Windows Defender è in grado di rilevare e rimuovere malware e virus, ma per impostazione predefinita non rileva programmi potenzialmente indesiderati o crapware. Tuttavia, esiste una funzione di attivazione che puoi abilitare modificando il registro, per eseguire la scansione di Windows Defender ed eliminare adware, PUA o PUP in tempo reale.
Programma potenzialmente indesiderato (PUP), Applicazione potenzialmente indesiderata (PUA) e Potenzialmente indesiderato Software (PUS) si riferisce alla categoria di software considerati indesiderati, non attendibili o indesiderabile. I PUP includono adware, dialer, falsi programmi "ottimizzatore", barre degli strumenti e barre di ricerca fornite in bundle con le applicazioni.
Le PUA non rientrano nella definizione di "malware" in quanto non sono dannose, tuttavia alcune PUA sono classificate come "rischiose".
Linea di fondo: Non hai bisogno di elementi "potenzialmente indesiderati" nel tuo sistema, indipendentemente dal livello di rischio, a meno che tu non creda seriamente che il i benefici offerti da un particolare programma superano i rischi o i disagi creati dal cucciolo che ha accompagnato il principale programma.
Opzione GUI
In Windows 10 2004 e versioni successive, Windows Defender esegue la scansione delle PUA per impostazione predefinita. Inoltre, hai la possibilità Blocco di app potenzialmente indesiderate nella pagina delle impostazioni di Windows Defender Security. È possibile abilitare/disabilitare l'opzione utilizzando la GUI.
Per le versioni precedenti di Windows, seguire la procedura seguente per abilitare la scansione delle PUA.
Ora, ecco come abilitare la scansione e la rimozione di adware, PUP/PUA utilizzando Windows Defender (in Windows 8 e versioni successive).
- Abilita la funzione di protezione PUA di Windows Defender
- Abilita la protezione PUA utilizzando PowerShell
- Abilita protezione PUA manualmente [Posizione registro 2]
- Abilita protezione PUA manualmente [Posizione registro 3]
- Come verificare se la protezione PUA funziona?
Abilita la scansione in tempo reale di Windows Defender per adware, PUA o PUP
Esistono tre modi diversi per abilitare la protezione PUA in Windows Defender, ma non sono sicuro di quale impostazione abbia la precedenza in caso di conflitto. La posizione del registro è diversa in ogni metodo descritto. Si consiglia di utilizzare solo uno dei seguenti metodi per evitare confusione.
Metodo 1: abilitare la protezione PUA utilizzando PowerShell
Avvia PowerShell (powershell.exe) come amministratore.
Eseguire il seguente comando e premere INVIO:
Set-MpPreference -PUAProtection 1
Questo comando PowerShell aggiunge un valore di registro alla chiave seguente:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender
- Valore: Protezione PUA
- Dati: 1 – abilita la protezione PUA | 0 – disabilita la protezione
Si noti che l'impostazione manuale del valore del registro funzionerebbe comunque. Ma il percorso del registro di cui sopra è protetto e non può essere modificato utilizzando l'editor del registro a meno che non lo si modifichi come SISTEMA.
Metodo 2: abilita manualmente la protezione PUA [Posizione registro 2]
Questo metodo utilizza lo stesso valore di registro ma lo implementa nella chiave di registro Criteri.
Avvia Regedit.exe e vai alla seguente chiave:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
Crea un valore DWORD denominato Protezione PUA
Fare doppio clic su PUAProtection e impostare i dati del valore su 1.
Metodo 3: abilita manualmente la protezione PUA [Posizione registro 3]
Avvia l'editor del registro (regedit.exe) e vai alla seguente chiave:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
Crea una sottochiave denominata "MpEngine"
In MpEngine, crea un valore DWORD denominato MpEnablePus
Fare doppio clic su MpEnablePus e impostare i dati del valore su 1
Ciò configura Windows Defender per consentire la scansione e la rimozione in tempo reale di elementi "potenzialmente indesiderati".
Uscire dall'editor del registro.
Di questi tre metodi, 1 e 2 non sono ancora documentati da Microsoft, ma sono riuscito a scoprirli giocando con PowerShell. I metodi 1 e 2 sono stati testati in un sistema con Windows 10. Il metodo 3 è stato inizialmente pubblicato dal blog MMPC.
Applicare le modifiche
Eseguire una di queste operazioni per applicare le modifiche:
- Disattiva la protezione in tempo reale e riattivala.
- Aggiorna le definizioni di Windows Defender
- Riavvia Windows
PUA verrà bloccato solo al momento del download o dell'installazione. Un file verrà incluso per il blocco se soddisfa una delle seguenti condizioni:
- Il file è in fase di scansione dal browser
- Il file ha Marchio del Web (ID zona) impostato
- Il file si trova nella cartella Download
- Il file nella cartella %temp%
Windows Defender PUA Protection funziona in sistemi che non fanno parte di una rete aziendale aziendale?
Questa funzionalità di Windows Defender opt-in è stata annunciata l'anno scorso dal Blog di Microsoft Malware Protection Center (MMPC). Tuttavia, poiché il post sul blog MMPC fa riferimento solo a sistemi "enterprise", alcuni utenti domestici potrebbero chiedersi se la funzione di rilevamento PUA funzioni o meno su computer autonomi.
Sì. La scansione PUA di Windows Defender funziona anche nei sistemi autonomi.
Il test seguente mostra che il rilevamento delle PUA di Windows Defender funziona sicuramente nei sistemi che non fanno parte di una rete di dominio.
Portale di sicurezza MMPC ha l'elenco completo di "Programmi potenzialmente indesiderati" o "Applicazioni potenzialmente indesiderate", ogni nome di minaccia è preceduto da "PUA:".
Per esempio, PUA: Win32/CandyOpen è un PUP/PUA in bundle con Magical Jelly Bean Keyfinder e altri programmi.
(Magical Jelly Bean Keyfinder, altrimenti è un software utile.)
Prima di attivare la protezione PUA di Windows Defender, ho scaricato Keyfinder di Magicaljellybean e ho provato a eseguirlo su un computer autonomo Windows 10 v1607. Windows Defender mi ha permesso di scaricare il programma di installazione ed eseguirlo.
Dopo aver impostato i dati del valore "MpEnablePus" su 1 utilizzando l'editor del registro e aver aggiornato le definizioni, Windows Defender ha bloccato l'esecuzione del programma di installazione.
Inoltre, quando ho provato a scaricare una nuova copia del programma di installazione di Keyfinder, il file è stato bloccato perché è arrivato nella cartella Download o %temp%. Il risultato è stato lo stesso quando ho scelto una cartella diversa da "Download".
E il messaggio di notifica di Windows Defender è stato mostrato.
Windows Defender ha trovato un'app non attendibile
Le tue impostazioni IT causano il blocco di qualsiasi app che potrebbe eseguire azioni indesiderate sul tuo computer
Considerando che, il messaggio di notifica alla lettera è diverso per i rilevamenti di "malware"; nel qual caso direbbe "Trovato del malware".
E la PUA è stata messa in quarantena, come mostrato nella cronologia di scansione di Windows Defender.
Magical Jelly Bean Keyfinder sembra raggruppare diverse PUA nel suo programma di installazione di volta in volta. Quando è stato testato a maggio 2019, il programma di installazione conteneva un PUA diverso (di nome PUA: Win32/Vigua. UN) con livello di minaccia “Severo”.
Il messaggio di notifica questa volta è diverso. Ha detto "Windows Defender Antivirus ha bloccato un'app che potrebbe eseguire azioni indesiderate sul tuo dispositivo.”
Conclusione: La funzionalità di rilevamento PUA di Windows Defender può essere utile per i sistemi che non sfruttano già a soluzione antimalware premium di terze parti (ad es. Malwarebytes Antimalware Premium) con monitoraggio in tempo reale capacità. Spero che Microsoft aggiunga un'opzione GUI per abilitare la funzione di scansione PUA in Windows Defender, come il Scansione periodica limitata funzionalità di opt-in (e l'opzione GUI) in Windows 10.
Una piccola richiesta: se ti è piaciuto questo post, condividilo?
Una "piccola" condivisione da parte tua sarebbe di grande aiuto per la crescita di questo blog. Alcuni ottimi suggerimenti:- Fissalo!
- Condividilo sul tuo blog preferito + Facebook, Reddit
- Twittalo!