Windows Defender dokáže detekovat a odstranit malware a viry, ale ve výchozím nastavení nezachycuje potenciálně nežádoucí programy nebo crapware. Existuje však funkce opt-in, kterou můžete povolit úpravou registru, aby program Windows Defender skenoval a eliminoval adware, PUA nebo PUP v reálném čase.
Potenciálně nežádoucí program (PUP), potenciálně nežádoucí aplikace (PUA) a potenciálně nežádoucí Software (PUS) označuje kategorii softwaru, který je považován za nežádoucí, nedůvěryhodný nebo nežádoucí. PUP zahrnují adware, dialery, falešné „optimalizační“ programy, panely nástrojů a vyhledávací panely, které jsou dodávány s aplikacemi.
PUA nespadají pod definici „malwaru“, protože nejsou škodlivé, ale přesto jsou některé PUA klasifikovány jako „rizikové“.
Sečteno a podtrženo: Nepotřebujete ve svém systému „potenciálně nežádoucí“ věci bez ohledu na úroveň rizika, pokud vážně nevěříte, že výhody nabízené konkrétním programem převažují nad riziky nebo nepříjemnostmi způsobenými PUP, které doprovázely hlavní program.
možnost GUI
Ve Windows 10 2004 a vyšších Windows Defender ve výchozím nastavení vyhledává PUA. Navíc máte možnost Potenciálně nežádoucí blokování aplikací na stránce nastavení zabezpečení programu Windows Defender. Tuto možnost můžete povolit/zakázat pomocí GUI.
U dřívějších verzí systému Windows povolte skenování PUA podle níže uvedeného postupu.
Nyní je zde návod, jak povolit skenování a odstranění adwaru, PUP/PUA pomocí programu Windows Defender (ve Windows 8 a vyšších).
- Povolit funkci ochrany PUA v programu Windows Defender
- Povolte ochranu PUA pomocí prostředí PowerShell
- Povolit ochranu PUA ručně [Umístění registru 2]
- Povolit ochranu PUA ručně [Umístění registru 3]
- Jak zkontrolovat, zda funguje ochrana PUA?
Povolte v programu Windows Defender kontrolu adwaru, PUA nebo PUP v reálném čase
Existují tři různé způsoby, jak povolit ochranu PUA v programu Windows Defender, ale nejsem si jistý, které nastavení má přednost v případě konfliktu. Umístění registru se v každé popsané metodě liší. Je vhodné používat pouze jeden z následujících metod, aby nedošlo k záměně.
Metoda 1: Povolte ochranu PUA pomocí prostředí PowerShell
Spusťte PowerShell (powershell.exe) jako správce.
Spusťte následující příkaz a stiskněte ENTER:
Set-MpPreference -PUAProtection 1
Tento příkaz PowerShell přidá hodnotu registru do následujícího klíče:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender
- Hodnota: PUAPochrana
- Data: 1 – umožňuje ochranu PUA | 0 – deaktivuje ochranu
Všimněte si, že ruční nastavení hodnoty registru bude stále fungovat. Výše uvedená cesta registru je však chráněna a nelze ji upravit pomocí Editoru registru, pokud ji neupravujete jako SYSTÉM.
Metoda 2: Ruční povolení ochrany PUA [Umístění registru 2]
Tato metoda používá stejnou hodnotu registru, ale implementuje ji pod klíčem registru zásad.
Spusťte Regedit.exe a přejděte na následující klíč:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
Vytvořte hodnotu DWORD s názvem PUAPochrana
Dvakrát klikněte na PUAProtection a nastavte jeho hodnotu na 1.
Metoda 3: Ruční povolení ochrany PUA [Umístění registru 3]
Spusťte Editor registru (regedit.exe) a přejděte na následující klíč:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
Vytvořte podklíč s názvem „MpEngine“
V části MpEngine vytvořte hodnotu DWORD s názvem MpEnablePus
Dvakrát klikněte na MpEnablePus a nastavte jeho hodnotu na 1
Tím se nakonfiguruje program Windows Defender tak, aby umožňoval skenování v reálném čase a odstraňování „potenciálně nežádoucích“ věcí.
Ukončete Editor registru.
Z těchto tří metod nejsou 1 a 2 dosud společností Microsoft zdokumentovány – ale podařilo se mi je zjistit při hraní s PowerShell. Metody 1 a 2 byly testovány v systému se systémem Windows 10. Metoda 3 byla původně publikována blogem MMPC.
Použít změny
Chcete-li použít změny, proveďte jednu z těchto věcí:
- Vypněte ochranu v reálném čase a znovu ji zapněte.
- Aktualizujte definice programu Windows Defender
- Restartujte systém Windows
PUA bude blokován pouze při stahování nebo instalaci. Soubor bude zahrnut k blokování, pokud splňuje jednu z následujících podmínek:
- Soubor se kontroluje z prohlížeče
- Soubor má Značka webu (ID zóny).
- Soubor je ve složce Stažené soubory
- Soubor ve složce %temp%.
Funguje Windows Defender PUA Protection v systémech, které nejsou součástí podnikové sítě?
Tato volitelná funkce programu Windows Defender byla oznámena minulý rok společností Blog Microsoft Malware Protection Center (MMPC).. Ale protože blogový příspěvek MMPC odkazuje pouze na „podnikové“ systémy, někteří domácí uživatelé se mohou ptát, zda funkce detekce PUA funguje na samostatných počítačích.
Ano. Skenování Windows Defender PUA funguje také v samostatných systémech.
Následující test ukazuje, že detekce PUA programu Windows Defender určitě funguje v systémech, které nejsou součástí doménové sítě.
Bezpečnostní portál MMPC obsahuje úplný seznam „Potenciálně nežádoucích programů“ nebo „Potenciálně nežádoucích aplikací“, každý název hrozby má předponu „PUA:“.
Například, PUA: Win32/CandyOpen je PUP/PUA spojený s Magical jelly bean Keyfinder a dalšími programy.
(Magical Jelly Bean Keyfinder, jinak je to užitečný software.)
Před aktivací ochrany Windows Defender PUA jsem si stáhl Magicaljellybean’s Keyfinder a pokusil se jej spustit na samostatném počítači s Windows 10 v1607. Windows Defender mi umožnil stáhnout instalační program a také jej spustit.
Po nastavení dat hodnoty „MpEnablePus“ na 1 pomocí Editoru registru a aktualizaci definic zablokoval program Windows Defender spuštění instalačního programu.
Také, když jsem se pokusil stáhnout novou kopii instalačního programu Keyfinder, soubor byl zablokován, protože přistál ve složce Downloads nebo %temp%. Výsledek byl stejný, když jsem zvolil jinou složku než „Stahování“.
A zobrazila se oznamovací zpráva programu Windows Defender.
Windows Defender našel nedůvěryhodnou aplikaci
Vaše nastavení IT způsobuje zablokování jakékoli aplikace, která by mohla ve vašem počítači provádět nežádoucí akce
vzhledem k tomu, že doslovná zpráva s upozorněním se u detekce „malwaru“ liší; v takovém případě by to řeklo „Nalezen nějaký malware“.
A PUA byl v karanténě, jak je uvedeno v historii skenování programu Windows Defender.
Zdá se, že Magical Jelly Bean Keyfinder čas od času připojuje různé PUA do svého instalačního programu. Při testování v květnu 2019 instalační program obsahoval a různé PUA (pojmenovaný PUA: Win32/Vigua. A) s úrovní ohrožení „Severe“.
Oznamovací zpráva je tentokrát jiná. Řeklo "Windows Defender Antivirus zablokoval aplikaci, která by mohla ve vašem zařízení provádět nežádoucí akce.”
Závěr: Funkce detekce PUA programu Windows Defender může být užitečná pro systémy, které ještě nevyužívají a prémiové antimalwarové řešení třetí strany (např. Malwarebytes Antimalware Premium) s monitorováním v reálném čase schopnost. Doufám, že Microsoft přidává možnost GUI pro povolení funkce skenování PUA v programu Windows Defender, jako je Omezené periodické skenování funkce opt-in (a možnost GUI) ve Windows 10.
Jedna malá prosba: Pokud se vám tento příspěvek líbil, sdílejte jej prosím?
Jedno "drobné" sdílení od vás by vážně hodně pomohlo růstu tohoto blogu. Některé skvělé návrhy:- Připnout!
- Sdílejte to na svůj oblíbený blog + Facebook, Reddit
- Tweetujte!