Windows10:如何启用Windows Defender的潜在有害程序保护

indows Defender Antivirus的保护工具库中最新增加的功能之一是阻止可能不需要的程序，短PUP，登陆系统或安装在Windows PC上。

注意：可能不需要的程序（PUP）和可能不需要的应用程序（PUA）是指相同类型的可能不需要的软件。

微软为Windows 10显着改进了内置防病毒和安全工具Windows Defender的防御功能。

该公司近年来在该工具中添加了Windows Defender System Guard和Application Guard，网络保护，受控文件夹访问或漏洞利用保护等功能。微软甚至为谷歌浏览器发布了Windows Defender浏览器保护。

某些功能仅适用于Windows10的企业版，但有些功能也可用于家庭版。

Windows Defender的PUP保护

Windows Defender可能会阻止在Windows10系统上下载或安装可能不需要的程序。默认情况下不启用该功能，只能使用PowerShell，InTune或System Center启用该功能。

可能不需要的程序通常不属于恶意软件;这些程序可能在Windows PC上的软件安装过程中作为额外的安装提供，或者作为独立的程序提供，如果有的话，它们不会提供很多价值。

Microsoft提供了以下典型PUA（可能不需要的应用程序）的示例：

--各种类型的软件捆绑

--广告注入Web浏览器

--驱动程序和注册表优化器，用于检测问题，请求付款以修复错误，但保留在端点上并且不进行任何更改或优化（也称为流氓防病毒程序）

默认情况下，Windows Defender Antivirus不会阻止可能不需要的程序。 您可以检查Microsoft的Demo Scenario站点上的保护，以测试系统对各种威胁的防护。

只需单击方案下的链接即可测试保护。 这应该与Windows Defender和其他安装的防病毒软件一起使用，前提是它们配置为阻止PUP。

保护适用于以下情况：

--该文件在浏览器中下载。

--该文件位于路径中带有downloads或temp的文件夹中。

--该文件位于用户的桌面上。

--该文件不在％programfiles％，％appdata％或％windows％下，并且不符合上述任何条件。

Windows Defender Antivirus将标识为PUP的文件放在隔离区中。 用户将被告知系统上PUP的标识，类似于他们了解Windows Defender检测到的其他威胁的方式。

管理员和用户可以在Windows事件查看器中检查事件ID 1160，因为在其下记录了可能不需要的程序事件。

在Windows Defender中启用可能不需要的程序保护

请注意，以下说明仅适用于Windows 10，并且您需要提升权限才能进行更改。

--使用Windows-X打开Windows PowerShell，然后从上下文菜单中选择Windows PowerShell（Admin）。

如果未看到列出的Windows PowerShell（管理员），则执行以下操作：打开开始，键入Windows PowerShell，右键单击结果，然后选择以管理员身份运行。

--确认显示的UAC提示。

--打开的控制台应该是管理员。

--键入Set-MpPreference -PUAProtection Enabled并按Return键。

运行该命令时不返回任何内容。 您可以运行命令Get-MpPreference来检查Windows Defender Antivirus的首选项状态。 找到PUAProtection并确保它设置为1（这意味着它已启用）。

提示：您可以通过运行命令Set-MpPreference -PUAProtection Disabled在以后再次禁用保护。 还可以将特征设置为审核模式。 审核模式记录事件但不会干扰（读取阻止）可能不需要的程序。 要设置审核模式，请运行MpPreference -PUAProtection AuditMode。

我建议您运行Microsoft发布到上面链接的演示站点的测试方案，以确保正确启用了保护。

使用Microsoft Intune或System Center Configuration Manager的管理员可以在Microsoft的Doc网站上找到有关启用Windows Defender Antivirus的可能不需要的应用程序保护的说明。

白名单阻止了PUA应用程序

检测到的PUA会自动移至Windows Defender的隔离区。 碰巧您希望保留Windows Defender识别为PUA的程序。

您可以恢复Windows Defender放入隔离区的任何程序，并且可能有害的程序也不例外。

--使用Windows-I打开设置应用程序。

--转到更新和安全> Windows安全性。

--选择打开Windows安全。

--转到病毒和威胁防护。

--点击威胁历史记录。

--选择要恢复的威胁，然后还原。

如果您没有看到那里列出的威胁，因为那里只显示了一些威胁，请选择查看完整历史记录以获取完整列表。

Windows Defender将文件还原到其原始位置，例如 下载文件夹。 你应该可以从那里运行它，没有任何问题