Windows Defender는 맬웨어 및 바이러스를 감지하고 제거 할 수 있지만 기본적으로 원치 않는 프로그램이나 스크랩웨어를 포착하지는 않습니다. 그러나 레지스트리를 편집하여 Windows Defender를 검색하고 애드웨어, PUA 또는 PUP을 실시간으로 제거 할 수있는 옵트 인 기능이 있습니다.
잠재적으로 원하지 않는 프로그램 (PUP), 잠재적으로 원하지 않는 응용 프로그램 (PUA) 및 잠재적으로 원하지 않는 소프트웨어 (PUS)는 원치 않거나 신뢰할 수 없거나 바람직하지 않은 것으로 간주되는 소프트웨어 범주를 나타냅니다. PUP에는 응용 프로그램과 함께 제공되는 애드웨어, 다이얼러, 가짜 "최적화"프로그램, 도구 모음 및 검색 막대가 포함됩니다.
PUA는 악성이 아니기 때문에 "맬웨어"의 정의에 속하지 않지만 일부 PUA는 "위험한"것으로 분류됩니다.
결론 : 특정 프로그램에서 제공하는 혜택이 기본 프로그램과 함께 제공되는 PUP로 인한 위험이나 불편을 능가한다고 심각하게 생각하지 않는 한, 위험 수준에 관계없이 시스템에“잠재적으로 원치 않는”항목이 필요하지 않습니다.
다음은 Windows Defender (Windows 8 이상)를 사용하여 애드웨어, PUP 또는 PUA를 검색하고 제거하는 방법입니다.
- Windows Defender PUA 보호 기능 사용
- PowerShell을 사용하여 PUA 보호 활성화
- PUA 보호 수동 활성화 [레지스트리 위치 2]
- PUA 보호 수동 활성화 [레지스트리 위치 3]
- PUA 보호가 작동하는지 확인하는 방법은 무엇입니까?
애드웨어, PUA 또는 PUP에 대한 Windows Defender 실시간 검색 사용
Windows Defender에서 PUA 보호를 사용하는 방법에는 세 가지가 있지만 충돌이 발생했을 때 어떤 설정이 우선하는지 잘 모르겠습니다. 레지스트리 위치는 설명 된 각 방법에서 다릅니다. 혼동을 피하기 위해 다음 방법 중 하나만 사용하는 것이 좋습니다.
방법 1 : PowerShell을 사용하여 PUA 보호 활성화
관리자 권한으로 PowerShell (powershell.exe)을 시작하십시오.
다음 명령을 실행하고 Enter 키를 누릅니다 :
Set-MpPreference -PUAProtection 1
이 PowerShell 명령은 다음 키에 레지스트리 값을 추가합니다.
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows Defender
- 값 : PUAProtection
- 데이터 : 1 – PUA 보호 활성화 | 0 – 보호를 비활성화합니다
레지스트리 값을 수동으로 설정해도 여전히 작동합니다. 그러나 위의 레지스트리 경로는 보호되어 있으며 SYSTEM으로 편집하지 않으면 레지스트리 편집기를 사용하여 편집 할 수 없습니다.
방법 2 : PUA 보호 수동 활성화 [레지스트리 위치 2]
이 방법은 동일한 레지스트리 값을 사용하지만 정책 레지스트리 키에서 구현합니다.
Regedit.exe를 시작하고 다음 키로 이동하십시오.
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows Defender
PUAProtection 이라는 DWORD 값을 만듭니다.
PUAProtection을 두 번 클릭하고 값 데이터를 1로 설정하십시오.
방법 3 : PUA 보호 수동 활성화 [레지스트리 위치 3]
레지스트리 편집기 (regedit.exe)를 시작하고 다음 키로 이동하십시오.
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows Defender
“MpEngine”이라는 하위 키를 만듭니다.
MpEngine에서 MpEnablePus 라는 DWORD 값을 만듭니다.
MpEnablePus를 두 번 클릭하고 값 데이터를 1로 설정하십시오.
이렇게하면 "잠재적으로 원치 않는"항목을 실시간으로 검색하고 제거 할 수 있도록 Windows Defender가 구성됩니다.
레지스트리 편집기를 종료하십시오.
이 세 가지 방법 중 1 & 2는 아직 Microsoft에서 문서화하지 않았지만 PowerShell을 사용할 때 그 방법을 찾아 낼 수있었습니다. 방법 1과 2는 Windows 10을 실행하는 시스템에서 테스트되었습니다. 방법 3은 처음에 MMPC 블로그에서 게시했습니다.
변경 사항을 적용하십시오
변경 사항을 적용하려면 다음 중 하나를 수행하십시오.
- 실시간 보호를 껐다가 다시 켜십시오.
- Windows Defender 정의 업데이트
- Windows 재시작
PUA는 다운로드 또는 설치시에만 차단됩니다. 파일이 다음 조건 중 하나에 해당하면 차단을 위해 파일이 포함됩니다.
- 브라우저에서 파일을 스캔하고 있습니다
- 파일에 웹 마크 (영역 ID) 세트가 있습니다.
- 파일은 다운로드 폴더에 있습니다
- % temp % 폴더의 파일
Windows Defender PUA Protection은 회사 엔터프라이즈 네트워크의 일부가 아닌 시스템에서 작동합니까?
이 옵트 인 Windows Defender 기능은 작년에 Microsoft Malware Protection Center (MMPC) 블로그에 의해 발표되었습니다. 그러나 MMPC 블로그 게시물은 "엔터프라이즈"시스템 만 참조하므로 일부 가정용 사용자는 PUA 탐지 기능이 독립형 컴퓨터에서 작동하는지 궁금 할 수 있습니다.
예. Windows Defender PUA 검색은 독립형 시스템에서도 작동합니다.
다음 테스트는 Windows Defender PUA 탐지가 도메인 네트워크의 일부가 아닌 시스템에서 작동한다는 것을 보여줍니다.
MMPC 보안 포털에는“잠재적으로 원하지 않는 프로그램”또는“잠재적으로 원하지 않는 응용 프로그램”의 전체 목록이 있으며 각 위협 이름 앞에는“PUA :”가 있습니다.
예를 들어 PUA : Win32 / CandyOpen은 Magical jelly bean Keyfinder 및 기타 프로그램과 함께 제공되는 PUP / PUA입니다.
(Magical Jelly Bean Keyfinder, 그렇지 않으면 유용한 소프트웨어입니다.)
Windows Defender PUA 보호를 활성화하기 전에 Magicaljellybean의 Keyfinder를 다운로드하여 Windows 10 v1607 독립형 컴퓨터에서 실행하려고했습니다. Windows Defender를 사용하면 설치 프로그램을 다운로드하고 실행할 수있었습니다.
레지스트리 편집기를 사용하여 "MpEnablePus"값 데이터를 1로 설정하고 정의를 업데이트 한 후 Windows Defender는 설치 프로그램이 실행되지 않도록 차단했습니다.
또한 Keyfinder 설치 프로그램의 새 사본을 다운로드하려고 시도 할 때 파일이 Downloads 또는 % temp % 폴더에 도달 할 때 차단되었습니다. “Downloads”이외의 폴더를 선택했을 때의 결과는 동일합니다.
그리고 Windows Defender 알림 메시지가 표시되었습니다.
Windows Defender가 신뢰할 수없는 앱을 찾았습니다
IT 설정으로 인해 컴퓨터에서 원치 않는 동작을 수행 할 수있는 모든 앱이 차단됨
반면, 알림 메시지는 "맬웨어"탐지와 다릅니다. 이 경우“일부 악성 코드를 찾았습니다”라고 표시됩니다.
PUA는 Windows Defender 검색 기록에 표시된대로 격리되었습니다.
Magical Jelly Bean Keyfinder는 때때로 설치 프로그램에 다른 PUA를 번들로 제공하는 것 같습니다. 2019 년 5 월 테스트 한 설치 프로그램에는 위협 수준이 "심각한"다른 PUA ( PUA:Win32/Vigua.A
)가 포함되어 있습니다.
이번에는 알림 메시지가 다릅니다. “ Windows Defender Antivirus는 장치에서 원치 않는 동작을 수행 할 수있는 앱을 차단했습니다. "
결론 : Windows Defender PUA 탐지 기능은 실시간 모니터링 기능이있는 타사 프리미엄 안티 멀웨어 솔루션 (예 : Malwarebytes Antimalware Premium)을 아직 활용하지 않는 시스템에 유용합니다. Microsoft는 Windows 10의 Limited Periodic Scanning 옵트 인 기능 (및 GUI 옵션)과 같이 Windows Defender에서 PUA 스캐닝 기능을 활성화하는 GUI 옵션을 추가합니다.