I stedet for å bruke tid på å manuelt bla gjennom apper i portalen, har jeg utviklet en arbeidsflyt som starter med en dyp jakt i Defender og ender med automatisert fjerning via Intune.

Problemet: Shadow IT og Defender-alarmer

Jeg har sett det gang på gang: Defenders sårbarhetshåndtering viser 50 enheter med en utdatert versjon av GIMP eller en tilfeldig nettleser som Yandex. Dette er ikke apper vi har rullet ut; de er “zombie-programvare”—apper som ikke burde være der, som ikke får sikkerhetsoppdateringer, og som skaper unødvendig støy i sikkerhetsrapportene våre.

Steg 1: Jakt i stor skala med KQL

Jeg kaster ikke bort tid på å bla gjennom programvareoversikten i portalen app for app. I stedet bruker jeg KQL (Kusto Query Language) i Advanced Hunting for å få umiddelbar oversikt over hele flåten.

Jeg har utviklet dette skriptet for å kategorisere apper etter risiko (Høy/Medium/Lav), koble dem mot kjente sårbarheter (CVE-er) og beregne en Exposure Score. Dette er metoden jeg bruker for å bestemme hva som må fjernes umiddelbart og hva som kan vente.

Du finner mine komplette KQL-skript her: unwanted-apps.kql og eos-and-unwanted-summary.kql.

// MIN UNWANTED APP HUNTER - Eksempel på liste
let HighRiskApps = dynamic(["utorrent", "anydesk", "app_eksempel_1"]);
let MediumRiskApps = dynamic(["steam", "bluestacks", "app_eksempel_2"]);
let LowRiskApps = dynamic(["ccleaner", "app_eksempel_3"]);
let UnwantedRegex = strcat(@"(?i)(", strcat_array(HighRiskApps, "|"), "|", strcat_array(MediumRiskApps, "|"), "|", strcat_array(LowRiskApps, "|"), ")");

// Inventar & CVE Korrelering
DeviceTvmSoftwareInventory
| where isnotempty(SoftwareName)
| extend MatchTarget = tolower(strcat(coalesce(SoftwareVendor, ""), " ", SoftwareName))
| where MatchTarget matches regex UnwantedRegex
| join kind=leftouter (
    DeviceTvmSoftwareVulnerabilities
    | summarize CveCount = dcount(CveId), MaxCvss = max(todouble(CvssScore)) by DeviceId, SoftwareName
) on DeviceId, SoftwareName
| extend ExposureScore = case(MatchTarget matches regex @"(?i)(utorrent|bittorrent|anydesk)", 80.0, 40.0) // Min logikk for vekting
| project DeviceName, SoftwareName, SoftwareVersion, CveCount, MaxCvss, ExposureScore
| order by ExposureScore desc

Dette KQL-skriptet gir meg “hitlisten”. Når jeg har identifisert målene via spørringen, går jeg videre til automatisering.

Steg 2: Automatisere fjerningen med Intune

Når KQL-jakten har identifisert målene, bruker jeg en “Master Script”-tilnærming i Intune Proactive Remediations. Jeg lager ikke egne pakker for hver enkelt app; jeg bruker en sentralisert liste basert på funnene fra KQL.

Strategien

Systemet bruker to skript: et Detection-skript som identifiserer om programvareen fra KQL-jakten finnes på enheten, og et Remediation-skript som fjerner den.

Jeg målretter disse “zombiene” ved hjelp av tre metoder:

1. Register-GUID-er: Finne den spesifikke MSI- eller installasjons-GUID-en.
2. Wildcard i registeret: Finne nøkler som HKLM:\... \Uninstall\Opera*.
3. Filstier: Sjekke etter spesifikke kjørbare filer.

Viktigst av alt er at skriptene mine håndterer per-bruker-installasjoner ved å skanne HKEY_USERS (HKU). Dette sikrer at apper som skjuler seg i brukerens lokale profil ikke slipper unna.

Implementering: Master-skriptene

Jeg har lagt ut de fullstendige skriptene i mitt GitHub-repositorium.

1. Deteksjonsskriptet (Detection)

Skriptet går gjennom en $zombieTargets-matrise. Hvis et mål identifisert i KQL-jakten blir funnet på en enhet, avsluttes det med Exit 1, noe som trigger remedieringen.

2. Remedieringsskriptet (Remediation)

Når det trigges, prøver skriptet en lydløs avinstallering via registeret. Hvis det feiler (noe som ofte skjer med “hjemmesnekrede” installasjoner), stopper det tvangsmessig alle kjørende prosesser og sletter programmappen fullstendig.

Verifisering: Slutte sirkelen

Etter at remedieringen er rullet ut, sjekker jeg resultatene slik:

1. Intune-konsollen: Overvåker “Issue fixed”-status i Proactive Remediations.
2. Lokale logger: Sjekker C:\ProgramData\Eriteach\Logs\ hvis jeg trenger å se hvorfor en spesifikk avinstallering feilet.
3. Defender for Endpoint: Kjører KQL-spørringen på nytt etter noen dager for å se eksponeringsscoren falle etter hvert som zombie-appene forsvinner.

Oppsummering

Jeg lar ikke uautorisert og utdatert programvare blåse opp sårbarhetsrapportene mine. Ved å starte med en KQL-jakt for å identifisere risikoen, og følge opp med Intune-automatisering, holder jeg miljøet rent uten manuelt arbeid.

Før vi standardiserte nettleserne våre, stod brukerne fritt til å installere det de ville, noe som førte til at Firefox ble spredt over hundrevis av maskiner. Jeg kaster ikke bort tid på manuell opprydding; jeg har automatisert hele prosessen.

Kartlegging i stor skala med KQL

Jeg starter med å få et klart bilde av omfanget. Jeg bruker KQL (Kusto Query Language) i Defender Advanced Hunting for å se nøyaktig hvilke versjoner som finnes og hvor mange enheter som er berørt:

// Min spørring for Firefox-kartlegging
DeviceTvmSoftwareInventory
| where SoftwareName contains "Firefox"
| summarize DeviceCount = dcount(DeviceName), Versions = make_set(SoftwareVersion) by SoftwareName
| order by DeviceCount desc

Denne spørringen gir meg umiddelbar oversikt over antall enheter og versjoner, noe jeg bruker for å målrette Intune-utbedringene mine effektivt.

Strategien: Automatisere oppryddingen

Jeg bruker Intune Proactive Remediation med et to-skripts system:

• Deteksjon: Finner Firefox i registeret, Program Files og brukerprofiler.
• Utbedring (Remediation): Fjerner alt—prosesser, filer, snarveier, tjenester og planlagte oppgaver.

Deteksjonslogikk

Skriptet mitt skanner tre hovedområder hvor Firefox liker å gjemme seg:

1. Registeret - 64-bit/32-bit avinstalleringsnøkler og per-bruker installasjoner.
2. Program Files - Standard installasjonsplasseringer.
3. Brukerprofiler - AppData-mapper.

$findings = @()
$uninstallPaths = @(
    "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall",
    "HKLM:\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall",
    "HKCU:\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall"
)

foreach ($path in $uninstallPaths) {
    if (Test-Path $path) {
        $apps = Get-ItemProperty "$path\*" -ErrorAction SilentlyContinue |
            Where-Object { $_.DisplayName -like "*Firefox*" }
        foreach ($app in $apps) {
            $findings += "Registry: $($app.DisplayName)"
        }
    }
}

if ($findings.Count -gt 0) { exit 1 } else { exit 0 }

Komplett skript: firefox-removal-detection.ps1

Selve fjerningen: Remediation

Utbedringsskriptet mitt er designet for å være grundig. Det stopper alle aktive prosesser før det prøver å avinstallere, for å sikre at ingen filer er låst.

1. Stopp prosesser - Firefox, plugin-container og oppdateringsprogrammer.
2. Avinstaller - Bruker avinstalleringsstrengen fra registeret (håndterer både helper.exe og msiexec).
3. Opprydding - Sletter mapper i Program Files, ProgramData og AppData.
4. Siste finpuss - Fjerner snarveier, tjenesten MozillaMaintenance og oppdateringsoppgaver.

# Min liste over prosesser som skal stoppes
$firefoxProcesses = @("firefox", "firefox-esr", "plugin-container", "crashreporter", "updater")
foreach ($proc in $firefoxProcesses) {
    Get-Process -Name $proc -ErrorAction SilentlyContinue | Stop-Process -Force
}

Komplett skript: firefox-removal-remediation.ps1

Resultat og verifisering

Jeg overvåker fremdriften direkte i Intune-portalen under Devices > Scripts and remediations.

Suksess betyr at enhetene får status “fixed”. Jeg sjekker også mine egne logger på C:\ProgramData\Eriteach\Logs\ hvis jeg ser installasjoner som krever en manuell titt.

Erfaringer

• Brukerprofiler - Skriptet rydder alle profiler på maskinen. Jeg varsler alltid brukerne om at bokmerker og lagrede passord vil forsvinne.
• Tvangslukking - Siden jeg tvinger prosessen til å avslutte, kjører jeg denne utbedringen i vedlikeholdsvinduer for å minimere forstyrrelser.

Relaterte lenker

• Auto-oppdater Firefox med Intune - Min arbeidsflyt når jeg skal beholde Firefox, men holde den oppdatert.
• Intune Remediations oversikt
• Microsoft Defender programvareoversikt

Jeg sjekker ikke hver enkelt enhet manuelt. I stedet har jeg bygget en arbeidsflyt som finner disse appene på tvers av hele flåten og fjerner dem automatisk.

Kartlegging: Jakt i hele flåten med KQL

Før jeg kan fjerne noe, må jeg vite nøyaktig hvor problemene ligger. Jeg bruker Microsoft Defender for Endpoint (MDE) for å finne disse appene på sekunder. I stedet for å bla i portalen, kjører jeg en KQL-spørring i Advanced Hunting for å identifisere høyrisiko-programvare:

// Min spørring for kartlegging (Eksempel)
DeviceTvmSoftwareInventory
| where SoftwareName has_any ("utorrent", "anydesk", "ccleaner")
| project DeviceName, SoftwareName, SoftwareVersion

Dette gir meg “hitlisten” min. For en mer aggressiv tilnærming som også håndterer EOL- og EOS-programvare, bruker jeg arbeidsflyten for Jakten på zombie-programvare.

Automatisering: Intune Proactive Remediation

Når jeg har målene klare, bruker jeg Intune Proactive Remediation. Oppsettet mitt består av to skript:

1. Deteksjon - Sjekker om appen finnes (exit 1 = funnet, som trigger fjerning)
2. Utbedring (Remediation) - Lydløs fjerning

Min konfigurasjon

Jeg målretter apper via registeret, WMI eller programlisten. Vanligvis konfigurerer jeg deteksjonen ved å sette disse variablene:

$AppDisplayName = "Zoom"
$AppPublisher = ""
$AppProductCode = "{86B70A45-00A6-4CBD-97A8-464A1254D179}"
$UsePartialMatch = $true

Komplett skript: Detect-UnwantedApp.ps1

Utbedringen (Remediation)

Når appen er oppdaget, henter utbedringsskriptet mitt avinstalleringsstrengen fra registeret eller bruker MSI-produktkoden for å fjerne appen lydløst.

Komplett skript: Remove-UnwantedApp.ps1

Detaljer om utrulling

Slik har jeg satt det opp i min tenant:

1. Intune → Enheter → Utbedringer
2. Opprett skriptpakke: “Fjern [AppNavn]”
3. Innstillinger:
   • Kjør skript i 64-bit PowerShell: Ja
   • Kjør med påloggede legitimasjoner: Nei (kjører som SYSTEM)
4. Tidsplan: Daglig (jeg vil ha disse bort så fort som mulig)

Erfaringer og avveininger

• Pilot først - Jeg kjører alltid deteksjon på en pilotgruppe før jeg aktiverer utbedring.
• Produktkoder endres - Jeg har lært at ulike versjoner ofte har ulike koder; KQL hjelper meg å finne alle variantene først.
• Risiko med delvis treff - Jeg bruker $UsePartialMatch = $true med forsiktighet for å unngå å fjerne tilleggsprogrammer (plugins) som jeg faktisk vil beholde.

Relaterte lenker

• Microsoft: Proactive Remediations
• Intune skriptkrav