Windows Defender peut détecter et supprimer les logiciels malveillants et les virus, mais il ne détecte pas les programmes potentiellement indésirables ou les logiciels malveillants par défaut. Cependant, il existe une fonctionnalité d’opt-in que vous pouvez activer en modifiant le registre pour faire en sorte que Windows Defender analyse et élimine les logiciels publicitaires, PUA ou PUP en temps réel.
Les programmes potentiellement indésirables (PUP), les applications potentiellement indésirables (PUA) et les logiciels potentiellement indésirables (PUS) font référence à la catégorie de logiciels qui sont considérés comme indésirables, non fiables ou indésirables. Les PPI comprennent des logiciels publicitaires, des numéroteurs, de faux programmes d'optimisation, des barres d'outils et des barres de recherche fournies avec des applications.
Les PUA ne relèvent pas de la définition de «malware» car ils ne sont pas malveillants, mais néanmoins, certains PUA sont classés comme «à risque».
Bottom line: Vous n'avez pas besoin de choses «potentiellement indésirables» dans votre système, quel que soit le niveau de risque, sauf si vous croyez sérieusement que les avantages offerts par un programme particulier l'emportent sur les risques ou les inconvénients créés par le PUP qui accompagnait le programme principal.
Maintenant, voici comment activer l'analyse et la suppression des logiciels publicitaires, des PUP ou des PUA à l'aide de Windows Defender (sous Windows 8 et versions ultérieures).
- Activer la fonctionnalité de protection PUA de Windows Defender
- Activer la protection PUA à l'aide de PowerShell
- Activer manuellement la protection PUA [Emplacement du registre 2]
- Activer manuellement la protection PUA [Emplacement du registre 3]
- Comment vérifier si la protection PUA fonctionne?
Activer l'analyse en temps réel de Windows Defender pour les logiciels publicitaires, PUA ou PUP
Il existe trois façons différentes d'activer la protection PUA dans Windows Defender, mais je ne sais pas quel paramètre est prioritaire en cas de conflit. L'emplacement du registre est différent dans chaque méthode décrite. Il est conseillé d'utiliser une seule des méthodes suivantes pour éviter toute confusion.
Méthode 1: activer la protection PUA à l'aide de PowerShell
Démarrez PowerShell (powershell.exe) en tant qu'administrateur.
Exécutez la commande suivante et appuyez sur ENTRÉE:
Set-MpPreference -PUAProtection 1
Cette commande PowerShell ajoute une valeur de Registre à la clé suivante:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows Defender
- Valeur: PUAProtection
- Data: 1 - active la protection PUA | 0 - désactive la protection
Notez que la définition manuelle de la valeur de Registre fonctionnerait toujours. Mais le chemin de registre ci-dessus est protégé et ne peut pas être modifié à l'aide de l'Éditeur du Registre, sauf si vous le modifiez en tant que SYSTEM.
Méthode 2: activer manuellement la protection PUA [Emplacement du Registre 2]
Cette méthode utilise la même valeur de Registre mais l'implémente sous la clé de Registre Stratégies.
Démarrez Regedit.exe et accédez à la clé suivante:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows Defender
Créez une valeur DWORD nommée PUAProtection
Double-cliquez sur PUAProtection et définissez ses données de valeur sur 1.
Méthode 3: activer manuellement la protection PUA [Emplacement du Registre 3]
Démarrez l'Éditeur du Registre (regedit.exe) et accédez à la clé suivante:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows Defender
Créez une sous-clé nommée «MpEngine»
Sous MpEngine, créez une valeur DWORD nommée MpEnablePus
Double-cliquez sur MpEnablePus et définissez ses données de valeur sur 1
Cela configure Windows Defender pour permettre l'analyse en temps réel et la suppression des éléments «potentiellement indésirables».
Quittez l'Éditeur du Registre.
De ces trois méthodes, 1 et 2 ne sont pas encore documentées par Microsoft - mais j'ai réussi à les découvrir en jouant avec PowerShell. Les méthodes 1 et 2 ont été testées dans un système exécutant Windows 10. La méthode 3 a été initialement publiée par le blog MMPC.
Appliquer les modifications
Effectuez l'une des opérations suivantes pour appliquer les modifications:
- Désactivez la protection en temps réel, puis réactivez-la.
- Mettre à jour les définitions de Windows Defender
- Redémarrez Windows
PUA sera bloqué uniquement au moment du téléchargement ou de l'installation. Un fichier sera inclus pour le blocage s'il remplit l'une des conditions suivantes:
- Le fichier est en cours d'analyse depuis le navigateur
- Le fichier a défini Mark of the Web (Zone ID)
- Le fichier se trouve dans le dossier Téléchargements
- Le fichier dans le dossier% temp%
La protection Windows Defender PUA fonctionne-t-elle dans des systèmes qui ne font pas partie d'un réseau d'entreprise?
Cette fonctionnalité opt-in de Windows Defender a été annoncée l'année dernière par le blog Microsoft Malware Protection Center (MMPC). Mais, comme le billet de blog MMPC ne fait référence qu'aux systèmes «d'entreprise», certains utilisateurs à domicile peuvent se demander si la fonction de détection PUA fonctionne ou non sur les ordinateurs autonomes.
Oui. L'analyse Windows Defender PUA fonctionne également dans les systèmes autonomes.
Le test suivant montre que la détection PUA de Windows Defender fonctionne certainement dans les systèmes qui ne font pas partie d'un réseau de domaine.
Le portail de sécurité MMPC contient la liste complète des «programmes potentiellement indésirables» ou des «applications potentiellement indésirables». Chaque nom de menace est précédé du préfixe «PUA:».
Par exemple, PUA: Win32 / CandyOpen est un PUP / PUA fourni avec Magical jelly bean Keyfinder et d'autres programmes.
(Magical Jelly Bean Keyfinder, sinon c'est un logiciel utile.)
Avant d'activer la protection PUA de Windows Defender, j'ai téléchargé Keyfinder de Magicaljellybean et essayé de l'exécuter sur un ordinateur autonome Windows 10 v1607. Windows Defender m'a permis de télécharger le programme d'installation et de l'exécuter.
Après avoir défini les données de valeur «MpEnablePus» sur 1 à l'aide de l'Éditeur du Registre et mis à jour les définitions, Windows Defender a bloqué le programme d'installation de s'exécuter.
De plus, lorsque j'ai essayé de télécharger une nouvelle copie du programme d'installation de Keyfinder, le fichier a été bloqué car il a atterri dans le dossier Téléchargements ou% temp%. Le résultat était le même lorsque j'ai choisi un dossier autre que «Téléchargements».
Et le message de notification de Windows Defender a été affiché.
Windows Defender a trouvé une application non fiable
Vos paramètres informatiques provoquent le blocage de toute application susceptible d'effectuer des actions indésirables sur votre ordinateur
Attendu que le message de notification mot pour mot est différent pour les détections de «logiciels malveillants»; dans ce cas, il indiquerait «Trouvé des logiciels malveillants».
Et le PUA a été mis en quarantaine, comme indiqué dans l'historique des analyses de Windows Defender.
Magical Jelly Bean Keyfinder semble regrouper de temps en temps différents PUA dans son programme d'installation. Lors de son test en mai 2019, le programme d'installation contenait un autre PUA (nommé PUA:Win32/Vigua.A
) avec un niveau de menace «Sévère».
Le message de notification est différent cette fois. Il a déclaré: « Windows Defender Antivirus a bloqué une application qui pourrait effectuer des actions indésirables sur votre appareil. "
Conclusion: La fonctionnalité de détection PUA de Windows Defender peut être pratique pour les systèmes qui ne tirent pas déjà parti d'une solution anti-malware premium tierce (par exemple, Malwarebytes Antimalware Premium) avec une capacité de surveillance en temps réel. J'espère que Microsoft ajoute une option d'interface graphique pour activer la fonction de numérisation PUA dans Windows Defender, comme la fonctionnalité opt-in de numérisation périodique limitée (et l'option GUI) dans Windows 10.