Tags: Windows 10, Malware, Windows 11
Potenziell unerwünschte Anwendungen (PUAs) sind zwar nicht bösartig, aber zumindest störend. Sie zeigen Werbung aus dubiosen Quellen an, leiten die Browser-Startseite um oder nutzen den Computer heimlich für Krypto-Mining. Admins können Microsoft Defender mit PowerShell oder GPOs konfigurieren, um solche Aktivitäten zu stoppen.
Der Schutz vor potenziell unerwünschten Anwendungen ist seit Windows 10 2004 verfügbar. Es handelt sich dabei um eine reputationsbasierte Lösung und ist Teil von Windows Defender. Sie erfordert keine separate Lizenz wie etwa Defender ATP.
Schutz vor PUAs aktivieren
Der Schutz vor potenziell unerwünschten Apps in Windows lässt sich einfach einrichten. Die entsprechende Einstellung findet man unter Updates & Sicherheit => Windows-Sicherheit => App- und Browsersteuerung.
Folgt man diesem Eintrag, dann öffnet sich ein eigenes Fenster, wo man unter Zuverlässigkeitsbasierter Schutz ("Reputation-based protection") auf die Schaltfläche Aktivieren klickt.
Anschließend kann man das Feature über den Link Einstellungen für zuverlässigkeitsbasierter Schutz ("Reputation-based protection settings") konfigurieren.
Anschließend wird diese Funktion automatisch auch in Edge Chromium eingeschaltet.
Schutz gegen PUA mit PowerShell verwalten
PowerShell bietet die nötigen Cmdlets zur Steuerung des PUA-Schutzes. Er lässt sich damit aktivieren, überprüfen und deaktivieren, außerdem kann man damit Ereignisse anzeigen.
Schutz für potenziell unerwünschte Anwendungen aktivieren:
Set-MpPreference -PUAProtection Enabled
PUA-Schutz für den Audit-Modus konfigurieren. Problematische Anwendungen werden dann protokolliert, aber nicht blockiert:
Set-MpPreference -PUAProtection AuditMode
Schutz gegen unerwünschte Anwendungen deaktivieren:
Set-MpPreference -PUAProtection Disabled
Um anzuzeigen, welche Apps erkannt wurden, können Sie das folgende Cmdlet verwenden:
Get-MpThreat
Schutz vor unerwünschten Anwendungen über GPO verwalten
Für das zentrale Management des PUA-Schutzes bietet Microsoft eine Einstellung in den Gruppenrichtlinien. Allerdings benötigt man dafür aktuelle administrative Vorlagen, und zwar mindestens die ADMX für Windows 10 20H2, damit die Option verfügbar ist.
Die Einstellung heißt Konfigurieren der Erkennung für potenziell unerwünschte Anwendungen ("Configure detection for potentially unwanted applications") und findet sich unter Computerkonfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Microsoft Defender Antivirus.
Wie bei PowerShell hat man hier drei Optionen, nämlich den Schutz vor PUA zu deaktivieren, den Überwachungsmodus zu wählen oder solche Apps zu blockieren. Die Möglichkeit, den PUA-Schutz zu deaktivieren, ist deshalb von Bedeutung, weil Microsoft dieses Feature seit Windows 10 2004 für die Enterprise Edition E5 standardmäßig einschaltet.
Zusammenfassung
Microsoft stellt in Windows 10 und 11 für Defender eine zusätzliche Sicherheitsfunktionen bereit, welche die Verbreitung so genannter Greyware unterbindet. Wenn der reputationsbasierte Schutz aktiviert ist, kann das Security-Tool potenziell unerwünschte Apps entweder nur protokollieren oder gleich blockieren.
Das Feature lässt sich leicht aktivieren und verwalten, wahlweise interaktiv, über PowerShell oder Gruppenrichtlinien.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Update-Klassifizierungen in WSUS für Windows 10/11 auswählen
- Smart App Control: Windows 11 gegen Ransomware schützen
- Anwendungen nach Windows-Start automatisch laden
- Version 1.0 mit neuen Features: Windows Subsystem for Linux kommt künftig aus dem Store
- Überwachter Ordnerzugriff: Ransomware-Schutz mit Gruppenrichtlinien und PowerShell konfigurieren
Weitere Links