Обнаружение и блокировка потенциально нежелательных приложений

Область применения:

Платформы

  • Windows

Microsoft Defender антивирусная программа доступна в следующих выпусках и версиях Windows и Windows Server:

  • Windows Server 2022
  • Windows Server 2019
  • Windows Server версии 1803 или более поздней
  • Windows Server 2016
  • Windows Server 2012 R2 (требуется Microsoft Defender для конечной точки)
  • Windows 11
  • Windows 10
  • Windows 8.1

Сведения о macOS см. в статье Обнаружение и блокировка потенциально нежелательных приложений с помощью Defender для конечной точки в macOS.

Сведения о Linux см. в статье Обнаружение и блокировка потенциально нежелательных приложений с помощью Defender для конечной точки в Linux.

Потенциально нежелательные приложения (PUA) — это категория программного обеспечения, которое может вызвать медленную работу вашего компьютера, отображение непредвиденной рекламы или, в худшем случае, установку другого программного обеспечения, которое может быть неожиданным или нежелательным. PuA не считается вирусом, вредоносным ПО или другим типом угрозы, но он может выполнять действия с конечными точками, которые негативно влияют на производительность или использование конечных точек. Термин PUA также может ссылаться на приложение с плохой репутацией, по оценке Microsoft Defender для конечных точек, из-за определенных видов нежелательного поведения.

Ниже приводятся примеры:

  • Рекламные программное обеспечение, которые отображают рекламу или рекламные акции, в том числе программное обеспечение, которое вставляет рекламные объявления на веб-страницы.
  • Объединение программного обеспечения , которое предлагает установить другое программное обеспечение, которое не имеет цифровой подписи одной и той же сущности. Кроме того, программное обеспечение, которое предлагает установить другое программное обеспечение, которое квалифицируется как потенциально нежелательное приложение.
  • Уклонение программного обеспечения, которое активно пытается уклониться от обнаружения продуктами безопасности, включая программное обеспечение, которое ведет себя иначе в присутствии продуктов безопасности.

Совет

Дополнительные примеры и обсуждение критериев, которые используются для пометки приложений, требующих особого внимания со стороны функций безопасности, см. разделе Как Майкрософт определяет вредоносные и потенциально нежелательные приложения.

Потенциально нежелательные приложения могут повысить риск заражения вашей сети фактическими вредоносными программами, затруднить выявление заражений вредоносными программами или тратить время и усилия ИТ-отделов и отделов безопасности на их очистку. Если подписка вашей организации включает Microsoft Defender для конечной точки, вы также можете настроить блокировку Microsoft Defender антивирусной защиты, чтобы заблокировать приложения, которые считаются puA на устройствах Windows.

Подробнее о подписках Windows Корпоративная.

Совет

Чтобы ознакомиться с этой статьей, ознакомьтесь с руководством по настройке Microsoft Defender для конечной точки, чтобы ознакомиться с рекомендациями и узнать о таких важных средствах, как сокращение направлений атак и защита следующего поколения. Чтобы настроить интерфейс на основе вашей среды, вы можете получить доступ к руководству по автоматической настройке Defender для конечной точки в Центр администрирования Microsoft 365.

Microsoft Edge

Новый Microsoft Edge, основанный на Chromium, блокирует загрузки потенциально нежелательных приложений и связанные URL-адреса ресурсов. Эта функция предоставляется через фильтр SmartScreen в Microsoft Defender.

Включить защиту от потенциально нежелательных приложений в Microsoft Edge на основе Chromium

Хотя защита от потенциально нежелательных приложений в Microsoft Edge (на основе Chromium, версия 80.0.361.50) отключена по умолчанию, ее можно легко отключить в браузере.

  1. В браузере Microsoft Edge выберите многоточие, а затем выберите Параметры.

  2. Выберите Конфиденциальность, поиск и службы.

  3. В разделе Безопасность включите Блокировка потенциально нежелательных приложений.

Совет

Если вы работаете в Microsoft Edge (на основе Chromium), вы можете безопасно изучить функцию блокировки URL-адресов защиты от потенциально нежелательных приложений, протестировав ее на одной из наших демонстрационных страниц фильтра SmartScreen в Microsoft Defender.

Блокировка URL-адресов с помощью фильтра SmartScreen в Microsoft Defender

В Microsoft Edge на основе Chromium с включенной защитой puA Microsoft Defender SmartScreen защищает вас от URL-адресов, связанных с PUA.

Администраторы безопасности могут настраивать совместную работу Microsoft Edge и фильтр SmartScreen в Microsoft Defender для защиты групп пользователей от URL-адресов, связанных с потенциально нежелательными приложениями. Существует несколько параметров групповой политики исключительно для фильтра SmartScreen в Microsoft Defender, в том числе один для блокировки потенциально нежелательных приложений. Кроме того, администраторы могут настраивать фильтр SmartScreen в Microsoft Defender в целом, используя параметры групповой политики, чтобы включить или отключить фильтр SmartScreen в Microsoft Defender.

Несмотря на то что Microsoft Defender для конечной точки имеет собственный список блокировок на основе набора данных, управляемом Майкрософт, вы можете настроить этот список на основе собственной аналитики угроз. При создании и управлении индикаторами на портале Microsoft Defender для конечной точки, SmartScreen в Microsoft Defender учитывает новые параметры.

Защита от вирусов и потенциально нежелательных приложений в антивирусной программе в Microsoft Defender

Функция защиты от потенциально нежелательных приложений (PUA) в антивирусной программе в Microsoft Defender может обнаруживать и блокировать потенциально нежелательные приложения на конечных точках в вашей сети.

Антивирусная программа в Microsoft Defender блокирует обнаруженные PUA-файлы и все попытки их скачивания, перемещения, запуска или установки. После этого заблокированные PUA-файлы перемещаются в карантин. При обнаружении PUA-файла в конечной точке антивирусная программа в Microsoft Defender отправляет пользователю уведомление (если уведомления не отключены в том же формате, что и другие обнаруженные угрозы. Перед уведомлением указывается PUA: для указания его содержимого.

Уведомление отображается в обычном списке карантина в приложении "Безопасность Windows".

Настройка защиты от потенциально нежелательных приложений в антивирусной программе в Microsoft Defender

Вы можете включить защиту puA с помощью управления параметрами безопасности Microsoft Defender для конечной точки, Microsoft Intune, Microsoft Configuration Manager, групповая политика или с помощью командлетов PowerShell.

Сначала попробуйте использовать защиту puA в режиме аудита. Он обнаруживает потенциально нежелательные приложения, фактически не блокируя их. Обнаружения фиксируются в журнале событий Windows. Защита puA в режиме аудита полезна, если ваша компания проводит внутренний проверка соответствия безопасности программного обеспечения, и важно избежать ложных срабатываний.

Настройка защиты puA с помощью управления параметрами безопасности Microsoft Defender для конечной точки

См. следующие статьи:

Настройка защиты от потенциально нежелательных приложений с помощью Intune

См. следующие статьи:

Настройка защиты от потенциально нежелательных приложений с помощью Configuration Manager

Защита puA включена по умолчанию в Microsoft Configuration Manager (Current Branch).

Дополнительные сведения о настройке Microsoft Configuration Manager (Current Branch) см. в статье Создание и развертывание политик защиты от вредоносных программ: параметры запланированного сканирования.

Сведения о диспетчере конфигураций System Center 2012 см. в статье Развертывание политики защиты от потенциально нежелательных приложений для Endpoint Protection в Configuration Manager.

Примечание.

События PUA, заблокированные антивирусной программой Microsoft Defender, отображаются в Просмотр событий Windows, а не в Microsoft Configuration Manager.

Настройка защиты от потенциально нежелательных приложений с помощью групповой политики

  1. Скачайте и установите Административные шаблоны (.admx) для Windows 11, обновление от октября 2021 г. (21H2)

  2. На компьютере управления групповыми политиками откройте консоль управления групповыми политиками.

  3. Выберите объект групповой политики, который необходимо настроить, а затем выберите Изменить.

  4. В редакторе управления групповыми политиками перейдите к конфигурации компьютера и выберите Административные шаблоны.

  5. Разверните дерево до Компонентов Windows>антивирусной программы в Microsoft Defender.

  6. Дважды щелкните Настроить обнаружение для потенциально нежелательных приложений и установите для него значение Включено.

  7. В разделе Параметры выберите Заблокировать, чтобы заблокировать потенциально нежелательные приложения, или выберите Режим аудита, чтобы проверить, как этот параметр работает в вашей среде. Нажмите ОК.

  8. Разверните объект групповой политики, как обычно.

Настройка защиты от потенциально нежелательных приложений с помощью командлетов PowerShell

Чтобы включить защиту от потенциально нежелательных приложений:

Set-MpPreference -PUAProtection Enabled

Установите для этого командлета значение Enabled, чтобы включить функцию, если она была отключена.

Чтобы настроить защиту от потенциально нежелательных приложений в режиме аудита:

Set-MpPreference -PUAProtection AuditMode

Установите AuditMode для обнаружения потенциально нежелательных приложений, не блокируя их.

Чтобы отключить защиту от потенциально нежелательных приложений:

Рекомендуем не отключать защиту от потенциально нежелательных приложений. Однако её можно отключить с помощью следующего командлета:

Set-MpPreference -PUAProtection Disabled

Установите для этого командлета значение Disabled, чтобы отключить функцию, если она была включена.

Дополнительные сведения см. в разделах Использование командлетов PowerShell для настройки и запуска антивирусной программы в Microsoft Defender и Командлеты антивирусной программы в Microsoft Defender.

Протестируйте и убедитесь, что блокировка PUA работает

После включения PUA в блочном режиме можно протестировать, чтобы убедиться, что он работает правильно. Дополнительные сведения см. в разделе Демонстрация потенциально нежелательных приложений (PUA).

Просмотр событий PUA с помощью PowerShell

События puA сообщаются в Просмотр событий Windows, но не в Microsoft Configuration Manager или в Intune. Вы также можете использовать командлет Get-MpThreat для просмотра угроз, обработанных антивирусной программой в Microsoft Defender. Пример:

CategoryID       : 27
DidThreatExecute : False
IsActive         : False
Resources        : {webfile:_q:\Builds\Dalton_Download_Manager_3223905758.exe|http://d18yzm5yb8map8.cloudfront.net/
                    fo4yue@kxqdw/Dalton_Download_Manager.exe|pid:14196,ProcessStart:132378130057195714}
RollupStatus     : 33
SchemaVersion    : 1.0.0.0
SeverityID       : 1
ThreatID         : 213927
ThreatName       : PUA:Win32/InstallCore
TypeID           : 0
PSComputerName   :

Получение уведомлений об обнаружении PUA по электронной почте

Вы можете включить уведомления по электронной почте, чтобы получать сообщения об обнаружении потенциально нежелательных приложений. Дополнительные сведения о событиях антивирусной программы Microsoft Defender см. в разделе Устранение неполадок с идентификаторами событий. События PUA записываются в соответствии с идентификатором события 1160.

Просмотр событий PUA с помощью методов расширенной охоты

Если вы используете Microsoft Defender для конечной точки, вы можете использовать запрос расширенной охоты для просмотра событий PUA. Пример:

DeviceEvents
| where ActionType == "AntivirusDetection"
| extend x = parse_json(AdditionalFields)
| project Timestamp, DeviceName, FolderPath, FileName, SHA256, ThreatName = tostring(x.ThreatName), WasExecutingWhileDetected = tostring(x.WasExecutingWhileDetected), WasRemediated = tostring(x.WasRemediated)
| where ThreatName startswith_cs 'PUA:'

Дополнительные информацию о расширенной охоте см. в разделе Превентивная охота на угрозы с расширенной охотой.

Исключение файлов из защиты от PUA

Иногда файл ошибочно блокируется защитой от потенциально нежелательных приложений или для выполнения задачи требуется функция PUA. В таких случаях файл можно добавить в список исключений.

Дополнительные сведения см. в статье Настройка и проверка исключений с учетом расширения файла и расположения папки.

См. также

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.