Windows Defender สามารถตรวจจับและลบมัลแวร์และไวรัสได้ แต่จะไม่ตรวจจับโปรแกรมหรือ crapware ที่อาจไม่เป็นที่ต้องการตามค่าเริ่มต้น อย่างไรก็ตามมีคุณสมบัติการเลือกใช้ซึ่งคุณสามารถเปิดใช้งานได้โดยแก้ไขรีจิสทรีเพื่อให้ Windows Defender สแกนและกำจัดแอดแวร์ PUA หรือ PUP แบบเรียลไทม์
Potential Unwanted Program (PUP), Potential Unwanted Application (PUA) และ Potential Unwanted Software (PUS) หมายถึงหมวดหมู่ของซอฟต์แวร์ที่พิจารณาว่าไม่พึงประสงค์ไม่น่าเชื่อถือหรือไม่พึงประสงค์ PUP รวมถึงแอดแวร์โปรแกรมหมุนหมายเลขโปรแกรม“ เครื่องมือเพิ่มประสิทธิภาพ” ปลอมแถบเครื่องมือและแถบค้นหาที่มาพร้อมกับแอปพลิเคชัน
PUAs จะไม่ตกอยู่ภายใต้คำจำกัดความของ "มัลแวร์" เนื่องจากมันไม่ได้เป็นอันตราย แต่ PUAs บางประเภทจัดอยู่ในประเภท "เสี่ยง"
ที่สำคัญที่สุด: คุณไม่จำเป็นต้องมีสิ่งที่“ อาจไม่เป็นที่ต้องการ” ในระบบของคุณโดยไม่คำนึงถึงระดับความเสี่ยงเว้นแต่คุณจะเชื่ออย่างจริงจังว่าผลประโยชน์ที่ได้รับจากโปรแกรมเฉพาะนั้นมีมากกว่าความเสี่ยงหรือความไม่สะดวกที่สร้างโดย PUP
ตอนนี้นี่คือวิธีการเปิดใช้งานการสแกนและลบแอดแวร์, PUP หรือ PUA โดยใช้ Windows Defender (ใน Windows 8 และสูงกว่า)
- เปิดใช้งานคุณสมบัติการป้องกัน PUA ของ Windows Defender
- เปิดใช้งานการป้องกัน PUA โดยใช้ PowerShell
- เปิดใช้งานการป้องกัน PUA ด้วยตนเอง [ตำแหน่งรีจิสทรี 2]
- เปิดใช้งานการป้องกัน PUA ด้วยตนเอง [ตำแหน่งรีจิสทรี 3]
- จะตรวจสอบว่า PUA Protection ทำงานได้อย่างไร?
เปิดใช้งานการสแกนตามเวลาจริงของ Windows Defender สำหรับแอดแวร์, PUA หรือ PUP
มีสามวิธีในการเปิดใช้งานการป้องกัน PUA ใน Windows Defender แต่ฉันไม่แน่ใจว่าการตั้งค่าใดที่จะมาก่อนในกรณีที่มีข้อขัดแย้ง ที่ตั้งรีจิสทรีแตกต่างกันในแต่ละวิธีที่อธิบาย ขอแนะนำให้ใช้วิธีใดวิธี หนึ่ง ต่อไปนี้เพื่อหลีกเลี่ยงความสับสน
วิธีที่ 1: เปิดใช้งานการป้องกัน PUA โดยใช้ PowerShell
เริ่ม PowerShell (powershell.exe) ในฐานะผู้ดูแล
เรียกใช้คำสั่งต่อไปนี้แล้วกด ENTER:
Set-MpPreference -PUAProtection 1
คำสั่ง PowerShell นี้เพิ่มค่ารีจิสทรีให้กับคีย์ต่อไปนี้:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows Defender
- ค่า: PUAProtection
- ข้อมูล: 1 - เปิดใช้งานการป้องกัน PUA | 0 - ปิดใช้งานการป้องกัน
โปรดทราบว่าการตั้งค่ารีจิสทรีด้วยตนเองจะยังคงทำงานได้ แต่เส้นทางของรีจิสทรีข้างต้นได้รับการคุ้มครองและไม่สามารถแก้ไขได้โดยใช้ Registry Editor เว้นแต่ว่าคุณจะแก้ไขเป็น SYSTEM
วิธีที่ 2: เปิดใช้งานการป้องกัน PUA ด้วยตนเอง [ตำแหน่งที่ตั้งของรีจิสทรี 2]
วิธีนี้ใช้ค่ารีจิสตรีเดียวกัน แต่ใช้ภายใต้คีย์รีจิสตรีนโยบาย
เริ่ม Regedit.exe และไปที่คีย์ต่อไปนี้:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows Defender
สร้างค่า DWORD ที่ชื่อว่า PUAProtection
คลิกสองครั้งที่ PUAProtection และตั้งค่าข้อมูลเป็น 1
วิธีที่ 3: เปิดใช้งานการป้องกัน PUA ด้วยตนเอง [ตำแหน่งที่ตั้งของรีจิสทรี 3]
เริ่มตัวแก้ไขรีจิสทรี (regedit.exe) และไปที่คีย์ต่อไปนี้:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows Defender
สร้างคีย์ย่อยชื่อ“ MpEngine”
ภายใต้ MpEngine สร้างค่า DWORD ชื่อ MpEnablePus
คลิกสองครั้งที่ MpEnablePus และตั้งค่าข้อมูลเป็น 1
สิ่งนี้กำหนดค่า Windows Defender เพื่อเปิดใช้งานการสแกนและการลบสิ่งที่“ อาจไม่เป็นที่ต้องการ” แบบเรียลไทม์
ออกจากตัวแก้ไขรีจิสทรี
ในสามวิธีเหล่านี้ 1 & 2 ยังไม่ได้รับการบันทึกโดย Microsoft - แต่ฉันจัดการเพื่อค้นหาพวกเขาเมื่อเล่นกับ PowerShell ทดสอบวิธีที่ 1 และ 2 ในระบบที่ใช้ Windows 10 วิธีที่ 3 เผยแพร่ครั้งแรกโดยบล็อก MMPC
ใช้การเปลี่ยนแปลง
ทำสิ่งใดสิ่งหนึ่งเหล่านี้เพื่อนำการเปลี่ยนแปลงไปใช้:
- ปิดการป้องกันแบบเรียลไทม์และเปิดอีกครั้ง
- อัพเดตคำจำกัดความของ Windows Defender
- รีสตาร์ท Windows
PUA จะถูกบล็อกในเวลาที่ดาวน์โหลดหรือติดตั้งเท่านั้น ไฟล์จะถูกรวมไว้เพื่อทำการบล็อกหากตรงตามเงื่อนไขข้อใดข้อหนึ่งต่อไปนี้:
- กำลังสแกนไฟล์จากเบราว์เซอร์
- ไฟล์นี้มีการตั้งค่า Mark of the Web (Zone ID)
- ไฟล์อยู่ในโฟลเดอร์ดาวน์โหลด
- ไฟล์ในโฟลเดอร์% temp%
Windows Defender PUA Protection ทำงานในระบบที่ไม่ได้เป็นส่วนหนึ่งของเครือข่ายองค์กรขององค์กรหรือไม่
คุณสมบัติการเลือกใช้ Windows Defender นี้ได้รับการประกาศเมื่อปีที่แล้วโดยบล็อกของ Microsoft Malware Protection Center (MMPC) แต่เนื่องจากโพสต์บล็อก MMPC อ้างอิงเฉพาะระบบ“ องค์กร” ผู้ใช้บางคนอาจสงสัยว่าคุณสมบัติการตรวจจับ PUA ทำงานบนคอมพิวเตอร์แบบสแตนด์อโลนหรือไม่
ใช่. การสแกน Windows Defender PUA ทำงานในระบบแบบสแตนด์อโลนเช่นกัน
การทดสอบต่อไปนี้แสดงให้เห็นว่าการตรวจจับ Windows Defender PUA ทำงานได้ดีในระบบที่ไม่ได้เป็นส่วนหนึ่งของเครือข่ายโดเมน
MMPC Security Portal มีรายการทั้งหมดของ“ Potential Unwanted Programs” หรือ“ Potential Unwanted Applications” แต่ละชื่อภัยคุกคามจะถูกขึ้นต้นด้วย“ PUA:”
ตัวอย่างเช่น PUA: Win32 / CandyOpen เป็น PUP / PUA ที่มาพร้อมกับ Magical jelly bean Keyfinder และโปรแกรมอื่น ๆ
(Magical Jelly Bean Keyfinder ไม่เช่นนั้นเป็นซอฟต์แวร์ที่มีประโยชน์)
ก่อนเปิดใช้งานการป้องกัน Windows Defender PUA ฉันดาวน์โหลด Keyfinder ของ Magicaljellybean และพยายามเรียกใช้งานบนคอมพิวเตอร์แบบสแตนด์อโลน Windows 10 v1607 Windows Defender อนุญาตให้ฉันดาวน์โหลดตัวติดตั้งรวมทั้งเรียกใช้
หลังจากตั้งค่าข้อมูล“ MpEnablePus” เป็น 1 โดยใช้ Registry Editor และอัปเดตข้อกำหนด Windows Defender บล็อกโปรแกรมติดตั้งไม่ให้ทำงาน
นอกจากนี้เมื่อฉันพยายามดาวน์โหลดสำเนาใหม่ของตัวติดตั้ง Keyfinder ไฟล์ดังกล่าวถูกบล็อกเนื่องจากมันถูกทิ้งไว้ในโฟลเดอร์ดาวน์โหลดหรือโฟลเดอร์% temp% ผลที่ได้คือเหมือนกันเมื่อฉันเลือกโฟลเดอร์อื่นที่ไม่ใช่“ ดาวน์โหลด”
และข้อความแจ้งเตือนของ Windows Defender ก็ปรากฏขึ้น
Windows Defender พบแอพที่ไม่น่าเชื่อถือ
การตั้งค่าไอทีของคุณทำให้การบล็อกแอพใด ๆ ที่อาจทำงานที่ไม่พึงประสงค์ในคอมพิวเตอร์ของคุณ
ในขณะที่ข้อความแจ้งเตือนคำต่อคำจะแตกต่างกันสำหรับการตรวจจับ "มัลแวร์"; ในกรณีนี้มันจะพูดว่า "พบมัลแวร์บางอย่าง"
และ PUA นั้นถูกกักกันตามที่แสดงในประวัติการสแกนของ Windows Defender
Magical Jelly Bean Keyfinder ดูเหมือนจะรวม PUAs ที่แตกต่างกันในตัวติดตั้งเป็นครั้งคราว เมื่อทดสอบในเดือนพฤษภาคม 2019 ตัวติดตั้งมี PUA อื่น (ชื่อ PUA:Win32/Vigua.A
) ที่มีระดับการคุกคาม“ รุนแรง”
ข้อความแจ้งเตือนนี้แตกต่างกันในเวลานี้ กล่าวว่า“ Windows Defender Antivirus บล็อกแอปที่อาจทำงานที่ไม่พึงประสงค์บนอุปกรณ์ของคุณ ”
สรุป: คุณสมบัติการตรวจจับ Windows Defender PUA นั้นมีประโยชน์สำหรับระบบที่ไม่ได้ใช้ประโยชน์จากโซลูชันมัลแวร์ระดับพรีเมียมของบุคคลที่สาม (เช่น Malwarebytes Antimalware Premium) พร้อมการตรวจสอบแบบเรียลไทม์ หวังว่า Microsoft จะเพิ่มตัวเลือก GUI เพื่อเปิดใช้งานคุณสมบัติการสแกน PUA ใน Windows Defender เช่นคุณลักษณะการเลือกใช้แบบ จำกัด การสแกนเป็นระยะ (และตัวเลือก GUI) ใน Windows 10