Windows Defender에서 애드웨어 또는 PUA 보호를 활성화하는 방법

Windows Defender는 맬웨어와 바이러스를 감지하고 제거할 수 있지만 기본적으로 잠재적으로 원하지 않는 프로그램이나 크랩웨어는 잡아내지 못합니다. 그러나 Windows Defender가 실시간으로 애드웨어, PUA 또는 PUP를 검사하고 제거하도록 레지스트리를 편집하여 활성화할 수 있는 옵트인 기능이 있습니다.

잠재적으로 원하지 않는 프로그램(PUP), 잠재적으로 원하지 않는 애플리케이션(PUA) 및 잠재적으로 원하지 않는 프로그램 소프트웨어(PUS)는 원치 않거나 신뢰할 수 없거나 탐탁지 않은. PUP에는 애드웨어, 다이얼러, 가짜 "최적화" 프로그램, 도구 모음 및 응용 프로그램과 함께 제공되는 검색 표시줄이 포함됩니다.

PUA는 악성이 아니기 때문에 "맬웨어"의 정의에 속하지 않지만 여전히 일부 PUA는 "위험한" 것으로 분류됩니다.

결론: 심각하게 생각하지 않는 한 위험 수준에 관계없이 시스템에 "잠재적으로 원하지 않는" 항목이 필요하지 않습니다. 특정 프로그램이 제공하는 이점이 주요 프로그램을 수반하는 PUP에 의해 생성된 위험이나 불편함보다 큽니다. 프로그램.

이제 Windows Defender(Windows 8 이상)를 사용하여 애드웨어, PUP/PUA 검색 및 제거를 활성화하는 방법이 있습니다.

• Windows Defender PUA 보호 기능 활성화

1. 1. PowerShell을 사용하여 PUA 보호 활성화
   2. 수동으로 PUA 보호 활성화 [레지스트리 위치 2]
   3. 수동으로 PUA 보호 활성화 [레지스트리 위치 3]

• PUA 보호가 작동하는지 확인하는 방법은 무엇입니까?

애드웨어, PUA 또는 PUP에 대한 Windows Defender 실시간 검색 활성화

Windows Defender에서 PUA 보호를 활성화하는 방법에는 세 가지가 있지만 충돌이 발생할 경우 어떤 설정이 우선 적용되는지 잘 모르겠습니다. 레지스트리 위치는 설명된 각 방법에서 다릅니다. 만 사용하는 것이 좋습니다. 하나 혼동을 피하기 위해 다음 방법 중 하나를 선택하십시오.

방법 1: PowerShell을 사용하여 PUA 보호 활성화

PowerShell(powershell.exe)을 관리자로 시작합니다.

다음 명령을 실행하고 Enter 키를 누릅니다.

Set-MpPreference -PUAProtection 1

이 PowerShell 명령은 다음 키에 레지스트리 값을 추가합니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender

• 값: PUA보호
• 데이터: 1 – PUA 보호 활성화 | 0 – 보호 비활성화

레지스트리 값을 수동으로 설정해도 계속 작동합니다. 그러나 위의 레지스트리 경로는 보호되며 SYSTEM으로 편집하지 않는 한 레지스트리 편집기를 사용하여 편집할 수 없습니다.

방법 2: 수동으로 PUA 보호 활성화 [레지스트리 위치 2]

이 방법은 동일한 레지스트리 값을 사용하지만 Policies 레지스트리 키에서 구현합니다.

Regedit.exe를 시작하고 다음 키로 이동합니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender

라는 DWORD 값을 만듭니다. PUA보호

PUAProtection을 두 번 클릭하고 값 데이터를 1로 설정합니다.

방법 3: 수동으로 PUA 보호 활성화 [레지스트리 위치 3]

레지스트리 편집기(regedit.exe)를 시작하고 다음 키로 이동합니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender

"MpEngine"이라는 하위 키를 만듭니다.

MpEngine에서 DWORD 값을 생성합니다. MpEnablePus

MpEnablePus를 두 번 클릭하고 값 데이터를 1로 설정합니다.

이렇게 하면 "잠재적으로 원하지 않는" 항목을 실시간 검색 및 제거할 수 있도록 Windows Defender가 구성됩니다.

레지스트리 편집기를 종료합니다.

이 세 가지 방법 중 1과 2는 아직 Microsoft에서 문서화하지 않았지만 PowerShell을 사용하여 찾을 수 있었습니다. 방법 1과 2는 Windows 10을 실행하는 시스템에서 테스트되었습니다. 방법 3은 처음에 MMPC 블로그에 게시되었습니다.

변경 사항 적용

변경 사항을 적용하려면 다음 중 하나를 수행하십시오.

• 실시간 보호를 껐다가 다시 켭니다.
• Windows Defender 정의 업데이트
• Windows 다시 시작

PUA는 다운로드 또는 설치 시에만 차단됩니다. 다음 조건 중 하나를 충족하는 경우 차단할 파일이 포함됩니다.

1. 브라우저에서 파일을 스캔 중입니다.
2. 파일에는 웹의 마크 (영역 ID) 설정
3. 파일은 다운로드 폴더에 있습니다.
4. %temp% 폴더의 파일

Windows Defender PUA Protection은 기업 엔터프라이즈 네트워크의 일부가 아닌 시스템에서 작동합니까?

이 옵트인 Windows Defender 기능은 작년에 Microsoft 맬웨어 방지 센터(MMPC) 블로그. 그러나 MMPC 블로그 게시물은 "엔터프라이즈" 시스템만 참조하므로 일부 가정 사용자는 PUA 감지 기능이 독립 실행형 컴퓨터에서 작동하는지 여부를 궁금해할 수 있습니다.

예. Windows Defender PUA 검사는 독립 실행형 시스템에서도 작동합니다.

다음 테스트는 Windows Defender PUA 감지가 도메인 네트워크의 일부가 아닌 시스템에서 확실히 작동함을 보여줍니다.

MMPC 보안 포털 "잠재적으로 원하지 않는 프로그램" 또는 "원하지 않는 응용 프로그램"의 전체 목록이 있으며 각 위협 이름에는 "PUA:" 접두사가 붙습니다.

예를 들어, PUA: Win32/CandyOpen Magical jelly bean Keyfinder 및 기타 프로그램과 함께 번들로 제공되는 PUP/PUA입니다.

(Magical Jelly Bean Keyfinder, 그렇지 않으면 유용한 소프트웨어입니다.)

Windows Defender PUA 보호를 활성화하기 전에 Magicaljellybean의 Keyfinder를 다운로드하여 Windows 10 v1607 독립 실행형 컴퓨터에서 실행해 보았습니다. Windows Defender를 사용하면 설치 프로그램을 다운로드하고 실행할 수 있습니다.

레지스트리 편집기를 사용하여 "MpEnablePus" 값 데이터를 1로 설정하고 정의를 업데이트한 후 Windows Defender는 설치 프로그램 실행을 차단했습니다.

또한 Keyfinder 설치 프로그램의 새 복사본을 다운로드하려고 하면 파일이 Downloads 또는 %temp% 폴더에 도착하여 차단되었습니다. "다운로드" 이외의 폴더를 선택했을 때도 결과는 동일했습니다.

그리고 Windows Defender 알림 메시지가 표시되었습니다.

반면에 "맬웨어" 탐지의 경우 알림 메시지를 그대로 사용합니다. 이 경우 "일부 맬웨어 발견"이라고 표시됩니다.

그리고 PUA는 Windows Defender 검사 기록에 표시된 대로 격리되었습니다.

Magical Jelly Bean Keyfinder는 때때로 설치 프로그램에 다른 PUA를 번들로 제공하는 것 같습니다. 2019년 5월에 테스트했을 때 설치 프로그램에는 다른 PUA (명명 된 PUA: Win32/비구아. ㅏ) 위협 수준 "심각".

이번에는 알림 메시지가 다릅니다. 그것은 말했다 "Windows Defender 바이러스 백신이 장치에서 원치 않는 작업을 수행할 수 있는 앱을 차단했습니다.”

결론: Windows Defender PUA 감지 기능은 아직 활용하지 않는 시스템에 유용할 수 있습니다. 실시간 모니터링이 가능한 타사 프리미엄 맬웨어 방지 솔루션(예: Malwarebytes Antimalware Premium) 능력. Microsoft가 Windows Defender에서 PUA 검색 기능을 활성화하는 GUI 옵션을 추가하기를 바랍니다. 제한된 정기 스캔 Windows 10의 옵트인 기능(및 GUI 옵션).