Nejčastější dotazy k ochraně před falšováním

Zařízení musí splňovat všechny následující požadavky:

• Na zařízeních musí běžet určité verze Windows nebo macOS. (Viz Na jakých zařízeních je možné povolit ochranu proti manipulaci?)
• Zařízení musí být nasazená do Microsoft Defender for Endpoint.
• Zařízení musí používat verzi 4.18.2010.7 antimalwarové platformy (nebo novější) a verzi 1.1.17600.5 antimalwarového modulu (nebo novější). (Spravovat aktualizace Microsoft Defender Antivirus a použít směrné plány.)
• Musí být zapnutá cloudová ochrana .

Pokud chcete spravovat ochranu před falšováním na portálu Microsoft Defender (https://security.microsoft.com), musíte mít příslušná oprávnění přiřazená prostřednictvím rolí, jako je globální správce nebo správce zabezpečení. (Viz Microsoft Defender XDR řízení přístupu na základě role (RBAC))

• Windows 11
• Windows 11 Enterprise multi-session
• Windows 10 OS 1709, 1803, 1809 nebo novější společně s Microsoft Defender for Endpoint.
• Windows 10 Enterprise multi-session

Pokud používáte Configuration Manager verze 2006 s připojením tenanta, můžete ochranu před falšováním rozšířit na Windows Server 2012 R2, Windows Server 2016, Windows Server 2019 a Windows Server 2022. Viz Připojení tenanta: Create a nasazení zásad antivirové ochrany zabezpečení koncového bodu z Centra pro správu (Preview).

Ne. Nabídky antivirové ochrany od jiných společností než Microsoft se nadále registrují do aplikace Zabezpečení Windows.

Pokud je na zařízení nainstalovaný antivirový nebo antimalwarový software jiného výrobce než Microsoft, po nasazení zařízení do Microsoft Defender for Endpoint Microsoft Defender Antivirus ve výchozím nastavení běží v pasivním režimu. Ochrana před falšováním chrání službu a její funkce.

Pokud se odinstaluje antivirový nebo antimalwarový software jiného typu než Microsoft, Microsoft Defender Antivirus automaticky přepne do aktivního režimu. Ochrana před falšováním dál chrání službu a její funkce.

Ke správě nastavení Microsoft Defender Antivirové ochrany ve vaší organizaci doporučujeme použít Microsoft Intune. Pomocí Intune můžete řídit, kde je povolená (nebo zakázaná) ochrana před falšováním prostřednictvím zásad. Můžete také chránit vyloučení antivirové ochrany Microsoft Defender. Viz Ochrana před falšováním: Microsoft Defender Vyloučení antivirové ochrany.

Můžete také použít portál Microsoft Defender nebo Configuration Manager.

Pokud jste domácí uživatel, přečtěte si téma Správa ochrany před falšováním na jednotlivých zařízeních.

Ochrana před falšováním je součástí integrované ochrany a měla by být povolená.

Zavádíme nové funkce, které chrání Microsoft Defender vyloučení antivirové ochrany na zařízeních. Musí být splněny určité podmínky. Ke správě zařízení musíte například používat jenom Intune nebo Configuration Manager a musíte mít povolenou funkci Inteligentní. Viz Ochrana Microsoft Defender vyloučení antivirové ochrany.

Pokud aktuálně ke konfiguraci a správě ochrany před falšováním používáte Intune, měli byste dál používat Intune. Pokud je zapnutá ochrana před falšováním a pomocí Zásady skupiny provedete změny nastavení Microsoft Defender Antivirové ochrany, budou všechna nastavení chráněná ochranou před falšováním ignorována.

• Pokud musíte provést změny zařízení a tyto změny jsou blokovány ochranou proti neoprávněné manipulaci, můžete v režimu řešení potíží dočasně zakázat ochranu zařízení před neoprávněnou úpravou. Po ukončení režimu řešení potíží se všechny změny nastavení chráněného před neoprávněnou úpravou vrátí do nakonfigurovaného stavu.
• K vyloučení zařízení z ochrany před falšováním můžete použít Intune nebo Configuration Manager.
• Pokud ochranu před falšováním spravujete prostřednictvím Intune a jsou splněné určité další podmínky, můžete spravovat vyloučení antiviru chráněného před falšováním.

Pokud ke konfiguraci a správě ochrany před falšováním používáte Intune, nemusíte ochranu před falšováním nutně používat pro celou organizaci. S Intune můžete použít ochranu proti manipulaci v celé organizaci, nebo můžete vybrat konkrétní zařízení nebo skupiny uživatelů, které mají ochranu před falšováním získat. Můžete také vyloučit určitá zařízení z ochrany před falšováním.

Pokud je zapnutá ochrana před neoprávněnou úpravou, jsou před změnou chráněna následující nastavení zabezpečení:

• Ochrana před viry a hrozbami zůstane povolená.
• Ochrana v reálném čase zůstane zapnutá.
• Monitorování chování zůstává zapnuté.
• Antivirová ochrana, včetně IOfficeAntivirus (IOAV), zůstane povolená.
• Cloudová ochrana zůstává povolená.
• K aktualizacím bezpečnostních funkcí stále dochází.
• U zjištěných hrozeb se provádí automatické akce.
• Oznámení se zobrazují v aplikaci Zabezpečení Windows na zařízeních s Windows.
• Archivované soubory se kontrolují.

Další informace najdete v tématu Co se stane, když je zapnutá ochrana před falšováním?

Pokud je na portálu Microsoft Defender () zapnutá ochrana před neoprávněnou manipulací (https://security.microsoft.com), je zapnutá ochrana před neoprávněnou manipulací na celém tenantovi. Zásady definované v Intune nebo Configuration Manager ale můžou přepsat nastavení na portálu Microsoft Defender. Můžete například definovat zásadu v Intune nebo Configuration Manager, která vyloučí určitá zařízení z ochrany před falšováním.

Pomocí Intune nasaďte DisableLocalAdminMerge.

Postupujte podle pokynů v tématu Správa vyloučení antivirové ochrany chráněného před falšováním.

Ne. Pokud je povolená ochrana před neoprávněnou manipulací pro vyloučení, nemusíte ji kvůli použití nových vyloučení zakazovat.

Ano. Podobně jako při použití Intune můžete ochranu před falšováním použít pro celou organizaci nebo pro konkrétní uživatele a zařízení. Chcete-li se dozvědět více informací, podívejte se na následující zdroje:

• Správa ochrany před falšováním pomocí Intune
• Správa ochrany před falšováním pomocí připojení tenanta s Configuration Manager, verze 2006
• Blog technické komunity: Oznámení o ochraně před neoprávněnou úpravou pro klienty připojení tenanta Configuration Manager

Obecně platí, že ochrana před falšováním pomáhá chránit uživatele před tím, aby mohli měnit nastavení zabezpečení přímo na zařízeních. Ochrana před falšováním je součástí funkcí proti manipulaci, které zahrnují standardní pravidla omezení potenciální potenciální oblasti útoku ochrany. Pokud chcete dále zabránit spuštění malwaru v jádru, zvažte použití pravidel blokování ovladačů s řízením aplikací pro Windows.

Pokud je zařízení vypnuté z Microsoft Defender for Endpoint, je zapnutá ochrana proti manipulaci, což je výchozí stav nespravovaných zařízení.

Upozornění by měla být uvedená na portálu Microsoft Defender v části Výstrahy.

Váš tým pro operace zabezpečení může také používat dotazy proaktivního vyhledávání, jako je například následující příklad:

AlertInfo|where Title == "Tamper Protection bypass"

Ke konfiguraci ochrany před falšováním můžete použít některou z následujících metod:

• Portál Microsoft Defender (zapnutí nebo vypnutí ochrany před neoprávněnou manipulací, na celém tenantovi)
• Intune (zapnutí nebo vypnutí ochrany před falšováním nebo konfigurace ochrany před falšováním pro některé nebo všechny uživatele)
• Configuration Manager (pomocí připojení tenanta můžete nakonfigurovat ochranu před falšováním pro některá nebo všechna zařízení pomocí profilu Zabezpečení Windows prostředí).
• Zabezpečení Windows aplikace (pro jednotlivá domácí zařízení nebo v situacích, kdy vaše zařízení nespravuje bezpečnostní tým)