Schützen von Sicherheitseinstellungen durch ManipulationsschutzProtect security settings with tamper protection

Wichtig

Willkommen bei Microsoft Defender für Endpoint, dem neuen Namen für den erweiterten Bedrohungsschutz von Microsoft Defender.Welcome to Microsoft Defender for Endpoint, the new name for Microsoft Defender Advanced Threat Protection. Weitere Informationen zu diesem und anderen Updates finden Sie hier.Read more about this and other updates here. Wir werden in naher Zukunft Namen in Produkten und in den Dokumenten aktualisieren.We'll be updating names in products and in the docs in the near future.

Gilt für:Applies to:

ÜbersichtOverview

Bei einigen Arten von Cyber-Angriffen versuchen fehlerhafte Darsteller, Sicherheitsfunktionen wie Virenschutz auf ihren Computern zu deaktivieren.During some kinds of cyber attacks, bad actors try to disable security features, such as anti-virus protection, on your machines. Fehlerhafte Darsteller möchten Ihre Sicherheitsfunktionen deaktivieren, um den Zugriff auf Ihre Daten zu vereinfachen, Schadsoftware zu installieren oder Ihre Daten, Identitäten und Geräte anderweitig auszunutzen.Bad actors like to disable your security features to get easier access to your data, to install malware, or to otherwise exploit your data, identity, and devices. Manipulationsschutz verhindert, dass diese Art von Vorgängen auftreten kann.Tamper protection helps prevent these kinds of things from occurring.

Mit Manipulationsschutz können böswillige apps keine Aktionen wie die folgenden durchführen:With tamper protection, malicious apps are prevented from taking actions such as:

  • Deaktivieren des Viren-und BedrohungsschutzesDisabling virus and threat protection
  • Deaktivieren des EchtzeitschutzesDisabling real-time protection
  • Deaktivieren der VerhaltensüberwachungTurning off behavior monitoring
  • Deaktivieren des Antivirenprogramms (wie IOfficeAntivirus (IOAV))Disabling antivirus (such as IOfficeAntivirus (IOAV))
  • Deaktivieren von Cloud-geliefertem SchutzDisabling cloud-delivered protection
  • Entfernen von Security Intelligence-UpdatesRemoving security intelligence updates

FunktionsweiseHow it works

Der Manipulationsschutz sperrt im Wesentlichen Microsoft Defender Antivirus und verhindert, dass Ihre Sicherheitseinstellungen durch Apps und Methoden wie folgende geändert werden:Tamper protection essentially locks Microsoft Defender Antivirus and prevents your security settings from being changed through apps and methods such as:

  • Konfigurieren von Einstellungen im Registrierungs-Editor auf Ihrem Windows-ComputerConfiguring settings in Registry Editor on your Windows machine
  • Ändern von Einstellungen über PowerShell-CmdletsChanging settings through PowerShell cmdlets
  • Bearbeiten oder Entfernen von Sicherheitseinstellungen mithilfe von GruppenrichtlinienEditing or removing security settings through group policies

Manipulationsschutz hindert Sie nicht daran, Ihre Sicherheitseinstellungen anzuzeigen.Tamper protection doesn't prevent you from viewing your security settings. Und der Manipulationsschutz hat keinen Einfluss darauf, wie Antivirus-apps von Drittanbietern bei der Windows-Sicherheits-App registriert werden.And, tamper protection doesn't affect how third-party antivirus apps register with the Windows Security app. Wenn Ihre Organisation Windows 10 Enterprise E5 verwendet, können einzelne Benutzer die Einstellungen für den Manipulationsschutz nicht ändern. der Manipulationsschutz wird von Ihrem Sicherheitsteam verwaltet.If your organization is using Windows 10 Enterprise E5, individual users can't change the tamper protection setting; tamper protection is managed by your security team.

Was möchten Sie tun?What do you want to do?

  1. Aktivieren des ManipulationsschutzesTurn tamper protection on

  2. Informationen zu Manipulationsversuchen anzeigen.View information about tampering attempts.

  3. Überprüfen Sie Ihre Sicherheitsempfehlungen.Review your security recommendations.

  4. Durchsuchen Sie die häufig gestellten Fragen.Browse the frequently asked questions.

Aktivieren (oder deaktivieren) des Manipulationsschutzes für einen einzelnen ComputerTurn tamper protection on (or off) for an individual machine

Hinweis

Manipulationsschutz blockiert versucht, Microsoft Defender-Antivirus-Einstellungen über die Registrierung zu ändern.Tamper protection blocks attempts to modify Microsoft Defender Antivirus settings through the registry.

Wenn Sie sicherstellen möchten, dass der Manipulationsschutz keine Sicherheitsprodukte von Drittanbietern oder Unternehmens Installationsskripts stört, die diese Einstellungen ändern, wechseln Sie zu Windows-Sicherheit , und aktualisieren Sie Security Intelligence auf Version 1.287.60.0 oder höher.To help ensure that tamper protection doesn’t interfere with third-party security products or enterprise installation scripts that modify these settings, go to Windows Security and update Security intelligence to version 1.287.60.0 or later. (Weitere Informationen finden Sie unter Security Intelligence-Updates.)(See Security intelligence updates.)

Nachdem Sie dieses Update durchgeführt haben, schützt der Manipulationsschutz Ihre Registrierungseinstellungen weiterhin und protokolliert auch Versuche, diese zu ändern, ohne dass Fehler zurückgegeben werden.Once you’ve made this update, tamper protection will continue to protect your registry settings, and will also log attempts to modify them without returning errors.

Wenn Sie ein privater Benutzer sind oder nicht den von einem Sicherheitsteam verwalteten Einstellungen unterliegen, können Sie die Windows-Sicherheits-App verwenden, um den Manipulationsschutz zu aktivieren oder zu deaktivieren.If you are a home user, or you are not subject to settings managed by a security team, you can use the Windows Security app to turn tamper protection on or off. Sie müssen über die entsprechenden Administratorberechtigungen für Ihren Computer verfügen, um Sicherheitseinstellungen wie Manipulationsschutz zu ändern.You must have appropriate admin permissions on your machine to do change security settings, such as tamper protection.

  1. Klicken Sie auf Start, und beginnen Sie mit der Eingabe von Defender.Click Start, and start typing Defender. Wählen Sie in den Suchergebnissen Windows-Sicherheitaus.In the search results, select Windows Security.

  2. Wählen Sie Virus & Bedrohungsschutz > Virus & Einstellungen für den BedrohungsSchutz aus.Select Virus & threat protection > Virus & threat protection settings.

  3. Stellen Sie den Manipulationsschutz auf ein oder aus.Set Tamper Protection to On or Off.

    Hier sehen Sie, was in der Windows-Sicherheits-App angezeigt wird:Here's what you see in the Windows Security app:

    Sabotageschutz in Windows 10 Home aktiviert

Aktivieren (oder deaktivieren) des Manipulationsschutzes für Ihre Organisation mithilfe von InTuneTurn tamper protection on (or off) for your organization using Intune

Wenn Sie Teil des Sicherheitsteams Ihrer Organisation sind und Ihr Abonnement InTuneumfasst, können Sie den Manipulationsschutz für Ihre Organisation im Microsoft Endpoint Manager Admin Center -Portal aktivieren (oder deaktivieren).If you are part of your organization's security team, and your subscription includes Intune, you can turn tamper protection on (or off) for your organization in the Microsoft Endpoint Manager admin center portal.

Sie müssen über die entsprechenden Berechtigungenwie globaler Administrator, Sicherheitsadministrator oder Sicherheitsvorgänge verfügen, um die folgende Aufgabe ausführen zu können.You must have appropriate permissions, such as global admin, security admin, or security operations, to perform the following task.

  1. Stellen Sie sicher, dass Ihre Organisation alle folgenden Anforderungen erfüllt, um Manipulationsschutz mithilfe von InTune zu verwalten:Make sure your organization meets all of the following requirements to manage tamper protection using Intune:

  2. Wechseln Sie zum Microsoft Endpoint Manager Admin Center , und registrieren Sie sich mit Ihrem Firmen-oder Schulkonto.Go to the Microsoft Endpoint Manager admin center and sign in with your work or school account.

  3. Wählen Sie Geräte > -Konfigurationsprofileaus.Select Devices > Configuration Profiles.

  4. Erstellen Sie ein Profil wie folgt:Create a profile as follows:

    • Plattform: Windows 10 und höherPlatform: Windows 10 and later

    • Profiltyp: EndpunktschutzProfile type: Endpoint protection

    • Kategorie: Microsoft Defender Security CenterCategory: Microsoft Defender Security Center

    • Manipulationsschutz: aktiviertTamper Protection: Enabled

    Aktivieren des Manipulationsschutzes mit InTune

  5. Weisen Sie das Profil einer oder mehreren Gruppen zu.Assign the profile to one or more groups.

Verwenden Sie Windows OS 1709, 1803 oder 1809?Are you using Windows OS 1709, 1803, or 1809?

Wenn Sie Windows 10 OS 1709, 1803oder 1809verwenden, wird in der Windows-Sicherheits-App kein Manipulationsschutz angezeigt.If you are using Windows 10 OS 1709, 1803, or 1809, you won't see Tamper Protection in the Windows Security app. In diesem Fall können Sie mithilfe von PowerShell ermitteln, ob der Manipulationsschutz aktiviert ist.In this case, you can use PowerShell to determine whether tamper protection is enabled.

Verwenden von PowerShell, um zu ermitteln, ob der Manipulationsschutz aktiviert istUse PowerShell to determine whether tamper protection is turned on

  1. Öffnen Sie die Windows PowerShell-app.Open the Windows PowerShell app.

  2. Verwenden Sie das PowerShell-Cmdlet " Get-MpComputerStatus ".Use the Get-MpComputerStatus PowerShell cmdlet.

  3. Suchen Sie in der Ergebnisliste nach IsTamperProtected .In the list of results, look for IsTamperProtected. (Der Wert " true " bedeutet, dass der Manipulationsschutz aktiviert ist.)(A value of true means tamper protection is enabled.)

Verwalten des Manipulationsschutzes mit Configuration Manager, Version 2006Manage tamper protection with Configuration Manager, version 2006

Wichtig

Das Verfahren kann verwendet werden, um den Manipulationsschutz auf Geräte mit Windows 10 und Windows Server 2019 zu erweitern.The procedure can be used to extend tamper protection to devices running Windows 10 and Windows Server 2019. Stellen Sie sicher, dass Sie die Voraussetzungen und andere Informationen in den in diesem Verfahren erwähnten Ressourcen überprüfen.Make sure to review the prerequisites and other information in the resources mentioned in this procedure.

Wenn Sie Version 2006 von Configuration Managerverwenden, können Sie manipulationsschutzeinstellungen unter Windows 10 und Windows Server 2019 mithilfe einer Methode namens Mandanten anfügenverwalten.If you're using version 2006 of Configuration Manager, you can manage tamper protection settings on Windows 10 and Windows Server 2019 by using a method called tenant attach. Mit Mandanten anfügen können Sie Ihre lokalen Configuration Manager-Geräte mit dem Microsoft Endpoint Manager Admin Center synchronisieren und dann Ihre Endpunkt Sicherheits Konfigurationsrichtlinien an Ihre lokalen Sammlungen & Geräten übermitteln.Tenant attach enables you to sync your on-premises-only Configuration Manager devices into the Microsoft Endpoint Manager admin center, and then deliver your endpoint security configuration policies to your on-premises collections & devices.

  1. Einrichten der Mandanten ZuordnungSet up tenant attach. Siehe Microsoft Endpoint Manager-Mandanten anfügen: Gerätesynchronisierung und Geräteaktionen.See Microsoft Endpoint Manager tenant attach: Device sync and device actions.

  2. Wechseln Sie im Microsoft Endpoint Manager Admin Centerzu Endpoint Security > Antivirus, und wählen Sie + Richtlinie erstellenaus.In the Microsoft Endpoint Manager admin center, go to Endpoint security > Antivirus, and choose + Create Policy.

    • Wählen Sie in der Liste Plattform die Option Windows 10 und Windows Server (ConfigMgr) aus.In the Platform list, select Windows 10 and Windows Server (ConfigMgr).

    • Wählen Sie in der Liste Profil die Option Windows-Sicherheitsumgebung (Preview) aus.In the Profile list, select Windows Security experience (preview).

    Der folgende Screenshot zeigt, wie Sie Ihre Richtlinie erstellen:The following screenshot illustrates how to create your policy:

    Windows-Sicherheitsfunktionalität in Endpunkt-Manager

  3. Stellen Sie die Richtlinie für Ihre gerätesammlung bereit.Deploy the policy to your device collection.

Sie benötigen Hilfe?Need help? Lesen Sie die folgenden Ressourcen:See the following resources:

Anzeigen von Informationen zu ManipulationsversuchenView information about tampering attempts

Manipulationsversuche deuten in der Regel auf größere Cyberattacken hin.Tampering attempts typically indicate bigger cyberattacks. Fehlerhafte Darsteller versuchen, Sicherheitseinstellungen so zu ändern, dass Sie beibehalten und unentdeckt bleiben.Bad actors try to change security settings as a way to persist and stay undetected. Wenn Sie Teil des Sicherheitsteams Ihrer Organisation sind, können Sie Informationen zu derartigen versuchen anzeigen und dann geeignete Maßnahmen ergreifen, um Bedrohungen zu vermeiden.If you're part of your organization's security team, you can view information about such attempts, and then take appropriate actions to mitigate threats.

Wenn ein Manipulationsversuch erkannt wird, wird im Microsoft Defender Security Center () eine Benachrichtigung ausgelöst https://securitycenter.windows.com .When a tampering attempt is detected, an alert is raised in the Microsoft Defender Security Center (https://securitycenter.windows.com).

Microsoft Defender-Sicherheits Center

Mithilfe von Endpunkterkennung und-Antwort sowie erweiterten Jagd Funktionen in Microsoft Defender für Endpoint kann Ihr Sicherheitsteam derartige Versuche untersuchen und beheben.Using endpoint detection and response and advanced hunting capabilities in Microsoft Defender for Endpoint, your security operations team can investigate and address such attempts.

Überprüfen Ihrer SicherheitsempfehlungenReview your security recommendations

Der Manipulationsschutz wird in Bedrohungs-& Funktionen zur Schwachstellen Verwaltung integriert.Tamper protection integrates with Threat & Vulnerability Management capabilities. Sicherheitsempfehlungen beinhalten, dass der Manipulationsschutz aktiviert ist.Security recommendations include making sure tamper protection is turned on. So können Sie beispielsweise nach Tampersuchen, wie in der folgenden Abbildung dargestellt:For example, you can search on tamper, as shown in the following image:

Manipulationsschutz führt zu Sicherheitsempfehlungen

In den Ergebnissen können Sie " Manipulationsschutz aktivieren " auswählen, um weitere Informationen zu erhalten und zu aktivieren.In the results, you can select Turn on Tamper Protection to learn more and turn it on.

Aktivieren des Manipulationsschutzes

Weitere Informationen zu Bedrohungs-& Vulnerability Management finden Sie unter Bedrohungs & Vulnerability Management im Microsoft Defender Security Center.To learn more about Threat & Vulnerability Management, see Threat & Vulnerability Management in Microsoft Defender Security Center.

Häufig gestellte FragenFrequently asked questions

Für welche Windows-Betriebssystemversionen ist die Konfiguration von Manipulationsschutz anwendbar?To which Windows OS versions is configuring tamper protection is applicable?

Windows 10 OS 1709, 1803, 1809oder höher zusammen mit Microsoft Defender für Endpunkt.Windows 10 OS 1709, 1803, 1809, or later together with Microsoft Defender for Endpoint.

Wenn Sie Configuration Manager, Version 2006, mit Mandanten anfügen verwenden, kann der Manipulationsschutz auf Windows Server 2019 erweitert werden.If you are using Configuration Manager, version 2006, with tenant attach, tamper protection can be extended to Windows Server 2019. Weitere Informationen finden Sie unter Mandanten anfügen: Erstellen und Bereitstellen von Antivirus-Richtlinien für Endpunktsicherheit aus dem Admin Center (Preview).See Tenant attach: Create and deploy endpoint security Antivirus policy from the admin center (preview).

Wirkt sich der Manipulationsschutz auf die Antivirus-Registrierung von Drittanbietern aus?Will tamper protection have any impact on third-party antivirus registration?

Nein.No. Antivirus-Angebote von Drittanbietern werden weiterhin bei der Windows-Sicherheitsanwendung registriert.Third-party antivirus offerings will continue to register with the Windows Security application.

Was geschieht, wenn Microsoft Defender Antivirus auf einem Gerät nicht aktiv ist?What happens if Microsoft Defender Antivirus is not active on a device?

Bei Geräten, die an Microsoft Defender für Endpoint installiert sind, wird Microsoft Defender Antivirus im passiven Modus ausgeführt.Devices that are onboarded to Microsoft Defender for Endpoint will have Microsoft Defender Antivirus running in passive mode. Der Manipulationsschutz schützt den Dienst und seine Features weiterhin.Tamper protection will continue to protect the service and its features.

Wie kann ich den Manipulationsschutz aktivieren/deaktivieren?How can I turn tamper protection on/off?

Wenn Sie ein privater Benutzer sind, lesen Sie Aktivieren des Manipulationsschutzes für einen einzelnen Computer.If you are a home user, see Turn tamper protection on (or off) for an individual machine.

Wenn Sie eine Organisation mit Microsoft Defender für Endpointsind, sollten Sie in der Lage sein, den Manipulationsschutz in InTune ähnlich wie bei der Verwaltung anderer Endpunktschutz Features zu verwalten.If you are an organization using Microsoft Defender for Endpoint, you should be able to manage tamper protection in Intune similar to how you manage other endpoint protection features. Lesen Sie die folgenden Abschnitte dieses Artikels:See the following sections of this article:

Wie wirkt sich die Konfiguration des Manipulationsschutzes in InTune auf die Verwaltung von Microsoft Defender Antivirus über meine Gruppenrichtlinie aus?How does configuring tamper protection in Intune affect how I manage Microsoft Defender Antivirus through my group policy?

Ihre reguläre Gruppenrichtlinie gilt nicht für Manipulationsschutz, und Änderungen an den Antivirus-Einstellungen von Microsoft Defender werden ignoriert, wenn der Manipulationsschutz aktiviert ist.Your regular group policy doesn’t apply to tamper protection, and changes to Microsoft Defender Antivirus settings are ignored when tamper protection is on.

Ist für Microsoft Defender für Endpoint die Konfiguration des Manipulationsschutzes in InTune nur für die gesamte Organisation vorgesehen?For Microsoft Defender for Endpoint, is configuring tamper protection in Intune targeted to the entire organization only?

Das Konfigurieren des Manipulationsschutzes in InTune oder Microsoft Endpoint Manager kann auf Ihre gesamte Organisation sowie auf bestimmte Geräte und Benutzergruppen ausgerichtet werden.Configuring tamper protection in Intune or Microsoft Endpoint Manager can be targeted to your entire organization as well as to specific devices and user groups.

Kann ich den Manipulationsschutz in Microsoft Endpoint Configuration Manager konfigurieren?Can I configure Tamper Protection in Microsoft Endpoint Configuration Manager?

Wenn Sie die Mandanten Zuordnung verwenden, können Sie den Microsoft Endpoint Configuration Manager verwenden.If you are using tenant attach, you can use Microsoft Endpoint Configuration Manager. Weitere Informationen finden Sie unter Verwalten von Manipulationsschutz mit Configuration Manager, Version 2006 und Tech Community-Blog: Ankündigung des Manipulationsschutzes für Configuration Manager-Mandanten beim Anfügen von Clients.See Manage tamper protection with Configuration Manager, version 2006 and Tech Community blog: Announcing Tamper Protection for Configuration Manager Tenant Attach clients.

Ich habe die Windows E3-Registrierung.I have the Windows E3 enrollment. Kann ich die Konfiguration des Manipulationsschutzes in InTune verwenden?Can I use configuring tamper protection in Intune?

Derzeit steht die Konfiguration des Manipulationsschutzes in InTune nur Kunden mit Microsoft Defender für Endpointzur Verfügung.Currently, configuring tamper protection in Intune is only available for customers who have Microsoft Defender for Endpoint.

Was passiert, wenn ich versuche, Microsoft Defender für Endpunkteinstellungen in InTune, Microsoft Endpoint Configuration Manager und Windows-Verwaltungsinstrumentation zu ändern, wenn der Manipulationsschutz auf einem Gerät aktiviert ist?What happens if I try to change Microsoft Defender for Endpoint settings in Intune, Microsoft Endpoint Configuration Manager, and Windows Management Instrumentation when Tamper Protection is enabled on a device?

Sie können die Features, die durch Manipulationsschutz geschützt sind, nicht ändern. solche Änderungsanforderungen werden ignoriert.You won’t be able to change the features that are protected by tamper protection; such change requests are ignored.

Ich bin ein Unternehmenskunde.I’m an enterprise customer. Können lokale Administratoren den Manipulationsschutz auf Ihren Geräten ändern?Can local admins change tamper protection on their devices?

Nein.No. Lokale Administratoren können manipulationsschutzeinstellungen nicht ändern oder ändern.Local admins cannot change or modify tamper protection settings.

Was passiert, wenn mein Gerät mit Microsoft Defender für Endpoint an Bord ist und dann in einen Off-Board-Zustand wechselt?What happens if my device is onboarded with Microsoft Defender for Endpoint and then goes into an off-boarded state?

Wenn ein Gerät von Microsoft Defender für Endpunkt nicht an Bord ist, ist der Manipulationsschutz aktiviert, was der Standardzustand für nicht verwaltete Geräte ist.If a device is off-boarded from Microsoft Defender for Endpoint, tamper protection is turned on, which is the default state for unmanaged devices.

Gibt es eine Benachrichtigung über den Manipulationsschutz Status im Microsoft Defender Security Center?Will there be an alert about tamper protection status changing in the Microsoft Defender Security Center?

Ja.Yes. Die Benachrichtigung wird https://securitycenter.microsoft.com unter Benachrichtigungenangezeigt.The alert is shown in https://securitycenter.microsoft.com under Alerts.

Darüber hinaus kann Ihr Sicherheitsteam Jagd Abfragen verwenden, beispielsweise das folgende Beispiel:In addition, your security operations team can use hunting queries, such as the following example:

DeviceAlertEvents | where Title == "Tamper Protection bypass"

Informationen zu Manipulationsversuchen anzeigen.View information about tampering attempts.

Weitere InformationenSee also

Hilfe beim Sichern von Windows-PCs mit Endpoint Protection für Microsoft IntuneHelp secure Windows PCs with Endpoint Protection for Microsoft Intune

Verschaffen Sie sich einen Überblick über Microsoft Defender für EndpointGet an overview of Microsoft Defender for Endpoint

Besser zusammen: Microsoft Defender Antivirus und Microsoft Defender für EndpunktBetter together: Microsoft Defender Antivirus and Microsoft Defender for Endpoint