Windows Defender kan registrere og fjerne malware og vira, men det fanger som standard ikke potentielt uønskede programmer eller crapware. Der er dog en opt-in-funktion, som du kan aktivere ved at redigere registreringsdatabasen, for at få Windows Defender til at scanne og eliminere adware, PUA'er eller PUP'er i realtid.
Potentielt uønsket program (PUP), potentielt uønsket applikation (PUA) og potentielt uønsket software (PUS) henviser til den kategori software, der betragtes som uønsket, ikke tillid eller uønsket. PUP'er inkluderer adware, dialers, falske “optimizer” -programmer, værktøjslinjer og søgebjælker, der leveres sammen med applikationer.
PUA'er falder ikke ind under definitionen af "malware", da de ikke er ondsindede, men stadig er nogle PUA'er klassificeret som "risikable."
Nederste linje: Du behøver ikke "Potentielt uønskede" ting i dit system uanset risikoniveauet, medmindre du alvorligt mener, at fordelene, der tilbydes af et bestemt program, opvejer de risici eller ulemper, der er skabt af PUP, der ledsagede hovedprogrammet.
Her er nu, hvordan man aktiverer scanning og fjernelse af adware, PUP'er eller PUA'er ved hjælp af Windows Defender (i Windows 8 og nyere).
- Aktivér Windows Defender PUA-beskyttelsesfunktion
- Aktivér PUA-beskyttelse ved hjælp af PowerShell
- Aktivér PUA-beskyttelse manuelt [Registreringsplacering 2]
- Aktivér PUA-beskyttelse manuelt [Registreringsplacering 3]
- Hvordan kontrolleres, om PUA Protection fungerer?
Aktivér Windows Defender-scanning i realtid efter adware, PUA eller PUP
Der er tre forskellige måder at aktivere PUA-beskyttelse i Windows Defender, men jeg er usikker på, hvilken indstilling der har forrang i tilfælde af en konflikt. Registreringsplaceringen er forskellig i hver beskrevet metode. Det anbefales at kun bruge en af følgende metoder for at undgå forvirring.
Metode 1: Aktivér PUA-beskyttelse ved hjælp af PowerShell
Start PowerShell (powershell.exe) som administrator.
Kør følgende kommando, og tryk på ENTER:
Set-MpPreference -PUAP Protection 1
Denne PowerShell-kommando tilføjer en registreringsdatabaseværdi til følgende nøgle:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows Defender
- Værdi: PUAPbeskyttelse
- Data: 1 - muliggør PUA-beskyttelse | 0 - deaktiverer beskyttelsen
Bemærk, at manuel indstilling af registerværdien stadig fungerer. Men ovennævnte registreringsdatabase sti er beskyttet og kan ikke redigeres ved hjælp af Registreringseditor, medmindre du redigerer den som SYSTEM.
Metode 2: Aktivér PUA-beskyttelse manuelt [Registreringssted 2]
Denne metode bruger den samme registerværdi, men implementerer den under registreringsdatabasenøglen Policies.
Start Regedit.exe, og gå til følgende nøgle:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows Defender
Opret en DWORD-værdi med navnet PUAP Protection
Dobbeltklik på PUAProtection, og indstil dets værdidata til 1.
Metode 3: Aktivér PUA-beskyttelse manuelt [Registreringsplacering 3]
Start Registreringseditor (regedit.exe), og gå til følgende nøgle:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows Defender
Opret en undernøgle med navnet "MpEngine"
Opret en DWORD-værdi med navnet MpEnablePus under MpEngine
Dobbeltklik på MpEnablePus, og indstil dets værdidata til 1
Dette konfigurerer Windows Defender til at muliggøre realtidsscanning og fjernelse af "Potentielt uønskede" ting.
Afslut Registreringseditor.
Af disse tre metoder er 1 & 2 endnu ikke dokumenteret af Microsoft - men jeg formåede at finde ud af dem, når jeg spillede med PowerShell. Metoder 1 og 2 blev testet i et system, der kører Windows 10. Metode 3 blev oprindeligt offentliggjort af MMPC-bloggen.
Anvend ændringerne
Gør en af disse ting for at anvende ændringerne:
- Sluk realtidsbeskyttelse, og tænd den igen.
- Opdater Windows Defender-definitioner
- Genstart Windows
PUA blokeres kun ved download- eller installationstid. En fil vil blive inkluderet til blokering, hvis den opfylder en af følgende betingelser:
- Filen scannes fra browseren
- Filen har markeret af internettet (Zone ID) indstillet
- Filen findes i mappen Downloads
- Filen i mappen% temp%
Fungerer Windows Defender PUA Protection i systemer, der ikke er en del af et virksomhedsnetværk?
Denne opt-in Windows Defender-funktion blev annonceret sidste år af Microsoft Malware Protection Center (MMPC) blog. Da MMPC-blogindlægget kun refererer til "virksomheds" -systemer, spekulerer nogle hjemmebrugere måske på, om PUA-detekteringsfunktionen fungerer på enkeltstående computere eller ej.
Ja. Windows Defender PUA-scanning fungerer også i selvstændige systemer.
Den følgende test viser, at Windows Defender PUA-detektion bestemt fungerer i systemer, der ikke er en del af et domænenetværk.
MMPC Security Portal har den komplette liste over "Potentielt uønskede programmer" eller "Potentielt uønskede applikationer", hvert trusselnavn er præfixeret med "PUA:".
For eksempel er PUA: Win32 / CandyOpen en PUP / PUA bundtet med Magical jelly bean Keyfinder og andre programmer.
(Magical Jelly Bean Keyfinder, ellers er et nyttigt stykke software.)
Før jeg aktiverede Windows Defender PUA-beskyttelse, downloadede jeg Magicaljellybean's Keyfinder og prøvede at køre den på en Windows 10 v1607-standalone computer. Windows Defender tilladte mig at downloade installationsprogrammet samt køre det.
Efter at have indstillet ”MpEnablePus” -værdidataene til 1 ved hjælp af Registreringseditor og opdateret definitionerne, blokerede Windows Defender installationsprogrammet i at køre.
Da jeg forsøgte at downloade en ny kopi af Keyfinder-installationsprogrammet, blev filen også blokeret, da den landede i mappen Downloads eller% temp%. Resultatet var det samme, da jeg valgte en anden mappe end “Downloads”.
Og Windows Defender-meddelelsesmeddelelsen blev vist.
Windows Defender har fundet en ikke-betroet app
Dine IT-indstillinger forårsager blokering af enhver app, der muligvis udfører uønskede handlinger på din computer
Der henviser til, at meddelelsesmeddelelsen ordret er forskellige for "malware" -detekteringer; i hvilket tilfælde siger det ”Fundet noget malware”.
Og PUA blev i karantæne, som vist i Windows Defender-scanningshistorikken.
Magisk Jelly Bean Keyfinder ser ud til at bundle forskellige PUA'er i sin installationsprogram fra tid til anden. Ved test i maj 2019 indeholdt installationsprogrammet en anden PUA (kaldet PUA:Win32/Vigua.A
) med trusselsniveau “Severe”.
Meddelelsesmeddelelsen er anderledes denne gang. Det sagde “ Windows Defender Antivirus blokerede en app, der muligvis udfører uønskede handlinger på din enhed. ”
Konklusion: Windows Defender PUA-detektionsfunktion kan være praktisk til systemer, der ikke allerede udnytter en tredjeparts premium anti-malware-løsning (f.eks. Malwarebytes Antimalware Premium) med realtidsovervågningskapacitet. Håber, at Microsoft tilføjer en GUI-mulighed for at aktivere PUA-scanningsfunktion i Windows Defender, som opt-in-funktionen Begrænset periodisk scanning (og GUI-indstillingen) i Windows 10.