Обнаружение и блокировка потенциально нежелательных приложений

Узнайте, как обнаруживать и блокировать потенциально нежелательные приложения (PUA) с помощью Microsoft Defender антивирусной программы и Microsoft Edge. В этой статье описывается, как включить защиту PUA, настроить ее в средствах управления и просмотреть события обнаружения PUA.

О потенциально нежелательных приложениях (PUA)

Потенциально нежелательные приложения (PUA) — это категория программного обеспечения, которое может вызвать медленную работу вашего компьютера, отображение непредвиденной рекламы или, в худшем случае, установку другого программного обеспечения, которое может быть неожиданным или нежелательным. PuA не считается вирусом, вредоносным ПО или другим типом угрозы, но он может выполнять действия с конечными точками, которые негативно влияют на производительность или использование конечных точек. Термин PUA также может ссылаться на приложение с плохой репутацией, по оценке Microsoft Defender для конечных точек, из-за определенных видов нежелательного поведения.

Ниже приводятся примеры:

  • Рекламные программное обеспечение, которые отображают рекламу или рекламные акции, в том числе программное обеспечение, которое вставляет рекламные объявления на веб-страницы.
  • Программа, устанавливающая в комплекте другое ПО, которая предлагает установить другое ПО, не подписанное цифровой подписью одного и того же субъекта. Кроме того, программное обеспечение, которое предлагает установить другое программное обеспечение, которое квалифицируется как потенциально нежелательное приложение.
  • Программное обеспечение для обхода обнаружения, которое активно пытается избежать обнаружения средствами безопасности, включая программное обеспечение, которое ведет себя иначе при наличии средств безопасности.

Совет

Дополнительные примеры и обсуждение критериев, которые используются для пометки приложений, требующих особого внимания со стороны функций безопасности, см. разделе Как Майкрософт определяет вредоносные и потенциально нежелательные приложения.

Потенциально нежелательные приложения могут повысить риск заражения вашей сети фактическими вредоносными программами, затруднить выявление заражений вредоносными программами или тратить время и усилия ИТ-отделов и отделов безопасности на их очистку. Если подписка вашей организации включает Microsoft Defender для конечных точек, вы также можете настроить Microsoft Defender Antivirus на блокировку потенциально нежелательных приложений (PUA), чтобы блокировать приложения, которые считаются потенциально нежелательными на устройствах Windows.

Подробнее о подписках Windows Enterprise.

Совет

Чтобы ознакомиться с этой статьей, ознакомьтесь с руководством по настройке Microsoft Defender для конечной точки, чтобы ознакомиться с рекомендациями и узнать о таких важных средствах, как сокращение направлений атак и защита следующего поколения. Для индивидуальной работы с учетом особенностей вашей среды вы можете воспользоваться руководством по автоматической настройке Microsoft Defender для конечной точки в центре администрирования Microsoft 365.

Предварительные условия

Поддерживаемые операционные системы

клиент Windows:

  • Windows 11
  • Windows 10
  • Windows 8.1

Windows Server:

  • Windows Server 2016 и более поздних версий
  • Windows Server версии 1803 или более поздней
  • Windows Server 2012 R2 (требуется Microsoft Defender для конечной точки)

Другие платформы:

Настройка защиты PUA в Microsoft Edge

Новый Microsoft Edge, основанный на Chromium, блокирует загрузки потенциально нежелательных приложений и связанные URL-адреса ресурсов. Эта функция обеспечивается с помощью фильтр SmartScreen в Microsoft Defender.

Включить защиту от PUA в Microsoft Edge на базе Chromium

Хотя защита от потенциально нежелательных приложений в Microsoft Edge (на основе Chromium, версия 80.0.361.50) отключена по умолчанию, ее можно легко отключить в браузере.

  1. В браузере Microsoft Edge выберите многоточие, а затем выберите Параметры.

  2. Выберите Конфиденциальность, поиск и службы.

  3. В разделе Безопасность включите Блокировка потенциально нежелательных приложений.

Совет

Если вы используете Microsoft Edge (на базе Chromium), вы можете безопасно проверить работу функции блокировки URL-адресов в рамках защиты от PUA, опробовав её на одной из наших демонстрационных страниц фильтр SmartScreen в Microsoft Defender.

Блокировка URL-адресов с помощью фильтра SmartScreen в Microsoft Defender

В Microsoft Edge на базе Chromium с включенной защитой от потенциально нежелательных приложений (PUA) фильтр SmartScreen в Microsoft Defender защищает вас от URL-адресов, связанных с потенциально нежелательными приложениями.

Администраторы безопасности могут настроить Microsoft Edge для управления тем, как Microsoft Edge и фильтр SmartScreen в Microsoft Defender работать вместе для защиты групп пользователей от URL-адресов, связанных с PUA. Доступно несколько фильтр SmartScreen в Microsoft Defender параметров групповой политики, включая политику SmartScreenPuaEnabled. Кроме того, администраторы могут настраивать фильтр SmartScreen в Microsoft Defender в целом, используя параметры групповой политики, чтобы включить или отключить фильтр SmartScreen в Microsoft Defender.

Несмотря на то что Microsoft Defender для конечной точки имеет собственный список блокировок на основе набора данных, управляемом Майкрософт, вы можете настроить этот список на основе собственной аналитики угроз. Если вы создаете индикаторы и управляете ими на портале Microsoft Defender для конечной точки, фильтр SmartScreen в Microsoft Defender учитывает новые параметры.

Антивирус Microsoft Defender и защита от потенциально нежелательных приложений

Функция защиты от потенциально нежелательных приложений (PUA) в антивирусной программе в Microsoft Defender может обнаруживать и блокировать потенциально нежелательные приложения на конечных точках в вашей сети.

Антивирусная программа в Microsoft Defender блокирует обнаруженные PUA-файлы и все попытки их скачивания, перемещения, запуска или установки. После этого заблокированные PUA-файлы перемещаются в карантин. При обнаружении puA-файла в конечной точке Microsoft Defender антивирусная программа отправляет пользователю уведомление (если уведомления не отключены) в том же формате, что и при обнаружении других угроз. Перед уведомлением указывается PUA: для указания его содержимого.

Уведомление отображается в обычном списке карантина в приложении "Безопасность Windows".

Настройка защиты от потенциально нежелательных приложений в Microsoft Defender Antivirus

Вы можете включить защиту от PUA с помощью функции управления параметрами безопасности Microsoft Defender для конечной точки, Microsoft Intune, Microsoft Configuration Manager, групповой политики или через командлеты PowerShell Microsoft Defender Antivirus.

Сначала попробуйте использовать защиту от PUA в режиме аудита. Он обнаруживает потенциально нежелательные приложения, фактически не блокируя их. Обнаружения фиксируются в журнале событий Windows. Защита от PUA в режиме аудита полезна, если ваша компания проводит внутреннюю проверку соответствия требованиям безопасности программного обеспечения и при этом важно избежать ложных срабатываний.

Сценарии и параметры по умолчанию для защиты от PUA зависят от того, подключены ли устройства к службе Defender for Endpoint или Microsoft Defender для бизнеса.

Антивирусная программа Microsoft Defender без устройств, подключенных к Microsoft Defender для конечной точки

В следующей таблице показаны параметры защиты PUA по умолчанию для устройств, которые не подключены к Defender для конечной точки:

Сценарии Версия обновления системы аналитики безопасности Параметр защиты PUA по умолчанию
Windows 10 или более поздней версии
Windows Server 2016 или более поздней версии
старше 1.329.495.0 Отключено (0)
Windows 10 или более поздней версии
Windows Server 2016 или более поздней версии
1.329.495.0 или более поздняя версия Режим аудита (2)

Антивирусная программа Microsoft Defender с устройствами, подключёнными к Defender for Endpoint, план 1 / план 2, или Defender для бизнеса

В следующей таблице показаны параметры защиты PUA по умолчанию для устройств, подключенных к Defender for Endpoint, плану 1, плану 2 или Defender для бизнеса:

Сценарии Версия обновления системы аналитики безопасности Управление интеллектуальными приложениями Параметр защиты PUA по умолчанию
Windows 10 версии 2004 или более поздней
Windows Server 2012 R2 и Windows Server 2016 с современным унифицированным решением для Windows Server 2016 и 2012 R2
Windows Server 2019 или более поздней версии
Старше 1.329.495.0 Компонент недоступен Режим аудита (2)
Windows 11 версии 22H2 или более поздней 1.329.495.0 или более поздняя версия Доступно Режим аудита (2)
Windows 10 версии 2004 или более поздней
Windows Server 2012 R2 и Windows Server 2016 с современным унифицированным решением для Windows Server 2016 и 2012 R2
Windows Server 2019 или более поздней версии
1.329.495.0 или более поздняя версия Компонент недоступен Режим блокировки (1)

Совет

Чтобы включить защиту от PUA в режиме блокировки, используйте один из следующих методов управления:

  • Управление параметрами безопасности в Defender для конечной точки
  • Intune
  • Диспетчер конфигураций
  • Групповая политика
  • PowerShell

Использование управления параметрами безопасности в Microsoft Defender для конечных точек для настройки защиты от PUA

Дополнительные сведения об использовании функции управления параметрами безопасности в Defender for Endpoint для настройки защиты PUA см. в разделе Использование функции управления параметрами безопасности в Microsoft Defender для конечной точки для управления антивирусной программой Microsoft Defender

Используйте Intune, чтобы настроить защиту от PUA

Сведения о настройке защиты PUA с помощью параметров ограничений устройств Intune см. в следующих статьях:

Настройка защиты от потенциально нежелательных приложений с помощью Configuration Manager

Защита от PUA включена по умолчанию в Microsoft Configuration Manager (текущая ветвь).

Дополнительные сведения о настройке Microsoft Configuration Manager (Current Branch) см. в статье Создание и развертывание политик защиты от вредоносных программ: параметры запланированного сканирования.

Сведения о диспетчере конфигураций System Center 2012 см. в статье Развертывание политики защиты от потенциально нежелательных приложений для Endpoint Protection в Configuration Manager.

Примечание.

События PUA, заблокированные антивирусной программой Microsoft Defender, отображаются в Просмотр событий Windows, а не в Microsoft Configuration Manager.

Настройка защиты от потенциально нежелательных приложений с помощью групповой политики

Выполните следующие действия, чтобы настроить защиту PUA с помощью групповой политики:

  1. Скачивание и установка административных шаблонов (ADMX) для Windows 11

  2. На компьютере управления групповыми политиками откройте консоль управления групповыми политиками.

  3. Выберите объект групповой политики, который необходимо настроить, а затем выберите Изменить.

  4. В редакторе управления групповыми политиками перейдите к конфигурации компьютера и выберите Административные шаблоны.

  5. Разверните дерево до узла Компоненты Windows>Антивирусная программа Microsoft Defender.

  6. Дважды щелкните Настроить обнаружение для потенциально нежелательных приложений и установите для него значение Включено.

  7. В разделе Параметры выберите Заблокировать, чтобы заблокировать потенциально нежелательные приложения, или выберите Режим аудита, чтобы проверить, как этот параметр работает в вашей среде. Нажмите ОК.

  8. Разверните объект групповой политики, как обычно.

Настройка защиты от потенциально нежелательных приложений с помощью командлетов PowerShell

Используйте следующие командлеты PowerShell для включения, аудита, отключения или проверки состояния защиты от PUA в Microsoft Defender Antivirus.

Чтобы включить защиту от PUA (потенциально нежелательных приложений)

Включите защиту PUA в антивирусной Microsoft Defender, чтобы заблокировать потенциально нежелательные приложения на устройстве:

Set-MpPreference -PUAProtection Enabled

Если задать для этого командлета значение Enabled, будет включена защита PUA в антивирусе Microsoft Defender, если она отключена.

Чтобы перевести защиту от потенциально нежелательных приложений в режим аудита

Используйте режим аудита для регистрации обнаружения PUA без блокировки приложений, чтобы вы могли оценить влияние перед применением:

Set-MpPreference -PUAProtection AuditMode

Параметр AuditMode обнаруживает потенциально нежелательные приложения, не блокируя их.

Чтобы отключить защиту PUA

Рекомендуем не отключать защиту от потенциально нежелательных приложений. Однако вы можете отключить защиту от PUA в антивирусной программе Microsoft Defender для устранения неполадок или отката политики с помощью следующего командлета:

Set-MpPreference -PUAProtection Disabled

Установка для этого командлета значения Disabled отключает защиту от потенциально нежелательных приложений (PUA) в антивирусе Microsoft Defender, если она была включена.

Проверить состояние PUA

Чтобы подтвердить текущий параметр защиты PUA на устройстве, выполните запрос к параметрам антивирусной программы Microsoft Defender:

Get-MpPreference | Format-Table PUAProtection
Значение Описание
0 Защита от pua отключена (по умолчанию). Microsoft Defender антивирусная программа не защищает от потенциально нежелательных приложений.
1 Защита от PUA включена. Обнаруженные элементы блокируются. Они будут отображаться в истории вместе с другими угрозами.
2 Режим аудита. Microsoft Defender антивирусная программа обнаруживает потенциально нежелательные приложения, но не предпринимает никаких действий. Вы можете просмотреть сведения о приложениях, в отношении которых Microsoft Defender Antivirus предпринял бы действия, выполнив поиск событий, созданных Microsoft Defender Antivirus, в средстве "Просмотр событий", но не на портале Microsoft Defender.

Дополнительные сведения об управлении Microsoft Defender антивирусной программой с помощью PowerShell см. в статье Использование командлетов PowerShell для настройки и запуска Microsoft Defender антивирусной программы и командлетов антивирусной программы Defender.

Протестируйте и убедитесь, что блокировка PUA работает

После включения PUA в блочном режиме можно протестировать, чтобы убедиться, что он работает правильно. Дополнительные сведения см. в разделе Демонстрация потенциально нежелательных приложений (PUA).

Просмотр событий PUA с помощью PowerShell

События PUA регистрируются в средстве просмотра событий Windows, но не в Microsoft Configuration Manager и не в Intune. Вы также можете использовать командлет Get-MpThreat для просмотра угроз, обработанных антивирусной программой в Microsoft Defender. В следующем примере выходных данных показаны сведения, возвращаемые для обнаруженного элемента PUA, включая его состояние выполнения, серьезность и имя угрозы:

CategoryID       : 27
DidThreatExecute : False
IsActive         : False
Resources        : {webfile:_q:\Builds\Dalton_Download_Manager_3223905758.exe|http://d18yzm5yb8map8.cloudfront.net/
                    fo4yue@kxqdw/Dalton_Download_Manager.exe|pid:14196,ProcessStart:132378130057195714}
RollupStatus     : 33
SchemaVersion    : 1.0.0.0
SeverityID       : 1
ThreatID         : 213927
ThreatName       : PUA:Win32/InstallCore
TypeID           : 0
PSComputerName   :

Получение уведомлений об обнаружении PUA по электронной почте

Вы можете включить уведомления по электронной почте, чтобы получать электронные письма об обнаружении PUA. Дополнительные сведения о событиях антивирусной программы Microsoft Defender см. в разделе Устранение неполадок с идентификаторами событий. События PUA записываются в соответствии с идентификатором события 1160.

Просмотр событий PUA с помощью расширенного поиска

Если вы используете Microsoft Defender для конечной точки, вы можете использовать запрос расширенного поиска для просмотра событий PUA. Следующий запрос выполняет поиск в таблице DeviceEvents по действиям AntivirusDetection и фильтрует результаты до обнаружений, связанных с PUA, показывая такие сведения, как имя устройства, путь к файлу и статус исправления:

DeviceEvents
| where ActionType == "AntivirusDetection"
| extend x = parse_json(AdditionalFields)
| project Timestamp, DeviceName, FolderPath, FileName, SHA256, ThreatName = tostring(x.ThreatName), WasExecutingWhileDetected = tostring(x.WasExecutingWhileDetected), WasRemediated = tostring(x.WasRemediated)
| where ThreatName startswith_cs 'PUA:'

Дополнительные сведения о расширенном поиске угроз см. в разделе Проактивный поиск угроз с помощью расширенного поиска угроз.

Исключить файлы из защиты от PUA

Иногда файл ошибочно блокируется защитой от потенциально нежелательных приложений, или для выполнения задачи требуется функция потенциально нежелательного приложения. В таких случаях файл можно добавить в список исключений.

Дополнительные сведения см. в статье Настройка и проверка исключений с учетом расширения файла и расположения папки.

См. также