Blockera Crapware eller Adware (PUA) med Windows Defenders hemliga funktion

2016-01-18 14:48:50
Huvud·Microsoft·Blockera Crapware eller Adware (PUA) med Windows Defenders hemliga funktion

Windows Defender kan upptäcka och ta bort skadlig programvara och virus, men det fångar inte in potentiellt oönskade program eller crapware som standard. Men det finns en opt-in-funktion som du kan aktivera genom att redigera registret, för att göra Windows Defender skanna och eliminera adware, PUAs eller PUPs i realtid.

Potentiellt oönskat program (PUP), potentiellt oönskat program (PUA) och potentiellt oönskat program (PUS) hänvisar till kategorin programvara som anses vara oönskad, otillförlitlig eller oönskad. PUP: er inkluderar adware, uppringare, falska “optimizer” -program, verktygsfält och sökfält som levereras med applikationer.

PUA omfattas inte av definitionen av "skadlig programvara" eftersom de inte är skadliga, men ändå klassificeras vissa PUA: er som "riskabla."

Nedersta raden: Du behöver inte "Potentiellt oönskade" grejer i ditt system oavsett risknivå om du inte allvarligt tror att fördelarna som erbjuds av ett visst program överväger de risker eller besvär som skapats av PUP som åtföljde huvudprogrammet.

Nu är det här hur du aktiverar skanning och borttagning av adware, PUP: er eller PUA: er med Windows Defender (i Windows 8 och senare).

  • Aktivera Windows Defender PUA-skyddsfunktion
    1. Aktivera PUA-skydd med PowerShell
    2. Aktivera PUA-skydd manuellt [Registreringsplats 2]
    3. Aktivera PUA-skydd manuellt [Registreringsplats 3]
  • Hur kontrollerar jag om PUA-skydd fungerar?

Aktivera Windows Defender realtidssökning efter adware, PUA eller PUP

Det finns tre olika sätt att aktivera PUA-skydd i Windows Defender, men jag är osäker på vilken inställning som har företräde vid en konflikt. Registreringsplatsen är annorlunda i varje metod som beskrivs. Det rekommenderas att endast använda en av följande metoder för att undvika förvirring.

Metod 1: Aktivera PUA-skydd med PowerShell

Starta PowerShell (powershell.exe) som administratör.

Kör följande kommando och tryck ENTER:

 Set-MpPreference -PUAP Protection 1 

Detta PowerShell-kommando lägger till ett registervärde till följande nyckel:

 HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows Defender 
  • Värde: PUAP-skydd
  • Data: 1 - möjliggör PUA-skydd | 0 - inaktiverar skyddet

Observera att manuellt ställer in registervärdet fortfarande skulle fungera. Men ovanstående registerväg är skyddad och kan inte redigeras med registerredigeraren om du inte redigerar den som SYSTEM.

Metod 2: Aktivera PUA-skydd manuellt [Registreringsplats 2]

Den här metoden använder samma registervärde men implementerar det under registernyckeln Policies.

Starta Regedit.exe och gå till följande nyckel:

 HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows Defender 

Skapa ett DWORD-värde med namnet PUAP Protection

Dubbelklicka på PUAProtection och ställ in dess värdedata till 1.

Metod 3: Aktivera PUA-skydd manuellt [Registreringsplats 3]

Starta registerredigeraren (regedit.exe) och gå till följande nyckel:

 HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows Defender 

Skapa en undernyckel med namnet “MpEngine”

Skapa ett DWORD-värde som heter MpEnablePus under MpEngine

Dubbelklicka på MpEnablePus och ställ in dess värdedata till 1

Detta konfigurerar Windows Defender för att möjliggöra realtidssökning och borttagning av "Potentiellt oönskade" grejer.

Avsluta registerredigeraren.

Av dessa tre metoder är 1 & 2 ännu inte dokumenterade av Microsoft - men jag lyckades ta reda på dem när jag spelade med PowerShell. Metoderna 1 och 2 testades i ett system som kör Windows 10. Metod 3 publicerades initialt av MMPC-bloggen.

Tillämpa ändringarna

Gör en av dessa saker för att tillämpa ändringarna:

  • Stäng av realtidsskydd och slå på det igen.
  • Uppdatera Windows Defender-definitioner
  • Starta om Windows

PUA kommer bara att blockeras vid nedladdning eller installationstid. En fil kommer att inkluderas för att blockera om den uppfyller ett av följande villkor:

  1. Filen skannas från webbläsaren
  2. Filen har markering av webben (zon-ID) inställd
  3. Filen finns i mappen Nedladdningar
  4. Filen i mappen% temp%

Fungerar Windows Defender PUA Protection i system som inte ingår i ett företags nätverk?

Denna opt-in Windows Defender-funktion presenterades förra året av Microsoft Malware Protection Center (MMPC) -blogg. Men eftersom MMPC-blogginlägg bara refererar till "företag" -system, kanske vissa hemanvändare undrar om PUA-detekteringsfunktionen fungerar på fristående datorer eller inte.

Ja. Windows Defender PUA-skanning fungerar också i fristående system.

Följande test visar att Windows Defender PUA-detektion verkligen fungerar i system som inte ingår i ett domännätverk.

MMPC Security Portal har den kompletta listan med "Potentiellt oönskade program" eller "Potentiellt oönskade applikationer", varje hotnamn är förinställd med "PUA:".

Till exempel är PUA: Win32 / CandyOpen en PUP / PUA medföljer Magical Jelly Bean Keyfinder och andra program.

(Magical Jelly Bean Keyfinder, annars är en användbar programvara.)

Innan jag aktiverade Windows Defender PUA-skydd laddade jag ner Magicaljellybean's Keyfinder och försökte köra det på en Windows 10 v1607 fristående dator. Windows Defender tillät mig att ladda ner installationsprogrammet och köra det.

Efter att ha ställt in värdet "MpEnablePus" till 1 med Registry Editor och uppdaterat definitionerna, blockerade Windows Defender installationsprogrammet från att köras.

När jag försökte ladda ner en ny kopia av Keyfinder-installationsprogrammet blockerades filen när den hamnade i mappen Nedladdningar eller% temp%. Resultatet var detsamma när jag valde en annan mapp än "Nedladdningar".

Och Windows Defender-meddelandet visas.

Windows Defender har hittat en opålitlig app

Dina IT-inställningar orsakar blockering av alla appar som kan utföra oönskade åtgärder på din dator

Meddelandet meddelandet är verbatim olika för upptäckter av "skadlig programvara". i vilket fall skulle det säga "Hittade skadlig programvara".

Och PUA sattes i karantän, som visas i Windows Defender-skanningshistoriken.

Magical Jelly Bean Keyfinder tycks ibland binda olika PUA: er i sin installationsprogram. När testaren testades i maj 2019 innehöll installationsprogrammet en annan PUA (benämnd PUA:Win32/Vigua.A ) med PUA:Win32/Vigua.A “Severe”.

Meddelandet är annorlunda den här gången. Det sade " Windows Defender Antivirus blockerade en app som kan utföra oönskade åtgärder på din enhet.

Slutsats: Windows Defender PUA-detekteringsfunktion kan vara praktiskt för system som inte redan utnyttjar en tredjeparts premium anti-malware-lösning (t.ex. Malwarebytes Antimalware Premium) med realtidsövervakningskapacitet. Hoppas att Microsoft lägger till ett GUI-alternativ för att aktivera PUA-skanningsfunktion i Windows Defender, som tillvalsfunktionen Begränsad periodisk skanning (och GUI-alternativet) i Windows 10.

Redaktionen