Что делать если антивирус виндовс 10 блокирует файл
Перейти к содержимому

Что делать если антивирус виндовс 10 блокирует файл

  • автор:

Журнал защиты

На странице Журнал защиты в приложении для обеспечения безопасности Windows вы можете перейти к действиям по просмотру антивирусной программы защитника Майкрософт от вашего имени, потенциально нежелательных приложений , которые были удалены, или о том, что отключены ключевые службы.

Примечание: История защиты сохраняет события только в течение двух недель, после чего они исчезнут с этой страницы.

Область журнала защиты в системе безопасности Windows, в которой представлено несколько примеров инцидентов.

События отображаются как серии карточек в истории защиты. Если вам нужно ваше внимание на карточке, вы увидите один из двух цветных значков на значке карточки.

  • Красный — это серьезный элемент, который требует немедленного внимания.
  • Желтый — этот элемент не является срочным, но его следует проверять по возможности.

Щелкнув карточку, вы можете развернуть ее и получить дополнительные сведения. Ниже приведены некоторые наиболее распространенные записи, которые могут быть видны.

Оповещения о вредоносных программах

Если антивирусная программа Microsoft Defender обнаруживает часть вредоносных программ, она будет записана в журнал защиты.

Обнаружена угроза безопасности: требуется действие

Это говорит о том, что в антивирусной программе Microsoft Defender обнаружена возможная угроза, и вам нужно принять решение о том, как ее обрабатывать. Если выбрать раскрывающийся список действия в правом нижнем углу, вы можете подать ему возможность помещать его в карантин, а также в случае уверенности в том, что этот элемент был ложным, как угроза, которую можно Разрешить на устройстве.

Внимание: Если вы не уверены в том, что элемент является надежным или вы не знаете, как это сделать, лучше всего выбрать пункт Карантин. Если выбрать Разрешить на устройстве , файл будет продолжен и, если это действительно угроза, ваши данные. личные данные или устройство теперь могут быть подвержены риску.

Если вы выберете вариант Разрешить и позже хотите отменить это действие, перейдите на страницу Разрешенные угрозы и вы можете удалить ее из списка разрешенных.

Угроза в карантине

Это свидетельствует о том, что угроза заблокирована и помещена в карантин. Оно еще не удалено, но не может представлять опасность для ваших данных или устройств. Существует два действия , которые можно выполнить.

  • Удаление — удаляет угрозу с устройства.
  • Restore (восстановление ) — этот файл снова помещается на устройство, и защитник снова обнаружит его как угрозу и создаст новую угрозу — элемент требуется действие в истории защиты. Если вы уверены, что idem безопасно, вам нужно будет перейти на него и выбрать вариант Разрешить на устройстве .

Угроза заблокирована

Это означает, что защитник заблокировал и удалил угрозу на вашем устройстве. На вашем веб-этапе никаких действий не требуется, но вы можете решить, как она достигают вашего компьютера, чтобы снизить риск повторения ошибки. Наиболее распространенные способы получения угрозы включают в себя небезопасное вложение в сообщение электронной почты, которое можно загрузить с небезопасного веб-сайта или с помощью зараженного устройства USB Storage.

Если вы считаете, что это «ложный», и что файл безопасен, вы можете выбрать действия и нажать кнопку Разрешить. Эта угроза уже удалена, поэтому она доступна только при следующем просмотре этого файла. Если вы хотите использовать его, вам потребуется скачать файл заново.

Исправление не завершено

Это говорит о том, что антивирусная программа Microsoft Defender выполнила шаги по устранению угрозы, но не может успешно завершить эту чистку. Выберите карточку, чтобы развернуть ее, и просмотрите дополнительные действия, которые необходимо выполнить.

Потенциально нежелательные приложения (к)

Нежелательные приложения — это категория программного обеспечения, которая может вызвать медленное выполнение вашего компьютера, отобразить неожиданные баннеры или, в худшем случае, установить другое программное обеспечение, которое может быть более опасным или ненавязчивым. Она не передается на уровень вредоносных программ, но она по-прежнему делает все, что вы, возможно, не сделаете.

Если вы хотите убедиться, что для вашего устройства включена функция блокировки к, ознакомьтесь со статьей защита компьютера от потенциально нежелательных приложений.

Это приложение заблокировано

SmartScreen защитника Майкрософт может блокировать потенциально нежелательные приложения до их установки, и если это случится, вы увидите в журнале защиты событие «заблокировано».

Если вы считаете, что блок был ошибочным и вы хотите разрешить выполнение этого файла, вы можете выбрать действия, а затем Разрешить. На этом этапе вам потребуется загрузить файл, чтобы использовать его.

Если вы выберете вариант Разрешить и позже хотите отменить это действие, перейдите на страницу Разрешенные угрозы и вы можете удалить ее из списка разрешенных.

Важная служба отключена

Журнал защиты также может уведомлять вас о том, что при отключении важной службы, например SmartScreen для Microsoft Edge. Выберите карточку для этого оповещения и в разделе действия , на которые можно включить эту функцию.

Восстановление файлов в карантине в антивирусной программе в Microsoft Defender

В зависимости от того, как настроена антивирусная программа Microsoft Defender, она помещает подозрительные файлы в карантин. Если вы уверены, что файл, помещенный в карантин, не представляет угрозы, его можно восстановить на устройстве с Windows.

  1. На устройстве с Windows откройте Безопасность Windows.
  2. Выберите Антивирусная & защита от угроз , а затем в разделе Текущие угрозы выберите Журнал защиты.
  3. Если у вас есть список элементов, можно выполнить фильтрацию по элементам, помещенным в карантин.
  4. Выберите элемент, который нужно сохранить, и выберите действие, например Восстановить.

Вы также можете восстановить файл из карантина с помощью командной строки. См . раздел Восстановление файла из карантина.

См. также

  • Настройка исправления для сканирования
  • Проверка результатов сканирования

Если вам нужны сведения об антивирусной программе для других платформ, см.:

  • Установка параметров Microsoft Defender для конечной точки в macOS
  • Microsoft Defender для конечной точки на Mac
  • Параметры антивирусной политики macOS для антивирусной программы Microsoft Defender для Intune
  • Установите параметры Microsoft Defender для конечной точки в Linux.
  • Microsoft Defender для конечной точки в Linux
  • Настройка функций Defender для конечной точки на Android
  • Настройка защитника Майкрософт для конечной точки на функциях iOS

Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в нашем техническом сообществе: Microsoft Defender для конечной точки технического сообщества.

Обратная связь

Были ли сведения на этой странице полезными?

Обратная связь

Отправить и просмотреть отзыв по

Обнаружение и блокировка потенциально нежелательных приложений

Потенциально нежелательные приложения (PUA) — это категория программного обеспечения, которое может вызвать медленную работу вашего компьютера, отображение непредвиденной рекламы или, в худшем случае, установку другого программного обеспечения, которое может быть неожиданным или нежелательным. PuA не считается вирусом, вредоносным ПО или другим типом угрозы, но он может выполнять действия с конечными точками, которые негативно влияют на производительность или использование конечных точек. Термин PUA также может ссылаться на приложение с плохой репутацией, по оценке Microsoft Defender для конечных точек, из-за определенных видов нежелательного поведения.

Ниже приводятся примеры:

  • Рекламные программное обеспечение, которые отображают рекламу или рекламные акции, в том числе программное обеспечение, которое вставляет рекламные объявления на веб-страницы.
  • Объединение программного обеспечения , которое предлагает установить другое программное обеспечение, которое не имеет цифровой подписи одной и той же сущности. Кроме того, программное обеспечение, которое предлагает установить другое программное обеспечение, которое квалифицируется как потенциально нежелательное приложение.
  • Уклонение программного обеспечения, которое активно пытается уклониться от обнаружения продуктами безопасности, включая программное обеспечение, которое ведет себя иначе в присутствии продуктов безопасности.

Дополнительные примеры и обсуждение критериев, которые используются для пометки приложений, требующих особого внимания со стороны функций безопасности, см. разделе Как Майкрософт определяет вредоносные и потенциально нежелательные приложения.

Потенциально нежелательные приложения могут повысить риск заражения вашей сети фактическими вредоносными программами, затруднить выявление заражений вредоносными программами или тратить время и усилия ИТ-отделов и отделов безопасности на их очистку. Защита от потенциально нежелательных приложений поддерживается в Windows 11, Windows 10, Windows Server 2022, Windows Server 2019 и Windows Server 2016. Если подписка вашей организации включает Microsoft Defender для конечной точки, антивирусная программа в Microsoft Defender блокирует приложения, которые по умолчанию считаются потенциально нежелательными (PUA) на устройствах с Windows.

Microsoft Edge

Новый Microsoft Edge, основанный на Chromium, блокирует загрузки потенциально нежелательных приложений и связанные URL-адреса ресурсов. Эта функция предоставляется через фильтр SmartScreen в Microsoft Defender.

Включить защиту от потенциально нежелательных приложений в Microsoft Edge на основе Chromium

Хотя защита от потенциально нежелательных приложений в Microsoft Edge (на основе Chromium, версия 80.0.361.50) отключена по умолчанию, ее можно легко отключить в браузере.

  1. В браузере Microsoft Edge выберите многоточие, а затем выберите Параметры.
  2. Выберите Конфиденциальность, поиск и службы.
  3. В разделе Безопасность включите Блокировка потенциально нежелательных приложений.

Если вы работаете в Microsoft Edge (на основе Chromium), вы можете безопасно изучить функцию блокировки URL-адресов защиты от потенциально нежелательных приложений, протестировав ее на одной из наших демонстрационных страниц фильтра SmartScreen в Microsoft Defender.

Блокировка URL-адресов с помощью фильтра SmartScreen в Microsoft Defender

В Microsoft Edge на основе Chromium с включенной защитой puA Microsoft Defender SmartScreen защищает вас от URL-адресов, связанных с PUA.

Администраторы безопасности могут настраивать совместную работу Microsoft Edge и фильтр SmartScreen в Microsoft Defender для защиты групп пользователей от URL-адресов, связанных с потенциально нежелательными приложениями. Существует несколько параметров групповой политики исключительно для фильтра SmartScreen в Microsoft Defender, в том числе один для блокировки потенциально нежелательных приложений. Кроме того, администраторы могут настраивать фильтр SmartScreen в Microsoft Defender в целом, используя параметры групповой политики, чтобы включить или отключить фильтр SmartScreen в Microsoft Defender.

Несмотря на то что Microsoft Defender для конечной точки имеет собственный список блокировок на основе набора данных, управляемом Майкрософт, вы можете настроить этот список на основе собственной аналитики угроз. При создании и управлении индикаторами на портале Microsoft Defender для конечной точки, SmartScreen в Microsoft Defender учитывает новые параметры.

Защита от вирусов и потенциально нежелательных приложений в антивирусной программе в Microsoft Defender

Функция защиты от потенциально нежелательных приложений (PUA) в антивирусной программе в Microsoft Defender может обнаруживать и блокировать потенциально нежелательные приложения на конечных точках в вашей сети.

Эта функция доступна в Windows 11, Windows 10, Windows Server 2022, Windows Server 2019 и Windows Server 2016.

Антивирусная программа в Microsoft Defender блокирует обнаруженные PUA-файлы и все попытки их скачивания, перемещения, запуска или установки. После этого заблокированные PUA-файлы перемещаются в карантин. При обнаружении PUA-файла в конечной точке антивирусная программа в Microsoft Defender отправляет пользователю уведомление (если уведомления не отключены в том же формате, что и другие обнаруженные угрозы. Перед уведомлением указывается PUA: для указания его содержимого.

Настройка защиты от потенциально нежелательных приложений в антивирусной программе в Microsoft Defender

Сначала попробуйте использовать защиту puA в режиме аудита. Он обнаруживает потенциально нежелательные приложения, фактически не блокируя их. Обнаружения фиксируются в журнале событий Windows. Защита puA в режиме аудита полезна, если ваша компания проводит внутренний проверка соответствия безопасности программного обеспечения, и важно избежать ложных срабатываний.

Настройка защиты от потенциально нежелательных приложений с помощью Intune

См. следующие статьи:

  • Настройка параметров ограничений устройств в Microsoft Intune
  • Microsoft Defender параметры ограничения антивирусных устройств для Windows 10 в Intune

Настройка защиты от потенциально нежелательных приложений с помощью Configuration Manager

Защита puA включена по умолчанию в Microsoft Configuration Manager (Current Branch).

Дополнительные сведения о настройке Microsoft Configuration Manager (Current Branch) см. в статье Создание и развертывание политик защиты от вредоносных программ: параметры запланированного сканирования.

События PUA, заблокированные антивирусной программой Microsoft Defender, отображаются в Просмотр событий Windows, а не в Microsoft Configuration Manager.

Настройка защиты от потенциально нежелательных приложений с помощью групповой политики

  1. Скачайте и установите Административные шаблоны (.admx) для Windows 11, обновление от октября 2021 г. (21H2)
  2. На компьютере управления групповыми политиками откройте консоль управления групповыми политиками.
  3. Выберите объект групповой политики, который необходимо настроить, а затем выберите Изменить.
  4. В редакторе управления групповыми политиками перейдите к конфигурации компьютера и выберите Административные шаблоны.
  5. Разверните дерево до Компонентов Windows>антивирусной программы в Microsoft Defender.
  6. Дважды щелкните на пункт Настройка обнаружения потенциально нежелательных приложений.
  7. Выберите Включено, чтобы включить защиту от потенциально нежелательных приложений.
  8. В разделе Параметры выберите Заблокировать, чтобы заблокировать потенциально нежелательные приложения, или выберите Режим аудита, чтобы проверить, как этот параметр работает в вашей среде. Нажмите ОК.
  9. Разверните объект групповой политики, как обычно.

Настройка защиты от потенциально нежелательных приложений с помощью командлетов PowerShell

Чтобы включить защиту от потенциально нежелательных приложений:
Set-MpPreference -PUAProtection Enabled 

Установите для этого командлета значение Enabled , чтобы включить функцию, если она была отключена.

Чтобы настроить защиту от потенциально нежелательных приложений в режиме аудита:
Set-MpPreference -PUAProtection AuditMode 

Установите AuditMode для обнаружения потенциально нежелательных приложений, не блокируя их.

Чтобы отключить защиту от потенциально нежелательных приложений:

Рекомендуем не отключать защиту от потенциально нежелательных приложений. Однако её можно отключить с помощью следующего командлета:

Set-MpPreference -PUAProtection Disabled 

Установите для этого командлета значение Disabled , чтобы отключить функцию, если она была включена.

Просмотр событий PUA с помощью PowerShell

События puA сообщаются в Просмотр событий Windows, но не в Microsoft Configuration Manager или в Intune. Вы также можете использовать командлет Get-MpThreat для просмотра угроз, обработанных антивирусной программой в Microsoft Defender. Пример:

CategoryID : 27 DidThreatExecute : False IsActive : False Resources : RollupStatus : 33 SchemaVersion : 1.0.0.0 SeverityID : 1 ThreatID : 213927 ThreatName : PUA:Win32/InstallCore TypeID : 0 PSComputerName : 

Получение уведомлений об обнаружении PUA по электронной почте

Вы можете включить уведомления по электронной почте, чтобы получать сообщения об обнаружении потенциально нежелательных приложений.

Дополнительные сведения о просмотре событий Microsoft Defender Antivirus см. в разделе Устранение неполадок с событиями идентификаторов. События PUA записываются в соответствии с идентификатором события 1160.

Просмотр событий PUA с помощью методов расширенной охоты

Если вы используете Microsoft Defender для конечной точки, вы можете использовать запрос расширенной охоты для просмотра событий PUA. Пример:

DeviceEvents | where ActionType == "AntivirusDetection" | extend x = parse_json(AdditionalFields) | project Timestamp, DeviceName, FolderPath, FileName, SHA256, ThreatName = tostring(x.ThreatName), WasExecutingWhileDetected = tostring(x.WasExecutingWhileDetected), WasRemediated = tostring(x.WasRemediated) | where ThreatName startswith_cs 'PUA:' 

Дополнительные информацию о расширенной охоте см. в разделе Превентивная охота на угрозы с расширенной охотой.

Исключение файлов из защиты от PUA

Иногда файл ошибочно блокируется защитой от потенциально нежелательных приложений или для выполнения задачи требуется функция PUA. В таких случаях файл можно добавить в список исключений.

Если вам нужны сведения об антивирусной программе для других платформ, см.:

  • Установка параметров Microsoft Defender для конечной точки в macOS
  • Microsoft Defender для конечной точки на Mac
  • Параметры антивирусной политики macOS для антивирусной программы Microsoft Defender для Intune
  • Установите параметры Microsoft Defender для конечной точки в Linux.
  • Microsoft Defender для конечной точки в Linux
  • Настройка функций Defender для конечной точки на Android
  • Настройка защитника Майкрософт для конечной точки на функциях iOS

См. также

  • Защита нового поколения
  • Настройка поведенческой, эвристической защиты и защиты в режиме реального времени

Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в нашем техническом сообществе: Microsoft Defender для конечной точки технического сообщества.

Обратная связь

Были ли сведения на этой странице полезными?

Обратная связь

Отправить и просмотреть отзыв по

Отключение антивирусной защиты в Защитнике Windows на панели «Безопасность Windows»

Выполните следующие действия, чтобы временно отключить антивирусную защиту Microsoft Defender в режиме реального времени в системе «Безопасность Windows». Однако имейте в виду, что в этом случае устройство может стать уязвимым для угроз.

  1. Выберите Начните и введите «Безопасность Windows», чтобы найти это приложение.
  2. Выберите приложение Безопасность Windows в результатах поиска, перейдите в & защиты от вирусов и в & защиты от вирусов выберите Управление настройками.
  3. Выберите для параметра Защита в режиме реального времени значение Выкл. Обратите внимание, что запланированные проверки будут выполняться. Тем не менее, файлы, которые загружены или установлены, не будут проверяться до следующей плановой проверки.
  • Если вы просто хотите исключить один файл или папку из проверки антивирусной программы, вы можете сделать это, добавив исключение. Это безопаснее, чем отключать всю антивирусную защиту. См. статью Добавление исключения для Безопасность Windows.
  • Если вы установите совместимую антивирусную программу Microsoft Defender, автоматически отключится.
  • Если она включена, вам потребуется отключить ее, прежде чем вы сможете отключить защиту в режиме реального времени.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *