Windows Defender יכול לזהות ולהסיר תוכנות זדוניות ווירוסים, אך הוא אינו תופס כברירת מחדל תוכניות לא רצויות או תוכנות חרא. עם זאת, קיימת תכונת הצטרפות שתוכל להפעיל על ידי עריכת הרישום, כדי לגרום ל-Windows Defender לסרוק ולחסל תוכנות פרסום, PUAs או PUPs בזמן אמת.
תוכנית פוטנציאלית לא רצויה (PUP), יישום פוטנציאלי לא רצוי (PUA) ופוטנציאל לא רצוי תוכנה (PUS) מתייחסת לקטגוריית התוכנות הנחשבות לא רצויות, לא מהימנות או בִּלתִי רָצוּי. PUPs כוללים תוכנות פרסום, חייגנים, תוכניות "אופטימיזציה" מזויפות, סרגלי כלים וסרגלי חיפוש שמגיעים יחד עם יישומים.
PUA לא נופל תחת ההגדרה של "תוכנה זדונית" מכיוון שהם אינם זדוניים, אך עדיין, חלק מה-PUA מסווגים כ"מסוכנים".
שורה תחתונה: אינך זקוק לחומר "פוטנציאלי לא רצוי" במערכת שלך ללא קשר לרמת הסיכון, אלא אם כן אתה מאמין ברצינות שה היתרונות שמציעה תוכנית מסוימת עולים על הסיכונים או אי הנוחות שנוצרו על ידי ה-PUP שליוו את תכנית.
אפשרות GUI
ב-Windows 10 2004 ומעלה, Windows Defender סורק עבור PUA כברירת מחדל. כמו כן, יש לך את האפשרות חסימת אפליקציות עלולה להיות לא רצויה בדף הגדרות האבטחה של Windows Defender. אתה יכול להפעיל/לבטל את האפשרות באמצעות GUI.
עבור גירסאות קודמות של Windows, בצע את ההליך שלהלן כדי לאפשר את הסריקה של PUA.
כעת, הנה כיצד לאפשר סריקה והסרה של תוכנות פרסום, PUP/PUA באמצעות Windows Defender (ב-Windows 8 ומעלה).
- הפעל את תכונת הגנת PUA של Windows Defender
- אפשר הגנת PUA באמצעות PowerShell
- אפשר הגנת PUA באופן ידני [מיקום רישום 2]
- אפשר הגנת PUA באופן ידני [מיקום רישום 3]
- כיצד לבדוק אם הגנת PUA פועלת?
אפשר סריקה בזמן אמת של Windows Defender עבור תוכנות פרסום, PUA או PUP
ישנן שלוש דרכים שונות לאפשר הגנת PUA ב-Windows Defender, אבל אני לא בטוח לאיזו הגדרה יש עדיפות במקרה של התנגשות. מיקום הרישום שונה בכל שיטה שתוארה. רצוי להשתמש בלבד אחד מהשיטות הבאות כדי למנוע בלבול.
שיטה 1: אפשר הגנת PUA באמצעות PowerShell
הפעל את PowerShell (powershell.exe) כמנהל מערכת.
הפעל את הפקודה הבאה והקש ENTER:
Set-MpPreference -PUAprotection 1
פקודת PowerShell זו מוסיפה ערך רישום למפתח הבא:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender
- ערך: PUAprotection
- נתונים: 1 – מאפשר הגנת PUA | 0 - משבית את ההגנה
שים לב שהגדרה ידנית של ערך הרישום עדיין תעבוד. אבל נתיב הרישום לעיל מוגן ולא ניתן לערוך אותו באמצעות עורך הרישום אלא אם כן אתה עורך אותו כ-SYSTEM.
שיטה 2: אפשר הגנת PUA באופן ידני [מיקום רישום 2]
שיטה זו משתמשת באותו ערך רישום אך מיישמת אותו תחת מפתח הרישום Policies.
הפעל את Regedit.exe ועבור למפתח הבא:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
צור ערך DWORD בשם PUAprotection
לחץ פעמיים על PUAProtection והגדר את נתוני הערך שלו ל-1.
שיטה 3: הפעל את הגנת PUA באופן ידני [מיקום רישום 3]
הפעל את עורך הרישום (regedit.exe) ועבור למפתח הבא:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
צור מפתח משנה בשם "MpEngine"
תחת MpEngine, צור ערך DWORD בשם MpEnablePus
לחץ פעמיים על MpEnablePus והגדר את נתוני הערך שלו ל-1
זה מגדיר את Windows Defender כך שיאפשר סריקה והסרה בזמן אמת של דברים "עלולים לא רצויים".
צא מעורך הרישום.
מבין שלוש השיטות הללו, 1 ו-2 עדיין לא מתועדות על ידי מיקרוסופט - אבל הצלחתי לגלות אותן כששיחקתי עם PowerShell. שיטות 1 ו-2 נבדקו במערכת שבה פועלת Windows 10. שיטה 3 פורסמה בתחילה על ידי הבלוג MMPC.
החל את השינויים
בצע אחד מהדברים הבאים כדי להחיל את השינויים:
- כבה את ההגנה בזמן אמת והפעל אותה מחדש.
- עדכן את הגדרות Windows Defender
- הפעל מחדש את Windows
PUA ייחסם רק בזמן ההורדה או ההתקנה. קובץ ייכלל לחסימה אם הוא עומד באחד מהתנאים הבאים:
- הקובץ נסרק מהדפדפן
- לקובץ יש סימן האינטרנט (מזהה אזור) מוגדר
- הקובץ נמצא בתיקיית ההורדות
- הקובץ בתיקייה %temp%
האם Windows Defender PUA Protection עובד במערכות שאינן חלק מרשת ארגונית ארגונית?
תכונת הצטרפות זו של Windows Defender הוכרזה בשנה שעברה על ידי הבלוג של Microsoft Malware Protection Center (MMPC).. אבל, מכיוון שהפוסט בבלוג של MMPC מתייחס רק למערכות "ארגוניות", חלק מהמשתמשים הביתיים עשויים לתהות אם תכונת זיהוי ה-PUA עובדת על מחשבים עצמאיים.
כן. סריקת Windows Defender PUA פועלת גם במערכות עצמאיות.
הבדיקה הבאה מראה שזיהוי PUA של Windows Defender בהחלט עובד במערכות שאינן חלק מרשת תחום.
פורטל אבטחה MMPC יש את הרשימה המלאה של "תוכניות לא רצויות בפוטנציה" או "יישומים שעלולים להיות לא רצויים", לכל שם איום יש קידומת "PUA:".
לדוגמה, PUA: Win32/CandyOpen הוא PUP/PUA כלול עם Keyfinder מג'לי שעועית קסום ותוכניות אחרות.
(Magical Jelly Bean Keyfinder, אחרת היא תוכנה שימושית.)
לפני הפעלת הגנת Windows Defender PUA, הורדתי את Keyfinder של Magicaljellybean וניסיתי להפעיל אותו במחשב עצמאי של Windows 10 v1607. Windows Defender אפשר לי להוריד את תוכנית ההתקנה, כמו גם להפעיל אותו.
לאחר הגדרת נתוני הערך "MpEnablePus" ל-1 באמצעות עורך הרישום ועדכון ההגדרות, Windows Defender חסם את הפעלת תוכנית ההתקנה.
כמו כן, כאשר ניסיתי להוריד עותק חדש של תוכנית ההתקנה של Keyfinder, הקובץ נחסם כאשר הוא הגיע לתיקיית ההורדות או %temp%. התוצאה הייתה זהה כשבחרתי בתיקייה שאינה "הורדות".
והודעת ההתראה של Windows Defender הוצגה.
Windows Defender מצא אפליקציה לא מהימנה
הגדרות ה-IT שלך גורמות לחסימה של כל אפליקציה שעלולה לבצע פעולות לא רצויות במחשב שלך
הואיל והודעת ההודעה מילה במילה שונה עבור זיהוי "תוכנות זדוניות"; במקרה זה יהיה כתוב "מצאתי תוכנה זדונית כלשהי".
וה-PUA הועבר להסגר, כפי שמוצג בהיסטוריית הסריקה של Windows Defender.
נראה כי Magical Jelly Bean Keyfinder מאגד PUA שונים במתקין שלו מעת לעת. כאשר נבדק במאי 2019, המתקין הכיל א PUA שונה (שם PUA: Win32/Vigua. א) עם רמת האיום "חמורה".
הודעת ההתראה שונה הפעם. זה אומר "Windows Defender Antivirus חסם אפליקציה שעלולה לבצע פעולות לא רצויות במכשיר שלך.”
סיכום: תכונת זיהוי PUA של Windows Defender יכולה להיות שימושית עבור מערכות שעדיין לא ממנפות את א פתרון פרימיום נגד תוכנות זדוניות של צד שלישי (למשל, Malwarebytes Antimalware Premium) עם ניטור בזמן אמת יכולת. מקווה שמיקרוסופט תוסיף אפשרות GUI כדי לאפשר תכונת סריקת PUA ב-Windows Defender, כמו סריקה תקופתית מוגבלת תכונת הצטרפות (ואפשרות ה-GUI) ב-Windows 10.
בקשה קטנה אחת: אם אהבתם את הפוסט הזה, בבקשה שתפו אותו?
נתח "קטנטן" אחד ממך יעזור ברצינות לצמיחת הבלוג הזה. כמה הצעות נהדרות:- להצמיד אותו!
- שתף אותו בבלוג האהוב עליך + פייסבוק, Reddit
- צייץ את זה!