Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Узнайте, как обнаруживать и блокировать потенциально нежелательные приложения (PUA) с помощью Microsoft Defender антивирусной программы и Microsoft Edge. В этой статье описывается, как включить защиту PUA, настроить ее в средствах управления и просмотреть события обнаружения PUA.
О потенциально нежелательных приложениях (PUA)
Потенциально нежелательные приложения (PUA) — это категория программного обеспечения, которое может вызвать медленную работу вашего компьютера, отображение непредвиденной рекламы или, в худшем случае, установку другого программного обеспечения, которое может быть неожиданным или нежелательным. PuA не считается вирусом, вредоносным ПО или другим типом угрозы, но он может выполнять действия с конечными точками, которые негативно влияют на производительность или использование конечных точек. Термин PUA также может ссылаться на приложение с плохой репутацией, по оценке Microsoft Defender для конечных точек, из-за определенных видов нежелательного поведения.
Ниже приводятся примеры:
- Рекламные программное обеспечение, которые отображают рекламу или рекламные акции, в том числе программное обеспечение, которое вставляет рекламные объявления на веб-страницы.
- Программа, устанавливающая в комплекте другое ПО, которая предлагает установить другое ПО, не подписанное цифровой подписью одного и того же субъекта. Кроме того, программное обеспечение, которое предлагает установить другое программное обеспечение, которое квалифицируется как потенциально нежелательное приложение.
- Программное обеспечение для обхода обнаружения, которое активно пытается избежать обнаружения средствами безопасности, включая программное обеспечение, которое ведет себя иначе при наличии средств безопасности.
Совет
Дополнительные примеры и обсуждение критериев, которые используются для пометки приложений, требующих особого внимания со стороны функций безопасности, см. разделе Как Майкрософт определяет вредоносные и потенциально нежелательные приложения.
Потенциально нежелательные приложения могут повысить риск заражения вашей сети фактическими вредоносными программами, затруднить выявление заражений вредоносными программами или тратить время и усилия ИТ-отделов и отделов безопасности на их очистку. Если подписка вашей организации включает Microsoft Defender для конечных точек, вы также можете настроить Microsoft Defender Antivirus на блокировку потенциально нежелательных приложений (PUA), чтобы блокировать приложения, которые считаются потенциально нежелательными на устройствах Windows.
Подробнее о подписках Windows Enterprise.
Совет
Чтобы ознакомиться с этой статьей, ознакомьтесь с руководством по настройке Microsoft Defender для конечной точки, чтобы ознакомиться с рекомендациями и узнать о таких важных средствах, как сокращение направлений атак и защита следующего поколения. Для индивидуальной работы с учетом особенностей вашей среды вы можете воспользоваться руководством по автоматической настройке Microsoft Defender для конечной точки в центре администрирования Microsoft 365.
Предварительные условия
Поддерживаемые операционные системы
клиент Windows:
- Windows 11
- Windows 10
- Windows 8.1
Windows Server:
- Windows Server 2016 и более поздних версий
- Windows Server версии 1803 или более поздней
- Windows Server 2012 R2 (требуется Microsoft Defender для конечной точки)
Другие платформы:
- ОС Azure Stack HCI, версия 23H2 и более поздние версии
- Сведения о macOS см. в статье Обнаружение и блокировка потенциально нежелательных приложений с помощью Defender для конечной точки в macOS.
- Сведения о Linux см. в статье Обнаружение и блокировка потенциально нежелательных приложений с помощью Defender для конечной точки на Linux.
Настройка защиты PUA в Microsoft Edge
Новый Microsoft Edge, основанный на Chromium, блокирует загрузки потенциально нежелательных приложений и связанные URL-адреса ресурсов. Эта функция обеспечивается с помощью фильтр SmartScreen в Microsoft Defender.
Включить защиту от PUA в Microsoft Edge на базе Chromium
Хотя защита от потенциально нежелательных приложений в Microsoft Edge (на основе Chromium, версия 80.0.361.50) отключена по умолчанию, ее можно легко отключить в браузере.
В браузере Microsoft Edge выберите многоточие, а затем выберите Параметры.
Выберите Конфиденциальность, поиск и службы.
В разделе Безопасность включите Блокировка потенциально нежелательных приложений.
Совет
Если вы используете Microsoft Edge (на базе Chromium), вы можете безопасно проверить работу функции блокировки URL-адресов в рамках защиты от PUA, опробовав её на одной из наших демонстрационных страниц фильтр SmartScreen в Microsoft Defender.
Блокировка URL-адресов с помощью фильтра SmartScreen в Microsoft Defender
В Microsoft Edge на базе Chromium с включенной защитой от потенциально нежелательных приложений (PUA) фильтр SmartScreen в Microsoft Defender защищает вас от URL-адресов, связанных с потенциально нежелательными приложениями.
Администраторы безопасности могут настроить Microsoft Edge для управления тем, как Microsoft Edge и фильтр SmartScreen в Microsoft Defender работать вместе для защиты групп пользователей от URL-адресов, связанных с PUA. Доступно несколько фильтр SmartScreen в Microsoft Defender параметров групповой политики, включая политику SmartScreenPuaEnabled. Кроме того, администраторы могут настраивать фильтр SmartScreen в Microsoft Defender в целом, используя параметры групповой политики, чтобы включить или отключить фильтр SmartScreen в Microsoft Defender.
Несмотря на то что Microsoft Defender для конечной точки имеет собственный список блокировок на основе набора данных, управляемом Майкрософт, вы можете настроить этот список на основе собственной аналитики угроз. Если вы создаете индикаторы и управляете ими на портале Microsoft Defender для конечной точки, фильтр SmartScreen в Microsoft Defender учитывает новые параметры.
Антивирус Microsoft Defender и защита от потенциально нежелательных приложений
Функция защиты от потенциально нежелательных приложений (PUA) в антивирусной программе в Microsoft Defender может обнаруживать и блокировать потенциально нежелательные приложения на конечных точках в вашей сети.
Антивирусная программа в Microsoft Defender блокирует обнаруженные PUA-файлы и все попытки их скачивания, перемещения, запуска или установки. После этого заблокированные PUA-файлы перемещаются в карантин. При обнаружении puA-файла в конечной точке Microsoft Defender антивирусная программа отправляет пользователю уведомление (если уведомления не отключены) в том же формате, что и при обнаружении других угроз. Перед уведомлением указывается PUA: для указания его содержимого.
Уведомление отображается в обычном списке карантина в приложении "Безопасность Windows".
Настройка защиты от потенциально нежелательных приложений в Microsoft Defender Antivirus
Вы можете включить защиту от PUA с помощью функции управления параметрами безопасности Microsoft Defender для конечной точки, Microsoft Intune, Microsoft Configuration Manager, групповой политики или через командлеты PowerShell Microsoft Defender Antivirus.
Сначала попробуйте использовать защиту от PUA в режиме аудита. Он обнаруживает потенциально нежелательные приложения, фактически не блокируя их. Обнаружения фиксируются в журнале событий Windows. Защита от PUA в режиме аудита полезна, если ваша компания проводит внутреннюю проверку соответствия требованиям безопасности программного обеспечения и при этом важно избежать ложных срабатываний.
Сценарии и параметры по умолчанию для защиты от PUA зависят от того, подключены ли устройства к службе Defender for Endpoint или Microsoft Defender для бизнеса.
Антивирусная программа Microsoft Defender без устройств, подключенных к Microsoft Defender для конечной точки
В следующей таблице показаны параметры защиты PUA по умолчанию для устройств, которые не подключены к Defender для конечной точки:
| Сценарии | Версия обновления системы аналитики безопасности | Параметр защиты PUA по умолчанию |
|---|---|---|
| Windows 10 или более поздней версии Windows Server 2016 или более поздней версии |
старше 1.329.495.0 | Отключено (0) |
| Windows 10 или более поздней версии Windows Server 2016 или более поздней версии |
1.329.495.0 или более поздняя версия | Режим аудита (2) |
Антивирусная программа Microsoft Defender с устройствами, подключёнными к Defender for Endpoint, план 1 / план 2, или Defender для бизнеса
В следующей таблице показаны параметры защиты PUA по умолчанию для устройств, подключенных к Defender for Endpoint, плану 1, плану 2 или Defender для бизнеса:
| Сценарии | Версия обновления системы аналитики безопасности | Управление интеллектуальными приложениями | Параметр защиты PUA по умолчанию |
|---|---|---|---|
| Windows 10 версии 2004 или более поздней Windows Server 2012 R2 и Windows Server 2016 с современным унифицированным решением для Windows Server 2016 и 2012 R2 Windows Server 2019 или более поздней версии |
Старше 1.329.495.0 | Компонент недоступен | Режим аудита (2) |
| Windows 11 версии 22H2 или более поздней | 1.329.495.0 или более поздняя версия | Доступно | Режим аудита (2) |
| Windows 10 версии 2004 или более поздней Windows Server 2012 R2 и Windows Server 2016 с современным унифицированным решением для Windows Server 2016 и 2012 R2 Windows Server 2019 или более поздней версии |
1.329.495.0 или более поздняя версия | Компонент недоступен | Режим блокировки (1) |
Совет
Чтобы включить защиту от PUA в режиме блокировки, используйте один из следующих методов управления:
- Управление параметрами безопасности в Defender для конечной точки
- Intune
- Диспетчер конфигураций
- Групповая политика
- PowerShell
Использование управления параметрами безопасности в Microsoft Defender для конечных точек для настройки защиты от PUA
Дополнительные сведения об использовании функции управления параметрами безопасности в Defender for Endpoint для настройки защиты PUA см. в разделе Использование функции управления параметрами безопасности в Microsoft Defender для конечной точки для управления антивирусной программой Microsoft Defender
Используйте Intune, чтобы настроить защиту от PUA
Сведения о настройке защиты PUA с помощью параметров ограничений устройств Intune см. в следующих статьях:
- Настройка параметров ограничений устройств в Microsoft Intune
- Параметры ограничений устройств для антивирусной программы Microsoft Defender в Windows 10 в Intune
Настройка защиты от потенциально нежелательных приложений с помощью Configuration Manager
Защита от PUA включена по умолчанию в Microsoft Configuration Manager (текущая ветвь).
Дополнительные сведения о настройке Microsoft Configuration Manager (Current Branch) см. в статье Создание и развертывание политик защиты от вредоносных программ: параметры запланированного сканирования.
Сведения о диспетчере конфигураций System Center 2012 см. в статье Развертывание политики защиты от потенциально нежелательных приложений для Endpoint Protection в Configuration Manager.
Примечание.
События PUA, заблокированные антивирусной программой Microsoft Defender, отображаются в Просмотр событий Windows, а не в Microsoft Configuration Manager.
Настройка защиты от потенциально нежелательных приложений с помощью групповой политики
Выполните следующие действия, чтобы настроить защиту PUA с помощью групповой политики:
Скачивание и установка административных шаблонов (ADMX) для Windows 11
На компьютере управления групповыми политиками откройте консоль управления групповыми политиками.
Выберите объект групповой политики, который необходимо настроить, а затем выберите Изменить.
В редакторе управления групповыми политиками перейдите к конфигурации компьютера и выберите Административные шаблоны.
Разверните дерево до узла Компоненты Windows>Антивирусная программа Microsoft Defender.
Дважды щелкните Настроить обнаружение для потенциально нежелательных приложений и установите для него значение Включено.
В разделе Параметры выберите Заблокировать, чтобы заблокировать потенциально нежелательные приложения, или выберите Режим аудита, чтобы проверить, как этот параметр работает в вашей среде. Нажмите ОК.
Разверните объект групповой политики, как обычно.
Настройка защиты от потенциально нежелательных приложений с помощью командлетов PowerShell
Используйте следующие командлеты PowerShell для включения, аудита, отключения или проверки состояния защиты от PUA в Microsoft Defender Antivirus.
Чтобы включить защиту от PUA (потенциально нежелательных приложений)
Включите защиту PUA в антивирусной Microsoft Defender, чтобы заблокировать потенциально нежелательные приложения на устройстве:
Set-MpPreference -PUAProtection Enabled
Если задать для этого командлета значение Enabled, будет включена защита PUA в антивирусе Microsoft Defender, если она отключена.
Чтобы перевести защиту от потенциально нежелательных приложений в режим аудита
Используйте режим аудита для регистрации обнаружения PUA без блокировки приложений, чтобы вы могли оценить влияние перед применением:
Set-MpPreference -PUAProtection AuditMode
Параметр AuditMode обнаруживает потенциально нежелательные приложения, не блокируя их.
Чтобы отключить защиту PUA
Рекомендуем не отключать защиту от потенциально нежелательных приложений. Однако вы можете отключить защиту от PUA в антивирусной программе Microsoft Defender для устранения неполадок или отката политики с помощью следующего командлета:
Set-MpPreference -PUAProtection Disabled
Установка для этого командлета значения Disabled отключает защиту от потенциально нежелательных приложений (PUA) в антивирусе Microsoft Defender, если она была включена.
Проверить состояние PUA
Чтобы подтвердить текущий параметр защиты PUA на устройстве, выполните запрос к параметрам антивирусной программы Microsoft Defender:
Get-MpPreference | Format-Table PUAProtection
| Значение | Описание |
|---|---|
0 |
Защита от pua отключена (по умолчанию). Microsoft Defender антивирусная программа не защищает от потенциально нежелательных приложений. |
1 |
Защита от PUA включена. Обнаруженные элементы блокируются. Они будут отображаться в истории вместе с другими угрозами. |
2 |
Режим аудита. Microsoft Defender антивирусная программа обнаруживает потенциально нежелательные приложения, но не предпринимает никаких действий. Вы можете просмотреть сведения о приложениях, в отношении которых Microsoft Defender Antivirus предпринял бы действия, выполнив поиск событий, созданных Microsoft Defender Antivirus, в средстве "Просмотр событий", но не на портале Microsoft Defender. |
Дополнительные сведения об управлении Microsoft Defender антивирусной программой с помощью PowerShell см. в статье Использование командлетов PowerShell для настройки и запуска Microsoft Defender антивирусной программы и командлетов антивирусной программы Defender.
Протестируйте и убедитесь, что блокировка PUA работает
После включения PUA в блочном режиме можно протестировать, чтобы убедиться, что он работает правильно. Дополнительные сведения см. в разделе Демонстрация потенциально нежелательных приложений (PUA).
Просмотр событий PUA с помощью PowerShell
События PUA регистрируются в средстве просмотра событий Windows, но не в Microsoft Configuration Manager и не в Intune. Вы также можете использовать командлет Get-MpThreat для просмотра угроз, обработанных антивирусной программой в Microsoft Defender. В следующем примере выходных данных показаны сведения, возвращаемые для обнаруженного элемента PUA, включая его состояние выполнения, серьезность и имя угрозы:
CategoryID : 27
DidThreatExecute : False
IsActive : False
Resources : {webfile:_q:\Builds\Dalton_Download_Manager_3223905758.exe|http://d18yzm5yb8map8.cloudfront.net/
fo4yue@kxqdw/Dalton_Download_Manager.exe|pid:14196,ProcessStart:132378130057195714}
RollupStatus : 33
SchemaVersion : 1.0.0.0
SeverityID : 1
ThreatID : 213927
ThreatName : PUA:Win32/InstallCore
TypeID : 0
PSComputerName :
Получение уведомлений об обнаружении PUA по электронной почте
Вы можете включить уведомления по электронной почте, чтобы получать электронные письма об обнаружении PUA. Дополнительные сведения о событиях антивирусной программы Microsoft Defender см. в разделе Устранение неполадок с идентификаторами событий. События PUA записываются в соответствии с идентификатором события 1160.
Просмотр событий PUA с помощью расширенного поиска
Если вы используете Microsoft Defender для конечной точки, вы можете использовать запрос расширенного поиска для просмотра событий PUA. Следующий запрос выполняет поиск в таблице DeviceEvents по действиям AntivirusDetection и фильтрует результаты до обнаружений, связанных с PUA, показывая такие сведения, как имя устройства, путь к файлу и статус исправления:
DeviceEvents
| where ActionType == "AntivirusDetection"
| extend x = parse_json(AdditionalFields)
| project Timestamp, DeviceName, FolderPath, FileName, SHA256, ThreatName = tostring(x.ThreatName), WasExecutingWhileDetected = tostring(x.WasExecutingWhileDetected), WasRemediated = tostring(x.WasRemediated)
| where ThreatName startswith_cs 'PUA:'
Дополнительные сведения о расширенном поиске угроз см. в разделе Проактивный поиск угроз с помощью расширенного поиска угроз.
Исключить файлы из защиты от PUA
Иногда файл ошибочно блокируется защитой от потенциально нежелательных приложений, или для выполнения задачи требуется функция потенциально нежелательного приложения. В таких случаях файл можно добавить в список исключений.
Дополнительные сведения см. в статье Настройка и проверка исключений с учетом расширения файла и расположения папки.
См. также
- Защита нового поколения
- Настройка поведенческой, эвристической защиты и защиты в режиме реального времени
- Microsoft Defender для конечной точки на Mac
- Microsoft Defender для конечных точек в Linux
- Настройка функций Defender для конечной точки на Android
- Настройка функций Microsoft Defender для конечной точки на iOS