Τρόπος ενεργοποίησης Adware ή PUA Protection στο Windows Defender

Το Windows Defender μπορεί να εντοπίσει και να αφαιρέσει κακόβουλο λογισμικό και ιούς, αλλά δεν εντοπίζει δυνητικά ανεπιθύμητα προγράμματα ή κακόβουλο λογισμικό από προεπιλογή. Ωστόσο, υπάρχει μια δυνατότητα επιλογής που μπορείτε να ενεργοποιήσετε με επεξεργασία του μητρώου, για να κάνετε το Windows Defender να σαρώνει και να εξαλείφει adware, PUA ή PUP σε πραγματικό χρόνο.

Πιθανώς ανεπιθύμητο πρόγραμμα (PUP), δυνητικά ανεπιθύμητη εφαρμογή (PUA) και δυνητικά ανεπιθύμητη εφαρμογή Το λογισμικό (PUS) αναφέρεται στην κατηγορία λογισμικού που θεωρείται ανεπιθύμητο, μη αξιόπιστο ή ανεπιθύμητος. Τα PUP περιλαμβάνουν adware, προγράμματα κλήσης, ψεύτικα προγράμματα "βελτιστοποίησης", γραμμές εργαλείων και γραμμές αναζήτησης που συνοδεύονται από εφαρμογές.

Τα PUA δεν εμπίπτουν στον ορισμό του "κακόβουλου λογισμικού" καθώς δεν είναι κακόβουλα, αλλά και πάλι, ορισμένα PUA ταξινομούνται ως "επικίνδυνα".

Συμπέρασμα: Δεν χρειάζεστε «Δυνητικά ανεπιθύμητα» πράγματα στο σύστημά σας ανεξάρτητα από το επίπεδο κινδύνου, εκτός εάν πιστεύετε σοβαρά ότι τα οφέλη που προσφέρει ένα συγκεκριμένο πρόγραμμα υπερτερούν των κινδύνων ή της ταλαιπωρίας που δημιουργεί το PUP που συνόδευε το κύριο πρόγραμμα.

Τώρα, δείτε πώς μπορείτε να ενεργοποιήσετε τη σάρωση και την αφαίρεση adware, PUP/PUA χρησιμοποιώντας το Windows Defender (στα Windows 8 και νεότερη έκδοση).

• Ενεργοποιήστε τη δυνατότητα προστασίας PUA του Windows Defender

1. 1. Ενεργοποιήστε την προστασία PUA χρησιμοποιώντας το PowerShell
   2. Μη αυτόματη ενεργοποίηση της προστασίας PUA [Τοποθεσία μητρώου 2]
   3. Μη αυτόματη ενεργοποίηση της προστασίας PUA [Τοποθεσία μητρώου 3]

• Πώς να ελέγξετε εάν το PUA Protection λειτουργεί;

Ενεργοποιήστε τη σάρωση του Windows Defender σε πραγματικό χρόνο για adware, PUA ή PUP

Υπάρχουν τρεις διαφορετικοί τρόποι για να ενεργοποιήσετε την προστασία PUA στο Windows Defender, αλλά δεν είμαι σίγουρος ποια ρύθμιση έχει προτεραιότητα σε περίπτωση διένεξης. Η θέση του μητρώου είναι διαφορετική σε κάθε μέθοδο που περιγράφεται. Συνιστάται η χρήση μόνο ένας από τις ακόλουθες μεθόδους για αποφυγή σύγχυσης.

Μέθοδος 1: Ενεργοποιήστε την προστασία PUA χρησιμοποιώντας το PowerShell

Ξεκινήστε το PowerShell (powershell.exe) ως διαχειριστής.

Εκτελέστε την ακόλουθη εντολή και πατήστε ENTER:

Set-MpPreference -PUAPProtection 1

Αυτή η εντολή PowerShell προσθέτει μια τιμή μητρώου στο ακόλουθο κλειδί:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender

• Αξία: PUAPπροστασία
• Δεδομένα: 1 – ενεργοποιεί την προστασία PUA | 0 - απενεργοποιεί την προστασία

Σημειώστε ότι η μη αυτόματη ρύθμιση της τιμής μητρώου θα εξακολουθεί να λειτουργεί. Ωστόσο, η παραπάνω διαδρομή μητρώου προστατεύεται και δεν είναι δυνατή η επεξεργασία της χρησιμοποιώντας τον Επεξεργαστή Μητρώου, εκτός εάν την επεξεργάζεστε ως SYSTEM.

Μέθοδος 2: Μη αυτόματη ενεργοποίηση της προστασίας PUA [Τοποθεσία μητρώου 2]

Αυτή η μέθοδος χρησιμοποιεί την ίδια τιμή μητρώου, αλλά την υλοποιεί κάτω από το κλειδί μητρώου πολιτικών.

Ξεκινήστε το Regedit.exe και μεταβείτε στο ακόλουθο κλειδί:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender

Δημιουργήστε μια τιμή DWORD με όνομα PUAPπροστασία

Κάντε διπλό κλικ στο PUAPprotection και ορίστε τα δεδομένα τιμής του σε 1.

Μέθοδος 3: Μη αυτόματη ενεργοποίηση της προστασίας PUA [Τοποθεσία μητρώου 3]

Ξεκινήστε τον Επεξεργαστή Μητρώου (regedit.exe) και μεταβείτε στο ακόλουθο κλειδί:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender

Δημιουργήστε ένα δευτερεύον κλειδί με το όνομα "MpEngine"

Στην περιοχή MpEngine, δημιουργήστε μια τιμή DWORD με το όνομα MpEnablePus

Κάντε διπλό κλικ στο MpEnablePus και ορίστε τα δεδομένα τιμής του σε 1

Αυτό ρυθμίζει το Windows Defender ώστε να ενεργοποιεί τη σάρωση σε πραγματικό χρόνο και την αφαίρεση «Δυνητικά ανεπιθύμητων» στοιχείων.

Κλείστε τον Επεξεργαστή Μητρώου.

Από αυτές τις τρεις μεθόδους, η 1 και η 2 δεν έχουν τεκμηριωθεί ακόμη από τη Microsoft — αλλά κατάφερα να τις ανακαλύψω όταν παίζω με το PowerShell. Οι μέθοδοι 1 και 2 δοκιμάστηκαν σε σύστημα με Windows 10. Η μέθοδος 3 δημοσιεύτηκε αρχικά από το ιστολόγιο MMPC.

Εφαρμόστε τις αλλαγές

Κάντε ένα από τα παρακάτω για να εφαρμόσετε τις αλλαγές:

• Απενεργοποιήστε την προστασία σε πραγματικό χρόνο και ενεργοποιήστε την ξανά.
• Ενημερώστε τους ορισμούς του Windows Defender
• Κάντε επανεκκίνηση των Windows

Το PUA θα αποκλειστεί μόνο κατά τη λήψη ή την εγκατάσταση. Ένα αρχείο θα συμπεριληφθεί για αποκλεισμό εάν πληροί μία από τις ακόλουθες προϋποθέσεις:

1. Το αρχείο σαρώνεται από το πρόγραμμα περιήγησης
2. Το αρχείο έχει Σημάδι του Ιστού (Αναγνωριστικό ζώνης) σετ
3. Το αρχείο βρίσκεται στο φάκελο Λήψεις
4. Το αρχείο στον φάκελο %temp%.

Λειτουργεί το Windows Defender PUA Protection σε συστήματα που δεν αποτελούν μέρος εταιρικού εταιρικού δικτύου;

Αυτή η δυνατότητα επιλογής του Windows Defender ανακοινώθηκε πέρυσι από το Ιστολόγιο Microsoft Malware Protection Center (MMPC).. Ωστόσο, καθώς η ανάρτηση ιστολογίου MMPC αναφέρεται μόνο σε συστήματα «επιχειρηματικών», ορισμένοι οικικοί χρήστες μπορεί να αναρωτιούνται εάν η δυνατότητα ανίχνευσης PUA λειτουργεί ή όχι σε αυτόνομους υπολογιστές.

Ναί. Η σάρωση PUA του Windows Defender λειτουργεί και σε αυτόνομα συστήματα.

Η ακόλουθη δοκιμή δείχνει ότι η ανίχνευση PUA του Windows Defender σίγουρα λειτουργεί σε συστήματα που δεν αποτελούν μέρος ενός δικτύου τομέα.

MMPC Security Portal έχει την πλήρη λίστα των "Πιθανώς ανεπιθύμητων προγραμμάτων" ή "Δυνητικά ανεπιθύμητων εφαρμογών", κάθε όνομα απειλής έχει το πρόθεμα "PUA:".

Για παράδειγμα, PUA: Win32/CandyOpen είναι ένα PUP/PUA σε πακέτο με Magical jelly bean Keyfinder και άλλα προγράμματα.

(Το Magical Jelly Bean Keyfinder, διαφορετικά είναι ένα χρήσιμο λογισμικό.)

Πριν ενεργοποιήσω την προστασία PUA του Windows Defender, κατέβασα το Keyfinder του Magicaljellybean και προσπάθησα να το εκτελέσω σε έναν αυτόνομο υπολογιστή Windows 10 v1607. Το Windows Defender μου επέτρεψε να κατεβάσω το πρόγραμμα εγκατάστασης, καθώς και να το εκτελέσω.

Μετά τη ρύθμιση των δεδομένων τιμής "MpEnablePus" σε 1 χρησιμοποιώντας τον Επεξεργαστή Μητρώου και την ενημέρωση των ορισμών, το Windows Defender απέκλεισε την εκτέλεση του προγράμματος εγκατάστασης.

Επίσης, όταν προσπάθησα να κατεβάσω ένα νέο αντίγραφο του προγράμματος εγκατάστασης του Keyfinder, το αρχείο αποκλείστηκε καθώς εμφανίστηκε στο φάκελο "Λήψεις" ή στο φάκελο %temp%. Το αποτέλεσμα ήταν το ίδιο όταν επέλεξα έναν φάκελο εκτός από το "Λήψεις".

Και εμφανίστηκε το μήνυμα ειδοποίησης του Windows Defender.

Ενώ, το μήνυμα ειδοποίησης κατά λέξη είναι διαφορετικό για ανιχνεύσεις "κακόβουλου λογισμικού". οπότε θα έλεγε "Βρέθηκε κάποιο κακόβουλο λογισμικό".

Και το PUA τέθηκε σε καραντίνα, όπως φαίνεται στο ιστορικό σάρωσης του Windows Defender.

Το Magical Jelly Bean Keyfinder φαίνεται να συνδυάζει διαφορετικά PUA στο πρόγραμμα εγκατάστασης του κατά καιρούς. Όταν δοκιμάστηκε τον Μάιο του 2019, το πρόγραμμα εγκατάστασης περιείχε α διαφορετικά PUA (με όνομα PUA: Win32/Vigua. ΕΝΑ) με επίπεδο απειλής «Σοβαρή».

Το μήνυμα ειδοποίησης είναι διαφορετικό αυτή τη φορά. Είπε "Το Windows Defender Antivirus απέκλεισε μια εφαρμογή που μπορεί να εκτελεί ανεπιθύμητες ενέργειες στη συσκευή σας.”

Συμπέρασμα: Η δυνατότητα ανίχνευσης PUA του Windows Defender μπορεί να είναι χρήσιμη για συστήματα που δεν χρησιμοποιούν ήδη α λύση προστασίας από κακόβουλο λογισμικό τρίτων κατασκευαστών (π.χ. Malwarebytes Antimalware Premium) με παρακολούθηση σε πραγματικό χρόνο ικανότητα. Ελπίζουμε η Microsoft να προσθέσει μια επιλογή GUI για να ενεργοποιήσει τη δυνατότητα σάρωσης PUA στο Windows Defender, όπως το Περιορισμένη περιοδική σάρωση δυνατότητα συμμετοχής (και η επιλογή GUI) στα Windows 10.