Détecter et bloquer des applications potentiellement indésirables

S’applique à :

Plateformes

  • Windows

Microsoft Defender Antivirus est disponible dans les éditions/versions suivantes de Windows et Windows Server :

  • Windows Server 2022
  • Windows Server 2019
  • Windows Server, version 1803 ou ultérieure
  • Windows Server 2016
  • Windows Server 2012 R2 (nécessite Microsoft Defender pour point de terminaison)
  • Windows 11
  • Windows 10
  • Windows 8.1

Pour macOS, consultez Détecter et bloquer les applications potentiellement indésirables avec Defender pour point de terminaison sur macOS.

Pour Linux, consultez Détecter et bloquer les applications potentiellement indésirables avec Defender pour point de terminaison sur Linux.

Les applications potentiellement indésirables (PUA) est une catégorie de logiciel qui peut amener votre ordinateur à fonctionner lentement, afficher des publicités inattendues ou, au pire, installer un autre programme pouvant être imprévu ou non souhaité. PuA n’est pas considéré comme un virus, un programme malveillant ou un autre type de menace, mais il peut effectuer des actions sur des points de terminaison qui affectent négativement les performances ou l’utilisation des points de terminaison. Le terme PUA peut également faire référence à une application ayant une réputation médiocre, tel qu’évalué par Microsoft Defender pour point de terminaison, en raison de types de comportement indésirables.

Voici quelques exemples :

  • Logiciel de publicité qui affiche des publicités ou des promotions, notamment le programme qui insert des publicités sur des pages web.
  • Regroupement de logiciels qui propose d’installer d’autres logiciels qui ne sont pas signés numériquement par la même entité. En outre, un logiciel qui propose d’installer un autre programme qui est considéré comme application potentiellement indésirable.
  • Logiciel type évasion qui tente de manière active d’éviter la détection par les produits de sécurité, y compris le programme qui agit différemment en présence de produits de sécurité.

Conseil

Pour d’autres exemples et une discussion sur les critères que nous utilisons pour étiqueter des applications auxquelles il convient que les fonctionnalités de sécurité accordent une attention particulière, voir Comment Microsoft identifie les programmes malveillants et les applications potentiellement indésirables.

Les applications potentiellement indésirables peuvent augmenter le risque que votre réseau soit infecté par un vrai programme malveillant, rendre les infections de programme malveillant plus difficiles à détecter ou coûter du temps et des efforts à vos équipes informatiques et de sécurité pour les nettoyer. Si l’abonnement de votre organization inclut Microsoft Defender pour point de terminaison, vous pouvez également définir Microsoft Defender Antivirus PUA de façon à bloquer les applications considérées comme puA sur les appareils Windows.

Découvrez plus en détails les services de Windows Entreprise.

Conseil

En complément de cet article, consultez notre guide de configuration Microsoft Defender pour point de terminaison pour passer en revue les meilleures pratiques et en savoir plus sur les outils essentiels tels que la réduction de la surface d’attaque et la protection nouvelle génération. Pour une expérience personnalisée basée sur votre environnement, vous pouvez accéder au guide de configuration automatisée de Defender pour point de terminaison dans le Centre d’administration Microsoft 365.

Microsoft Edge

Le nouveau Microsoft Edge, qui est basé sur Chromium, bloque les téléchargements d’applications potentiellement indésirables et les URL de ressources associées. Cette fonctionnalité est proposée par Microsoft Defender SmartScreen.

Activer la protection contre les applications potentiellement indésirables dans Microsoft Edge basé sur Chromium

Bien que la protection contre les applications potentiellement indésirables dans Microsoft Edge (basé sur Chromium, version 80.0.361.50) soit désactivée par défaut, vous pouvez facilement l’activer dans le navigateur.

  1. Dans votre navigateur Microsoft Edge, sélectionnez les points de suspension, puis choisissez Paramètres.

  2. Sélectionnez Confidentialité, recherche et services.

  3. Sous la section Sécurité, activez Bloquer les applications potentiellement indésirables.

Conseil

Si vous exécutez Microsoft Edge (basé sur Chromium), vous pouvez explorer en toute sécurité la fonctionnalité de blocage d’URL de la protection contre les applications potentiellement indésirables en la testant sur l’une de nos pages de démonstration Microsoft Defender SmartScreen.

Bloquer les URL avec Microsoft Defender SmartScreen

Dans Chromium Microsoft Edge avec protection puA activée, Microsoft Defender SmartScreen vous protège contre les URL associées à puA.

Les administrateurs de sécurité peuvent configurer comment Microsoft Edge et Microsoft Defender SmartScreen travaillent ensemble pour protéger des groupes d’utilisateurs contre des URL associées aux applications potentiellement indésirables. Il existe plusieurs paramètres de stratégie de groupe explicitement disponibles pour Microsoft Defender SmartScreen, notamment une bloquant les applications potentiellement indésirables. En outre, les administrateurs peuvent configurer Microsoft Defender SmartScreen dans son ensemble, en utilisant les paramètres de stratégie de groupe pour activer ou désactiver Microsoft Defender SmartScreen.

Bien que Microsoft Defender pour point de terminaison ait sa propre liste de blocage basée sur un jeu de données gérées par Microsoft, vous pouvez personnaliser cette liste en fonction de votre propre veille contre les menaces. Si vous créez et gérez des indicateurs dans le portail Microsoft Defender pour point de terminaison, Microsoft Defender SmartScreen respecte les nouveaux paramètres.

Antivirus Microsoft Defender et la protection contre les applications potentiellement indésirables (PUA)

La fonctionnalité de protection contre les applications potentiellement indésirables (PUA) dans l’Antivirus Microsoft Defender peut détecter et bloquer les applications potentiellement indésirables (PUA) sur les points de terminaison dans votre réseau.

L’Antivirus Microsoft Defender bloque les fichiers détectés d’applications potentiellement indésirables (PUA) et toutes les tentatives pour les télécharger, déplacer, exécuter ou installer. Les fichiers d’applications potentiellement indésirables (PUA) sont ensuite déplacés vers la mise en quarantaine. Lorsqu’un fichier d’applications potentiellement indésirables (PUA) est détecté sur un point de terminaison, l’Antivirus Microsoft Defender envoie une notification à l’utilisateur (sauf si les notifications sont désactivées) dans le même format que les autres détections de menaces. La notification est précédée par PUA: pour indiquer son contenu.

La notification s’affiche dans la liste de quarantaine dans l’application Sécurité Windows.

Configurer la protection contre les applications potentiellement indésirables (PUA) dans l’Antivirus Microsoft Defender

Vous pouvez activer la protection puA avec Microsoft Defender pour point de terminaison gestion des paramètres de sécurité, Microsoft Intune, Microsoft Configuration Manager, stratégie de groupe ou via des applets de commande PowerShell.

Dans un premier temps, essayez d’utiliser la protection PUA en mode audit. Il détecte les applications potentiellement indésirables sans les bloquer réellement. Les détections sont capturées dans le journal des événements Windows. La protection puA en mode audit est utile si votre entreprise effectue un case activée interne de conformité de sécurité logicielle et qu’il est important d’éviter les faux positifs.

Utiliser Microsoft Defender pour point de terminaison gestion des paramètres de sécurité pour configurer la protection puA

Consultez les articles suivants :

Utiliser Intune pour configurer la protection contre les applications potentiellement indésirables (PUA)

Consultez les articles suivants :

Utiliser Configuration Manager pour configurer la protection contre les applications potentiellement indésirables (PUA)

La protection puA est activée par défaut dans le Microsoft Configuration Manager (Current Branch).

Pour plus d’informations sur la configuration des Microsoft Configuration Manager (Current Branch), consultez How to create and deploy antimalware policies : Scheduled scans settings.

Pour System Center 2012 Configuration Manager, voir Comment déployer la stratégie de protection contre les applications potentiellement indésirables (PUA) pour Endpoint protection dans Configuration Manager.

Remarque

Les événements PUA bloqués par Microsoft Defender Antivirus sont signalés dans le observateur d'événements Windows et non dans Microsoft Configuration Manager.

Utiliser la stratégie de groupe pour configurer la protection contre les applications potentiellement indésirables (PUA)

  1. Télécharger et installer Modèles d’administration (.admx) pour Windows 11, mise à jour d’octobre 2021 (21H2)

  2. Sur votre ordinateur de gestion des stratégies de groupe, ouvrez laConsole de gestion des stratégies de groupe.

  3. Sélectionnez l’objet de stratégie de groupe que vous souhaitez configurer, puis choisissez Modifier.

  4. Dans l’Éditeur de gestion des stratégies de groupe, accédez à Configuration ordinateur, puis sélectionnez Modèles d’administration.

  5. Développez l’arborescence sur Composants Windows>Antivirus Microsoft Defender.

  6. Double-cliquez sur Configurer la détection pour les applications potentiellement indésirables, puis définissez-la sur Activé.

  7. Dans Options, sélectionnez Bloquer pour bloquer les applications potentiellement indésirables ou Mode Audit pour tester le fonctionnement du setting dans votre environnement. Sélectionnez OK.

  8. Déployez votre objet de stratégie de groupe comme vous le faites habituellement.

Utiliser les cmdlets PowerShell pour configurer la protection contre les applications potentiellement indésirables (PUA)

Pour activer la protection contre les applications potentiellement indésirables (PUA)

Set-MpPreference -PUAProtection Enabled

La configuration de la valeur de cette cmdlet sur Enabled active la fonctionnalité si elle a été désactivée.

Définir la protection contre les applications potentiellement indésirables (PUA) sur le mode audit

Set-MpPreference -PUAProtection AuditMode

La définition de AuditMode détecte les applications potentiellement indésirables (PUA) sans les bloquer.

Pour désactiver la protection contre les applications potentiellement indésirables (PUA)

Nous vous recommandons de maintenir la protection contre les applications potentiellement indésirables (PUA) activé. Toutefois, vous pouvez la désactiver en utilisant la cmdlet suivante :

Set-MpPreference -PUAProtection Disabled

La configuration de la valeur de cette cmdlet sur Disabled désactive la fonctionnalité si elle a été activée.

Pour plus d’informations, consultez Utiliser les applets de commande PowerShell pour configurer et exécuter l’antivirus Microsoft Defender et les Applets de commande de l’antivirus Defender.

Tester et vérifier que le blocage puA fonctionne

Une fois que l’application puA est activée en mode bloc, vous pouvez tester pour vérifier qu’elle fonctionne correctement. Pour plus d’informations, consultez Démonstration d’applications potentiellement indésirables (PUA).

Afficher les événements d’applications potentiellement indésirables (PUA)

Les événements PUA sont signalés dans le observateur d'événements Windows, mais pas dans Microsoft Configuration Manager ou dans Intune. Vous pouvez également utiliser la cmdlet Get-MpThreat pour afficher les menaces traitées par l’Antivirus Windows Defender. Voici un exemple :

CategoryID       : 27
DidThreatExecute : False
IsActive         : False
Resources        : {webfile:_q:\Builds\Dalton_Download_Manager_3223905758.exe|http://d18yzm5yb8map8.cloudfront.net/
                    fo4yue@kxqdw/Dalton_Download_Manager.exe|pid:14196,ProcessStart:132378130057195714}
RollupStatus     : 33
SchemaVersion    : 1.0.0.0
SeverityID       : 1
ThreatID         : 213927
ThreatName       : PUA:Win32/InstallCore
TypeID           : 0
PSComputerName   :

Obtenir des notifications par courrier électronique à propos des détections de la protection contre les applications potentiellement indésirables (PUA)

Vous pouvez activer les notifications par -email pour recevoir le courrier à propos de la détection des applications potentiellement indésirables (PUA). Pour plus d’informations sur les événements antivirus Microsoft Defender, consultez Résoudre les problèmes d’ID d’événement. Les événements des applications potentiellement indésirables (PUA) sont enregistrés sous l’ID d’événement 1160.

Afficher les événements des applications potentiellement indésirables (PUA) à l’aide du repérage avancé

Si vous utilisez Microsoft Defender pour point de terminaison, vous pouvez utiliser une requête de repérage avancé pour afficher les événements des applications potentiellement indésirables (PUA). Voici une requête d’exemple :

DeviceEvents
| where ActionType == "AntivirusDetection"
| extend x = parse_json(AdditionalFields)
| project Timestamp, DeviceName, FolderPath, FileName, SHA256, ThreatName = tostring(x.ThreatName), WasExecutingWhileDetected = tostring(x.WasExecutingWhileDetected), WasRemediated = tostring(x.WasRemediated)
| where ThreatName startswith_cs 'PUA:'

Pour en savoir plus sur le repérage avancé, voir Repérer de manière proactive les menaces grâce au repérage avancé.

Exclure des fichiers de la protection contre les applications potentiellement indésirables (PUA)

Un fichier est parfois bloqué par erreur par la protection contre les applications potentiellement indésirables (PUA) ou une fonctionnalité d’une application potentiellement indésirable (PUA) est nécessaire pour effectuer une tâche. Dans ces cas, un fichier peut être ajouté à une liste d’exclusion.

Pour plus d’informations, voir Configurer et valider des exclusions en fonction de l’extension de fichier et de l’emplacement du dossier.

Voir aussi

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.