что такое потенциально нежелательная программа
Windows 10 будет автоматически блокировать потенциально нежелательные приложения
Еще в Windows 10 May 2020 Update (версия 2004) Microsoft добавила новый параметр в приложение «Безопасность Windows» под названием «Блокировка потенциально нежелательного приложения», который позволяет Защитнику Windows (Microsoft Defender) блокировать данные виды приложений.
С момента релиза данная функция была по умолчанию отключена, но, начиная с августа 2021 года, Microsoft начнет блокировать потенциально нежелательные приложения по умолчанию.
В документе поддержки Microsoft сообщила:
С начала августа 2021 года мы начнем включать данную функцию по умолчанию, чтобы гарантировать наилучшую работоспособность ваших систем.
Пользователи Windows 10, которые не хотят блокировать ПНП, могут отключить эту функцию, открыв экран настроек приложения «Безопасность Windows» и перейдя в Управление приложениями/браузером и выбрав Параметры защита на основе репутации.
На экране параметров защиты на основе репутации вы можете перевести переключатель Блокировка потенциально нежелательного приложения в неактивное положение.
Опция Блокировать приложения активирует встроенный в Microsoft Defender механизм обнаружения и блокировки ПНП, а опция Блокировать скачиваемые файлы позволяет фильтру SmartScreen в Microsoft Edge на Chromium блокировать потенциально нежелательные приложения и программы при их загрузке.
Пользователи Windows 10 должен выиграть от автоматически блокировки ПНП, потому что в последние годы ПНП все чаще демонстрируют откровенно вредоносное поведение.
Однако, из-за юридических аспектов, многие вендоры не блокируют или игнорируют данные виды приложений.
Данный шаг Microsoft может повлиять на индустрию безопасности, мотивируя другие компании также блокировать ПНП.
Что такое потенциально нежелательное приложение?
Потенциально нежелательные приложения или ПНП не являются непосредственно вредоносными программами, но по своему поведению, очень близки к ним.
Они обычно создаются официально оформленными компаниями, которые не стесняются «нарушать границы дозволенного», потому что такие программы обычно выполняют нежелательное поведение на ПК.
Потенциально нежелательными программами могут быть расширения для браузера, рекламные приложения, программы, которые отправляют диагностические данные без разрешения пользователя, различные инструменты очистки Windows и антивирусные программы, которые используют ложные срабатывания, а также приложения, которые не обеспечивают обещанные функциональные возможности.
Для классификации ПНП Microsoft использует следующие категории:
К сожалению, под обозначенные критерии подпадают некоторые легитимные приложения, которые также могут быть обнаружены функцией блокировки ПНП в Microsoft Defender.
Так например, легитимные приложения для майнинга криптовалют или для управления торрентами могут быть обнаружены и удалены Microsoft Defender.
В этих случаях рекомендуется создавать исключения в Microsoft Defender, чтобы предотвратить блокировку отдельных файлов, но не отключать всю функцию.
Как включить / отключить защиту от ПНП в Защитнике Windows 10
Потенциально нежелательные программы (ПНП) не являются вирусами, вредоносным ПО или другими типами угроз, но могут выполнять действия, которые повлияют на производительность и удобство использования компьютера. Часто под ПНП понимают приложения с плохой репутацией.
Типичными сценариями поведения ПНП являются:
Данные приложения могут увеличить риск заражения сети вредоносными программами или усложнить обнаружение заражений, а также потребляют системные ресурсы устройства.
По умолчанию, защита от ПНП отключена в Защитнике Windows, но при желании любой пользователь Windows 10 может включить данный механизм безопасности.
Первоначально Microsoft объявила, что функция защиты от ПНП будет доступна только для Windows 10 Enterprise. Тем не менее, пользователи редакций Windows 10 Pro и Windows 10 Домашняя также могут включить защиту, чтобы заблокировать установку нежелательных программ на ПК.
Обновления функции защиты ПНП поставляются как часть стандартных сигнатурных обновлений и облачной защиты Защитника Windows.
В данной инструкции описывается как включить или отключить защиту от потенциально нежелательных программ в Защитнике Windows для всех пользователей Windows 10.
Примечание
Все указанные в статье действия можно выполнить только в учетной записи с правами Администратор.
Содержание
Включение / отключение защиты от ПНП через системный реестр
Описание значений ключей реестра
0 или удаление = отключить
1 = включить
0 или удаление = отключить
1 = включить
Включение / отключение защиты от ПНП с помощью редактора групповой политики
Редактор групповых политик является компонентом Windows 10 Pro и Enterprise (Корпоративная). Для отключения Защитника Windows нужно выполнить следующие шаги:
Включение защиты
Режим аудита
Отключение защиты
Включение / отключение защиты от ПНП через Windows PowerShell
Следующие команды PowerShell позволяют добавить или изменить значение DWORD в соответствующих ключах системного реестра.
0 = отключить
1 = включить
2 = режим аудита (будет обнаруживать ПНП, но не блокировать)
Включение защиты
Режим аудита
Отключение защиты
Состояние защиты от ПНП проверяется командлетом Get-MpPreference. В его выводе значение PUAProtection: 1 означает включенную защиту.
Как проверить защиту от ПНП
Чтобы проверить активность защиты от ПНП, вы можете скачать безопасный тестовый файл на сайте AMTSO, нажав ссылку LAUNCH THE TEST.
Если при попытке запустить файл PotentiallyUnwanted.exe, он был заблокирован Защитником Windows, то защита от ПНП была успешно включена.
Также проверить успешную блокировку можно в меню приложения Безопасность Windows: Защита от вирусов и угроз > Текущие угрозы.
или в Защита от вирусов и угроз > Текущие угрозы > Журнал защиты
Как добавить обнаруженное приложение в исключения
В случае, если функция защиты от ПНП блокирует приложение, которому вы доверяете, можно разрешить его запуск, выполнив следующие действия:
После выполнения всех шагов приложение будет восстановлено в исходное местоположение, и вы сможете без проблем запустить его.
Примечание: вы также можете нажать кнопку «Удалить», чтобы избавиться от нежелательного приложения и других зараженных файлов.
Считаете ли вы, что Windows 10 должна включать дополнительный уровень защиты от ПНП по умолчанию? Напишите нам в комментариях.
Вредоносные и потенциально нежелательные программы — правила Microsoft
Microsoft приходится заботиться о безопасности своих клиентов, иначе она бы никогда не смогла добиться статуса одной из ведущих мировых корпораций в IT-индустрии. Компания предоставляет пользователям программный инструментарий для защиты их устройств от различных видов кибер-угроз, а также информирует о мерах, которые необходимо предпринять для защиты личных данных, хранимых на компьютерах и мобильных устройствах под управлением Windows.
Одна из мер, помогающих компании выявлять угрозы — это анализ программ, отправляемых самими пользователями ОС на их обработку и изучение в аналитический центр Microsoft. В соответствии с определенными критериями, о которых пойдет речь далее, такие приложения причисляются к той или иной категории вредоносных и/или потенциально нежелательных программ.
Поскольку новые виды вредоносных и потенциально нежелательных программ быстро разрабатываются и распространяются, компания Microsoft оставляет за собой право изменения, расширения и обновления критериев, наличие которых у анализируемых приложений позволяют отнести их к той или иной категории угроз.
Вредоносные программы (Malicious software или Malware)
Корпорация Microsoft трактует понятие «Malware» как сокращенный термин от «Malicious software». Malware — это обобщенное название программного обеспечения, к которым Microsoft относит все виды вредоносных и потенциально нежелательных программ или отрывков кода, созданных специально для нанесения вреда компьютерам, серверам или компьютерным сетям.
Вредоносное ПО может украсть личную информацию, полностью заблокировать компьютер до тех пор, пока пользователь не выполнит условия злоумышленника (как правило, это перевод денежных средств), использовать зараженный ПК для рассылки спама или загрузки и распространения других вредоносных программ. В общем и целом, такие программы обманывают, ставят пользователей в уязвимое положение (шантажируют) или выполняют другие незаконные действия.
Корпорация Microsoft относит большинство существующих сегодня вредоносных программ в одну из следующих категорий:
Нежелательное программное обеспечение
К нежелательному программному обеспечению в Microsoft относят приложения, совершающие какие-либо скрытые от системы и/или пользователя действия. В одну из основных задач системы безопасности Windows входит контроль поведения устанавливаемых программ. Если по каким-либо причинам контроль невозможен, система предупреждает пользователей о возможной угрозе со стороны запускаемой программы или даже блокирует ее выполнение.
Отсутствие выбора
Под этим термином в Microsoft понимают выполнение приложением каких-либо действий, которые пользователь не выбирал. Например, при запуске приложения или какой-либо его функции самопроизвольно изменяется домашняя страница в браузере или иные настройки интернет-обозревателя. Т.е. пользователь не выбирал эту опцию, а действие все равно произошло.
Кроме того, отсутствие выбора также может проявляться:
Одно из основных требований Microsoft к устанавливаемым программам — они не должны вводить пользователя в заблуждение или принуждать к принятию тех или иных решений относительно компьютера. Специалисты Microsoft также считают это поведением, ограничивающим выбор. Таким образом, в дополнение к предыдущему списку также можно добавить:
С большой внимательностью следует относиться к программам, которые хранят или куда-либо отсылают пользовательские личные данные или журналы его действий за компьютером. Такие программы:
Отсутствие контроля
Пользователи должны иметь возможность контролировать программное обеспечение, устанавливаемое на компьютер. Под отсутствием контроля в данном случае в Microsoft понимают невозможность пользователем каким-либо образом отозвать данное ранее разрешение программе на выполнение того или иного действия.
Возьмем, к примеру, программное обеспечение для браузеров (большинство нежелательного ПО пишется именно под интернет-обозреватели). Отсутствие контроля над ними со стороны пользователя может проявляться в следующем:
Установка и удаление программ
Пользователи должны иметь возможность по собственному желанию запускать, останавливать или иным образом отзывать данное ранее разрешение программе на работу или выполнение какого-либо действия. Программное обеспечение должно получать согласие пользователя на установку и предоставлять простой и понятный способ инсталляции, удаления и завершения работы.
Приложения, выполняющие эти операции скрытно или не предоставляющие возможность выбора действия, часто устанавливают на компьютер прочее нежелательное по классификации Microsoft программное обеспечение.
Зачастую программы, нарушающие принцип свободной установки и удаления, имеют следующие признаки:
Рекламные объявления в приложениях
К потенциально нежелательному ПО специалисты Microsoft также относят программы, не предоставляющие пользователям возможности контроля над рекламой внутри них и/или не информирующие о ее наличии до начала процесса установки. Приложения, содержащие рекламу, должны:
Мнение потребителей
Корпорация Microsoft поддерживает международную сеть аналитиков и автоматизированных интеллектуальных систем, куда любой пользователь продукции компании может предоставлять программное обеспечение для проведения анализа. Это помогает специалистам Microsoft быстрее выявлять новые вредоносные и нежелательные программы, что позволяет создавать интеллектуальные системы безопасности для защиты пользователей от их действий. Идентифицированное в качестве вредоносного/нежелательного ПО заносится в базу встроенного антивируса «Защитник Windows», что и позволяет системе заранее предупреждать пользователя о рисках использования устанавливаемых им приложений.
Потенциально нежелательные приложения
Существует ряд приложений, которые, по мнению специалистов Microsoft, могут снизить производительность операционной системы Windows или внести неудобства в работе с ОС. Но стоит иметь в виду, что Microsoft не относит потенциально нежелательные приложения к категории вредоносного ПО.
Специалисты Microsoft приводят следующие классификации потенциально нежелательных приложений:
Приложения, идентифицированные партнерами Microsoft, занимающимися вопросами кибер-безопасности, как вредоносное или нежелательное ПО. Корпорация Microsoft тесно сотрудничает с различными организациями по всему миру, обмениваясь с ними данными о файлах, которые могут представлять угрозу. Полученная от партнеров информация также заносится в базу встроенного антивируса «Защитник Windows».
Остались вопросы, предложения или замечания? Свяжитесь с нами и задайте вопрос.
Защита браузера и настроек интернета от действий нежелательных программ
При скачивании торрент-клиентов, дополнений и других программ с сомнительных сайтов, распространяющих нелицензионный контент, на компьютер могут незаметно устанавливаться нежелательные программы. Они не являются вирусами, но способны снизить скорость работы браузера, без согласия пользователя установить дополнительные панели инструментов, перенаправлять на мошеннические, фишинговые или рекламные страницы.
Какие угрозы несут нежелательные программы
Нежелательная программа добавляет в системный реестр адрес рекламного сайта, имитирующего популярный интернет-сервис. Адрес добавляется в ключ, где регистрируется легальное ПО для автозапуска.
В результате в браузере,\nкоторый используется по умолчанию, после каждой перезагрузки компьютера будет открываться рекламный сайт.
Нежелательная программа — драйвер-фильтр — использует перехват интернет-трафика для показа навязчивой и шокирующей рекламы в браузере, открытия рекламных вкладок, перенаправления пользователя на нежелательные сайты, кражи его личных данных.
Нежелательная программа изменяет настройки системных DNS.
Нежелательное ПО изменяет IP-адрес стандартного DNS-сервера. В результате все запросы будут отправляться на другой сервер, который будет перенаправлять пользователя на мошеннические, фишинговые или рекламные страницы.
Вредоносные программы могут прописывать в файл hosts ложные адреса, блокируя доступ к популярным сайтам, перенаправляя пользователя на фишинговые страницы или отключая защитные функции браузеров.
Чтобы исправить результат работы вируса в Windows:
Программа незаметно от пользователя устанавливает в браузер вредоносные расширения, которые открывают в браузере рекламные вкладки, показывают навязчивую и шокирующую рекламу или крадут личные данные пользователя.
Вредоносные расширения плохо распознаются антивирусами. Это происходит потому, что все расширения работают внутри браузера и не влияют на операционную систему компьютера.
Рекомендуется устанавливать расширения из интернет-магазинов Opera Add-ons или Chrome Web Store, где они проходят проверку на вредоносность.
Чтобы проверить расширения, установленные в браузерах:
Нежелательная программа запускается при каждом включении зараженного компьютера и отслеживает приложения. Когда пользователь открывает один из браузеров, вредоносное ПО внедряет свой код в процесс браузера, чтобы перенаправлять пользователя на рекламные или фишинговые страницы, менять настройки поиска по умолчанию и красть личные данные.
Нежелательная программа изменяет ярлык запуска браузера, добавляя дополнительные параметры (чаще всего, адрес сайта) или запуская вместо браузера другое приложение. В результате браузер при каждом запуске будет открывать страницы с рекламой.
Чтобы проверить свойства ярлыка:
Убедитесь, что строка «Объект» содержит только путь к файлу браузера.
C:\\Program Files\\Google\\Chrome\\Application\\chrome.exe\\ load-and-launch-app=C:\\Users\\user\\AppData\\Local\\Google\\Chrome\\UserData\\Default\\def_apps\\ipcleopmlacobpjligchhkpongdjlfjh\\35.0_0
Как удалить нежелательные программы
Проверьте систему антивирусной утилитой, например CureIt! от Dr.Web, Virus Removal Tool «Лаборатории Касперского» или Yandex Rescue Tool.
Чтобы воспользоваться Yandex Rescue Tool:
Запуская утилиту, вы соглашаетесь с условиями ее использования.
Если нежелательные программы не были найдены или не все программы удалились, проведите очистку еще раз.
Если после повторной очистки не удалось обнаружить или удалить нежелательные программы, но вы уверены, что компьютер под угрозой, посмотрите, что еще можно сделать с помощью бесплатных антивирусов, или обратитесь в службу поддержки.
Защитник Windows нашел нежелательное приложение — что делать?
Если Защитник Windows нашел и отметил безопасное приложение как «потенциально нежелательное» и прислал соответствующее уведомление об ошибке, у вас будет несколько способов исправить ситуацию. Рассказываем, что можно сделать и как восстановить работу программы или файл.
Защитник Windows нашел «потенциально нежелательное приложение»
Если Защитник Windows сообщает о приложении или файле как о потенциально нежелательных, это может иметь несколько причин.
Как и другие антивирусные программы, Защитник сопоставляет файлы на вашем компьютере с базой данных, в которой перечислены вредоносные приложения. Таким образом Defender может определить, является ли конкретный файл вирусом или нет, прежде чем он будет открыт. Однако обычные файлы также часто помечаются как потенциально опасные — это может быть связано с тем, что у них есть определенные признаки или секции кода, которые могут навредить вашей системе.
Именно поэтому Защитник Windows может поместить в карантин не только вредоносные файлы, но и ни в чем неповинную программу.
Что делать с подозрительными файлами
Если файл помечен как потенциально нежелательный, у вас будет несколько вариантов, что можно с ним сделать. Выберите одну из предложенных опций, а затем нажмите кнопку «Запуск действий».
Удалить: Если вы выберете этот параметр, файл будет удален из вашей системы и, соответственно, не причинит ей вреда.
Поместить в карантин: если вы не уверены, действительно ли файл опасен или нет, вы можете сначала отправить его в карантин. Это опция также работает по умолчанию для файлов, которые Защитник Windows считает вредными. После помещения в карантин потенциально опасные файлы не смогут повредить вашей системе, но при этом не будут удалены.
Разрешить на устройстве: Если вы выберете эту опцию, файл будет найден в исходном месте, и вы сможете его открыть. Обратите внимание, что выбирать этот параметр стоит только в том случае, если вы абсолютно уверены, что файл безвреден. Чаще всего антивирусные программы не ошибаются.
Manual steps required (Требуется удалить файл вручную): в некоторых случаях программа предложит еще один вариант действий с файлом. Эта опция зависит от самого файла, который находится в карантине, и, при необходимости, программа укажет вам путь, как вручную удалить этот файл.