Zjišťování a blokování potenciálně nežádoucích aplikací

Platí pro:

• Microsoft Defender XDR
• Microsoft Defender for Endpoint Plán 1 a Plán 2
• Microsoft Defender pro firmy
• Microsoft Edge
• Microsoft Defender pro jednotlivce
• Antivirová ochrana v Microsoft Defenderu

Platformy

• Windows

Microsoft Defender Antivirus je k dispozici v následujících edicích a verzích systémů Windows a Windows Server:

• Windows Server 2022
• Windows Server 2019
• Windows Server verze 1803 nebo novější
• Windows Server 2016
• Windows Server 2012 R2 (vyžaduje Microsoft Defender for Endpoint)
• Windows 11
• Windows 10
• Windows 8.1

Informace o systému macOS najdete v tématu Detekce a blokování potenciálně nežádoucích aplikací pomocí Defenderu for Endpoint v systému macOS.

Informace o Linuxu najdete v tématu Detekce a blokování potenciálně nežádoucích aplikací pomocí Defenderu for Endpoint v Linuxu.

Potenciálně nežádoucí aplikace (PUA) jsou kategorií softwaru, který může způsobit pomalý běh počítače, zobrazování neočekávaných reklam nebo v horším případě instalaci dalšího softwaru, který může být neočekávaný nebo nežádoucí. PUA se nepovažuje za virus, malware nebo jiný typ hrozby, ale může provádět akce s koncovými body, které nepříznivě ovlivňují výkon nebo používání koncových bodů. Termín PUAmůže také odkazovat na aplikaci, která má podle hodnocení Microsoft Defenderu pro koncový bod špatnou pověst kvůli určitým druhům nežádoucího chování.

Tady je pár příkladů:

• Reklamní software, který zobrazuje reklamy nebo propagační akce, včetně softwaru, který vkládá reklamy na webové stránky.
• Sdružování softwaru , který nabízí instalaci jiného softwaru, který není digitálně podepsaný stejnou entitou Také software, který nabízí instalaci dalšího softwaru, který má nárok na PUA.
• Software obcházení, který se aktivně snaží vyhnout detekci bezpečnostními produkty, včetně softwaru, který se v přítomnosti bezpečnostních produktů chová jinak.

Tip

Další příklady a diskusi o kritériích, která používáme k označování aplikací, jimž je třeba věnovat zvláštní pozornost z hlediska bezpečnostních funkcí, najdete v Jak Microsoft identifikuje malware a potenciálně nežádoucí aplikace.

Potenciálně nežádoucí aplikace mohou zvýšit riziko infikování vaší sítě skutečným malwarem, ztížit identifikaci malwarových infekcí nebo plýtvat prostředky a časem vašeho IT oddělení při jejich čištění. Pokud předplatné vaší organizace zahrnuje Microsoft Defender for Endpoint, můžete také nastavit blokování pua Microsoft Defender Antivirové ochrany, aby se aplikace, které se na zařízeních s Windows považují za PUA.

Další informace o předplatných Windows Enterprise.

Tip

Jako doplněk k tomuto článku si projděte našeho průvodce nastavením Microsoft Defender for Endpoint, kde najdete osvědčené postupy a seznámíte se se základními nástroji, jako je omezení potenciálních útoků a ochrana nové generace. Pro přizpůsobené prostředí na základě vašeho prostředí můžete získat přístup k průvodci automatizovaným nastavením Defenderu for Endpoint v Centrum pro správu Microsoftu 365.

Microsoft Edge

Nový Microsoft Edge, který je založen na Chromiu, blokuje stahování potenciálně nežádoucích aplikací a související adresy URL zdrojů. Tato funkce je poskytována prostřednictvím Microsoft Defender SmartScreen.

Povolení ochrany proti PUA v Microsoft Edge založených na Chromium

Přestože je ochrana proti potenciálně nežádoucím aplikacím v Microsoft Edgi (založený na Chromiu, verze 80.0.361.50) ve výchozím nastavení vypnutá, je možné ji snadno zapnout přímo v prohlížeči.

1. V prohlížeči Microsoft Edge vyberte tři tečky a pak zvolte Nastavení.

2. Vyberte Ochrana osobních údajů, vyhledávání a služby.

3. V části Zabezpečení zapněte možnost Blokovat potenciálně nežádoucí aplikace.

Tip

Pokud používáte Microsoft Edge (založený na Chromiu), můžete funkci blokování URL adres ochrany proti PUA bezpečně vyzkoušet na jedné z našich ukázkových stránek Microsoft Defender SmartScreen.

Blokovat adresy URL pomocí Microsoft Defender SmartScreen

V prohlížeči Microsoft Edge založeném na Chromium se zapnutou ochranou PROTI PUA vás Microsoft Defender filtr SmartScreen chrání před adresami URL přidruženými k PUA.

Správci zabezpečení můžou nakonfigurovat, jak Microsoft Edge a Microsoft Defender SmartScreen spolupracují na ochraně skupin uživatelů před adresami URL přidruženými k PUA. K dispozici je několik nastavení zásad skupiny explicitně pro Microsoft Defender SmartScreen, včetně jednoho pro blokování PUA. Kromě toho můžou správci nakonfigurovat Microsoft Defender SmartScreen jako celek, pomocí nastavení zásad skupiny zapnout nebo vypnout Microsoft Defender SmartScreen.

I když má Microsoft Defender pro koncový bod vlastní seznam bloků založený na souboru dat spravovaném Microsoftem, můžete si tento seznam přizpůsobit na základě vlastních informací o hrozbách. Pokud vytvoříte a spravujete indikátory na portálu Microsoft Defender pro koncový bod, bude Microsoft Defender SmartScreen respektovat nová nastavení.

Antivirová ochrana Microsoft Defender a ochrana proti PUA

Funkce ochrany proti potenciálně nežádoucím aplikacím (PUA) v programu Microsoft Defender Antivirus dokáže detekovat a blokovat PUA na koncových bodech v síti.

Antivirus Microsoft Defender blokuje detekované soubory PUA a všechny pokusy o jejich stažení, přesunutí, spuštění nebo instalaci. Blokované soubory PUA se pak přesunou do karantény. Pokud je v koncovém bodě detekován soubor PUA, odešle Microsoft Defender Antivirus uživateli oznámení (, pokud nejsou oznámení zakázaná ve stejném formátu jako jiné detekce hrozeb. Oznámení je uvedeno PUA:, co naznačuje jeho obsah.

Oznámení se zobrazí v obvyklém seznamu karantény v aplikaci Zabezpečení Windowsu.

Konfigurace ochrany proti PUA v Microsoft Defender Antivirus

Ochranu pua můžete povolit pomocí Microsoft Defender for Endpoint správa nastavení zabezpečení, Microsoft Intune, Microsoft Configuration Manager, Zásady skupiny nebo přes PowerShell. rutiny.

Nejprve zkuste použít ochranu pua v režimu auditování. Detekuje potenciálně nežádoucí aplikace, aniž by je ve skutečnosti blokovala. Detekce se zaznamenávají v protokolu událostí systému Windows. Ochrana proti pua v režimu auditu je užitečná, pokud vaše společnost provádí interní kontrolu dodržování předpisů zabezpečení softwaru a je důležité se vyhnout falešně pozitivním výsledkům.

Konfigurace ochrany pua pomocí správy nastavení zabezpečení Microsoft Defender for Endpoint

Projděte si následující články:

• Správa Microsoft Defender Antivirové ochrany pomocí správy nastavení zabezpečení Microsoft Defender for Endpoint

Konfigurace ochrany proti PUA pomocí Intune

Projděte si následující články:

• Konfigurace nastavení omezení zařízení v Microsoft Intune
• Microsoft Defender Nastavení omezení pro Windows 10 v Intune

Konfigurace ochrany proti PUA pomocí Správce konfigurace

Ochrana PUA je ve výchozím nastavení povolená v Microsoft Configuration Manager (Current Branch).

Podrobnosti o konfiguraci Microsoft Configuration Manager (Current Branch) najdete v tématu Vytvoření a nasazení antimalwarových zásad: Nastavení naplánovaných kontrol.

Informace o Správci konfigurace System Center 2012 najdete v Jak nasadit zásady ochrany potenciálně nežádoucích aplikací pro ochranu koncových bodů ve Správci konfigurace.

Poznámka

Události PUA blokované službou Microsoft Defender Antivirus jsou hlášeny v Prohlížeč událostí Windows, nikoli v Microsoft Configuration Manager.

Konfigurace ochrany proti PUA pomocí zásad skupiny

1. Stáhněte a nainstalujte si Šablony pro správu (.admx) pro Windows 11 aktualizaci z října 2021 (21H2)

2. Na počítači pro správu Zásady skupiny otevřete Konzolu pro správu zásad skupiny.

3. Vyberte objekt Zásady skupiny, který chcete nakonfigurovat, a pak zvolte Upravit.

4. V Editoru pro správu zásad skupiny přejděte na Konfiguraci počítače a vyberte Šablony pro správu.

5. Rozbalte strom na Součásti systému> Windows Microsoft Defender Antivirová ochrana.

6. Poklikejte na Konfigurovat detekci potenciálně nežádoucích aplikací a nastavte ji na Povoleno.

7. V Možnosti vyberte Blokovat, pokud chcete blokovat potenciálně nežádoucí aplikace, nebo vyberte Režim auditování a otestujte, jak nastavení funguje ve vašem prostředí. Vyberte OK.

8. Objekt zásad skupiny nasaďte jako obvykle.

Použití rutin PowerShellu ke konfiguraci ochrany proti PUA

Povolení ochrany proti PUA

Set-MpPreference -PUAProtection Enabled

Nastavením hodnoty pro tuto rutinu na Enabled zapnete funkci, pokud byla zakázána.

Nastavení ochrany proti PUA do režimu auditování

Set-MpPreference -PUAProtection AuditMode

Nastavení AuditMode detekuje PUA bez blokování.

Zakázání ochrany proti PUA

Doporučujeme zapnout ochranu proti PUA. Můžete ji však vypnout pomocí následující rutiny:

Set-MpPreference -PUAProtection Disabled

Nastavením hodnoty pro tuto rutinu na Disabled vypnete funkci, pokud byla povolena.

Další informace najdete v Použití rutin PowerShellu ke konfiguraci a spuštění Microsoft Defender Antivirus a rutin Defender Antivirus.

Otestujte a ujistěte se, že blokování PUA funguje.

Jakmile povolíte PUA v režimu blokování, můžete testovat, abyste se ujistili, že funguje správně. Další informace najdete v tématu Ukázka potenciálně nežádoucích aplikací (PUA).

Zobrazení událostí PUA pomocí PowerShellu

Události PUA se hlásí v Prohlížeč událostí Windows, ale ne v Microsoft Configuration Manager ani v Intune. Pomocí rutiny Get-MpThreat můžete také zobrazit hrozby, se kterými si poradil Microsoft Defender Antivirus. Tady je příklad:

CategoryID       : 27
DidThreatExecute : False
IsActive         : False
Resources        : {webfile:_q:\Builds\Dalton_Download_Manager_3223905758.exe|http://d18yzm5yb8map8.cloudfront.net/
                    fo4yue@kxqdw/Dalton_Download_Manager.exe|pid:14196,ProcessStart:132378130057195714}
RollupStatus     : 33
SchemaVersion    : 1.0.0.0
SeverityID       : 1
ThreatID         : 213927
ThreatName       : PUA:Win32/InstallCore
TypeID           : 0
PSComputerName   :

Dostávat e-mailová oznámení o detekcích PUA

Můžete zapnout e-mailová oznámení pro příjem pošty o detekcích PUA. Další informace o Microsoft Defender antivirových událostech najdete v tématu Řešení potíží s ID událostí. Události PUA se zaznamenávají pod ID události 1160.

Zobrazení událostí PUA pomocí rozšířeného proaktivního vyhledávání

Pokud používáte Microsoft Defender pro koncový bod, můžete k zobrazení událostí PUA použít rozšířený dotaz proaktivního vyhledávání. Tady je příklad dotazu:

DeviceEvents
| where ActionType == "AntivirusDetection"
| extend x = parse_json(AdditionalFields)
| project Timestamp, DeviceName, FolderPath, FileName, SHA256, ThreatName = tostring(x.ThreatName), WasExecutingWhileDetected = tostring(x.WasExecutingWhileDetected), WasRemediated = tostring(x.WasRemediated)
| where ThreatName startswith_cs 'PUA:'

Další informace o pokročilém proaktivním vyhledávání najdete v Aktivní vyhledávání hrozeb pomocí rozšířeného proaktivního vyhledávání.

Vyloučit soubory z ochrany proti PUA

Někdy je soubor chybně zablokován ochranou proti PUA nebo je k dokončení úkolu vyžadována funkce PUA. V těchto případech je možné soubor přidat do seznamu vyloučení.

Další informace najdete v Konfigurace a ověřování vyloučení na základě přípony souboru a umístění složky.

Tip

Pokud hledáte informace související s antivirovou ochranou pro jiné platformy, podívejte se na:

• Microsoft Defender for Endpoint v systému Mac
• Microsoft Defender for Endpoint v systému Linux
• Konfigurace funkcí Defender for Endpoint v Androidu
• Konfigurace funkcí Microsoft Defender for Endpoint v iOSu

Viz také

• Ochrana nové generace
• Konfigurace behaviorální ochrany, heuristické ochrany a ochrany v reálném čase

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.