Windows Defender może wykrywać i usuwać złośliwe oprogramowanie i wirusy, ale domyślnie nie wyłapuje potencjalnie niechcianych programów ani crapware. Istnieje jednak funkcja opt-in, którą można włączyć, edytując rejestr, aby skanować program Windows Defender i eliminować adware, PUA lub PUP w czasie rzeczywistym.
Potencjalnie niechciany program (PUP), potencjalnie niechciana aplikacja (PUA) i potencjalnie niechciany Oprogramowanie (PUS) odnosi się do kategorii oprogramowania, które jest uważane za niechciane, niezaufane lub niepożądany. PUP obejmują adware, dialery, fałszywe programy „optymalizatora”, paski narzędzi i paski wyszukiwania dołączone do aplikacji.
PUA nie mieszczą się w definicji „złośliwego oprogramowania”, ponieważ nie są złośliwe, ale niektóre PUA są klasyfikowane jako „ryzykowne”.
Konkluzja: Nie potrzebujesz rzeczy „Potencjalnie niechcianych” w swoim systemie, niezależnie od poziomu ryzyka, chyba że poważnie wierzysz, że korzyści oferowane przez dany program przeważają nad zagrożeniami lub niedogodnościami stwarzanymi przez PUP, które towarzyszyły głównemu program.
Opcja GUI
W systemie Windows 10 2004 i nowszych program Windows Defender domyślnie skanuje w poszukiwaniu PUA. Masz również opcję Potencjalnie niechciane blokowanie aplikacji na stronie ustawień Windows Defender Security. Możesz włączyć/wyłączyć opcję za pomocą GUI.
W przypadku wcześniejszych wersji systemu Windows postępuj zgodnie z poniższą procedurą, aby włączyć skanowanie PUA.
Oto jak włączyć skanowanie i usuwanie adware, PUP/PUA za pomocą Windows Defender (w Windows 8 i nowszych).
- Włącz funkcję ochrony PUA Windows Defender
- Włącz ochronę PUA za pomocą PowerShell
- Włącz ochronę PUA ręcznie [Lokalizacja rejestru 2]
- Włącz ochronę PUA ręcznie [Lokalizacja rejestru 3]
- Jak sprawdzić, czy Ochrona PUA działa?
Włącz skanowanie w czasie rzeczywistym Windows Defender w poszukiwaniu oprogramowania typu adware, PUA lub PUP
Istnieją trzy różne sposoby włączenia ochrony PUA w Windows Defender, ale nie jestem pewien, które ustawienie ma pierwszeństwo w przypadku konfliktu. Lokalizacja rejestru jest inna w każdej opisanej metodzie. Wskazane jest, aby używać tylko jeden z poniższych metod, aby uniknąć nieporozumień.
Metoda 1: Włącz ochronę PUA za pomocą PowerShell
Uruchom PowerShell (powershell.exe) jako administrator.
Uruchom następujące polecenie i naciśnij ENTER:
Set-MpPreference -PUAProtection 1
To polecenie programu PowerShell dodaje wartość rejestru do następującego klucza:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender
- Wartość: Ochrona PUA
- Dane: 1 – włącza ochronę PUA | 0 – wyłącza ochronę
Pamiętaj, że ręczne ustawienie wartości rejestru nadal będzie działać. Ale powyższa ścieżka rejestru jest chroniona i nie można jej edytować za pomocą Edytora rejestru, chyba że edytujesz ją jako SYSTEM.
Metoda 2: Ręczne włączanie ochrony PUA [Lokalizacja rejestru 2]
Ta metoda używa tej samej wartości rejestru, ale implementuje ją w kluczu rejestru zasad.
Uruchom Regedit.exe i przejdź do następującego klucza:
HKEY_LOCAL_MACHINE OPROGRAMOWANIE Zasady Microsoft Microsoft Windows Defender
Utwórz wartość DWORD o nazwie Ochrona PUA
Kliknij dwukrotnie PUAProtection i ustaw jej dane wartości na 1.
Metoda 3: Ręczne włączanie ochrony PUA [Lokalizacja rejestru 3]
Uruchom Edytor rejestru (regedit.exe) i przejdź do następującego klucza:
HKEY_LOCAL_MACHINE OPROGRAMOWANIE Zasady Microsoft Microsoft Windows Defender
Utwórz podklucz o nazwie „MpEngine”
W MpEngine utwórz wartość DWORD o nazwie MpEnablePus
Kliknij dwukrotnie MpEnablePus i ustaw jego dane wartości na 1
To konfiguruje program Windows Defender, aby umożliwić skanowanie w czasie rzeczywistym i usuwanie „potencjalnie niechcianych” rzeczy.
Zamknij Edytor rejestru.
Z tych trzech metod 1 i 2 nie zostały jeszcze udokumentowane przez Microsoft — ale udało mi się je znaleźć podczas zabawy z PowerShell. Metody 1 i 2 zostały przetestowane w systemie Windows 10. Metoda 3 została pierwotnie opublikowana na blogu MMPC.
Zastosuj zmiany
Wykonaj jedną z tych czynności, aby zastosować zmiany:
- Wyłącz ochronę w czasie rzeczywistym i włącz ją ponownie.
- Zaktualizuj definicje Windows Defender
- Uruchom ponownie system Windows
PUA zostanie zablokowana tylko w czasie pobierania lub instalacji. Plik zostanie uwzględniony do zablokowania, jeśli spełni jeden z następujących warunków:
- Plik jest skanowany z przeglądarki
- Plik ma Znak sieci (Identyfikator strefy) ustawiony
- Plik znajduje się w folderze Pobrane
- Plik w folderze %temp%
Czy usługa Windows Defender PUA Protection działa w systemach, które nie są częścią firmowej sieci korporacyjnej?
Ta dobrowolna funkcja Windows Defender została ogłoszona w zeszłym roku przez Blog Centrum ochrony przed złośliwym oprogramowaniem firmy Microsoft (MMPC). Ale ponieważ wpis na blogu MMPC odnosi się tylko do systemów „korporacyjnych”, niektórzy użytkownicy domowi mogą się zastanawiać, czy funkcja wykrywania PUA działa na samodzielnych komputerach.
Tak. Skanowanie Windows Defender PUA działa również w systemach autonomicznych.
Poniższy test pokazuje, że wykrywanie PUA w programie Windows Defender z pewnością działa w systemach, które nie są częścią sieci domeny.
Portal bezpieczeństwa MMPC zawiera pełną listę „Potencjalnie niechciane programy” lub „Potencjalnie niechciane aplikacje”, każda nazwa zagrożenia jest poprzedzona prefiksem „PUA:”.
Na przykład, PUA: Win32/CandyOpen to PUP/PUA w pakiecie z Magical Jelly Bean Keyfinder i innymi programami.
(Magical Jelly Bean Keyfinder, w przeciwnym razie jest przydatnym oprogramowaniem.)
Przed aktywacją ochrony Windows Defender PUA pobrałem Keyfinder Magicaljellybean i próbowałem go uruchomić na samodzielnym komputerze z systemem Windows 10 v1607. Windows Defender pozwolił mi pobrać instalator, a także go uruchomić.
Po ustawieniu danych wartości „MpEnablePus” na 1 za pomocą Edytora rejestru i zaktualizowaniu definicji, program Windows Defender zablokował uruchomienie programu instalacyjnego.
Ponadto, gdy próbowałem pobrać nową kopię instalatora Keyfinder, plik został zablokowany, ponieważ wylądował w folderze Pobrane lub %temp%. Wynik był taki sam, gdy wybrałem folder inny niż „Pobrane”.
I pojawił się komunikat z powiadomieniem Windows Defender.
Windows Defender znalazł niezaufaną aplikację
Twoje ustawienia IT powodują blokowanie wszelkich aplikacji, które mogą wykonywać niepożądane działania na Twoim komputerze
Zważywszy, że powiadomienie dosłownie jest inne w przypadku wykrycia „złośliwego oprogramowania”; w takim przypadku byłby to komunikat „Znaleziono jakieś złośliwe oprogramowanie”.
PUA została poddana kwarantannie, jak pokazano w historii skanowania programu Windows Defender.
Magical Jelly Bean Keyfinder wydaje się od czasu do czasu zawierać różne PUA w swoim instalatorze. Podczas testów w maju 2019 r. instalator zawierał różne PUA (o imieniu PUA: Win32/Vigua. A) o poziomie zagrożenia „Poważne”.
Wiadomość z powiadomieniem jest tym razem inna. Powiedziało "Program antywirusowy Windows Defender zablokował aplikację, która może wykonywać niepożądane działania na Twoim urządzeniu.”
Wniosek: Funkcja wykrywania PUA Windows Defender może być przydatna w przypadku systemów, które nie wykorzystują jeszcze premium rozwiązanie antymalware innej firmy (np. Malwarebytes Antimalware Premium) z monitorowaniem w czasie rzeczywistym zdolność. Mam nadzieję, że Microsoft doda opcję GUI, aby włączyć funkcję skanowania PUA w Windows Defender, taką jak Ograniczone okresowe skanowanie funkcja opt-in (i opcja GUI) w systemie Windows 10.
Jedna mała prośba: Jeśli podobał Ci się ten post, udostępnij go?
Jeden „mały” udział od ciebie bardzo pomógłby w rozwoju tego bloga. Kilka świetnych sugestii:- Przypiąć!
- Udostępnij to na swoim ulubionym blogu + Facebooku, Reddit
- Tweetuj to!