Detetar e bloquear aplicações potencialmente indesejadas

Aplica-se a:

Plataformas

  • Windows

As aplicações potencialmente indesejadas (PUA) são uma categoria de software que pode fazer com que o seu computador seja executado lentamente, apresentar anúncios inesperados ou, na pior das hipóteses, instalar outro software que possa ser inesperado ou indesejável. O PUA não é considerado um vírus, malware ou outro tipo de ameaça, mas pode executar ações em pontos finais que afetam negativamente o desempenho ou a utilização do ponto final. O termo PUA também pode referir-se a uma aplicação com má reputação, conforme avaliado pela Microsoft Defender para Endpoint, devido a determinados tipos de comportamento indesejável.

Eis alguns exemplos:

  • Software publicitário que apresenta anúncios ou promoções, incluindo software que insere anúncios em páginas Web.
  • Software de agrupamento que oferece a instalação de outro software que não está assinado digitalmente pela mesma entidade. Além disso, software que oferece a instalação de outro software que se qualifica como PUA.
  • Software de evasão que tenta ativamente evitar a deteção por produtos de segurança, incluindo software que se comporta de forma diferente na presença de produtos de segurança.

Dica

Para obter mais exemplos e um debate sobre os critérios que utilizamos para etiquetar aplicações a fim de obter atenção especial das funcionalidades de segurança, consulte Como a Microsoft identifica malware e aplicações potencialmente indesejadas.

Aplicações potencialmente indesejadas podem aumentar o risco de sua rede ser infetada com malware real, dificultar a identificação de infeções de malware ou desperdiçar recursos de IT na limpeza. A proteção contra PUA é suportada no Windows 10, Windows 11, Windows Server 2019, Windows Server 2022 e Windows Server 2016. No Windows 10 (versão 2004 e posterior), o Antivírus do Microsoft Defender bloqueia as aplicações que são consideradas PUA para dispositivos Enterprise (E5) por predefinição.

Microsoft Edge

O novo Microsoft Edge, que é baseado no Chromium, bloqueia transferências de aplicações potencialmente indesejadas e URLs de recursos associados. Esta funcionalidade é fornecida através do Microsoft Defender SmartScreen.

Ativar a proteção contra PUA no Microsoft Edge baseado no Chromium

Embora a proteção de aplicações potencialmente indesejadas no Microsoft Edge (baseada no Chromium, versão 80.0.361.50) esteja desligada por predefinição, pode ser facilmente ligada a partir do browser.

  1. No browser Edge, selecione as reticências e, em seguida, selecione Definições.

  2. Selecione Privacidade, pesquisa e serviços.

  3. Na secção Segurança, ative Bloquear aplicações potencialmente indesejadas.

Dica

Se estiver a executar o Microsoft Edge (baseado no Chromium), pode explorar em segurança a funcionalidade de bloqueio de URL da proteção contra PUA ao testá-la numa das nossas páginas de demonstração do Microsoft Defender SmartScreen.

Bloquear URLs com o Microsoft Defender SmartScreen

No Edge baseado no Chromium com a proteção contra PUA ligada, o Microsoft Defender SmartScreen protege-o de URLs associados a PUA.

Os administradores de segurança podem configurar como o Microsoft Edge e o Microsoft Defender SmartScreen funcionam em conjunto para proteger grupos de utilizadores de URLs associados a PUA. Existem várias definições de política de grupo explicitamente disponíveis para o Microsoft Defender SmartScreen, incluindo uma para bloquear PUA. Além disso, os administradores podem configurar o Microsoft Defender SmartScreen como um todo, utilizando as definições de política de grupo para ativar ou desativar o Microsoft Defender SmartScreen.

Embora o Microsoft Defender para Endpoint tenha a sua própria lista de bloqueios baseada num conjunto de dados gerido pela Microsoft, pode personalizar esta lista com base nas suas próprias informações sobre ameaças. Se criar e gerir indicadores no portal do Microsoft Defender para Endpoint, o Microsoft Defender SmartScreen respeitará as novas definições.

Antivírus do Microsoft Defender e proteção contra PUA

A funcionalidade de proteção de aplicações potencialmente indesejadas (PUA) no Antivírus do Microsoft Defender pode detetar e bloquear PUA nos pontos finais da sua rede.

Nota

Esta funcionalidade é suportada no Windows 10, Windows 11, Windows Server 2019, Windows Server 2022 e Windows Server 2016.

O Antivírus do Microsoft Defender bloqueia ficheiros PUA detetados e quaisquer tentativas de transferir, mover, executar ou instalá-los. Os ficheiros PUA bloqueados são então movidos para quarentena. Quando um ficheiro PUA é detetado num ponto final, o Antivírus do Microsoft Defender envia uma notificação ao utilizador (a menos que as notificações tenham sido desativadas no mesmo formato que outras deteções de ameaças. A notificação é precedida com PUA: para indicar o seu conteúdo.

A notificação aparece na lista de quarentena habitual da aplicação Segurança do Windows.

Configurar a proteção contra PUA no Antivírus do Microsoft Defender

Pode ativar a proteção contra PUA com o Microsoft Intune, Microsoft Endpoint Configuration Manager, Política de Grupo ou através de cmdlets do PowerShell.

Também podes utilizar a proteção contra PUA no modo de auditoria para detetar aplicações potencialmente indesejadas sem as bloquear. As deteções são capturadas no registo de eventos do Windows.

Dica

Visite o site de demonstração do Microsoft Defender para Endpoint em demo.wd.microsoft.com para confirmar que a funcionalidade está a funcionar e vê-la em ação.

Nota

O site de demonstração do Defender para Endpoint em demo.wd.microsoft.com foi preterido e será removido no futuro.

A proteção contra PUA no modo de auditoria é útil se a sua empresa estiver a realizar uma verificação de conformidade de segurança de software interna e quiser evitar falsos positivos.

Utilizar o Intune para configurar a proteção contra PUA

Consulte Configurar definições de restrição de dispositivos no Microsoft Intune e as Definições de restrição de dispositivos do Antivírus do Microsoft Defender para o Windows 10 no Intune para obter mais detalhes.

Utilizar o Configuration Manager para configurar a proteção contra PUA

A proteção contra PUA está ativada por predefinição no Microsoft Endpoint Manager (Current Branch).

Consulte Como criar e implementar políticas antimalware: Definições de análises agendadas para obter detalhes sobre como configurar o Microsoft Endpoint Manager (Current Branch).

Para o System Center 2012 Configuration Manager, consulte Como Implementar uma Política de Proteção de Aplicações Potencialmente Indesejadas para o Endpoint Protection no Configuration Manager.

Nota

Os eventos PUA bloqueados pelo Antivírus do Microsoft Defender são reportados no Visualizador de Eventos do Windows e não no Microsoft Endpoint Configuration Manager.

Utilizar a Política de Grupo para configurar a proteção contra PUA

  1. Transferir e instalar os Modelos Administrativos (.admx) para a Atualização de Outubro de 2020 do Windows 10 (20H2)

  2. No computador de gestão da Política de Grupo, abra a Consola de Gestão de Políticas de Grupo.

  3. Selecione o Objeto de Política de Grupo que pretende configurar e, em seguida, selecione Editar.

  4. No Editor de Gestão de Políticas de Grupo, vá para Configuração do computador e selecione Modelos administrativos.

  5. Expanda a árvore para Componentes do Windows > Antivírus do Microsoft Defender.

  6. Faça duplo clique em Configurar a deteção para aplicações potencialmente indesejadas.

  7. Selecione Ativado para ativar a proteção contra PUA.

  8. Em Opções, selecione Bloquear para bloquear aplicações potencialmente indesejadas ou selecione Modo de Auditoria para testar como a definição funciona no seu ambiente. Selecione OK.

  9. Implemente o objeto de Política de Grupo como habitualmente.

Utilize cmdlets do PowerShell para configurar a proteção contra PUA

Para ativar a proteção contra PUA

Set-MpPreference -PUAProtection Enabled

Definir o valor deste cmdlet para Enabled ativa a funcionalidade se tiver sido desativada.

Para definir a proteção contra PUA para o modo de auditoria

Set-MpPreference -PUAProtection AuditMode

Definir o AuditMode deteta PUA sem bloqueá-los.

Para desativar a proteção contra PUA

Recomendamos que mantenha a proteção contra PUA ativada. No entanto, pode desativar ao utilizar o seguinte cmdlet:

Set-MpPreference -PUAProtection Disabled

Definir o valor deste cmdlet para Disabled desativa a funcionalidade se tiver sido ativada.

Para obter mais informações, consulte Utilizar cmdlets do PowerShell para configurar e executar o Antivírus do Microsoft Defender e cmdlets do Antivírus do Defender.

Ver eventos PUA com o PowerShell

Os eventos PUA são reportados no Visualizador de Eventos do Windows, mas não no Microsoft Endpoint Manager ou no Intune. Também pode utilizar o cmdlet Get-MpThreat para ver as ameaças que o Antivírus do Microsoft Defender tratou. Eis um exemplo:

CategoryID       : 27
DidThreatExecute : False
IsActive         : False
Resources        : {webfile:_q:\Builds\Dalton_Download_Manager_3223905758.exe|http://d18yzm5yb8map8.cloudfront.net/
                    fo4yue@kxqdw/Dalton_Download_Manager.exe|pid:14196,ProcessStart:132378130057195714}
RollupStatus     : 33
SchemaVersion    : 1.0.0.0
SeverityID       : 1
ThreatID         : 213927
ThreatName       : PUA:Win32/InstallCore
TypeID           : 0
PSComputerName   :

Obter notificações por e-mail sobre deteções PUA

Pode ativar as notificações por e-mail para receber e-mails sobre deteções de PUA.

Consulte Resolução de problemas de IDs de eventos para obter detalhes sobre a visualização de eventos do Antivírus do Microsoft Defender. Os eventos PUA são registados no ID de evento 1160.

Ver eventos PUA com a investigação avançada

Se estiver a utilizar o Microsoft Defender para Endpoint, pode utilizar uma consulta de investigação avançada para ver eventos PUA. Eis uma consulta de exemplo:

DeviceEvents
| where ActionType == "AntivirusDetection"
| extend x = parse_json(AdditionalFields)
| project Timestamp, DeviceName, FolderPath, FileName, SHA256, ThreatName = tostring(x.ThreatName), WasExecutingWhileDetected = tostring(x.WasExecutingWhileDetected), WasRemediated = tostring(x.WasRemediated)
| where ThreatName startswith_cs 'PUA:'

Para saber mais sobre a investigação avançada, consulte Buscar ameaças de forma proativa com a investigação avançada.

Excluir ficheiros da proteção contra PUA

Por vezes, um ficheiro é bloqueado incorretamente pela proteção contra PUA ou é necessária uma funcionalidade de PUA para concluir uma tarefa. Nestes casos, um ficheiro pode ser adicionado a uma lista de exclusão.

Para obter mais informações, consulte Configurar e validar exclusões com base na extensão de ficheiros e na localização da pasta.

Consulte também