Potenziell unerwünschte Anwendungen blockieren mit PowerShell oder Gruppenrichtlinien


    Tags: , ,

    Microsoft DefenderPotenziell uner­wünschte Anwen­dungen (PUAs) sind zwar nicht bös­artig, aber zumindest störend. Sie zeigen Werbung aus dubiosen Quellen an, leiten die Browser-Startseite um oder nutzen den Computer heim­lich für Krypto-Mining. Admins können Micro­soft Defender mit Power­Shell oder GPOs konfigu­rieren, um solche Aktivitäten zu stoppen.

    Der Schutz vor potenziell unerwünschten Anwendungen ist seit Windows 10 2004 verfügbar. Es handelt sich dabei um eine reputationsbasierte Lösung und ist Teil von Windows Defender. Sie erfordert keine separate Lizenz wie etwa Defender ATP.

    Potenziell unerwünschte Anwendungen sind laufen auch unter der Bezeichnung Greyware.

    Schutz vor PUAs aktivieren

    Der Schutz vor potenziell unerwünschten Apps in Windows lässt sich einfach einrichten. Die entsprechende Einstellung findet man unter Updates & Sicherheit => Windows-Sicherheit => App- und Browsersteuerung.

    App- & Browsersteuerung in den Einstellungen öffnen

    Folgt man diesem Eintrag, dann öffnet sich ein eigenes Fenster, wo man unter Zuverlässigkeitsbasierter Schutz ("Reputation-based protection") auf die Schaltfläche Aktivieren klickt.

    Reputations-basierten Schutz aktivieren

    Anschließend kann man das Feature über den Link Einstellungen für zuverlässigkeitsbasierter Schutz ("Reputation-based protection settings") konfigurieren.

    Einstellungen für den Reputations-basierten Schutz

    Anschließend wird diese Funktion automatisch auch in Edge Chromium eingeschaltet.

    Der Schutz gegen potenziell unerwünschte Apps wird in Microsoft Edge aktiviert

    Schutz gegen PUA mit PowerShell verwalten

    PowerShell bietet die nötigen Cmdlets zur Steuerung des PUA-Schutzes. Er lässt sich damit aktivieren, überprüfen und deaktivieren, außerdem kann man damit Ereignisse anzeigen.

    Schutz für potenziell unerwünschte Anwendungen aktivieren:

    Set-MpPreference -PUAProtection Enabled

    PUA-Schutz für den Audit-Modus konfigurieren. Problematische Anwendungen werden dann protokolliert, aber nicht blockiert:

    Set-MpPreference -PUAProtection AuditMode

    Schutz gegen unerwünschte Anwendungen deaktivieren:

    Set-MpPreference -PUAProtection Disabled

    Um anzuzeigen, welche Apps erkannt wurden, können Sie das folgende Cmdlet verwenden:

    Get-MpThreat

    Schutz vor unerwünschten Anwendungen über GPO verwalten

    Für das zentrale Management des PUA-Schutzes bietet Microsoft eine Einstellung in den Gruppenrichtlinien. Allerdings benötigt man dafür aktuelle administrative Vorlagen, und zwar mindestens die ADMX für Windows 10 20H2, damit die Option verfügbar ist.

    Die Einstellung heißt Konfigurieren der Erkennung für potenziell unerwünschte Anwendungen ("Configure detection for potentially unwanted applications") und findet sich unter Computer­konfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Microsoft Defender Antivirus.

    Wie bei PowerShell hat man hier drei Optionen, nämlich den Schutz vor PUA zu deaktivieren, den Überwachungsmodus zu wählen oder solche Apps zu blockieren. Die Möglichkeit, den PUA-Schutz zu deaktivieren, ist deshalb von Bedeutung, weil Microsoft dieses Feature seit Windows 10 2004 für die Enterprise Edition E5 standardmäßig einschaltet.

    Einstellungen für potenziell unerwünschte Anwendungen mithilfe von Gruppenrichtlinien konfigurieren

    Zusammenfassung

    Microsoft stellt in Windows 10 und 11 für Defender eine zusätzliche Sicherheitsfunktionen bereit, welche die Verbreitung so genannter Greyware unterbindet. Wenn der reputationsbasierte Schutz aktiviert ist, kann das Security-Tool potenziell unerwünschte Apps entweder nur protokollieren oder gleich blockieren.

    Das Feature lässt sich leicht aktivieren und verwalten, wahlweise interaktiv, über PowerShell oder Gruppenrichtlinien.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Brandon Lee

    Brandon Lee ist seit mehr als 18 Jahren in der IT-Branche tätig und konzen­triert sich auf Networking und Virtua­lisie­rung. Er ver­öffent­licht auf ver­schie­denen Blogs und ver­fasst tech­nische Doku­men­ta­tionen, haupt­sächlich auf Virtualizationhowto.com.
    // Kontakt: Web, E-Mail, LinkedIn //

    Verwandte Beiträge

    Weitere Links