Adware vagy PUA védelem engedélyezése a Windows Defenderben

A Windows Defender képes észlelni és eltávolítani a rosszindulatú programokat és vírusokat, de alapértelmezés szerint nem fogja el a potenciálisan nemkívánatos programokat vagy a rosszindulatú programokat. Van azonban egy feliratkozási funkció, amelyet a beállításjegyzék szerkesztésével engedélyezhet, így a Windows Defender átvizsgálja, és valós időben eltávolítja a reklámprogramokat, PUA-kat vagy PUP-okat.

Potenciálisan nem kívánt program (PUP), potenciálisan nem kívánt alkalmazás (PUA) és potenciálisan nem kívánt alkalmazás A szoftverek (PUS) a nemkívánatosnak, nem megbízhatónak, ill nem kívánatos. A PUP-ok közé tartoznak a reklámprogramok, tárcsázók, hamis „optimalizáló” programok, eszköztárak és keresősávok, amelyek az alkalmazásokkal együtt érkeznek.

A PUA-k nem tartoznak a „rosszindulatú programok” definíciója alá, mivel nem rosszindulatúak, de mégis, egyes PUA-k „kockázatosnak” minősülnek.

A lényeg: Nincs szükség „potenciálisan nem kívánt” dolgokra a rendszerben, függetlenül a kockázati szinttől, hacsak nem gondolja komolyan, hogy a egy adott program által kínált előnyök felülmúlják a főprogramot kísérő PUP által okozott kockázatokat vagy kényelmetlenségeket program.

Most megtudhatja, hogyan engedélyezheti a PUP/PUA reklámprogramok vizsgálatát és eltávolítását a Windows Defender segítségével (Windows 8 és újabb verziókban).

• A Windows Defender PUA védelmi funkciójának engedélyezése

1. 1. Engedélyezze a PUA védelmet a PowerShell segítségével
   2. PUA védelem manuális engedélyezése [Registry Location 2]
   3. PUA védelem manuális engedélyezése [Registry Location 3]

• Hogyan ellenőrizhető, hogy a PUA Protection működik-e?

Engedélyezze a Windows Defender valós idejű keresését reklámprogramok, PUA vagy PUP esetén

Három különböző módon engedélyezheti a PUA védelmet a Windows Defenderben, de nem vagyok biztos abban, hogy ütközés esetén melyik beállítás élvez elsőbbséget. A rendszerleíró adatbázis helye az egyes leírt módszerekben eltérő. Csak ajánlatos használni egy a félreértés elkerülése érdekében az alábbi módszerek közül.

1. módszer: Engedélyezze a PUA védelmet a PowerShell használatával

Indítsa el a PowerShellt (powershell.exe) rendszergazdaként.

Futtassa a következő parancsot, és nyomja meg az ENTER billentyűt:

Set-MpPreference -PUAProtection 1

Ez a PowerShell-parancs egy beállításjegyzéki értéket ad hozzá a következő kulcshoz:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender

• Érték: PUAProtection
• Adat: 1 – engedélyezi a PUA védelmet | 0 – letiltja a védelmet

Vegye figyelembe, hogy a beállításjegyzék értékének manuális beállítása továbbra is működik. A fenti beállításjegyzék-útvonal azonban védett, és nem szerkeszthető a Rendszerleíróadatbázis-szerkesztővel, hacsak nem RENDSZER néven szerkeszti.

2. módszer: A PUA-védelem manuális engedélyezése [2. regisztrációs hely]

Ez a módszer ugyanazt a beállításjegyzéki értéket használja, de a házirendek beállításkulcs alatt valósítja meg.

Indítsa el a Regedit.exe fájlt, és lépjen a következő kulcsra:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender

Hozzon létre egy duplaszó-értéket PUAProtection

Kattintson duplán a PUAPotection elemre, és állítsa be az értékadatait 1-re.

3. módszer: A PUA-védelem manuális engedélyezése [3. regisztrációs hely]

Indítsa el a Rendszerleíróadatbázis-szerkesztőt (regedit.exe), és lépjen a következő kulcsra:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender

Hozzon létre egy „MpEngine” nevű alkulcsot

Az MpEngine alatt hozzon létre egy duplaszó-értéket MpEnablePus

Kattintson duplán az MpEnablePus elemre, és állítsa az értékadatait 1-re

Ez úgy konfigurálja a Windows Defendert, hogy lehetővé tegye a valós idejű vizsgálatot és a „potenciálisan nem kívánt” dolgok eltávolítását.

Lépjen ki a Rendszerleíróadatbázis-szerkesztőből.

A három módszer közül az 1-et és a 2-t még nem dokumentálta a Microsoft – de sikerült rájönnöm, amikor a PowerShell-lel játszottam. Az 1. és 2. módszert Windows 10 rendszert futtató rendszeren tesztelték. A 3. módszert eredetileg az MMPC blog tette közzé.

Alkalmazza a változtatásokat

A módosítások alkalmazásához tegye a következők egyikét:

• Kapcsolja ki, majd kapcsolja be újra a valós idejű védelmet.
• Frissítse a Windows Defender definícióit
• Indítsa újra a Windowst

A PUA csak letöltéskor vagy telepítéskor lesz blokkolva. Egy fájl akkor kerül be a blokkolásra, ha megfelel az alábbi feltételek egyikének:

1. A fájl beolvasása folyamatban van a böngészőből
2. A fájl rendelkezik Mark of the Web (Zónaazonosító) beállítva
3. A fájl a Letöltések mappában található
4. A fájl a %temp% mappában

Működik a Windows Defender PUA Protection olyan rendszerekben, amelyek nem részei a vállalati vállalati hálózatnak?

Ezt a választható Windows Defender funkciót tavaly jelentette be a A Microsoft Malware Protection Center (MMPC) blogja. De mivel az MMPC blogbejegyzés csak „vállalati” rendszerekre hivatkozik, egyes otthoni felhasználók azon tűnődhetnek, hogy a PUA észlelési funkció működik-e az önálló számítógépeken.

Igen. A Windows Defender PUA vizsgálata önálló rendszerekben is működik.

A következő teszt azt mutatja, hogy a Windows Defender PUA észlelése minden bizonnyal működik olyan rendszerekben, amelyek nem részei tartományhálózatnak.

MMPC biztonsági portál tartalmazza a „Potenciálisan nemkívánatos programok” és a „Potenciálisan nem kívánt alkalmazások” teljes listáját, minden fenyegetésnév előtagja a „PUA:”.

Például, PUA: Win32/CandyOpen egy PUP/PUA, amely a Magical jelly bean Keyfinder-rel és más programokkal van csomagolva.

(A Magical Jelly Bean Keyfinder egyébként hasznos szoftver.)

A Windows Defender PUA védelem aktiválása előtt letöltöttem a Magicaljellybean's Keyfinder alkalmazást, és megpróbáltam futtatni egy Windows 10 v1607 rendszerű önálló számítógépen. A Windows Defender lehetővé tette a telepítő letöltését és futtatását.

Miután az „MpEnablePus” értékadatokat 1-re állította a Rendszerleíróadatbázis-szerkesztővel, és frissítette a definíciókat, a Windows Defender blokkolta a telepítőprogram futását.

Ezenkívül, amikor megpróbáltam letölteni a Keyfinder telepítőjének új példányát, a fájl blokkolva lett, mivel a Letöltések vagy a %temp% mappába került. Az eredmény ugyanaz volt, amikor a „Letöltések” mappától eltérő mappát választottam.

És megjelent a Windows Defender értesítő üzenete.

mivel az értesítő üzenet szó szerint eltér a „rosszindulatú programok” észlelésekor; ebben az esetben a „Found some malware” felirat jelenik meg.

A PUA pedig karanténba került, amint azt a Windows Defender vizsgálati előzményei is mutatják.

Úgy tűnik, hogy a Magical Jelly Bean Keyfinder időről időre különböző PUA-kat csomagol a telepítőjében. Amikor 2019 májusában tesztelték, a telepítő tartalmazta a különböző PUA (nevezett PUA: Win32/Vigua. A) „Súlyos” fenyegetettségi szinttel.

Az értesítő üzenet ezúttal más. Azt mondta "A Windows Defender Antivirus blokkolt egy olyan alkalmazást, amely nem kívánt műveleteket hajthat végre az eszközön.”

Következtetés: A Windows Defender PUA észlelési funkciója hasznos lehet olyan rendszerek számára, amelyek még nem használják ki a harmadik féltől származó prémium kártevőirtó megoldás (pl. Malwarebytes Antimalware Premium) valós idejű megfigyeléssel képesség. Remélhetőleg a Microsoft hozzáad egy grafikus felhasználói felületet a PUA szkennelési funkció engedélyezéséhez a Windows Defenderben, például a Korlátozott időszakos szkennelés opt-in funkció (és a grafikus felhasználói felület opció) a Windows 10 rendszerben.