检测并阻止可能不需要的应用程序

适用于：

• Microsoft Defender for Endpoint 计划 1
• Microsoft Defender for Endpoint 计划 2
• Microsoft Edge
• Microsoft Defender 防病毒

平台

• Windows

可能不需要的应用程序 (PUA) 用来指代一类软件，它们会导致计算机运行缓慢、显示意外广告，最糟的是，它还会安装其他意外的或不需要的软件。 PUA 不被视为病毒、恶意软件或其他类型的威胁，但它可能会在终结点上执行对终结点性能或使用产生不利影响的操作。 PUA 这个术语也可以指那些由于某些不当行为，被 Microsoft Defender for Endpoint 评估为具有较差信誉的应用程序。

下面是一些示例：

• 显示广告或促销的广告软件，包括将广告插入网页的软件。
• 捆绑软件 ，用于安装其他未由同一实体进行数字签名的软件。 此外，提出安装其他软件的软件属于 PUA。
• 积极尝试逃避安全产品检测的规避软件，包括在存在安全产品的情况下行为不同的软件。

提示

有关更多示例和讨论我们用于标记应用程序以引起对安全功能特别关注的条件，请参阅 Microsoft 如何识别恶意软件和可能不需要的应用程序。

可能不需要的应用程序可能会增加网络受到实际恶意软件感染的风险，使恶意软件感染更难识别，或者使 IT 和安全团队花费很多时间和精力进行清理。 Windows 11、Windows 10、Windows Server 2022、Windows Server 2019、Windows Server 2016 支持 PUA 保护。 如果组织的订阅包含 Microsoft Defender for Endpoint，Microsoft Defender 防病毒会在 Windows 设备上阻止默认情况下被视为 PUA 的应用。

详细了解 Windows 企业版订阅。

Microsoft Edge

新的 Microsoft Edge（基于 Chromium） 会阻止潜在的不需要的应用程序下载和关联的资源 URL。 此功能通过Microsoft Defender SmartScreen提供。

在基于 Chromium 的 Microsoft Edge 中启用 PUA 保护

虽然默认情况下会关闭 Microsoft Edge 中可能不需要的应用程序保护（基于 Chromium 的版本 80.0.361.50），但可在浏览器中轻松启用。

1. 在 Microsoft Edge 浏览器中，选择省略号，然后选择“设置”。

2. 选择 隐私、搜索和服务。

3. 在" 安全 部分， 阻止可能不需要的应用。

提示

如果运行的是 Microsoft Edge（基于 Chromium），您可以通过在我们的 Microsoft Defender SmartScreen 演示页面之一测试并测试 PUA 保护的 URL 阻止功能。

使用 Microsoft Defender SmartScreen 阻止 URL

在启用 PUA 保护的基于 Chromium 的 Microsoft Edge 中，Microsoft Defender SmartScreen 可保护你免受 PUA 相关 URL 的危害。

安全管理员可 Microsoft Edge Microsoft Defender SmartScreen 如何协同工作来保护用户组免遭 PUA 关联的 URL 的威胁。 可显式 Microsoft Defender SmartScreen 多个组策略设置，包括 PUA 策略设置的。 此外，管理员可 将 Microsoft Defender SmartScreen 配置成整体，使用组策略设置打开或关闭 Microsoft Defender SmartScreen。

虽然 Microsoft Defender for Endpoint 基于 Microsoft 托管的数据集具有自己的阻止列表，但它也可以基于自己的威胁智能自定义此列表。 若要在 Microsoft Defender for Endpoint 中“创建和管理指示器”，Microsoft Defender SmartScreen 将应用新设置。

Microsoft Defender 防病毒和 PUA 保护

Microsoft Defender 防病毒软件中可能不需要的应用程序 (PUA) 保护功能可检测和阻止网络中终结点上的 PUA。

注意

Windows 11、Windows 10、Windows Server 2022、Windows Server 2019、Windows Server 2016 中提供此功能。

Microsoft Defender 防病毒软件阻止检测到 PUA 文件，以及尝试下载、移动、运行或安装它们的任何尝试。 阻止的 PUA 文件随即移动到隔离区。 在终结点上检测到 PUA 文件时，Microsoft Defender 防病毒向用户发送通知（除非已禁用通知 与其他威胁检测相同的格式。 以通知的字体作为 PUA: 以指示其内容。

该通知显示在 Windows 安全应用 中正常出现的隔离。

在 Microsoft Defender 防病毒软件中配置 PUA 保护

可以使用 Microsoft Intune、Microsoft Configuration Manager、组策略 或通过 PowerShell cmdlet 启用 PUA 保护。

首先，请尝试在审核模式下使用 PUA 保护。 它会检测可能不需要的应用程序，而不会实际阻止它们。 检测在 Windows 事件日志中捕获。 如果公司正在进行内部软件安全合规性检查并且请务必避免误报，则审核模式下的 PUA 保护非常有用。

使用 Intune 配置 PUA 保护

另请参阅以下文章：

• 在 Microsoft Intune 中配置设备限制设置
• Intune中Windows 10 Microsoft Defender防病毒设备限制设置

使用配置管理器配置 PUA 保护

默认情况下，在 Microsoft Configuration Manager (Current Branch) 中启用 PUA 保护。

有关配置 Microsoft Configuration Manager (Current Branch) 的详细信息，请参阅如何创建和部署反恶意软件策略：计划的扫描设置。

对于 System Center 2012 Configuration Manager，请参阅 Configuration Manager 管理中心中如何部署用于终结点保护的潜在的不需要的应用程序保护。

注意

Microsoft Defender防病毒阻止的 PUA 事件在 Windows 事件查看器中报告，而不是在 Microsoft Configuration Manager 中报告。

使用组策略配置 PUA 保护

1. 下载并安装 Windows 11 2021 年 10 月更新 (21H2) 管理模板 (.admx)

2. 在组策略管理计算机上，打开 策略管理控制台。

3. 选择要配置的组策略对象，然后选择" 策略。

4. 在 策略管理编辑器中， 计算机配置 并选择 管理模板。

5. 展开树，从 Microsoft Defender Windows Components>Microsoft Defender 防病毒软件。

6. 双击配置 中可能不需要的应用程序。

7. 选择 启用 以启用 PUA 保护。

8. 在 选项中，选择 阻止 以阻止可能不需要的应用程序，或选择 审核模式 测试设置在环境中的工作方式。 选择“确定”。

9. 如通常一样部署组策略对象。

使用 PowerShell cmdlet 配置 PUA 保护

启用 PUA 保护

Set-MpPreference -PUAProtection Enabled

如果已禁用该功能，将此 cmdlet 的值设置为 Enabled 将启用该功能。

将 PUA 保护设置为审核模式

Set-MpPreference -PUAProtection AuditMode

设置 AuditMode 可检测 PUA，且不会阻止它们。

禁用 PUA 保护

建议保持启用 PUA 保护。 但是，可以通过以下 cmdlet 将其关闭：

Set-MpPreference -PUAProtection Disabled

如果已启用该功能，将此 cmdlet 的值设置为 Disabled 将禁用该功能。

有关详细信息，请参阅使用 PowerShell cmdlet 配置并运行 Microsoft Defender 防病毒软件和 Defender for Cloud cmdlet。

使用 PowerShell 查看 PUA 事件

PUA 事件在 Windows 事件查看器中报告，但不在Microsoft Configuration Manager或Intune中报告。 还可使用 Get-MpThreat cmdlet 查看 Microsoft Defender 防病毒软件处理的威胁。 下面是一个示例：

CategoryID       : 27
DidThreatExecute : False
IsActive         : False
Resources        : {webfile:_q:\Builds\Dalton_Download_Manager_3223905758.exe|http://d18yzm5yb8map8.cloudfront.net/
                    fo4yue@kxqdw/Dalton_Download_Manager.exe|pid:14196,ProcessStart:132378130057195714}
RollupStatus     : 33
SchemaVersion    : 1.0.0.0
SeverityID       : 1
ThreatID         : 213927
ThreatName       : PUA:Win32/InstallCore
TypeID           : 0
PSComputerName   :

获取有关 PUA 检测的电子邮件通知

你可以打开电子邮件通知以接收有关 PUA 检测的邮件。

请参阅 解决事件 ID ，了解有关查看 Microsoft Defender 防病毒事件的详细信息。 PUA 事件记录在事件 ID 1160。

使用高级搜寻查看 PUA 事件

如果你正在使用 Microsoft Defender for Endpoint，你可以使用高级搜寻查询来查看 PUA 事件。 示例查询如下：

DeviceEvents
| where ActionType == "AntivirusDetection"
| extend x = parse_json(AdditionalFields)
| project Timestamp, DeviceName, FolderPath, FileName, SHA256, ThreatName = tostring(x.ThreatName), WasExecutingWhileDetected = tostring(x.WasExecutingWhileDetected), WasRemediated = tostring(x.WasRemediated)
| where ThreatName startswith_cs 'PUA:'

若要了解高级搜寻的详细信息，请参阅使用高级搜寻来主动搜寻威胁。

排除来自 PUA 保护的文件

有时文件被 PUA 保护错误阻止，或需要 PUA 的功能才能完成任务。 在这些情况下，可以将文件添加到排除列表。

有关详细信息，请参阅 扩展名和文件夹位置配置和验证排除。

提示

如果要查找其他平台的防病毒相关信息，请参阅：

• 设置 macOS 上 Microsoft Defender for Endpoint 的首选项
• Mac 上的 Microsoft Defender for Endpoint
• 适用于 Intune 的 Microsoft Defender 防病毒软件的 macOS 防病毒程序策略设置
• 设置 Linux 上 Microsoft Defender for Endpoint 的首选项
• Microsoft Defender for Endpoint on Linux
• 在 Android 功能上配置 Defender for Endpoint
• 在 iOS 功能上配置 Microsoft Defender for Endpoint

另请参阅

• 下一代保护
• 配置方案、高要求和实时保护

提示

是否要了解详细信息？ 在技术社区中与 Microsoft 安全社区互动：Microsoft Defender for Endpoint技术社区。