Cómo habilitar la protección contra programas publicitarios o aplicaciones no deseadas en Windows Defender

Windows Defender puede detectar y eliminar malware y virus, pero no detecta programas potencialmente no deseados o crapware de forma predeterminada. Sin embargo, existe una función de suscripción que puede habilitar editando el registro, para hacer que Windows Defender escanee y elimine programas publicitarios, aplicaciones no deseadas o programas basura en tiempo real.

Programa potencialmente no deseado (PUP), aplicación potencialmente no deseada (PUA) y potencialmente no deseada Software (PUS) se refiere a la categoría de software que se considera no deseado, no confiable o indeseable. Los programas basura incluyen programas publicitarios, marcadores, programas "optimizadores" falsos, barras de herramientas y barras de búsqueda que vienen con las aplicaciones.

Las aplicaciones no deseadas no se incluyen en la definición de "malware", ya que no son maliciosos, pero aún así, algunas aplicaciones no deseadas se clasifican como "riesgosas".

Línea de fondo: No necesita elementos "potencialmente no deseados" en su sistema, independientemente del nivel de riesgo, a menos que crea seriamente que el Los beneficios ofrecidos por un programa en particular superan los riesgos o inconvenientes creados por el PUP que acompañó a los principales programa.

Ahora, aquí se explica cómo habilitar el escaneo y la eliminación de adware, PUP / PUA usando Windows Defender (en Windows 8 y superior).

• Habilitar la función de protección PUA de Windows Defender

1. 1. Habilitar la protección de PUA mediante PowerShell
   2. Habilitar la protección de PUA manualmente [ubicación de registro 2]
   3. Habilitar la protección de PUA manualmente [Ubicación del registro 3]

• ¿Cómo comprobar si la protección PUA funciona?

Habilite el escaneo en tiempo real de Windows Defender para adware, PUA o PUP

Hay tres formas diferentes de habilitar la protección de PUA en Windows Defender, pero no estoy seguro de qué configuración tiene prioridad en caso de conflicto. La ubicación del registro es diferente en cada método descrito. Es recomendable usar solo una de los siguientes métodos para evitar confusiones.

Método 1: habilitar la protección de PUA mediante PowerShell

Inicie PowerShell (powershell.exe) como administrador.

Ejecute el siguiente comando y presione ENTER:

Set-MpPreference -PUAProtection 1

Este comando de PowerShell agrega un valor de registro a la siguiente clave:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows Defender

• Valor: PUAProtección
• Datos: 1 - habilita la protección PUA | 0 - deshabilita la protección

Tenga en cuenta que la configuración manual del valor del registro seguirá funcionando. Pero la ruta de registro anterior está protegida y no se puede editar con el Editor del registro a menos que la esté editando como SYSTEM.

Método 2: habilitar la protección de PUA manualmente [ubicación de registro 2]

Este método usa el mismo valor de registro pero lo implementa bajo la clave de registro de Políticas.

Inicie Regedit.exe y vaya a la siguiente clave:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Políticas \ Microsoft \ Windows Defender

Cree un valor DWORD llamado PUAProtección

Haga doble clic en PUAProtection y establezca sus datos de valor en 1.

Método 3: habilitar la protección de PUA manualmente [Ubicación del registro 3]

Inicie el Editor del registro (regedit.exe) y vaya a la siguiente clave:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Políticas \ Microsoft \ Windows Defender

Cree una subclave denominada "MpEngine"

En MpEngine, cree un valor DWORD denominado MpEnablePus

Haga doble clic en MpEnablePus y establezca sus datos de valor en 1

Esto configura Windows Defender para permitir el escaneo en tiempo real y la eliminación de elementos "potencialmente no deseados".

Salga del Editor del registro.

De esos tres métodos, 1 y 2 aún no están documentados por Microsoft, pero logré descubrirlos cuando jugaba con PowerShell. Los métodos 1 y 2 se probaron en un sistema que ejecuta Windows 10. El método 3 fue publicado inicialmente por el blog MMPC.

Aplicar los cambios

Realice una de estas cosas para aplicar los cambios:

• Desactive la protección en tiempo real y vuelva a activarla.
• Actualizar las definiciones de Windows Defender
• Reiniciar Windows

La PUA se bloqueará solo en el momento de la descarga o la instalación. Se incluirá un archivo para bloquear si cumple una de las siguientes condiciones:

1. El archivo se está escaneando desde el navegador.
2. El archivo tiene Marca de la Web (ID de zona) establecido
3. El archivo está en la carpeta Descargas
4. El archivo en la carpeta% temp%

¿Windows Defender PUA Protection funciona en sistemas que no forman parte de una red empresarial corporativa?

Esta característica opt-in de Windows Defender fue anunciada el año pasado por el Blog del Centro de protección contra malware de Microsoft (MMPC). Pero, como la publicación del blog de MMPC hace referencia solo a sistemas “empresariales”, algunos usuarios domésticos pueden preguntarse si la función de detección de PUA funciona o no en computadoras independientes.

Si. El análisis de PUA de Windows Defender también funciona en sistemas independientes.

La siguiente prueba muestra que la detección de PUA de Windows Defender ciertamente funciona en sistemas que no forman parte de una red de dominio.

Portal de seguridad de MMPC tiene la lista completa de "Programas potencialmente no deseados" o "Aplicaciones potencialmente no deseadas", cada nombre de amenaza tiene el prefijo "PUA:".

Por ejemplo, PUA: Win32 / CandyOpen es un PUP / PUA incluido con Magical Jelly Bean Keyfinder y otros programas.

(Magical Jelly Bean Keyfinder, de lo contrario, es un software útil).

Antes de activar la protección PUA de Windows Defender, descargué Keyfinder de Magicaljellybean e intenté ejecutarlo en una computadora independiente con Windows 10 v1607. Windows Defender me permitió descargar el instalador y ejecutarlo.

Después de establecer los datos del valor "MpEnablePus" en 1 usando el Editor del Registro y actualizar las definiciones, Windows Defender bloqueó la ejecución del programa de instalación.

Además, cuando intenté descargar una nueva copia del instalador de Keyfinder, el archivo se bloqueó cuando aterrizó en la carpeta Descargas o% temp%. El resultado fue el mismo cuando elegí una carpeta distinta a "Descargas".

Y se mostró el mensaje de notificación de Windows Defender.

Considerando que, el mensaje de notificación literalmente es diferente para las detecciones de "malware"; en cuyo caso diría "Encontré algún malware".

Y la PUA se puso en cuarentena, como se muestra en el historial de análisis de Windows Defender.

Magical Jelly Bean Keyfinder parece incluir diferentes aplicaciones no deseadas en su instalador de vez en cuando. Cuando se probó en mayo de 2019, el instalador contenía un diferente PUA (nombrada PUA: Win32 / Vigua. A) con nivel de amenaza "Severo".

El mensaje de notificación es diferente esta vez. Decía "El antivirus de Windows Defender bloqueó una aplicación que podría realizar acciones no deseadas en su dispositivo.”

Conclusión: La función de detección de PUA de Windows Defender puede ser útil para sistemas que aún no aprovechan un solución antimalware premium de terceros (por ejemplo, Malwarebytes Antimalware Premium) con supervisión en tiempo real capacidad. Espero que Microsoft agregue una opción de GUI para habilitar la función de escaneo de PUA en Windows Defender, como el Escaneo periódico limitado función opt-in (y la opción GUI) en Windows 10.