Program Windows Defender może wykrywać i usuwać złośliwe oprogramowanie i wirusy, ale domyślnie nie wykrywa potencjalnie niechcianych programów ani crapware. Istnieje jednak funkcja opcjonalna, którą można włączyć, edytując rejestr, aby skanować program Windows Defender i eliminować adware, PUA lub PUP w czasie rzeczywistym.
Potencjalnie niechciany program (PUP), potencjalnie niechciana aplikacja (PUA) i potencjalnie niechciane oprogramowanie (PUS) odnoszą się do kategorii oprogramowania uznanego za niepożądane, niezaufane lub niepożądane. PUP obejmują oprogramowanie reklamowe, dialery, fałszywe programy „optymalizujące”, paski narzędzi i paski wyszukiwania dostarczane wraz z aplikacjami.
PUA nie są objęte definicją „złośliwego oprogramowania”, ponieważ nie są złośliwe, ale niektóre PUA są klasyfikowane jako „ryzykowne”.
Konkluzja: Nie potrzebujesz „Potencjalnie niechcianych” rzeczy w swoim systemie, niezależnie od poziomu ryzyka, chyba że poważnie uważasz, że korzyści oferowane przez konkretny program przeważają nad ryzykiem lub niedogodnościami wynikającymi z PUP, które towarzyszyły programowi głównemu.
Oto, jak włączyć skanowanie i usuwanie adware, PUP lub PUA za pomocą Windows Defender (w Windows 8 i nowszych).
- Włącz funkcję ochrony Windows Defender PUA
- Włącz ochronę PUA za pomocą PowerShell
- Włącz ochronę PUA ręcznie [lokalizacja rejestru 2]
- Włącz ochronę PUA ręcznie [lokalizacja rejestru 3]
- Jak sprawdzić, czy działa ochrona PUA?
Włącz skanowanie w czasie rzeczywistym Windows Defender w poszukiwaniu oprogramowania reklamowego, PUA lub PUP
Istnieją trzy różne sposoby włączenia ochrony PUA w programie Windows Defender, ale nie jestem pewien, które ustawienie ma pierwszeństwo w przypadku konfliktu. Lokalizacja rejestru jest inna dla każdej opisanej metody. Wskazane jest użycie tylko jednej z następujących metod, aby uniknąć nieporozumień.
Metoda 1: Włącz ochronę PUA za pomocą programu PowerShell
Uruchom PowerShell (powershell.exe) jako administrator.
Uruchom następujące polecenie i naciśnij klawisz ENTER:
Set-MpPreference -PUAProtection 1
To polecenie PowerShell dodaje wartość rejestru do następującego klucza:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows Defender
- Wartość: Ochrona PUAP
- Dane: 1 - włącza ochronę PUA | 0 - wyłącza ochronę
Pamiętaj, że ręczne ustawienie wartości rejestru nadal będzie działać. Ale powyższa ścieżka rejestru jest chroniona i nie można jej edytować za pomocą Edytora rejestru, chyba że edytujesz ją jako SYSTEM.
Metoda 2: Ręcznie włącz ochronę PUA [lokalizacja rejestru 2]
Ta metoda używa tej samej wartości rejestru, ale implementuje ją w kluczu rejestru Zasady.
Uruchom Regedit.exe i przejdź do następującego klucza:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows Defender
Utwórz wartość DWORD o nazwie PUAProtection
Kliknij dwukrotnie PUAProtection i ustaw jego wartości danych na 1.
Metoda 3: Ręcznie włącz ochronę PUA [lokalizacja rejestru 3]
Uruchom Edytor rejestru (regedit.exe) i przejdź do następującego klucza:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows Defender
Utwórz podklucz o nazwie „MpEngine”
W obszarze MpEngine utwórz wartość DWORD o nazwie MpEnablePus
Kliknij dwukrotnie MpEnablePus i ustaw jego wartość danych na 1
To konfiguruje Windows Defender, aby umożliwić skanowanie w czasie rzeczywistym i usuwanie „Potencjalnie niechcianych” rzeczy.
Wyjdź z Edytora rejestru.
Spośród tych trzech metod 1 i 2 nie zostały jeszcze udokumentowane przez Microsoft - ale udało mi się je znaleźć podczas gry w PowerShell. Metody 1 i 2 zostały przetestowane w systemie z systemem Windows 10. Metoda 3 została pierwotnie opublikowana przez blog MMPC.
Zastosuj zmiany
Wykonaj jedną z następujących czynności, aby zastosować zmiany:
- Wyłącz ochronę w czasie rzeczywistym i włącz ją ponownie.
- Zaktualizuj definicje Windows Defender
- Uruchom ponownie system Windows
PUA zostanie zablokowany tylko podczas pobierania lub instalowania. Plik zostanie dołączony do zablokowania, jeśli spełni jeden z następujących warunków:
- Plik jest skanowany z przeglądarki
- Plik ma ustawiony znak sieci (ID strefy)
- Plik znajduje się w folderze Pobrane
- Plik w folderze% temp%
Czy program Windows Defender PUA Protection działa w systemach, które nie są częścią korporacyjnej sieci korporacyjnej?
Ta opcjonalna funkcja Windows Defender została ogłoszona w ubiegłym roku na blogu Microsoft Malware Protection Center (MMPC). Ponieważ jednak blog MMPC odnosi się tylko do systemów „korporacyjnych”, niektórzy użytkownicy domowi mogą się zastanawiać, czy funkcja wykrywania PUA działa na samodzielnych komputerach.
Tak. Skanowanie Windows Defender PUA działa również w systemach autonomicznych.
Poniższy test pokazuje, że wykrywanie Windows Defender PUA z pewnością działa w systemach, które nie są częścią sieci domen.
Portal MMPC Security Portal ma pełną listę „Potencjalnie niechcianych programów” lub „Potencjalnie niechcianych aplikacji”, każda nazwa zagrożenia jest poprzedzona „PUA:”.
Na przykład PUA: Win32 / CandyOpen to PUP / PUA w pakiecie z Keyfinder Magical jelly bean i innymi programami.
(Magical Jelly Bean Keyfinder, w przeciwnym razie jest użytecznym oprogramowaniem).
Przed aktywowaniem ochrony Windows Defender PUA pobrałem Keyfinder Magicaljellybean i próbowałem uruchomić go na samodzielnym komputerze z systemem Windows 10 v1607. Windows Defender pozwolił mi pobrać instalator, a także go uruchomić.
Po ustawieniu danych wartości „MpEnablePus” na 1 za pomocą Edytora rejestru i aktualizacji definicji, Windows Defender zablokował uruchomienie programu instalacyjnego.
Ponadto, gdy próbowałem pobrać nową kopię instalatora Keyfinder, plik został zablokowany, gdy wylądował w folderze Pobrane lub% temp%. Rezultat był taki sam, gdy wybrałem folder inny niż „Pobrane”.
Pojawiło się powiadomienie Windows Defender.
Windows Defender znalazł niezaufaną aplikację
Twoje ustawienia IT powodują blokowanie dowolnej aplikacji, która może wykonywać niepożądane działania na twoim komputerze
Mając na uwadze, że dosłowne powiadomienie różni się w przypadku wykrycia „złośliwego oprogramowania”; w takim przypadku byłoby napisane „Znaleziono jakieś złośliwe oprogramowanie”.
I PUA zostało poddane kwarantannie, jak pokazano w historii skanowania Windows Defender.
Magical Jelly Bean Keyfinder wydaje się od czasu do czasu łączyć różne PUA w swoim instalatorze. Podczas testów w maju 2019 r. Instalator zawierał inny PUA (o nazwie PUA:Win32/Vigua.A
) o poziomie zagrożenia „Ciężkie”.
Tym razem powiadomienie jest inne. Napisano: „ Windows Defender Antivirus zablokował aplikację, która może wykonywać niepożądane działania na twoim urządzeniu. ”
Wniosek: funkcja wykrywania PUA w programie Windows Defender może być przydatna w systemach, które nie wykorzystują jeszcze rozwiązania antywirusowego klasy premium (np. Malwarebytes Antimalware Premium) z funkcją monitorowania w czasie rzeczywistym. Mam nadzieję, że Microsoft dodaje opcję GUI, aby włączyć funkcję skanowania PUA w programie Windows Defender, taką jak opcjonalna opcja ograniczonego okresowego skanowania (i opcja GUI) w systemie Windows 10.