uw eigen bedreigingsinformatie.Although Microsoft Defender for Endpoint has its own blocklist based upon a data set managed by Microsoft, you can customize this list based on your own threat intelligence. Als u in de portal van Microsoft Defender voor Eindpunt indicatoren maakt en beheert, respecteert Microsoft Defender SmartScreen de nieuwe instellingen.If you create and manage indicators in the Microsoft Defender for Endpoint portal, Microsoft Defender SmartScreen respects the new settings.

Microsoft Defender Antivirus en PUA-beveiligingMicrosoft Defender Antivirus and PUA protection

Met de beveiligingsfunctie voor mogelijk ongewenste toepassingen (PUA) in Microsoft Defender Antivirus kunt u PUA detecteren en blokkeren voor eindpunten in uw netwerk.The potentially unwanted application (PUA) protection feature in Microsoft Defender Antivirus can detect and block PUA on endpoints in your network.

Notitie

Deze functie is beschikbaar in Windows 10, Windows Server 2019 en Windows Server 2016.This feature is available in Windows 10, Windows Server 2019, and Windows Server 2016.

Microsoft Defender Antivirus blokkeert PUA-bestanden en pogingen om ze te downloaden, te verplaatsen, uit te voeren of te installeren.Microsoft Defender Antivirus blocks detected PUA files and any attempts to download, move, run, or install them. Geblokkeerde PUA-bestanden worden vervolgens in quarantaine geplaatst.Blocked PUA files are then moved to quarantine. Wanneer een PUA-bestand wordt aangetroffen op een eindpunt, stuurt Microsoft Defender Antivirus een melding naar de gebruiker (tenzij meldingen zijn uitgeschakeld) in dezelfde indeling als andere bedreigingsdetecties.When a PUA file is detected on an endpoint, Microsoft Defender Antivirus sends a notification to the user (unless notifications have been disabled) in the same format as other threat detections. De melding wordt voorafgegaan door PUA: om de inhoud aan te geven.The notification is prefaced with PUA: to indicate its content.

De melding wordt weergegeven in de gebruikelijke quarantainelijst in de app voor Windows-beveiliging.The notification appears in the usual quarantine list within the Windows Security app.

PUA-beveiliging configureren in Microsoft Defender AntivirusConfigure PUA protection in Microsoft Defender Antivirus

U kunt PUA-beveiliging inschakelen met Microsoft Intune, Microsoft Endpoint Configuration Manager, Groepsbeleidof via PowerShell-cmdlets.You can enable PUA protection with Microsoft Intune, Microsoft Endpoint Configuration Manager, Group Policy, or via PowerShell cmdlets.

U kunt PUA-beveiliging ook gebruiken in de controlemodus om mogelijk ongewenste toepassingen te detecteren zonder deze te blokkeren.You can also use PUA protection in audit mode to detect potentially unwanted applications without blocking them. De detecties worden vastgelegd in het gebeurtenislogboek van Windows.The detections are captured in the Windows event log.

Tip

Ga naar de demowebsite van Microsoft Defender voor Eindpunt op demo.wd.microsoft.com om te bevestigen dat de functie werkt en deze in actie te zien.Visit the Microsoft Defender for Endpoint demo website at demo.wd.microsoft.com to confirm that the feature is working, and see it in action.

PUA-beveiliging in de controlemodus is handig als uw bedrijf een interne controle op de naleving van softwarebeveiliging uitvoert en u fout-positieven wilt voorkomen.PUA protection in audit mode is useful if your company is conducting an internal software security compliance check and you'd like to avoid any false positives.

Intune gebruiken om PUA-beveiliging te configurerenUse Intune to configure PUA protection

Zie Instellingen voor apparaatbeperkingen configureren in Microsoft Intune en Microsoft Defender Antivirus-apparaatbeperkingsinstellingen voor Windows 10 in Intune voor meer informatie.See Configure device restriction settings in Microsoft Intune and Microsoft Defender Antivirus device restriction settings for Windows 10 in Intune for more details.

Configuration Manager gebruiken om PUA-beveiliging te configurerenUse Configuration Manager to configure PUA protection

PUA-beveiliging is standaard ingeschakeld in Microsoft Endpoint Manager (Current Branch).PUA protection is enabled by default in the Microsoft Endpoint Manager (Current Branch).

Zie Hoe u antimalwarebeleid kunt maken en implementeren: Instellingen voor geplande scans voor meer informatie over het configureren van Microsoft Endpoint Manager (Current Branch).See How to create and deploy antimalware policies: Scheduled scans settings for details on configuring Microsoft Endpoint Manager (Current Branch).

Zie Hoe beleid voor het beveiligen tegen mogelijk ongewenste toepassingen te implementeren voor eindpuntbeveiliging in Configuration Manager voor System Center 2012 Configuration Manager.For System Center 2012 Configuration Manager, see How to Deploy Potentially Unwanted Application Protection Policy for Endpoint Protection in Configuration Manager.

Notitie

PUA-gebeurtenissen die worden geblokkeerd door Microsoft Defender Antivirus, worden gerapporteerd in de Windows Event Viewer en niet in Microsoft Endpoint Configuration Manager.PUA events blocked by Microsoft Defender Antivirus are reported in the Windows Event Viewer and not in Microsoft Endpoint Configuration Manager.

Groepsbeleid gebruiken om PUA-beveiliging te configurerenUse Group Policy to configure PUA protection

  1. Download en installeer Beheersjablonen (.admx) voor Windows 10 update van oktober 2020 (20H2)Download and install Administrative Templates (.admx) for Windows 10 October 2020 Update (20H2)

  2. Open op uw computer voor groepsbeleidsbeheer de Console groepsbeleidsbeheer.On your Group Policy management computer, open the Group Policy Management Console.

  3. Selecteer het groepsbeleidsobject dat u wilt configureren en kies Bewerken.Select the Group Policy Object you want to configure, and then choose Edit.

  4. Ga in de Groepsbeleidsbeheereditor naar Computerconfiguratie en selecteer Beheersjablonen.In the Group Policy Management Editor, go to Computer configuration and select Administrative templates.

  5. Vouw de boomstructuur uit naar Windows-onderdelen > Microsoft Defender Antivirus.Expand the tree to Windows Components > Microsoft Defender Antivirus.

  6. Dubbelklik op Detectie configureren voor mogelijk ongewenste toepassingen.Double-click Configure detection for potentially unwanted applications.

  7. Selecteer Inschakelen om PUA-beveiliging in te schakelen.Select Enabled to enable PUA protection.

  8. In Opties selecteert u Blokkeren om mogelijk ongewenste toepassingen te blokkeren of selecteert u Auditmodus om te testen hoe de instelling werkt in uw omgeving.In Options, select Block to block potentially unwanted applications, or select Audit Mode to test how the setting works in your environment. Kies OK.Select OK.

  9. Implementeer uw groepsbeleidsobject zoals u dat gewoonlijk doet.Deploy your Group Policy object as you usually do.

PowerShell-cmdlets gebruiken om PUA-beveiliging te configurerenUse PowerShell cmdlets to configure PUA protection

Om PUA-beveiliging in te schakelenTo enable PUA protection

Set-MpPreference -PUAProtection Enabled

Als u de waarde voor deze cmdlet instelt op Enabled schakelt u de functie in als deze is uitgeschakeld.Setting the value for this cmdlet to Enabled turns on the feature if it has been disabled.

PUA-beveiliging instellen op controlemodusTo set PUA protection to audit mode

Set-MpPreference -PUAProtection AuditMode

Door in te stellen op AuditMode worden PUA's gedetecteerd zonder ze te blokkeren.Setting AuditMode detects PUAs without blocking them.

Om PUA-beveiliging uit te schakelenTo disable PUA protection

U wordt aangeraden PUA-beveiliging ingeschakeld te laten.We recommend keeping PUA protection turned on. U kunt de cmdlet echter uitschakelen met behulp van de volgende cmdlet:However, you can turn it off by using the following cmdlet:

Set-MpPreference -PUAProtection Disabled

Als u de waarde voor deze cmdlet instelt op Disabled schakelt u de functie uit als deze is ingeschakeld.Setting the value for this cmdlet to Disabled turns off the feature if it has been enabled.

Zie PowerShell-cmdlets gebruiken om Microsoft Defender Antivirus te configureren en uit te voeren en Defender-cmdlets voor meer informatie.For more information, see Use PowerShell cmdlets to configure and run Microsoft Defender Antivirus and Defender cmdlets.

PUA-gebeurtenissen weergeven met PowerShellView PUA events using PowerShell

PUA-gebeurtenissen worden gerapporteerd in Windows Event Viewer, maar niet in Microsoft Endpoint Manager of in Intune.PUA events are reported in the Windows Event Viewer, but not in Microsoft Endpoint Manager or in Intune. U kunt de Get-MpThreat cmdlet ook gebruiken om bedreigingen te bekijken die door Microsoft Defender Antivirus zijn verwerkt.You can also use the Get-MpThreat cmdlet to view threats that Microsoft Defender Antivirus handled. Hier volgt een voorbeeld:Here's an example:

CategoryID       : 27
DidThreatExecute : False
IsActive         : False
Resources        : {webfile:_q:\Builds\Dalton_Download_Manager_3223905758.exe|http://d18yzm5yb8map8.cloudfront.net/
                    fo4yue@kxqdw/Dalton_Download_Manager.exe|pid:14196,ProcessStart:132378130057195714}
RollupStatus     : 33
SchemaVersion    : 1.0.0.0
SeverityID       : 1
ThreatID         : 213927
ThreatName       : PUA:Win32/InstallCore
TypeID           : 0
PSComputerName   :

Meldingen per e-mail ontvangen over PUA-detectiesGet email notifications about PUA detections

U kunt e-mailmeldingen inschakelen om e-mail over PUA-detecties te ontvangen.You can turn on email notifications to receive mail about PUA detections.

Zie Probleemoplossing van gebeurtenis-id's voor meer informatie over het weergeven van Microsoft Defender Antivirus-gebeurtenissen.See Troubleshoot event IDs for details on viewing Microsoft Defender Antivirus events. PUA-gebeurtenissen worden vastgelegd onder gebeurtenis-id 1160.PUA events are recorded under event ID 1160.

PUA-evenementen bekijken met geavanceerde opsporingView PUA events using advanced hunting

Als u Microsoft Defender voor Eindpuntgebruikt, kunt u een geavanceerde opsporingsquery uitvoeren om PUA-evenementen te bekijken.If you're using Microsoft Defender for Endpoint, you can use an advanced hunting query to view PUA events. Hier volgt een voorbeeldquery:Here's an example query:

DeviceEvents
| where ActionType == "AntivirusDetection"
| extend x = parse_json(AdditionalFields)
| project Timestamp, DeviceName, FolderPath, FileName, SHA256, ThreatName = tostring(x.ThreatName), WasExecutingWhileDetected = tostring(x.WasExecutingWhileDetected), WasRemediated = tostring(x.WasRemediated)
| where ThreatName startswith_cs 'PUA:'

Zie voor meer informatie over geavanceerde opsporing Proactief zoeken op bedreigingen met geavanceerde opsporing.To learn more about advanced hunting, see Proactively hunt for threats with advanced hunting.

Bestanden uitsluiten van PUA-beveiligingExclude files from PUA protection

Soms wordt een bestand ten onrechte geblokkeerd door PUA-beveiliging of is een functie van een PUA vereist om een taak te voltooien.Sometimes a file is erroneously blocked by PUA protection, or a feature of a PUA is required to complete a task. In deze gevallen kan een bestand worden toegevoegd aan een lijst met uitsluitingen.In these cases, a file can be added to an exclusion list.

Zie voor meer informatie Uitgesloten items configureren en valideren op basis van de bestandsextensie en maplocatie.For more information, see Configure and validate exclusions based on file extension and folder location.

Zie ookSee also