Správa ochrany před falšováním ve vaší organizaci pomocí Microsoft Intune

  • Článek

Platí pro:

Platformy

  • Windows

Ochrana před falšováním pomáhá chránit určitá nastavení zabezpečení, jako je ochrana před viry a hrozbami, před zakázání nebo změnou. Pokud jste součástí týmu zabezpečení vaší organizace a používáte Microsoft Intune, můžete ochranu před neoprávněnými zásahy pro vaši organizaci spravovat v centru pro správu Intune. Nebo můžete použít Configuration Manager. Pomocí Intune nebo Configuration Manager můžete:

Důležité

Pokud ke správě nastavení Defenderu for Endpoint používáte Microsoft Intune, nezapomeňte na zařízeních nastavit hodnotu DisableLocalAdminMerge na true.

Pokud je zapnutá ochrana před falšováním, není možné změnit nastavení chráněné neoprávněnou úpravou. Abyste se vyhnuli prostředím pro správu způsobujícím narušení, včetně Intune (a Configuration Manager), mějte na paměti, že změny nastavení chráněných neoprávněnou manipulací můžou vypadat úspěšně, ale ve skutečnosti jsou blokované ochranou proti manipulaci. V závislosti na konkrétním scénáři máte k dispozici několik možností:

  • Pokud musíte udělat změny v zařízení a tyto změny jsou blokovány ochranou proti neoprávněné manipulaci, doporučujeme použít režim řešení potíží a dočasně zakázat ochranu před neoprávněnou úpravou zařízení. Všimněte si, že po ukončení režimu řešení potíží se všechny změny nastavení chráněného před falšováním vrátí do nakonfigurovaného stavu.
  • K vyloučení zařízení z ochrany před neoprávněnou manipulací můžete použít Intune nebo Configuration Manager.
  • Pokud spravujete ochranu před falšováním prostřednictvím Intune, můžete změnit vyloučení antivirové ochrany chráněné před falšováním.

Požadavky na správu ochrany před neoprávněnou manipulací v Intune

Požadavek Podrobnosti
Role a oprávnění Musíte mít příslušná oprávnění přiřazená prostřednictvím rolí, jako je globální správce nebo správce zabezpečení. Viz Microsoft Entra rolí s Intune přístupem.
Správa zařízení Vaše organizace používá ke správě zařízení Intune.
Intune licence Intune licence jsou povinné. Viz licencování Microsoft Intune.
Operační systém Na zařízeních s Windows musí běžet Windows 10 verze 1709 nebo novější nebo Windows 11. (Další informace o vydaných verzích najdete v tématu Informace o verzích windows.)

Pro Mac si přečtěte téma Ochrana nastavení zabezpečení macOS pomocí ochrany před falšováním.
Bezpečnostní informace Musíte používat zabezpečení Windows s bezpečnostními informacemi aktualizovanými na verzi 1.287.60.0 (nebo novější).
Antimalwarová platforma Zařízení musí používat verzi 4.18.1906.3 antimalwarové platformy (nebo vyšší) a verzi 1.1.15500.X antimalwarového modulu (nebo novější). Viz Správa aktualizací Microsoft Defender Antivirové ochrany a použití směrných plánů.
Microsoft Entra ID Tenanti Intune a Defender for Endpoint musí sdílet stejnou infrastrukturu Microsoft Entra.
Defender for Endpoint Vaše zařízení musí být onboardovaná do defenderu for Endpoint.

Poznámka

Pokud zařízení nejsou zaregistrovaná v Microsoft Defender for Endpoint, zobrazí se ochrana před falšováním jako Nepoužitelné, dokud se proces onboardingu nedokončí. Ochrana před falšováním může zabránit změnám nastavení zabezpečení. Pokud se zobrazí kód chyby s ID události 5013, přečtěte si článek Kontrola protokolů událostí a kódů chyb při řešení potíží s Microsoft Defender Antivirovou sadou.

Zapnutí (nebo vypnutí) ochrany před neoprávněnou manipulací v Microsoft Intune

Zapnutí ochrany před falšováním pomocí Intune

  1. V Centru pro správu Intune přejděte naAntivirová ochranazabezpečení> koncového bodu a pak zvolte + Create Zásady.

    • V seznamu Platforma vyberte Windows 10, Windows 11 a Windows Server.
    • V seznamu Profil vyberte Zabezpečení Windows prostředí.

  2. Create profil, který obsahuje následující nastavení:

    • TamperProtection (zařízení): Zapnuto

  3. Dokončete výběr možností a nastavení zásad.

  4. Nasaďte zásadu do zařízení.

Ochrana před neoprávněnou manipulací pro vyloučení antivirového softwaru

Pokud má vaše organizace definovaná vyloučení pro Microsoft Defender Antivirus, ochrana před falšováním tato vyloučení chrání za předpokladu, že jsou splněny všechny následující podmínky:

Podmínka Kritéria
Microsoft Defender platforma Zařízení běží Microsoft Defender platformě 4.18.2211.5 nebo novější. Další informace najdete v tématu Měsíční verze platformy a modulu.
DisableLocalAdminMerge Nastavení Toto nastavení se také označuje jako zabránění slučování místních seznamů. DisableLocalAdminMergeje povolená, aby se nastavení nakonfigurovaná na zařízení neslučovala se zásadami organizace, jako jsou nastavení v Intune. Další informace najdete v tématu DisableLocalAdminMerge.
Správa zařízení Zařízení se spravují buď jenom v Intune, nebo se spravují jenom pomocí Configuration Manager. Inteligentní musí být povolené.
Vyloučení antivirové ochrany Microsoft Defender Vyloučení antivirové ochrany se spravují v Microsoft Intune. Další informace najdete v tématu Nastavení zásad Microsoft Defender antivirové ochrany v Microsoft Intune pro zařízení s Windows.

Funkce ochrany Microsoft Defender vyloučení antivirové ochrany je na zařízeních povolená. Další informace najdete v tématu Jak zjistit, jestli jsou vyloučení antivirového softwaru chráněná před neoprávněnou manipulací na zařízení s Windows.

Tip

Podrobnější informace o vyloučeních Microsoft Defender Antivirové ochrany najdete v tématu Vyloučení pro Microsoft Defender for Endpoint a Microsoft Defender Antivirus.

Jak zjistit, jestli jsou vyloučení antivirového softwaru chráněná před manipulací na zařízení s Windows

Klíč registru můžete použít k určení, jestli je povolená funkce ochrany Microsoft Defender vyloučení antivirové ochrany. Následující postup popisuje, jak zobrazit, ale ne změnit stav ochrany před falšováním.

  1. Na zařízení s Windows otevřete Editor registru. (Režim jen pro čtení je v pořádku, neupravujete klíč registru.)

  2. Pokud chcete ověřit, že zařízení spravuje jenom Intune nebo jenom Configuration Manager, zkontrolujte s povoleným inteligentním nastavením následující hodnoty klíčů registru:

    • ManagedDefenderProductType (nachází se na adrese Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender nebo HKLM\SOFTWARE\Microsoft\Windows Defender)
    • EnrollmentStatus (nachází se na adrese Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SenseCM nebo HKLM\SOFTWARE\Microsoft\SenseCM)

    Následující tabulka shrnuje význam hodnot klíčů registru:

    ManagedDefenderProductType Hodnotu EnrollmentStatus Hodnotu Význam hodnoty
    6 (libovolná hodnota) Zařízení spravuje jenom Intune.
    (Splňuje požadavek na ochranu vyloučení před neoprávněnou manipulací.)
    7 4 Zařízení spravuje Configuration Manager.
    (Splňuje požadavek na ochranu vyloučení před neoprávněnou manipulací.)
    Jiná hodnota než 6 nebo 7 (libovolná hodnota) Zařízení nespravuje jenom Intune nebo jenom Configuration Manager.
    (Vyloučení nejsou chráněná před neoprávněnou manipulací.)

  3. Pokud chcete ověřit, že je nasazená ochrana před neoprávněnou manipulací a že jsou vyloučení chráněná před neoprávněnou manipulací, zkontrolujte TPExclusions klíč registru (umístěný na adrese Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features nebo HKLM\SOFTWARE\Microsoft\Windows Defender\Features).

    TPExclusions Význam hodnoty
    1 Jsou splněné požadované podmínky a na zařízení je povolená nová funkce pro ochranu vyloučení.
    (Vyloučení jsou chráněná před neoprávněnou manipulací.)
    0 Ochrana před falšováním v současné době nechrání vyloučení na zařízení.
    (Pokud jsou splněné všechny požadavky a tento stav se zdá být nesprávný, kontaktujte podporu.)

Upozornění

Neměňte hodnotu klíčů registru. Předchozí postup použijte pouze pro informace. Změna klíčů nemá vliv na to, jestli se ochrana před falšováním vztahuje na vyloučení.

Viz také

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.