Condividi tramite


Rilevare e bloccare applicazioni potenzialmente indesiderate

Si applica a:

Piattaforme

  • Windows

Microsoft Defender Antivirus è disponibile nelle seguenti edizioni/versioni di Windows e Windows Server:

  • Windows Server 2022
  • Windows Server 2019
  • Windows Server, versione 1803 o successiva
  • Windows Server 2016
  • Windows Server 2012 R2 (richiede Microsoft Defender per endpoint)
  • Windows 11
  • Windows 10
  • Windows 8.1

Per macOS, vedere Rilevare e bloccare le applicazioni potenzialmente indesiderate con Defender per endpoint in macOS.

Per Linux, vedere Rilevare e bloccare le applicazioni potenzialmente indesiderate con Defender per endpoint in Linux.

Le applicazioni potenzialmente indesiderate (PUA) sono una categoria di software che può causare il rallentamento del computer, la visualizzazione di annunci non previsti o, nel peggiore dei casi, l'installazione di altro software che potrebbe risultare indesiderato o imprevisto. PUA non è considerato un virus, malware o altro tipo di minaccia, ma potrebbe eseguire azioni sugli endpoint che influiscono negativamente sulle prestazioni o sull'uso degli endpoint. Il termine PUA può anche fare riferimento a un'applicazione con una reputazione scadente, secondo la valutazione di Microsoft Defender per endpoint, a causa di alcuni tipi di comportamento indesiderato.

Ecco alcuni esempi:

  • Software pubblicitario che mostra annunci pubblicitari o promozioni, incluso il software che inserisce annunci pubblicitari nelle pagine Web.
  • Software di aggregazione che offre l'installazione di altro software che non è firmato digitalmente dalla stessa entità. oppure classificato come PUA.
  • Software di evasione, che tenta attivamente di evadere il rilevamento da parte dei prodotti per la sicurezza, incluso il software che si comporta in modo diverso in presenza di prodotti per la sicurezza.

Consiglio

Per altri esempi e una descrizione dei criteri che usiamo per etichettare le applicazioni per una particolare attenzione da parte delle funzionalità di sicurezza, vedere Come Microsoft identifica malware e applicazioni potenzialmente indesiderate.

Le applicazioni potenzialmente indesiderate possono aumentare il rischio che la rete venga infettata da malware effettivo, rendere le infezioni malware più difficili da identificare o costare ai team IT e della sicurezza tempo e impegno per pulirle. Se la sottoscrizione dell'organizzazione include Microsoft Defender per endpoint, è anche possibile impostare Microsoft Defender pua antivirus per bloccare le app considerate pua nei dispositivi Windows.

Altre informazioni sugli abbonamenti di Windows Enterprise.

Consiglio

Come complemento di questo articolo, vedere la guida alla configurazione Microsoft Defender per endpoint per esaminare le procedure consigliate e informazioni sugli strumenti essenziali, ad esempio la riduzione della superficie di attacco e la protezione di nuova generazione. Per un'esperienza personalizzata basata sull'ambiente in uso, è possibile accedere alla guida alla configurazione automatica di Defender per endpoint nel interfaccia di amministrazione di Microsoft 365.

Microsoft Edge

Il nuovo Microsoft Edge, basato su Chromium, blocca i download di applicazioni potenzialmente indesiderate e gli URL di risorse associati. Questa funzionalità viene fornita tramite Microsoft Defender SmartScreen.

Abilitare la protezione da applicazioni potenzialmente indesiderate in Microsoft Edge basato su Chromium

Anche se la protezione da applicazioni potenzialmente indesiderate in Microsoft Edge (basato su Chromium, versione 80.0.361.50) è disattivata per impostazione predefinita, può essere attivata facilmente dall'interno del browser.

  1. Nel browser Microsoft Edge selezionare i puntini di sospensione e quindi scegliere Impostazioni.

  2. Selezionare Privacy, ricerca e servizi.

  3. Nella sezione Sicurezza attivare Blocca app potenzialmente indesiderate.

Consiglio

Se si usa Microsoft Edge (basato su Chromium), si può esplorare in sicurezza la funzionalità di blocco degli URL della protezione PUA, testandola in una delle pagine demo di Microsoft Defender SmartScreen.

Bloccare gli URL con Microsoft Defender SmartScreen

In Microsoft Edge basato su Chromium con protezione PUA attivata, Microsoft Defender SmartScreen protegge dagli URL associati a PUA.

Gli amministratori della sicurezza possono configurare il modo in cui Microsoft Edge e Microsoft Defender SmartScreen interagiscono per proteggere gruppi di utenti dagli URL associati alle applicazioni potenzialmente indesiderate. Sono disponibili diverse impostazioni di Criteri di gruppo esplicitamente destinate a Microsoft Defender SmartScreen, tra cui una per bloccare le PUA. Gli amministratori possono inoltre configurare Microsoft Defender SmartScreen nel suo insieme, usando le impostazioni di Criteri di gruppo per attivare o disattivare la funzionalità.

Anche se Microsoft Defender per endpoint ha un proprio elenco di blocco basato su un set di dati gestito da Microsoft, è possibile personalizzare questo elenco in base alla propria intelligence per le minacce. Se si creano e gestiscono indicatori nel portale di Microsoft Defender per endpoint, Microsoft Defender SmartScreen rispetta le nuove impostazioni.

Antivirus Microsoft Defender e protezione PUA

La funzionalità di protezione PUA in Antivirus Microsoft Defender può rilevare e bloccare le applicazioni potenzialmente indesiderate negli endpoint della rete.

Antivirus Microsoft Defender blocca i file di PUA rilevati e gli eventuali tentativi di scaricarli, spostarli, eseguirli o installarli. I file di PUA bloccati vengono quindi spostati in quarantena. Quando viene rilevato un file PUA in un endpoint, Antivirus Microsoft Defender invia una notifica all'utente (a meno che le notifiche non siano state disabilitate nello stesso formato degli altri rilevamenti delle minacce. La notifica è preceduta da PUA: per indicarne il contenuto.

La notifica viene visualizzata nel normale elenco di quarantena nell'app Sicurezza di Windows.

Configurare la protezione PUA in Antivirus Microsoft Defender

È possibile abilitare la protezione pua con Microsoft Defender per endpoint gestione delle impostazioni di sicurezza, Microsoft Intune, Microsoft Configuration Manager, Criteri di gruppo o tramite Cmdlet di PowerShell.

All'inizio, provare a usare la protezione PUA in modalità di controllo. Rileva applicazioni potenzialmente indesiderate senza bloccarle effettivamente. I rilevamenti vengono acquisiti nel registro eventi di Windows. La protezione PUA in modalità di controllo è utile se l'azienda sta effettuando un controllo di conformità della sicurezza software interno ed è importante evitare falsi positivi.

Usare Microsoft Defender per endpoint Gestione impostazioni di sicurezza per configurare la protezione pua

Fare inoltre riferimento ai seguenti articoli:

Usare Intune per configurare la protezione PUA

Fare inoltre riferimento ai seguenti articoli:

Usare Configuration Manager per configurare la protezione PUA

La protezione PUA è abilitata per impostazione predefinita nel Microsoft Configuration Manager (Current Branch).

Per informazioni dettagliate sulla configurazione di Microsoft Configuration Manager (Current Branch), vedere How to create and deploy antimalware policies: Scheduled scans settings (Come creare e distribuire criteri antimalware: impostazioni di analisi pianificate).

Per System Center Configuration Manager 2012, vedere Come distribuire criteri di protezione delle applicazioni potenzialmente indesiderate per Endpoint Protection in Configuration Manager.

Nota

Gli eventi PUA bloccati da Microsoft Defender Antivirus vengono segnalati in Windows Visualizzatore eventi e non in Microsoft Configuration Manager.

Usare Criteri di gruppo per configurare la protezione PUA

  1. Scaricare e installare Modelli amministrativi (.admx) per Windows 11 aggiornamento ottobre 2021 (21H2)

  2. Nel computer di gestione dei Criteri di gruppo aprire la Console Gestione Criteri di gruppo.

  3. Selezionare l'oggetto Criteri di gruppo da configurare e quindi scegliere Modifica.

  4. Nell'Editor Gestione Criteri di gruppo passare a Configurazione computer e selezionare Modelli amministrativi.

  5. Espandere l'albero fino a Componenti di Windows>Antivirus Microsoft Defender.

  6. Fare doppio clic su Configura rilevamento per applicazioni potenzialmente indesiderate e impostarlo su Abilitato.

  7. In Opzioni selezionare Blocca per bloccare le applicazioni potenzialmente indesiderate oppure selezionare Modalità di controllo per testare il funzionamento dell'impostazione nel proprio ambiente. Selezionare OK.

  8. Distribuire l'oggetto Criteri di gruppo come di consueto.

Usare i cmdlet di PowerShell per configurare la protezione PUA

Per abilitare la protezione PUA

Set-MpPreference -PUAProtection Enabled

Impostando il valore di questo cmdlet su Enabled è possibile attivare la funzionalità, se è stata disabilitata.

Per impostare la protezione PUA sulla modalità di controllo

Set-MpPreference -PUAProtection AuditMode

L'impostazione AuditMode consente di rilevare le applicazioni potenzialmente indesiderate senza bloccarle.

Per disabilitare la protezione PUA

È consigliabile mantenere la protezione PUA attivata. Tuttavia, è possibile disattivarla usando il cmdlet seguente:

Set-MpPreference -PUAProtection Disabled

Impostando il valore di questo cmdlet su Disabled è possibile disattivare la funzionalità, se è stata disabilitata.

Per altre informazioni, vedi Usare i cmdlet di PowerShell per configurare ed eseguire i cmdlet di Antivirus Microsoft Defender e Antivirus Defender.

Testare e assicurarsi che il blocco pua funzioni

Dopo aver abilitato pua in modalità blocco, è possibile testare per assicurarsi che funzioni correttamente. Per altre informazioni, vedere Dimostrazione di applicazioni potenzialmente indesiderate ( PUA).

Visualizzare gli eventi PUA con PowerShell

Gli eventi PUA vengono segnalati nel Visualizzatore eventi di Windows, ma non in Microsoft Configuration Manager o in Intune. È anche possibile usare il cmdlet Get-MpThreat per visualizzare le minacce gestite da Antivirus Microsoft Defender. Ecco un esempio:

CategoryID       : 27
DidThreatExecute : False
IsActive         : False
Resources        : {webfile:_q:\Builds\Dalton_Download_Manager_3223905758.exe|http://d18yzm5yb8map8.cloudfront.net/
                    fo4yue@kxqdw/Dalton_Download_Manager.exe|pid:14196,ProcessStart:132378130057195714}
RollupStatus     : 33
SchemaVersion    : 1.0.0.0
SeverityID       : 1
ThreatID         : 213927
ThreatName       : PUA:Win32/InstallCore
TypeID           : 0
PSComputerName   :

Ricevere notifiche tramite posta elettronica sui rilevamenti di applicazioni potenzialmente indesiderate

È possibile attivare le notifiche tramite posta elettronica per ricevere messaggi relativi al rilevamento di PUA. Per altre informazioni sugli eventi di Microsoft Defender Antivirus, vedere Risolvere i problemi relativi agli ID evento. Gli eventi PUA vengono registrati con l'ID evento 1160.

Visualizzare gli eventi PUA con la rilevazione avanzata

Se si usa Microsoft Defender per endpoint, è possibile usare una query di rilevazione avanzata per visualizzare gli eventi PUA. Ecco una query di esempio:

DeviceEvents
| where ActionType == "AntivirusDetection"
| extend x = parse_json(AdditionalFields)
| project Timestamp, DeviceName, FolderPath, FileName, SHA256, ThreatName = tostring(x.ThreatName), WasExecutingWhileDetected = tostring(x.WasExecutingWhileDetected), WasRemediated = tostring(x.WasRemediated)
| where ThreatName startswith_cs 'PUA:'

Per altre informazioni sulla rilevazione avanzata, vedere Rilevare in modo proattivo le minacce con la rilevazione avanzata.

Escludere file dalla protezione PUA

A volte un file viene erroneamente bloccato dalla protezione PUA oppure per completare un'attività è necessaria una funzionalità di un'applicazione potenzialmente indesiderata. In questi casi, è possibile aggiungere un file a un elenco di esclusione.

Per altre informazioni, vedere Configurare e convalidare le esclusioni in base all'estensione di file e al percorso della cartella.

Vedere anche

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.