Безопасность Windows 10: «Защита на основе репутации» и блокировка ПНП в May 2020 Update

В первом обновлении функций 2020 года и первом крупном обновлении после Windows 10, версия 1903 , Windows 10 May 2020 Update, будет представлено большое количество изменений в операционной системе.

Ранее мы рассказывали, что Microsoft переименует встроенный антивирус «Защитник Windows» на Microsoft Defender. Таким образом компания хочет отразить кросс-платформенный подход Microsoft к безопасности конечных точек. Также с точки зрения встроенной защиты, начиная с Windows 10, версия 2004, приложение Безопасность Windows получило новую категорию настроек «Защита на основе репутации».

Защита на основе репутации

На новой странице параметров сгруппированы настройки, которые позволяют включить или отключить отдельные компоненты защиты, основанной на репутации: Проверка приложений и файлов, SmartScreen для Microsoft Edge, SmartScreen для приложений из Microsoft Store, а также новая опция «Блокировка потенциально нежелательного приложения», которая позволяет включить или отключить защиту от потенциально нежелательных программ (ПНП) в Microsoft Defender.

В инсайдерских сборках Windows 10 «Manganese» (20H2) также стали доступны две отдельные опции Блокировать приложения и Блокировать скачиваемые файлы, которые позволяют настроить защиту от ПНП для отдельных категорий.

Защита от ПНП в Microsoft Defender

Функция защиты от потенциально нежелательных программ (ПНП) во встроенном антивирусе Windows 10 позволяет идентифицировать и блокировать загрузку и установку ПНП на компьютерах.

По умолчанию, защита от ПНП отключена, но при желании любой пользователь Windows 10 может включить данный механизм безопасности. Правда, ранее для этого пользователям приходилось проделывать различные манипуляции через системный реестр или Windows PowerShell, как показано в следующей инструкции:

Но теперь, начиная с инсайдерской сборки Windows 10 build 18963 (20H1) включить или отключить защиту от ПНП легко и быстро можно включить в меню настроек «Безопасность Windows»: Управление приложениями/браузером > Защита на основе репутации > Блокировка потенциально нежелательного приложения. При включении функции все действия с ПНП также будут отображаться в Журнале защиты.

Отметим, что опция доступна при использовании встроенного антивируса Microsoft Defender.

Ранее Microsoft критиковали за то, что многие важные параметры встроенного антивируса доступны для изменения только из реестра и групповых политик, что требовало определенных технических знаний, и приводило к появлению сторонних утилит для настройки Защитника Windows, например, ConfigureDefender.

Но теперь, разработчики постепенно переносят все настройки в основной интерфейс приложения «Безопасность Windows», что упрощает управление встроенной защитой Windows 10.

Тем временем, как заявляет Microsoft, доля Защитника Windows на рынке антивирусов достигла 50%. А вы пользуетесь встроенной защитой? Как вы оцениваете последние нововведения?

Обнаружение и блокировка потенциально нежелательных приложений Detect and block potentially unwanted applications

Область применения: Applies to:

Потенциально нежелательные приложения (PUA) — это категория программного обеспечения, которое может вызвать медленную работу вашего компьютера, отображение непредвиденной рекламы или, в худшем случае, установку другого программного обеспечения, которое может быть неожиданным или нежелательным. Potentially unwanted applications (PUA) are a category of software that can cause your machine to run slowly, display unexpected ads, or at worst, install other software which might be unexpected or unwanted. По умолчанию в Windows 10 (версия 2004 и более поздние версии) антивирусная программа в Microsoft Defender блокирует приложения, которые считаются потенциально нежелательными приложениями, для корпоративных устройств (E5). By default in Windows 10 (version 2004 and later), Microsoft Defender Antivirus blocks apps that are considered PUA, for Enterprise (E5) devices.

Потенциально нежелательные приложения не считаются вирусами, вредоносными программами и другими типами угроз, но могут выполнять действия на конечных точках, которые отрицательно влияют на производительность или использование конечных точек. Potentially unwanted applications (PUA) are not considered viruses, malware, or other types of threats, but they might perform actions on endpoints which adversely affect endpoint performance or use. Потенциально нежелательные приложения также могут ссылаться на приложение с плохой репутацией, по оценке Microsoft Defender для конечных точек, из-за определенных видов нежелательного поведения. PUA can also refer to an application that has a poor reputation, as assessed by Microsoft Defender for Endpoint, due to certain kinds of undesirable behavior.

Ниже приводятся примеры: Here are some examples:

• Рекламные программное обеспечение, которые отображают рекламу или рекламные акции, в том числе программное обеспечение, которое вставляет рекламные объявления на веб-страницы. Advertising software that displays advertisements or promotions, including software that inserts advertisements to webpages.
• Организация программного обеспечения, которое предлагает установить другое программное обеспечение, не имеющее цифровой подписи той же организации. Bundling software that offers to install other software that is not digitally signed by the same entity. Кроме того, программное обеспечение, которое предлагает установить другое программное обеспечение, которое квалифицируется как потенциально нежелательное приложение. Also, software that offers to install other software that qualify as PUA.
• Уклонение программного обеспечения, которое активно пытается уклониться от обнаружения продуктами безопасности, включая программное обеспечение, которое ведет себя иначе в присутствии продуктов безопасности. Evasion software that actively tries to evade detection by security products, including software that behaves differently in the presence of security products.

Дополнительные примеры и обсуждение критериев, которые используются для пометки приложений, требующих особого внимания со стороны функций безопасности, см. разделе Как Майкрософт определяет вредоносные и потенциально нежелательные приложения. For more examples and a discussion of the criteria we use to label applications for special attention from security features, see How Microsoft identifies malware and potentially unwanted applications.

Потенциально нежелательные приложения могут повысить риск заражения вашей сети фактическими вредоносными программами, затруднить выявление заражений вредоносными программами или тратить ИТ-ресурсы на их очистку. Potentially unwanted applications can increase the risk of your network being infected with actual malware, make malware infections harder to identify, or waste IT resources in cleaning them up. Защита от потенциально нежелательных приложений поддерживается в Windows 10, Windows Server 2019 и Windows Server 2016. PUA protection is supported on Windows 10, Windows Server 2019, and Windows Server 2016.

Microsoft Edge Microsoft Edge

Новый Microsoft Edge, основанный на Chromium, блокирует загрузки потенциально нежелательных приложений и связанные URL-адреса ресурсов. The new Microsoft Edge, which is Chromium-based, blocks potentially unwanted application downloads and associated resource URLs. Эта функция предоставляется через фильтр SmartScreen в Microsoft Defender. This feature is provided via Microsoft Defender SmartScreen.

Включить защиту от потенциально нежелательных приложений в Microsoft Edge на основе Chromium Enable PUA protection in Chromium-based Microsoft Edge

Хотя защита от потенциально нежелательных приложений в Microsoft Edge (на основе Chromium, версия 80.0.361.50) отключена по умолчанию, ее можно легко отключить в браузере. Although potentially unwanted application protection in Microsoft Edge (Chromium-based, version 80.0.361.50) is turned off by default, it can easily be turned on from within the browser.

1. Выберите многоточие и затем выберите Параметры. Select the ellipses, and then choose Settings.
2. Выберите Конфиденциальность, поиск и службы. Select Privacy, search, and services.
3. В разделе Безопасность включите Блокировка потенциально нежелательных приложений. Under the Security section, turn on Block potentially unwanted apps.

Если вы работаете в Microsoft Edge (на основе Chromium), вы можете безопасно изучить функцию блокировки URL-адресов защиты от потенциально нежелательных приложений, протестировав ее на одной из наших демонстрационных страниц фильтра SmartScreen в Microsoft Defender. If you are running Microsoft Edge (Chromium-based), you can safely explore the URL-blocking feature of PUA protection by testing it out on one of our Microsoft Defender SmartScreen demo pages.

Блокировка URL-адресов с помощью фильтра SmartScreen в Microsoft Defender Blocking URLs with Microsoft Defender SmartScreen

В Edge на основе Chromium с включенной защитой от потенциально нежелательных приложений фильтр SmartScreen в Microsoft Defender защищает вас от URL-адресов, связанных с потенциально нежелательными приложениями. In Chromium-based Edge with PUA protection turned on, Microsoft Defender SmartScreen protects you from PUA-associated URLs.

Администраторы безопасности могут настраивать совместную работу Microsoft Edge и фильтр SmartScreen в Microsoft Defender для защиты групп пользователей от URL-адресов, связанных с потенциально нежелательными приложениями. Security admins can configure how Microsoft Edge and Microsoft Defender SmartScreen work together to protect groups of users from PUA-associated URLs. Существует несколько параметров групповой политики исключительно для фильтра SmartScreen в Microsoft Defender, в том числе один для блокировки потенциально нежелательных приложений. There are several group policy settings explicitly for Microsoft Defender SmartScreen available, including one for blocking PUA. Кроме того, администраторы могут настраивать фильтр SmartScreen в Microsoft Defender в целом, используя параметры групповой политики, чтобы включить или отключить фильтр SmartScreen в Microsoft Defender. In addition, admins can configure Microsoft Defender SmartScreen as a whole, using group policy settings to turn Microsoft Defender SmartScreen on or off.

Несмотря на то что Microsoft Defender для конечной точки имеет собственный список блокировок на основе набора данных, управляемом Майкрософт, вы можете настроить этот список на основе собственной аналитики угроз. Although Microsoft Defender for Endpoint has its own block list based upon a data set managed by Microsoft, you can customize this list based on your own threat intelligence. При создании и управлении индикаторами на портале Microsoft Defender для конечной точки, SmartScreen в Microsoft Defender учитывает новые параметры. If you create and manage indicators in the Microsoft Defender for Endpoint portal, Microsoft Defender SmartScreen respects the new settings.

Антивирусная программа в Microsoft Defender Microsoft Defender Antivirus

Функция защиты от потенциально нежелательных приложений (PUA) в антивирусной программе в Microsoft Defender может обнаруживать и блокировать потенциально нежелательные приложения на конечных точках в вашей сети. The potentially unwanted application (PUA) protection feature in Microsoft Defender Antivirus can detect and block PUAs on endpoints in your network.

Эта функция доступна в Windows 10, Windows Server 2019 и Windows Server 2016. This feature is available in Windows 10, Windows Server 2019, and Windows Server 2016.

Антивирусная программа в Microsoft Defender блокирует обнаруженные PUA-файлы и все попытки их скачивания, перемещения, запуска или установки. Microsoft Defender Antivirus blocks detected PUA files and any attempts to download, move, run, or install them. После этого заблокированные PUA-файлы перемещаются в карантин. Blocked PUA files are then moved to quarantine. При обнаружении PUA-файла в конечной точке антивирусная программа в Microsoft Defender отправляет пользователю уведомление (если уведомления не отключены) в том же формате, что и другие обнаруженные угрозы. When a PUA file is detected on an endpoint, Microsoft Defender Antivirus sends a notification to the user (unless notifications have been disabled) in the same format as other threat detections. Перед уведомлением указывается PUA: для указания его содержимого. The notification is prefaced with PUA: to indicate its content.

Настройка защиты от потенциально нежелательных приложений в антивирусной программе в Microsoft Defender Configure PUA protection in Microsoft Defender Antivirus

Вы также можете использовать защиту от потенциально нежелательных приложений в режиме аудита для обнаружения потенциально нежелательных приложений, не блокируя их. You can also use PUA protection in audit mode to detect potentially unwanted applications without blocking them. Обнаружения записываются в журнале событий Windows. The detections are captured in the Windows event log.

Посетите демонстрационный веб-сайт Microsoft Defender для конечной точки по ссылке demo.wd.microsoft.com, чтобы проверить, работает ли функция, и увидеть, как она работает. Visit the Microsoft Defender for Endpoint demo website at demo.wd.microsoft.com to confirm that the feature is working, and see it in action.

Защита от потенциально нежелательных приложений в режиме аудита полезна, если ваша организация проводит внутреннюю проверку соответствия требованиям безопасности программного обеспечения, и вы хотите избежать ложных срабатываний. PUA protection in audit mode is useful if your company is conducting an internal software security compliance check and you’d like to avoid any false positives.

Настройка защиты от потенциально нежелательных приложений с помощью Intune Use Intune to configure PUA protection

Настройка защиты от потенциально нежелательных приложений с помощью Configuration Manager Use Configuration Manager to configure PUA protection

Защита от потенциально нежелательных приложений по умолчанию включена в Microsoft Endpoint Manager (Current Branch). PUA protection is enabled by default in the Microsoft Endpoint Manager (Current Branch).

Дополнительные сведения о настройке Microsoft Endpoint Manager (Current Branch) см. в статье Создание и развертывание политик защиты от вредоносных программ: параметры запланированных проверок. See How to create and deploy antimalware policies: Scheduled scans settings for details on configuring Microsoft Endpoint Manager (Current Branch).

События PUA, заблокированные антивирусной программой в Microsoft Defender, отображаются в средстве просмотра событий Windows, а не в Microsoft Endpoint Configuration Manager. PUA events blocked by Microsoft Defender Antivirus are reported in the Windows Event Viewer and not in Microsoft Endpoint Configuration Manager.

Настройка защиты от потенциально нежелательных приложений с помощью групповой политики Use Group Policy to configure PUA protection

На компьютере управления групповыми политиками откройте консоль управления групповыми политиками. On your Group Policy management computer, open the Group Policy Management Console.

Выберите объект групповой политики, который необходимо настроить, а затем выберите Изменить. Select the Group Policy Object you want to configure, and then choose Edit.

В редакторе управления групповыми политиками перейдите к конфигурации компьютера и выберите Административные шаблоны. In the Group Policy Management Editor, go to Computer configuration and select Administrative templates.

Разверните дерево до Компонентов Windows > антивирусной программы в Microsoft Defender. Expand the tree to Windows Components > Microsoft Defender Antivirus.

Дважды щелкните на пункт Настройка обнаружения потенциально нежелательных приложений. Double-click Configure detection for potentially unwanted applications.

Выберите Включено, чтобы включить защиту от потенциально нежелательных приложений. Select Enabled to enable PUA protection.

В разделе Параметры выберите Заблокировать, чтобы заблокировать потенциально нежелательные приложения, или выберите Режим аудита, чтобы проверить, как этот параметр работает в вашей среде. In Options, select Block to block potentially unwanted applications, or select Audit Mode to test how the setting works in your environment. Нажмите ОК. Select OK.

Разверните объект групповой политики, как обычно. Deploy your Group Policy object as you usually do.

Настройка защиты от потенциально нежелательных приложений с помощью командлетов PowerShell Use PowerShell cmdlets to configure PUA protection

Чтобы включить защиту от потенциально нежелательных приложений: To enable PUA protection

Установите для этого командлета значение Enabled , чтобы включить функцию, если она была отключена. Setting the value for this cmdlet to Enabled turns the feature on if it has been disabled.

Чтобы настроить защиту от потенциально нежелательных приложений в режиме аудита: To set PUA protection to audit mode

Установите AuditMode для обнаружения потенциально нежелательных приложений, не блокируя их. Setting AuditMode detects PUAs without blocking them.

Чтобы отключить защиту от потенциально нежелательных приложений: To disable PUA protection

Рекомендуем не отключать защиту от потенциально нежелательных приложений. We recommend keeping PUA protection turned on. Однако её можно отключить с помощью следующего командлета: However, you can turn it off by using the following cmdlet:

Установите для этого командлета значение Disabled , чтобы отключить функцию, если она была включена. Setting the value for this cmdlet to Disabled turns the feature off if it has been enabled.

Дополнительные сведения об использовании PowerShell с антивирусной программой в Microsoft Defender см. в разделах Использование командлетов PowerShell для настройки и запуска антивирусной программы в Microsoft Defender и Командлеты Defender. See Use PowerShell cmdlets to configure and run Microsoft Defender Antivirus and Defender cmdlets for more information on how to use PowerShell with Microsoft Defender Antivirus.

Просмотр событий PUA View PUA events

О событиях PUA сообщается в средстве просмотра событий Windows, но не в Microsoft Endpoint Manager или в Intune. PUA events are reported in the Windows Event Viewer, but not in Microsoft Endpoint Manager or in Intune. Вы также можете использовать командлет Get-MpThreat для просмотра угроз, обработанных антивирусной программой в Microsoft Defender. You can also use the Get-MpThreat cmdlet to view threats that Microsoft Defender Antivirus handled. Пример: Here’s an example:

Вы можете включить уведомления по электронной почте, чтобы получать сообщения об обнаружении потенциально нежелательных приложений. You can turn on email notifications to receive mail about PUA detections.

Дополнительные сведения о просмотре событий Microsoft Defender Antivirus см. в разделе Устранение неполадок с событиями идентификаторов. See Troubleshoot event IDs for details on viewing Microsoft Defender Antivirus events. События PUA записываются в соответствии с идентификатором события 1160. PUA events are recorded under event ID 1160.

Исключение файлов Excluding files

Иногда файл ошибочно блокируется защитой от потенциально нежелательных приложений или для выполнения задачи требуется функция PUA. Sometimes a file is erroneously blocked by PUA protection, or a feature of a PUA is required to complete a task. В таких случаях файл можно добавить в список исключений. In these cases, a file can be added to an exclusion list.