Jak włączyć wykrywanie PUA's w Windows Defender Windows 10 ?


(Seba228215) #1

Nie wiem czy to dobry dział. Ale czy bym mógł poprosić o tekst, co wpisać w notatniku i zapisać jako reg, aby włączyć pua/pup/pum w Windows Defender w Windows 10 ? Czy wykrywanie pua’s działa tylko w Enterprise czy zadziała też w Pro ?

Pozdrawiam i z góry dziękuję.


#2

https://www.tenforums.com/tutorials/32236-enable-disable-windows-defender-pua-protection-windows-10-a.html i sugeruję zmienić tytuł wątku


(Seba228215) #3

Czy teraz tytuł w porządku ?


(Bartosz82) #4

A co ma w ogóle na celu to wykrywanie PUA`s ? - pytam z ciekawości. Do czego to służy ?


(Seba228215) #5

To są te niechciane dodatki. :smiley:


(Akindu) #6

(krystian3w) #7

aktywacja ochrony opartej na chmurze w Windows 10

Użytkownicy podstawowej wersji systemu Windows 10 (Home) nie mają dostępu do Edytora lokalnych zasad grupy. Można jednak włączyć zaawansowaną ochronę przez Defendera poprzez Rejestr systemowy.

  1. Wciśnij kombinację klawiszy Windows + R i w oknie uruchamiania wpisz regedit.exe.
  2. Po wejściu do Edytora rejestru skorzystaj z menu bocznego, aby wejść do następującej ścieżki „HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows Defender”.
  3. Kliknij prawym przyciskiem myszy na kluczu Windows Defender po lewej stronie okna i z menu kontekstowego wybierz „Nowy > Klucz”. Nazwij ten klucz Spynet i potwierdź utworzenie go przyciskiem Enter.
  4. Kliknij prawym przyciskiem w utworzony klucz Spynet i wybierz opcję „Nowy > Wartość DWORD (32-bitowa)”. Utworzony zostanie nowy wpis, który będzie widoczny po zaznaczeniu klucza Spynet. Nadaj temu wpisowi nazwę SpynetReporting.
  5. Kliknij dwukrotnie we wpis SpynetReporting, aby otworzyć nowe okienko edycji jego wartości. Ustawę tę wartość na 2 i potwierdź przyciskiem OK.
  6. Powróć teraz do klucza „HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows Defender”. Kliknij klucz Windows Defender prawym przyciskiem myszy i wybierz „Nowy > Klucz”.
  7. Nadaj kluczowi nazwę MpEngine i potwierdź przyciskiem Enter. Zaznacz ten klucz, a następnie kliknij go prawym przyciskiem myszy i wybierz „Nowy > Wartość DWORD (32-bitowa)”.
  8. Nadaj nowemu wpisowi nazwę MpCloudBlockLevel. Następnie kliknij ten wpis dwukrotnie, aby edytować jego wartość. Ustaw mu wartość 2.

Po wszystkim zamknij Edytor rejestru i uruchom komputer ponownie. Zaawansowana ochrona przez Defendera w Windowsie 10 została uaktywniona.


(Seba228215) #8

To po co klucz puaprotection dodatkowo. Edytuj enable pus z anglojęzycznej strony i zobacz w notatniku. Bo mpengine to wiem.


(krystian3w) #9

https://docs.microsoft.com/en-us/windows/threat-protection/windows-defender-antivirus/detect-block-potentially-unwanted-apps-windows-defender-antivirus

To klucz z innej metody, jak dobrze rozumiem ten francuski to normalnie on się nie doda bez dodania uprawnień dla gałęzi lub uruchomienia go z konta SYSTEM, plik reg raczej doda ręcznie; nie można z poziomu regedit, bo system chroni.

www.tutoriaux-excalibur.com/securite/26697-windows-10-detection-pup-pua-sur-windows-defender.html
www.windowshelp.org/forums/tutoriels-astuces-f26/topic3569.html


(Seba228215) #10

Bądź razie, ściągnąłem plik reg enable pua, ale podczas skanowania wykrywało mi trzy pliki a nie jeden, więc postanowiłem skopiować potrzebny tekst z tego pliku reg i zapisać osobny nowy plik bez śmieci i przy skanowaniu tego drugiego wykrywa mi już jeden plik. Wszystko niby czyste, ale jak to możliwe ?


(krystian3w) #11

Nie wiem co skanowałeś, może wyślij pliki do VirusTotal i zobacz czy jako PUP / PUA / PUS zostaną oznaczone np. przez ESET?


(Seba228215) #12

Pierwotny plik enable pua reg i mój plik reg. To skanowałem i jedno miało liczba plików 3, a drugie 1 i oba reg czyste.


(krystian3w) #13

Aha :smirk:, w teorii w pliku reg możesz mieć wpis co dodaje aplikacje do autostartu i może dlatego większość plików oznacza jako zagrożenie?

A jak wygląda skan po usunięciu kluczy z rejestru:
MpCloudBlockLevel, MpEnablePus, PUAProtection - nagle pliki reg czyste :joy:?


(Seba228215) #14

W teorii, to oprócz głównego dodania kluczy do rejestru, w tekście tego pobranego pliku znalazłem linki do trzech stron internetowych. Tak więc skopiowałem co potrzebne i zrobiłem własny reg bez tych stron internetowych w tekście.


(krystian3w) #15

Więc komentarze w pliku reg mechanizm PUP / PUA / PUS uznaje za zagrożenie nagle :joy:?


(Seba228215) #16

Napisałem, że oba pliki czyste. A pua chciałem włączyć tylko dlatego, że chcę na chwilę zrezygnować z pakietów firm trzecich i nie chcę mieć śmieci na dysku. A pua t śmieci i zamulacze. Co nie ? Nie mam jeszcze jak sprawdzić czy WD jest faktycznie tak dobry, jak go AV Compares maluje w ochronie na wykresie z maja.


(krystian3w) #17

A ja wciąż nie mam pewności co Defender ci uznał po boostowaniu za zagrożenie :wink:


(Seba228215) #18

Nic. Tylko przeskanował pliki i stwierdził, że pobrany z forum pua enable reg ma 3 pliki (przeskanowano 0 zagrożeń, 3 pliki), a w moim 0 zagrożeń i 1 plik.


(krystian3w) #19

OMG - czyli wychodzi że program liczy jeden plik jako trzy bo ma w sobie komentarze i link do wątku forum skąd pochodzi… :flushed:

Próbuj pobierać tak jak nie zalecają i zobacz ile przy skanowaniu lub za raz po pobraniu wykryje antywirus (próbuj ignorować mechanizmy przeglądarki):
https://www.fixitpc.pl/topic/19809-portale-z-oprogramowaniem-instalatory-na-co-uważać/

Ostatecznie jak nie wykryje to próbuj włączać i zobaczysz czy nagle usunie plik i np. zamknie program jak zdążył się uruchomić.


(Seba228215) #20

Pobierz stąd :


I przeskanuj Defenderem. Następnie weź edytuj plik i skopiuj co potrzebne do nowego pliku tekstowego i zapisz ten nowy plik jako twoja nazwa i reg. Przeskanuj go też Defenderem. Nie wiem skąd te różnice i czy są normalne