Identifiera och blockera potentiellt oönskade programDetect and block potentially unwanted applications

Gäller för:Applies to:

PUA (Potentially unwanted applications) är en kategori av program som kan göra att datorn körs långsamt, visa oväntade annonser eller, i värsta fall, installera andra program som kan vara oväntade eller oönskade.Potentially unwanted applications (PUA) are a category of software that can cause your machine to run slowly, display unexpected ads, or at worst, install other software that might be unexpected or unwanted. PUA anses inte vara ett virus, skadlig programvara eller någon annan typ av hot, men den kan utföra åtgärder på slutpunkter som negativt påverkar slutpunktens prestanda eller användning.PUA is not considered a virus, malware, or other type of threat, but it might perform actions on endpoints that adversely affect endpoint performance or use. Termen PUA kan också referera till ett program med dålig rykte, enligt Microsoft Defender för Endpoint, på grund av vissa typer av oönskat beteende.The term PUA can also refer to an application that has a poor reputation, as assessed by Microsoft Defender for Endpoint, due to certain kinds of undesirable behavior.

Här är några exempel:Here are some examples:

  • Reklamprogram som visar annonser eller kampanjer, inklusive programvara som infogar annonser till webbsidor.Advertising software that displays advertisements or promotions, including software that inserts advertisements to webpages.
  • Sammanslagning av programvara som ger möjlighet att installera annan programvara som inte har signerats digitalt av samma entitet.Bundling software that offers to install other software that is not digitally signed by the same entity. Dessutom programvara som erbjuder installation av annan programvara som räknas som PUA.Also, software that offers to install other software that qualifies as PUA.
  • Undvikande programvara som aktivt försöker undvika identifiering av säkerhetsprodukter, inklusive programvara som beter sig annorlunda i närvaro av säkerhetsprodukter.Evasion software that actively tries to evade detection by security products, including software that behaves differently in the presence of security products.

Tips

Fler exempel och en diskussion om de kriterier vi använder för att märka program för särskild uppmärksamhet från säkerhetsfunktioner finns i Hur Microsoft identifierar skadlig programvara och potentiellt oönskade program.For more examples and a discussion of the criteria we use to label applications for special attention from security features, see How Microsoft identifies malware and potentially unwanted applications.

Potentiellt oönskade program kan öka risken att nätverket smittas med skadlig programvara, göra det svårare att identifiera skadlig programvara eller slösa IT-resurser på att städa upp dem.Potentially unwanted applications can increase the risk of your network being infected with actual malware, make malware infections harder to identify, or waste IT resources in cleaning them up. PUA-skydd stöds i Windows 10, Windows Server 2019 och Windows Server 2016.PUA protection is supported on Windows 10, Windows Server 2019, and Windows Server 2016. I Windows 10 (version 2004 och senare) blockerar Microsoft Defender Antivirus appar som anses vara PUA för företagsenheter (E5) som standard.In Windows 10 (version 2004 and later), Microsoft Defender Antivirus blocks apps that are considered PUA for Enterprise (E5) devices by default.

Microsoft EdgeMicrosoft Edge

Den nya Microsoft Edge, som är Chromium-baserad, blockerar potentiellt oönskade programnedladdningar och associerade resurs-URL:er.The new Microsoft Edge, which is Chromium-based, blocks potentially unwanted application downloads and associated resource URLs. Den här funktionen tillhandahålls via Microsoft Defender SmartScreen.This feature is provided via Microsoft Defender SmartScreen.

Aktivera PUA-skydd i Chromium-baserad Microsoft EdgeEnable PUA protection in Chromium-based Microsoft Edge

Även om skydd mot potentiellt oönskat program i Microsoft Edge (Chromium-baserat, version 80.0.361.50) är inaktiverat som standard kan det enkelt aktiveras från webbläsaren.Although potentially unwanted application protection in Microsoft Edge (Chromium-based, version 80.0.361.50) is turned off by default, it can easily be turned on from within the browser.

  1. Välj ellipsen i din Edge-webbläsaren och välj sedan Inställningar.In your Edge browser, select the ellipses, and then choose Settings.

  2. Välj sekretess, sökning och tjänster.Select Privacy, search, and services.

  3. Under avsnittet Säkerhet aktiverar du Blockera potentiellt oönskade program.Under the Security section, turn on Block potentially unwanted apps.

Tips

Om du kör Microsoft Edge (Chromium-baserat) kan du utforska URL-blockeringsfunktionen i PUA-skydd genom att testa den på någon av våra Microsoft Defender SmartScreen-demosidor.If you are running Microsoft Edge (Chromium-based), you can safely explore the URL-blocking feature of PUA protection by testing it out on one of our Microsoft Defender SmartScreen demo pages.

Blockera URL-adresser med Microsoft Defender SmartScreenBlock URLs with Microsoft Defender SmartScreen

I den Chromium-baserade Edge-webbläsaren med PUA-skydd aktiverat skyddar Microsoft Defender SmartScreen dig från PUA-associerade URL-adresser.In Chromium-based Edge with PUA protection turned on, Microsoft Defender SmartScreen protects you from PUA-associated URLs.

Säkerhetsadministratörer kan konfigurera hur Microsoft Edge och Microsoft Defender SmartScreen fungerar tillsammans för att skydda användargrupper från PUA-associerade URL:er.Security admins can configure how Microsoft Edge and Microsoft Defender SmartScreen work together to protect groups of users from PUA-associated URLs. Det finns flera grupprincipinställningar som är uttryckligen tillgängliga för Microsoft Defender SmartScreen, inklusive en för att blockera PUA.There are several group policy settings explicitly for Microsoft Defender SmartScreen available, including one for blocking PUA. Dessutom kan administratörer konfigurera Microsoft Defender SmartScreen som helhet, och med hjälp av grupprincipinställningar, aktivera eller inaktivera Microsoft Defender SmartScreen.In addition, admins can configure Microsoft Defender SmartScreen as a whole, using group policy settings to turn Microsoft Defender SmartScreen on or off.

Även om Microsoft Defender för Endpoint har en egen blockeringslista baserat på en datauppsättning som hanteras av Microsoft kan du anpassa listan baserat på egen information om hot.Although Microsoft Defender for Endpoint has its own blocklist based upon a data set managed by Microsoft, you can customize this list based on your own threat intelligence. Om du skapar och hanterar indikatorer i Microsoft Defender för Endpoint-portalen respekterar Microsoft Defender SmartScreen de nya inställningarna.If you create and manage indicators in the Microsoft Defender for Endpoint portal, Microsoft Defender SmartScreen respects the new settings.

Microsoft Defender Antivirus och PUA-skyddMicrosoft Defender Antivirus and PUA protection

Skyddsfunktionen för de potentiellt oönskade programmen i Microsoft Defender Antivirus kan identifiera och blockera PUA på slutpunkter i nätverket.The potentially unwanted application (PUA) protection feature in Microsoft Defender Antivirus can detect and block PUA on endpoints in your network.

Anteckning

Den här funktionen finns för Windows 10, Windows Server 2019 och Windows Server 2016.This feature is available in Windows 10, Windows Server 2019, and Windows Server 2016.

Microsoft Defender Antivirus blockerar identifierade PUA-filer och alla försök att hämta, flytta, köra eller installera dem.Microsoft Defender Antivirus blocks detected PUA files and any attempts to download, move, run, or install them. Blockerade PUA-filer flyttas sedan till karantän.Blocked PUA files are then moved to quarantine. När en PUA-fil identifieras på en slutpunkt skickar Microsoft Defender Antivirus ett meddelande till användaren (om inte aviseringar har inaktiverats) i samma format som andra hotidentifieringar.When a PUA file is detected on an endpoint, Microsoft Defender Antivirus sends a notification to the user (unless notifications have been disabled) in the same format as other threat detections. Meddelandet föregås av PUA: för att ange innehållet.The notification is prefaced with PUA: to indicate its content.

Meddelandet visas i den vanliga -karantänlistan i Windows säkerhet-appen.The notification appears in the usual quarantine list within the Windows Security app.

Konfigurera PUA-skydd i Microsoft Defender AntivirusConfigure PUA protection in Microsoft Defender Antivirus

Du kan aktivera PUA-skydd med Microsoft Intune, Microsoft Endpoint Configuration Manager, Grupprincip eller via PowerShell-cmdlets.You can enable PUA protection with Microsoft Intune, Microsoft Endpoint Configuration Manager, Group Policy, or via PowerShell cmdlets.

Du kan också använda PUA-skydd i granskningsläge för att identifiera potentiellt oönskade program utan att blockera dem.You can also use PUA protection in audit mode to detect potentially unwanted applications without blocking them. Identifieringarna fångas i Windows-händelseloggen.The detections are captured in the Windows event log.

Tips

Besök demowebbplatsen Microsoft Defender för Endpoint på demo.wd.microsoft.com för att bekräfta att funktionen fungerar och se den i aktion.Visit the Microsoft Defender for Endpoint demo website at demo.wd.microsoft.com to confirm that the feature is working, and see it in action.

PUA-skydd i granskningsläge är användbart om företaget utför en intern efterlevnadskontroll av programvarusäkerhet och du vill undvika falska positiva fel.PUA protection in audit mode is useful if your company is conducting an internal software security compliance check and you'd like to avoid any false positives.

Använda Intune för att konfigurera PUA-skyddUse Intune to configure PUA protection

För mer information läs Konfigurera inställningar för enhetsbegränsning i Microsoft Intune och Inställningar för enhetsbegränsning för Microsoft Defender i Windows 10 i Intune.See Configure device restriction settings in Microsoft Intune and Microsoft Defender Antivirus device restriction settings for Windows 10 in Intune for more details.

Använda konfigurationshanteraren för att konfigurera PUA-skyddUse Configuration Manager to configure PUA protection

PUA-skydd är aktiverat som standard i Microsoft Endpoint Manager (Current Branch).PUA protection is enabled by default in the Microsoft Endpoint Manager (Current Branch).

För information om hur du konfigurerar Microsoft Endpoint Manager (Current Branch) läs Hur du skapar och distribuerar principer för skadlig programvara: Schemalagda genomsökningsinställningar.See How to create and deploy antimalware policies: Scheduled scans settings for details on configuring Microsoft Endpoint Manager (Current Branch).

Information om konfigurationshanteraren för System Center 2012 finns i Hur du distribuerar skyddsprincip för potentiellt oönskad program för Endpoint i Konfigurationshanteraren.For System Center 2012 Configuration Manager, see How to Deploy Potentially Unwanted Application Protection Policy for Endpoint Protection in Configuration Manager.

Anteckning

PUA-händelser som blockerats av Microsoft Defender Antivirus rapporteras i Windows Loggboken och inte i Microsoft Endpoint Configuration Manager.PUA events blocked by Microsoft Defender Antivirus are reported in the Windows Event Viewer and not in Microsoft Endpoint Configuration Manager.

Använda Grupprincip för att konfigurera PUA-skyddUse Group Policy to configure PUA protection

  1. Hämta och installera administrativa mallar (.admx) för Windows 10, oktober 2020 uppdatering (20H2)Download and install Administrative Templates (.admx) for Windows 10 October 2020 Update (20H2)

  2. Öppna Konsolen för grupprinciphantering på datorn för grupprinciphantering.On your Group Policy management computer, open the Group Policy Management Console.

  3. Markera grupprincipobjektet du vill konfigurera och välj sedan Redigera.Select the Group Policy Object you want to configure, and then choose Edit.

  4. I Redigeraren för grupprinciphantering går du till Datorkonfiguration och väljer Administrativa mallar.In the Group Policy Management Editor, go to Computer configuration and select Administrative templates.

  5. Expandera trädstrukturen till Windows-komponenter > Microsoft Defender Antivirus.Expand the tree to Windows Components > Microsoft Defender Antivirus.

  6. Dubbelklicka på Konfigurera identifiering för potentiellt oönskade program.Double-click Configure detection for potentially unwanted applications.

  7. Välj Aktivera för att aktivera PUA-skydd.Select Enabled to enable PUA protection.

  8. I Alternativ väljer du Blockera för att blockera potentiellt oönskade program eller välj Granskningsläge för att testa hur inställningen fungerar i din miljö.In Options, select Block to block potentially unwanted applications, or select Audit Mode to test how the setting works in your environment. Välj OK.Select OK.

  9. Distribuera grupprincipobjektet som vanligt.Deploy your Group Policy object as you usually do.

Använda PowerShell-cmdlets för att konfigurera PUA-skyddUse PowerShell cmdlets to configure PUA protection

Så här aktiverar PUA-skydd.To enable PUA protection

Set-MpPreference -PUAProtection Enabled

Att ställa in värdet för denna cmdlet till Enabled aktiverar funktionen om den har inaktiverats.Setting the value for this cmdlet to Enabled turns on the feature if it has been disabled.

Så här ställer du in PUA-skydd till granskningslägeTo set PUA protection to audit mode

Set-MpPreference -PUAProtection AuditMode

Inställningen av AuditMode identifierar PUA-program utan att blockera dem.Setting AuditMode detects PUAs without blocking them.

Så här inaktiverar du PUA-skydd.To disable PUA protection

Vi rekommenderar att du behåller PUA-skyddet aktiverat.We recommend keeping PUA protection turned on. Du kan dock inaktivera den med hjälp av följande cmdlet:However, you can turn it off by using the following cmdlet:

Set-MpPreference -PUAProtection Disabled

Att ställa in värdet för denna cmdlet till Disabled aktiverar funktionen om den har inaktiverats.Setting the value for this cmdlet to Disabled turns off the feature if it has been enabled.

Mer information finns i Hur du använder PowerShell-cmdlets för att konfigurera och köra Microsoft Defender Antivirus och Defender-cmdlets.For more information, see Use PowerShell cmdlets to configure and run Microsoft Defender Antivirus and Defender cmdlets.

Visa PUA-händelser med hjälp av PowerShellView PUA events using PowerShell

PUA-händelser rapporteras i Windows Loggboken, men inte i Microsoft Endpoint Manager eller i Intune.PUA events are reported in the Windows Event Viewer, but not in Microsoft Endpoint Manager or in Intune. Du kan också använda nämnda Get-MpThreat cmdlet för att visa hot som Microsoft Defender Antivirus hanterade.You can also use the Get-MpThreat cmdlet to view threats that Microsoft Defender Antivirus handled. Här är ett exempel:Here's an example:

CategoryID       : 27
DidThreatExecute : False
IsActive         : False
Resources        : {webfile:_q:\Builds\Dalton_Download_Manager_3223905758.exe|http://d18yzm5yb8map8.cloudfront.net/
                    fo4yue@kxqdw/Dalton_Download_Manager.exe|pid:14196,ProcessStart:132378130057195714}
RollupStatus     : 33
SchemaVersion    : 1.0.0.0
SeverityID       : 1
ThreatID         : 213927
ThreatName       : PUA:Win32/InstallCore
TypeID           : 0
PSComputerName   :

Få e-postaviseringar om PUA-identifieringarGet email notifications about PUA detections

Du kan aktivera e-postaviseringar för att få e-post om PUA-identifieringar.You can turn on email notifications to receive mail about PUA detections.

Gå till Felsökningshändelse-ID:er för mer information om hur du visar händelser för Microsoft Defender Antivirus.See Troubleshoot event IDs for details on viewing Microsoft Defender Antivirus events. PUA-händelser registreras under händelse-ID 1160.PUA events are recorded under event ID 1160.

Visa PUA-händelser med hjälp av avancerad jaktView PUA events using advanced hunting

Om du använder Microsoft Defender för Endpointkan du använda en avancerad sökfråga för att visa PUA-händelser.If you're using Microsoft Defender for Endpoint, you can use an advanced hunting query to view PUA events. Här är en exempelfråga:Here's an example query:

DeviceEvents
| where ActionType == "AntivirusDetection"
| extend x = parse_json(AdditionalFields)
| evaluate bag_unpack(x)
| where ThreatName startswith_cs 'PUA:'
| project Timestamp, DeviceName, FolderPath, FileName, SHA256, ThreatName, WasExecutingWhileDetected, WasRemediated

Mer information om Avancerad jakt finns i Hur du proaktivt jagar efter hot med Avancerad jakt.To learn more about advanced hunting, see Proactively hunt for threats with advanced hunting.

Exkludera filer från PUA-skyddExclude files from PUA protection

Ibland blockeras en fil felaktigt av PUA-skydd eller så krävs en funktion i en PUA för att slutföra en aktivitet.Sometimes a file is erroneously blocked by PUA protection, or a feature of a PUA is required to complete a task. I sådana fall kan en fil läggas till i en undantagslista.In these cases, a file can be added to an exclusion list.

Mer information finns i Konfigurera och validera undantag baserat på filtillägg och mappplats.For more information, see Configure and validate exclusions based on file extension and folder location.

Se ävenSee also