在 Windows 10 中检测并阻止可能不需要的应用程序

ELOHIM

本文内容
• 在 System Center Configuration Manager 和 Intune 中启用 PUA 保护
• 在 System Center Configuration Manager 中配置 PUA
• 使用 System Center Configuration Manager 中的 PUA 审核模式
• 在 Intune 中配置 PUA
• 在 Intune 中使用 PUA 审核模式
• 查看 PUA 事件
• PUA 通知的外观
• PUA 威胁命名约定
• PUA 阻止条件
  

适用于：

• Windows 10
  

你可以在托管的 Windows Defender 中启用可能不需要的应用程序 (PUA) 功能，以在下载和安装期间标识并阻止不需要的软件。

可能不需要的应用程序 (PUA) 是指不会视为病毒、恶意软件或其他类型的威胁，但在计算机上执行的操作可能会在无意中影响计算体验的应用程序。 它也指视为信誉不佳的应用程序。

PUA 行为的典型示例包括：

• 各种类型的软件捆绑
• 将广告注入到浏览器中
• 检测到问题、请求付款以解决它们并持续存在的驱动程序和注册表优化程序
  

这些应用程序可能会增加网络受到恶意软件感染的风险、导致在噪音中更难以识别恶意软件感染，并且可能将支持人员、IT 和用户的时间浪费在清理这些应用程序上。

由于在企业环境中牵涉的利益更大，PUA 所带来的潜在灾难以及潜在的效率和性能破坏可能会引发担忧。 因此，在此领域提供受信任的保护很重要。

在 System Center Configuration Manager 和 Intune 中启用 PUA 保护

PUA 功能适用于在其基础结构中运行 System Center Configuration Manager 或 Intune 的企业用户。

在 System Center Configuration Manager 中配置 PUA

对于 System Center Configuration Manager 用户，PUA 默认启用。 有关配置详细信息，请参阅以下主题：

[td]

如果你使用的是这些版本	请参阅这些主题
System Center Configuration Manager (Current Branch) 版本 1606	创新新的反恶意软件策略 实时保护设置
System Center 2012 R2 Endpoint Protection System Center 2012 Configuration Manager System Center 2012 Configuration Manager SP1 System Center 2012 Configuration Manager SP2 System Center 2012 R2 Configuration Manager System Center 2012 Endpoint Protection SP1 System Center 2012 Endpoint Protection System Center 2012 R2 Configuration Manager SP1	如何在 Configuration Manager 中为 Endpoint Protection 部署可能不需要的应用程序保护策略

使用 System Center Configuration Manager 中的 PUA 审核模式

你可以使用 PowerShell 检测 PUA，但不阻止它们。 事实上，你可以在个别计算机上运行审核模式。 如果你的公司将执行内部软件安全合规性检查，并且你希望避免任何误报，则此功能很有用。

• 以管理员身份打开 PowerShell：
  
  a.  单击“开始”*菜单、键入 *powershell，然后按 Enter。
  b.  单击“Windows PowerShell”****以打开界面。
  注意
  你可能需要打开 PowerShell 的管理员级别版本。 右键单击“开始”菜单中的项、单击“以管理员身份运行”*，然后在权限提示符下单击“是”*。
• 输入 PowerShell 命令：
  set-mpPreference -puaprotection 2
  注意
  PUA 事件在 Windows 事件查看器中而不是在 System Center Configuration Manager 中报告。  
  
  

在 Intune 中配置 PUA

默认情况下不启用 PUA。 你需要创建并部署 PUA 配置策略才能使用它。 有关详细信息，请参阅可能不需要的应用程序检测策略设置。

在 Intune 中使用 PUA 审核模式

你可以检测 PUA，但不从客户端阻止它们，以便你可以了解可阻止哪些内容。

• 以管理员身份打开 PowerShell：
  
  a.  单击“开始”*菜单、键入 *powershell，然后按 Enter。
  b.  单击“Windows PowerShell”****以打开界面。
  注意
  你可能需要打开 PowerShell 的管理员级别版本。 右键单击“开始”菜单中的项、单击“以管理员身份运行”*，然后在权限提示符下单击“是”*。
• 输入 PowerShell 命令：
  set-mpPreference -puaprotection 1
  

查看 PUA 事件

PUA 事件在 Windows 事件查看器中而不是在 System Center Configuration Manager 或 Intune 中报告。 若要查看 PUA 事件，请执行以下操作：

• 打开“事件查看器”****。
• 在控制台树中，依次展开“应用程序和服务日志”*、“Microsoft”、“Windows”、“Windows Defender”*。
• 双击“操作”****。
• 在详细信息窗格中，查看各个事件的列表来查找你的事件。 PUA 事件以及检测详细信息在事件 ID 1160 下。
  

可以在 Windows Server Antimalware 事件 TechNet 中找到 Microsoft 反恶意软件事件 ID、符号以及每个 ID 描述的完整列表。

PUA 通知的外观

当发生检测时，启用了 PUA 检测功能的最终用户将看到以下通知：

若要查看电脑上发生的历史 PUA 检测，用户可以转到“历史记录”，然后转到“隔离的项目”*或“检测到的所有项目”*。

PUA 威胁命名约定

启用后，可能不需要的应用程序将以“PUA:”开头的威胁名称（如 PUA:Win32/Creprote）进行标识。

PUA 阻止条件

PUA 保护会隔离该文件，以防止其运行。 将仅在下载或安装时阻止 PUA。 如果文件已标识为 PUA 并且符合以下条件之一，将包含该文件以供阻止：

• 正从浏览器中扫描该文件
• 该文件在 %downloads% 文件夹中
• 或者如果该文件在 %temp% 文件夹中
  

mfj0613

怎么在组策略中设置wd杀pua？

ELOHIM

mfj0613 发表于 2016-10-24 17:26
怎么在组策略中设置wd杀pua？

大神请查一下本区驭龙曾经发布过一篇贴子关于PUA设置的。