Identifiera och blockera potentiellt oönskade program

Gäller för:

Plattformar

  • Windows

Microsoft Defender Antivirus finns i följande utgåvor/versioner av Windows och Windows Server:

  • Windows Server 2022
  • Windows Server 2019
  • Windows Server version 1803 eller senare
  • Windows Server 2016
  • Windows Server 2012 R2 (kräver Microsoft Defender för Endpoint)
  • Windows 11
  • Windows 10
  • Windows 8.1

För macOS, se Identifiera och blockera potentiellt oönskade program med Defender för Endpoint på macOS.

För Linux, se Identifiera och blockera potentiellt oönskade program med Defender för Endpoint i Linux.

PUA (Potentially unwanted applications) är en kategori av program som kan göra att datorn körs långsamt, visa oväntade annonser eller, i värsta fall, installera andra program som kan vara oväntade eller oönskade. PUA anses inte vara ett virus, skadlig kod eller någon annan typ av hot, men det kan utföra åtgärder på slutpunkter som negativt påverkar slutpunktsprestanda eller användning. Termen PUA kan också referera till ett program med dålig rykte, enligt Microsoft Defender för Endpoint, på grund av vissa typer av oönskat beteende.

Här är några exempel:

  • Reklamprogram som visar annonser eller kampanjer, inklusive programvara som infogar annonser till webbsidor.
  • Paketering av programvara som erbjuder installation av annan programvara som inte är digitalt signerad av samma entitet. Dessutom programvara som erbjuder installation av annan programvara som räknas som PUA.
  • Undvikande programvara som aktivt försöker undvika identifiering av säkerhetsprodukter, inklusive programvara som beter sig annorlunda i närvaro av säkerhetsprodukter.

Tips

Fler exempel och en diskussion om de kriterier vi använder för att märka program för särskild uppmärksamhet från säkerhetsfunktioner finns i Hur Microsoft identifierar skadlig programvara och potentiellt oönskade program.

Potentiellt oönskade program kan öka risken för att nätverket infekteras med faktisk skadlig kod, göra det svårare att identifiera skadlig kod eller kosta it- och säkerhetsteamen tid och arbete för att rensa upp dem. Om din organisations prenumeration innehåller Microsoft Defender för Endpoint kan du också ange att Microsoft Defender Antivirus PUA ska blockeras för att blockera appar som anses vara PUA på Windows-enheter.

Läs mer om Windows Enterprise-prenumerationer.

Tips

Som ett komplement till den här artikeln kan du läsa vår Microsoft Defender för Endpoint installationsguide för att granska metodtips och lära dig mer om viktiga verktyg som minskning av attackytan och nästa generations skydd. Om du vill ha en anpassad upplevelse baserat på din miljö kan du komma åt den automatiserade konfigurationsguiden för Defender för Endpoint i Administrationscenter för Microsoft 365.

Microsoft Edge

Den nya Microsoft Edge, som är Chromium-baserad, blockerar potentiellt oönskade programnedladdningar och associerade resurs-URL:er. Den här funktionen tillhandahålls via Microsoft Defender SmartScreen.

Aktivera PUA-skydd i Chromium-baserad Microsoft Edge

Även om skydd mot potentiellt oönskat program i Microsoft Edge (Chromium-baserat, version 80.0.361.50) är inaktiverat som standard kan det enkelt aktiveras från webbläsaren.

  1. I webbläsaren Microsoft Edge väljer du ellipserna och sedan Inställningar.

  2. Välj sekretess, sökning och tjänster.

  3. Under avsnittet Säkerhet aktiverar du Blockera potentiellt oönskade program.

Tips

Om du kör Microsoft Edge (Chromium-baserat) kan du utforska URL-blockeringsfunktionen i PUA-skydd genom att testa den på någon av våra Microsoft Defender SmartScreen-demosidor.

Blockera URL-adresser med Microsoft Defender SmartScreen

I Chromium-baserade Microsoft Edge med PUA-skydd aktiverat Microsoft Defender SmartScreen skyddar dig mot PUA-associerade URL:er.

Säkerhetsadministratörer kan konfigurera hur Microsoft Edge och Microsoft Defender SmartScreen fungerar tillsammans för att skydda användargrupper från PUA-associerade URL:er. Det finns flera grupprincipinställningar som är uttryckligen tillgängliga för Microsoft Defender SmartScreen, inklusive en för att blockera PUA. Dessutom kan administratörer konfigurera Microsoft Defender SmartScreen som helhet, och med hjälp av grupprincipinställningar, aktivera eller inaktivera Microsoft Defender SmartScreen.

Även om Microsoft Defender för Endpoint har en egen blockeringslista baserat på en datauppsättning som hanteras av Microsoft kan du anpassa listan baserat på egen information om hot. Om du skapar och hanterar indikatorer i Microsoft Defender för Endpoint-portalen respekterar Microsoft Defender SmartScreen de nya inställningarna.

Microsoft Defender Antivirus och PUA-skydd

Skyddsfunktionen för de potentiellt oönskade programmen i Microsoft Defender Antivirus kan identifiera och blockera PUA på slutpunkter i nätverket.

Microsoft Defender Antivirus blockerar identifierade PUA-filer och alla försök att hämta, flytta, köra eller installera dem. Blockerade PUA-filer flyttas sedan till karantän. När en PUA-fil identifieras på en slutpunkt skickar Microsoft Defender Antivirus ett meddelande till användaren (om inte aviseringar har inaktiveratsi samma format som andra hotidentifieringar. Meddelandet föregås av PUA: för att ange innehållet.

Meddelandet visas i den vanliga -karantänlistan i Windows säkerhet-appen.

Konfigurera PUA-skydd i Microsoft Defender Antivirus

Du kan aktivera PUA-skydd med Microsoft Defender för Endpoint Hantering av säkerhetsinställningar, Microsoft Intune, Microsoft Configuration Manager, grupprincip eller via PowerShell-cmdletar.

Prova först att använda PUA-skydd i granskningsläge. Den identifierar potentiellt oönskade program utan att blockera dem. Identifieringar registreras i Windows-händelseloggen. PUA-skydd i granskningsläge är användbart om företaget genomför en intern säkerhetsefterlevnadskontroll av programvara och det är viktigt att undvika falska positiva identifieringar.

Använd Microsoft Defender för Endpoint Hantering av säkerhetsinställningar för att konfigurera PUA-skydd

Se följande artiklar:

Använda Intune för att konfigurera PUA-skydd

Se följande artiklar:

Använda konfigurationshanteraren för att konfigurera PUA-skydd

PUA-skydd är aktiverat som standard i Microsoft Configuration Manager (aktuell gren).

Mer information om hur du konfigurerar Microsoft Configuration Manager (Aktuell gren) finns i Skapa och distribuera principer för program mot skadlig kod: Schemalagda genomsökningsinställningar.

Information om konfigurationshanteraren för System Center 2012 finns i Hur du distribuerar skyddsprincip för potentiellt oönskad program för Endpoint i Konfigurationshanteraren.

Obs!

PUA-händelser som blockeras av Microsoft Defender Antivirus rapporteras i Windows Loggboken och inte i Microsoft Configuration Manager.

Använda Grupprincip för att konfigurera PUA-skydd

  1. Ladda ned och installera Administrativa mallar (.admx) för Windows 11, oktober 2021 (21H2)

  2. Öppna Konsolen för grupprinciphantering på datorn för grupprinciphantering.

  3. Markera grupprincipobjektet du vill konfigurera och välj sedan Redigera.

  4. I Redigeraren för grupprinciphantering går du till Datorkonfiguration och väljer Administrativa mallar.

  5. Expandera trädstrukturen till Windows-komponenter>Microsoft Defender Antivirus.

  6. Dubbelklicka på Konfigurera identifiering för potentiellt oönskade program och ställ in den på Aktiverad.

  7. I Alternativ väljer du Blockera för att blockera potentiellt oönskade program eller välj Granskningsläge för att testa hur inställningen fungerar i din miljö. Välj OK.

  8. Distribuera grupprincipobjektet som vanligt.

Använda PowerShell-cmdlets för att konfigurera PUA-skydd

Så här aktiverar PUA-skydd.

Set-MpPreference -PUAProtection Enabled

Att ställa in värdet för denna cmdlet till Enabled aktiverar funktionen om den har inaktiverats.

Så här ställer du in PUA-skydd till granskningsläge

Set-MpPreference -PUAProtection AuditMode

Inställningen av AuditMode identifierar PUA-program utan att blockera dem.

Så här inaktiverar du PUA-skydd.

Vi rekommenderar att du behåller PUA-skyddet aktiverat. Du kan dock inaktivera den med hjälp av följande cmdlet:

Set-MpPreference -PUAProtection Disabled

Att ställa in värdet för denna cmdlet till Disabled aktiverar funktionen om den har inaktiverats.

Mer information finns i Hur du använder PowerShell-cmdlets för att konfigurera och köra Microsoft Defender Antivirus och Defender Antivirus-cmdlets.

Testa och se till att PUA-blockering fungerar

När du har aktiverat PUA i blockeringsläge kan du testa att det fungerar korrekt. Mer information finns i Demonstration av potentiellt oönskade program (PUA).

Visa PUA-händelser med hjälp av PowerShell

PUA-händelser rapporteras i Windows Loggboken, men inte i Microsoft Configuration Manager eller i Intune. Du kan också använda nämnda Get-MpThreat cmdlet för att visa hot som Microsoft Defender Antivirus hanterade. Här är ett exempel:

CategoryID       : 27
DidThreatExecute : False
IsActive         : False
Resources        : {webfile:_q:\Builds\Dalton_Download_Manager_3223905758.exe|http://d18yzm5yb8map8.cloudfront.net/
                    fo4yue@kxqdw/Dalton_Download_Manager.exe|pid:14196,ProcessStart:132378130057195714}
RollupStatus     : 33
SchemaVersion    : 1.0.0.0
SeverityID       : 1
ThreatID         : 213927
ThreatName       : PUA:Win32/InstallCore
TypeID           : 0
PSComputerName   :

Få e-postaviseringar om PUA-identifieringar

Du kan aktivera e-postaviseringar för att få e-post om PUA-identifieringar. Mer information om Microsoft Defender Antivirus-händelser finns i Felsöka händelse-ID:t. PUA-händelser registreras under händelse-ID 1160.

Visa PUA-händelser med hjälp av avancerad jakt

Om du använder Microsoft Defender för Endpointkan du använda en avancerad sökfråga för att visa PUA-händelser. Här är en exempelfråga:

DeviceEvents
| where ActionType == "AntivirusDetection"
| extend x = parse_json(AdditionalFields)
| project Timestamp, DeviceName, FolderPath, FileName, SHA256, ThreatName = tostring(x.ThreatName), WasExecutingWhileDetected = tostring(x.WasExecutingWhileDetected), WasRemediated = tostring(x.WasRemediated)
| where ThreatName startswith_cs 'PUA:'

Mer information om Avancerad jakt finns i Hur du proaktivt jagar efter hot med Avancerad jakt.

Exkludera filer från PUA-skydd

Ibland blockeras en fil felaktigt av PUA-skydd eller så krävs en funktion i en PUA för att slutföra en aktivitet. I sådana fall kan en fil läggas till i en undantagslista.

Mer information finns i Konfigurera och validera undantag baserat på filtillägg och mappplats.

Se även

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.