Блокируйте Crapware или Adware (PUA), используя Секретную функцию Защитников Windows

Защитник Windows может обнаруживать и удалять вредоносные программы и вирусы, но по умолчанию он не распознает потенциально нежелательные программы или программное обеспечение. Тем не менее, есть функция подписки, которую вы можете включить, отредактировав реестр, чтобы Защитник Windows сканировал и удалял рекламное ПО, PUA или PUP в режиме реального времени.

Потенциально нежелательная программа (PUP), Потенциально нежелательное приложение (PUA) и Потенциально нежелательное программное обеспечение (PUS) относятся к категории программного обеспечения, которое считается нежелательным, ненадежным или нежелательным. Щенки включают в себя рекламное ПО, программы дозвона, поддельные программы-оптимизаторы, панели инструментов и панели поиска, которые поставляются в комплекте с приложениями.

PUA не подпадают под определение «вредоносные программы», поскольку они не являются вредоносными, но, тем не менее, некоторые PUA классифицируются как «рискованные».

Нижняя граница: Вам не нужны «потенциально нежелательные» материалы в вашей системе независимо от уровня риска, если только вы не уверены, что преимущества, предлагаемые конкретной программой, перевешивают риски или неудобства, создаваемые PUP, который сопровождал основную программу.

Теперь, как включить сканирование и удаление рекламного ПО, PUP или PUA с помощью Защитника Windows (в Windows 8 и выше).

Включить сканирование Защитника Windows в реальном времени для рекламного ПО, PUA или PUP

Существует три различных способа включения защиты PUA в Защитнике Windows, но я не уверен, какой параметр имеет приоритет в случае конфликта. Расположение реестра отличается в каждом описанном методе. Желательно использовать только один из следующих методов, чтобы избежать путаницы.

Способ 1. Включите защиту PUA с помощью PowerShell

Запустите PowerShell (powershell.exe) от имени администратора.

Выполните следующую команду и нажмите клавишу ВВОД:

Set-MpPreference -PUAProtection 1

включить защиту Pua в Windows Defender

Эта команда PowerShell добавляет значение реестра к следующему ключу:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender
  • Ценность: PUAProtection
  • Данные: 1 — включает защиту PUA | 0 — отключает защиту

Обратите внимание, что ручная настройка значения реестра все равно будет работать. Но указанный выше путь к реестру защищен и не может быть отредактирован с помощью редактора реестра, если вы не редактируете его как SYSTEM.

Способ 2. Включите защиту PUA вручную [Расположение реестра 2]

Этот метод использует то же значение реестра, но реализует его в разделе реестра Policies.

Запустите Regedit.exe и перейдите к следующему ключу:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender

Создайте значение DWORD с именем PUAProtection

Дважды щелкните PUAProtection и установите его значение данных равным 1.

Способ 3. Включите защиту PUA вручную [Расположение реестра 3]

Запустите редактор реестра (regedit.exe) и перейдите к следующему ключу:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender

Создайте подраздел с именем «MpEngine»

Под MpEngine создайте значение DWORD с именем MpEnablePus

Дважды щелкните MpEnablePus и установите его значение данных на 1

настроить защитник Windows для сканирования и устранения рекламного щенка или пуа

Это позволяет настроить Защитник Windows на сканирование и удаление «потенциально нежелательных» материалов в режиме реального времени.

Выйдите из редактора реестра.

Из этих трех методов 1 2 еще не документированы Microsoft — но мне удалось выяснить их при игре с PowerShell. Методы 1 2 были протестированы в системе под управлением Windows 10. Метод 3 был первоначально опубликован в блоге MMPC.

Применить изменения

Выполните одно из следующих действий, чтобы применить изменения:

  • Выключите защиту в реальном времени и включите ее снова.
  • Обновление определений Защитника Windows
  • Перезагрузите Windows

PUA будет заблокировано только во время загрузки или установки. Файл будет включен для блокировки, если он удовлетворяет одному из следующих условий:

  1. Файл сканируется из браузера
  2. В файле установлена ​​метка сети (идентификатор зоны)
  3. Файл находится в папке «Загрузки»
  4. Файл в папке% temp%

Работает ли защита Защитника PUA от Windows в системах, которые не являются частью корпоративной корпоративной сети?

Эта дополнительная функция Защитника Windows была анонсирована в прошлом году в блоге Microsoft Malware Protection Center (MMPC). Но, поскольку в блоге MMPC упоминаются только «корпоративные» системы, некоторые домашние пользователи могут задаться вопросом, работает ли функция обнаружения PUA на автономных компьютерах.

Да. Сканирование PUA Windows Defender работает и в автономных системах.

Следующий тест показывает, что определение PUA Защитника Windows, безусловно, работает в системах, которые не являются частью доменной сети.

Портал безопасности MMPC содержит полный список «Потенциально нежелательных программ» или «Потенциально нежелательных приложений», каждое имя угрозы имеет префикс «PUA:».

настроить защитник Windows для сканирования и устранения рекламного щенка или пуа

Например, PUA: Win32 / CandyOpen — это PUP / PUA в комплекте с магическим желе-бобом Keyfinder и другими программами.

(Magical Jelly Bean Keyfinder, в противном случае это полезная часть программного обеспечения.)

Прежде чем активировать защиту PUA для Windows Defender, я скачал Keyfinder от Magicaljellybean и попытался запустить его на автономном компьютере с Windows 10 v1607. Защитник Windows позволил мне загрузить установщик, а также запустить его.

настроить защитник Windows для сканирования и устранения рекламного щенка или пуа

После установки значения значения «MpEnablePus» в 1 с помощью редактора реестра и обновления определений Защитник Windows заблокировал запуск программы установки.

Кроме того, когда я попытался загрузить новую копию программы установки Keyfinder, файл был заблокирован, поскольку он попал в папку «Загрузки» или «% temp%». Результат был таким же, когда я выбрал папку, отличную от «Загрузки».

настроить защитник Windows для сканирования и устранения рекламного щенка или пуа

И было показано сообщение с уведомлением Защитника Windows.

Защитник Windows обнаружил ненадежное приложение

Ваши ИТ-настройки вызывают блокировку любого приложения, которое может выполнять нежелательные действия на вашем компьютере

Принимая во внимание, что дословное сообщение уведомления отличается для «вредоносных» обнаружений; в этом случае было бы сказано «Найдено какое-то вредоносное ПО».

установить защитник Windows, чтобы найти и удалить рекламного щенка или пуа

И PUA был помещен на карантин, как показано в истории сканирования Защитника Windows.

настроить защитник Windows для сканирования и устранения рекламного щенка или пуа

Magical Jelly Bean Keyfinder, похоже, время от времени объединяет разные PUA в своем инсталляторе. При тестировании в мае 2019 года установщик содержал другой PUA (названный PUA:Win32/Vigua.A) с уровнем угрозы «Серьезный».

блок пупа пуа щенка с помощью Windows Defender

блок пупа пуа щенка с помощью Windows Defender

В этот раз сообщение с уведомлением будет другим. Он сказал: «Антивирус Защитника Windows заблокировал приложение, которое может выполнять нежелательные действия на вашем устройстве.»

блок пупа пуа щенка с помощью Windows Defender

Вывод: Функция обнаружения PUA Защитника Windows может быть полезна для систем, которые еще не используют стороннее решение премиум-класса для защиты от вредоносных программ (например, Malwarebytes Antimalware Premium) с возможностью мониторинга в режиме реального времени. Надеюсь, что Microsoft добавляет опцию графического интерфейса, чтобы включить функцию сканирования PUA в Защитнике Windows, например, опцию ограниченного периодического сканирования (и опцию графического интерфейса) в Windows 10.

Ссылка на основную публикацию