Beveiligingsinstellingen beveiligen tegen onrechtmatig wijzigen

Van toepassing op:

Beveiligingsbeveiliging voor tamper is beschikbaar voor apparaten met een van de volgende versies van Windows:

  • Windows 10
  • Windows 11
  • Windows Server 2019
  • Windows Server 2022
  • Windows Server, versie 1803 of hoger
  • Windows Server 2016
  • Windows Server 2012 R2

Notitie

Tamperbeveiliging in Windows Server 2012 R2 is beschikbaar voor apparaten die aan boord zijn met behulp van het moderne geïntegreerde oplossingspakket. Zie Nieuwe functionaliteit in de moderne geïntegreerde oplossing voor Windows Server 2012 R2 en 2016 Preview voormeer informatie.

Overzicht

Tijdens sommige soorten cyberaanvallen proberen slechte spelers beveiligingsfuncties, zoals antivirusbeveiliging, uit te schakelen op uw machines. Slechte spelers willen uw beveiligingsfuncties uitschakelen om gemakkelijker toegang te krijgen tot uw gegevens, om malware te installeren of om op een andere manier uw gegevens, identiteit en apparaten te misbruiken. Met tamperbeveiliging kunt u voorkomen dat dit soort dingen voorkomen.

Met de beveiliging van fraude kunnen schadelijke apps geen acties uitvoeren, zoals:

  • Virus- en bedreigingsbeveiliging uitschakelen
  • Realtimebeveiliging uitschakelen
  • Gedragscontrole uitschakelen
  • Antivirusprogramma's uitschakelen (zoals IOfficeAntivirus (IOAV))
  • Beveiliging in de cloud uitschakelen
  • Beveiligingsinformatie-updates verwijderen

Hoe het werkt

Met tamperbeveiliging worden Microsoft Defender Antivirus beveiligingsinstellingen vergrendeld met de veilige, standaardwaarden en wordt voorkomen dat uw beveiligingsinstellingen worden gewijzigd via apps en methoden, zoals:

  • Instellingen configureren in registereditor op uw Windows apparaat
  • Instellingen wijzigen via PowerShell-cmdlets
  • Beveiligingsinstellingen bewerken of verwijderen via groepsbeleid

Beveiliging van tamper voorkomt niet dat u uw beveiligingsinstellingen kunt bekijken. En tamperbeveiliging heeft geen invloed op de manier waarop niet-Microsoft-antivirus-apps zich registreren met de Windows-beveiliging app. Als uw organisatie E5 Windows 10 Enterprise gebruiken, kunnen afzonderlijke gebruikers de instelling voor de beveiliging van tamper niet wijzigen. In dat geval wordt de beveiliging van de tamper beheerd door uw beveiligingsteam.

Wat wilt u doen?



Als u deze taak wilt uitvoeren... Zie deze sectie...
Beveiliging van manipulaties in uw tenant beheren

Gebruik de Microsoft 365 Defender portal om de beveiliging van tamper in of uit te schakelen

Beveiliging van fraude voor uw organisatie beheren met behulp van de Microsoft 365 Defender
Beveiligingsinstellingen voor tampers in uw organisatie aanpassen

Gebruik Intune (Microsoft Endpoint Manager) om tamperbeveiliging in of uit te schakelen. Met deze methode kunt u de beveiligingsbeveiliging voor sommige of alle gebruikers configureren.

Beveiliging van fraude voor uw organisatie beheren met Intune
Beveiligingsbeveiliging voor tamper in- of uitschakelen voor uw organisatie met Configuration Manager Beveiliging van fraude voor uw organisatie beheren met tenant attach met Configuration Manager, versie 2006
Beveiligingsbeveiliging voor een afzonderlijk apparaat in- of uitschakelen Beveiliging van manipulaties beheren op een afzonderlijk apparaat
Details weergeven over pogingen tot geknoei op apparaten Informatie weergeven over pogingen tot geknoei
Uw beveiligingsaanbevelingen bekijken Beveiligingsaanbevelingen controleren
Bekijk de lijst met veelgestelde vragen (veelgestelde vragen) Door de veelgestelde vragen bladeren

Afhankelijk van de methode of het beheerprogramma dat u gebruikt voor het inschakelen van beveiliging tegen manipulaties, is er mogelijk een afhankelijkheid van beveiliging in de cloud.

In de volgende tabel vindt u informatie over de methoden, hulpmiddelen en afhankelijkheden.



De manier waarop de beveiliging van een tamper is ingeschakeld Afhankelijkheid van door de cloud geleverde beveiliging (KAARTEN)
Microsoft Intune Nee
Microsoft Endpoint Configuration Manager + Tenant Attach Nee
Microsoft 365 Defender portal ( https://security.microsoft.com ) Ja

Beveiligingsbeveiliging voor uw organisatie beheren met behulp van de Microsoft 365 Defender portal

De beveiliging van tamper kan worden ingeschakeld of uitgeschakeld voor uw tenant via de Microsoft 365 Defender portal ( https://security.microsoft.com ). Hier zijn een paar punten waar u rekening mee moet houden:

  • Op dit moment is de optie voor het beheren van de beveiliging van Microsoft 365 Defender portal standaard ingeschakeld voor nieuwe implementaties. Voor bestaande implementaties is tamperbeveiliging beschikbaar op basis van een opt-in. Als u zich wilt aanmelden, kiest uin Microsoft 365 Defender portal de Instellingen Geavanceerde functies > > > voor Tamper-beveiliging.

  • Wanneer u de portal Microsoft 365 Defender voor het beheren van de beveiligingsbeveiliging voor geknoei, hoeft u Intune of de tenant attach-methode niet te gebruiken.

  • Wanneer u de beveiliging van de Microsoft Defender-beveiligingscentrum beheert, wordt de instelling toegepast op tenant breed, wat van invloed is op al uw apparaten waarop Windows 10, Windows 11, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019 of Windows Server 2022. Gebruik Intune of Configuration Manager met tenant attach om de beveiliging van de manipulaties te finetunen(zoals het hebben van beveiliging tegen geknoei op bepaalde apparaten, maar niet voor andere apparaten).

  • Als u een hybride omgeving hebt, hebben beveiligingsinstellingen die zijn geconfigureerd in Intune voorrang op instellingen die zijn geconfigureerd in de Microsoft 365 Defender portal.

Vereisten voor het beheren van beveiliging tegen manipulaties in de Microsoft 365 Defender portal

Zie voor meer informatie over releases Windows 10 releasegegevens.

Beveiligingsbeveiliging voor geknoei in- of uitschakelen in de Microsoft 365 Defender portal

Schakel de beveiliging van de Microsoft 365 Defender in.

  1. Ga naar de Microsoft 365 Defender portal en meld u aan.

  2. Kies Instellingen > eindpunten.

  3. Ga naar Algemene > geavanceerde functies en schakel de beveiliging van de tamper in.

Beveiliging van fraude voor uw organisatie beheren met Intune

Als u deel uitmaakt van het beveiligingsteam van uw organisatie en uw abonnement Intunebevat, kunt u tamperbeveiliging in- of uitschakelen voor uw organisatie in het Microsoft Endpoint Manager-beheercentrum ( https://endpoint.microsoft.com ). Gebruik Intune als u de beveiligingsinstellingen voor geknoeidheid wilt aanpassen. Als u bijvoorbeeld de beveiliging van manipulaties op sommige apparaten wilt inschakelen, maar niet alle apparaten, gebruikt u Intune.

Vereisten voor het beheren van beveiliging tegen geknoei in Intune

Beveiliging voor geknoei in -of uitschakelen in Intune

Schakel de beveiliging van de tamper in met Intune.

  1. Ga naar het Microsoft Endpoint Manager beheercentrum en meld u aan.

  2. Selecteer > Configuratieprofielen voor apparaten.

  3. Maak een profiel met de volgende instellingen:

    • Platform: Windows 10 en hoger
    • Profieltype: Endpoint-beveiliging
    • Categorie: Microsoft 365 Defender
    • Beveiliging van tamper: ingeschakeld
  4. Wijs het profiel toe aan een of meer groepen.

Gebruikt u Windows Server 2016 of Windows versie 1709, 1803 of 1809?

Als u Windows Server 2016, Windows 10 versie 1709, 1803 of 1809gebruikt, ziet u Tamper Protection niet in de Windows-beveiliging app. In plaats daarvan kunt u PowerShell gebruiken om te bepalen of beveiliging van een tamper is ingeschakeld.

Op Windows Server 2016 geeft de Instellingen app niet nauwkeurig de status van realtimebeveiliging weer wanneer de beveiliging van de tamper is ingeschakeld.

PowerShell gebruiken om te bepalen of beveiligings- en realtimebeveiliging voor geknoei zijn ingeschakeld

  1. Open de Windows PowerShell app.

  2. Gebruik de Get-MpComputerStatus PowerShell-cmdlet.

  3. Zoek in de lijst met resultaten naar of IsTamperProtected RealTimeProtectionEnabled . (Een waarde van waar betekent dat tamperbeveiliging is ingeschakeld.)

Beveiliging van fraude voor uw organisatie beheren met Configuration Manager, versie 2006

Als u versie 2006van Configuration Manager gebruikt, kunt u beveiligingsinstellingen voor geknoeid beheren op Windows 10, Windows 11, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019 en Windows Server 2022 met behulp van een methode tenant attach genoemd. Met Tenant attach kunt u uw on-premises Configuration Manager-apparaten synchroniseren met het Microsoft Endpoint Manager-beheercentrum en vervolgens beveiligingsconfiguratiebeleid voor eindpunten leveren aan on-premises verzamelingen & apparaten.

Notitie

De procedure kan worden gebruikt om de beveiliging van tamper uit te breiden naar apparaten met Windows 10, Windows 11, Windows Server 2019 en Windows Server 2022. Controleer de vereisten en andere informatie in de bronnen die in deze procedure worden vermeld.

  1. Tenant attach instellen. Zie voor meer informatie Microsoft Endpoint Manager tenant attach: Apparaatsynchronisatie en apparaatacties.

  2. Ga in Microsoft Endpoint Manager beheercentrumnaar Endpoint Security > Antivirus en kies + Beleid maken.

    • Selecteer in de lijst Platform Windows 10 en Windows Server (ConfigMgr) of Windows 11 en Windows Server (ConfigMgr).
    • Selecteer in de lijst Profiel Windows-beveiliging ervaring (voorbeeld).
  3. Implementeer het beleid naar uw apparaatverzameling.

Hulp nodig bij deze methode?

Zie de volgende bronnen:

Beveiliging van manipulaties beheren op een afzonderlijk apparaat

Notitie

Beveiligingsblokken voor geknoei proberen de Microsoft Defender Antivirus via het register te wijzigen.

Ga naar Windows-beveiliging en werk beveiligingsinformatie bij naar versie 1.287.60.0 of hoger om ervoor te zorgen dat beveiligingsbeveiliging geen invloed heeft op niet-Microsoft-beveiligingsproducten of bedrijfsinstallatiescripts die deze instellingen wijzigen. (Zie Beveiligingsinformatieupdates.)

Nadat u deze update hebt uitgebracht, blijft de beveiliging van de tamper uw registerinstellingen beveiligen en worden logboeken geprobeerd deze te wijzigen zonder fouten te retourneren.

Als u een thuisgebruiker bent of als u niet onderworpen bent aan instellingen die worden beheerd door een beveiligingsteam, kunt u de Windows-beveiliging gebruiken om de beveiliging van tampers te beheren. U moet over de juiste beheerdersmachtigingen op uw apparaat zijn om de beveiligingsinstellingen te kunnen wijzigen, zoals beveiliging tegen geknoei.

Dit ziet u in de Windows-beveiliging app:

Tamperbeveiliging is ingeschakeld in Windows 10 Home.

  1. Selecteer Start en begin beveiliging te typen. Selecteer in de zoekresultaten Windows-beveiliging.

  2. Selecteer Virusbeveiliging & bescherming tegen > virussen & beveiligingsinstellingen voor bedreigingen .

  3. Beveiligingsbeveiliging voor Tamper instellen op Aan of Uit.

Informatie weergeven over pogingen tot geknoei

Pogingen tot geknoei geven meestal grotere cyberaanvallen aan. Slechte actors proberen de beveiligingsinstellingen te wijzigen als een manier om te blijven bestaan en niet te worden gedetecteerd. Als u deel uitmaakt van het beveiligingsteam van uw organisatie, kunt u informatie over dergelijke pogingen bekijken en vervolgens passende acties ondernemen om bedreigingen te beperken.

Wanneer er een poging tot geknoei wordt gedetecteerd, wordt er een waarschuwing in de Microsoft 365 Defender portal ( https://security.microsoft.com ).

Microsoft 365 Defender.

Met eindpuntdetectie en -respons en geavanceerde zoekmogelijkheden in Microsoft Defender voor Eindpunt kan uw beveiligingsteam dergelijke pogingen onderzoeken en aanpakken.

Uw beveiligingsaanbevelingen bekijken

Tamperbeveiliging is geïntegreerd met de mogelijkheden & Beveiligingsprobleembeheer. Beveiligingsaanbevelingen zijn onder andere om ervoor te zorgen dat de beveiliging van de tamper is ingeschakeld. U kunt bijvoorbeeld zoeken op tamper. In de resultaten kunt u Beveiliging voor geknoeid in- en uit- en in-/uit-/uit--2013 selecteren.

Schakel de beveiliging van de tamper in.

Zie Threat & Vulnerability Management inMicrosoft 365 Defender voor meer informatie over Threat & Vulnerability Management .

Veelgestelde vragen

Op welke versies van Windows kan ik de beveiliging van de tamper configureren?

Windows 10 OS 1709, 1803, 1809of hoger samen met Microsoft Defender voor Eindpunt.

Windows 11

Als u Configuration Manager, versie 2006, met tenant attach gebruikt, kan de beveiliging van de tamper worden uitgebreid tot Windows Server 2012 R2, Windows Server 2016, Windows Server 2019 en Windows Server 2022. Zie Tenant attach: Create and deploy endpoint security Antivirus policy from the admin center (preview).

Is de beveiligingsbeveiliging van invloed op niet-Microsoft-antivirusregistratie in de Windows-beveiliging app?

Nee. Niet-Microsoft antivirusaanbiedingen blijven zich registreren bij de Windows-beveiliging toepassing.

Wat gebeurt er als Microsoft Defender Antivirus niet actief is op een apparaat?

Apparaten die zijn aan boord van Microsoft Defender voor Eindpunt, hebben Microsoft Defender Antivirus in passieve modus. In deze gevallen blijft de beveiliging van de service en de functies van de service worden beschermd.

Hoe schakel ik beveiligingsbeveiliging voor tamper in of uit?

Als u een thuisgebruiker bent, zie Beveiligingsbeveiliging voor geknoeid beheren op een afzonderlijk apparaat.

Als u een organisatie bent die Microsoft Defendervoor Eindpunt gebruikt, kunt u de beveiliging van manipulaties in Intune beheren, vergelijkbaar met hoe u andere functies voor eindpuntbeveiliging beheert. Zie de volgende secties van dit artikel:

Hoe beïnvloedt het configureren van beveiliging tegen geknoei in Intune de manier waarop ik Microsoft Defender Antivirus beheer met groepsbeleid?

Groepsbeleid is niet van toepassing op beveiliging tegen geknoei. Wijzigingen in de Microsoft Defender Antivirus worden genegeerd wanneer de beveiliging van de tamper is ingesteld.

Als we Microsoft Intune voor het configureren van beveiligingsbeveiliging voor geknoei, is deze dan alleen van toepassing op de hele organisatie?

U hebt flexibiliteit bij het configureren van beveiliging tegen fraude met Intune. U kunt uw hele organisatie targeten of specifieke apparaten en gebruikersgroepen selecteren.

Kan ik Tamper Protection configureren met Microsoft Endpoint Configuration Manager?

Als u tenant attach gebruikt, kunt u deze Microsoft Endpoint Configuration Manager. Zie de volgende bronnen:

Ik heb de Windows E3-inschrijving. Kan ik in Intune de beveiligingsbeveiliging voor geknoeid configureren?

Op dit moment is het configureren van beveiliging tegen geknoei in Intune alleen beschikbaar voor klanten met Microsoft Defender voor Eindpunt.

Wat gebeurt er als ik microsoft Defender voor eindpuntinstellingen probeer te wijzigen in Intune, Microsoft Endpoint Configuration Manager en Windows Management Instrumentation wanneer Tamper Protection is ingeschakeld op een apparaat?

U kunt de functies die zijn beveiligd door beveiligingsfuncties voor geknoeid, niet wijzigen. dergelijke wijzigingsaanvragen worden genegeerd.

Ik ben een zakelijke klant. Kunnen lokale beheerders de beveiliging van tamper op hun apparaten wijzigen?

Nee. Lokale beheerders kunnen de beveiligingsinstellingen voor manipulaties niet wijzigen of wijzigen.

Wat gebeurt er als mijn apparaat is onboarded met Microsoft Defender voor Eindpunt en vervolgens in een niet-gebordeerde toestand wordt gebruikt?

Als een apparaat is uitgeschakeld vanuit Microsoft Defender voor Eindpunt, is de beveiliging van de tamper ingeschakeld, wat de standaardtoestand is voor niet-verantwoordelijke apparaten.

Als de status van tamperbeveiliging verandert, worden waarschuwingen weergegeven in de Microsoft 365 Defender portal?

Ja. De waarschuwing wordt weergegeven onder https://security.microsoft.com Waarschuwingen.

Uw beveiligingsteam kan ook query's voor het zoeken gebruiken, zoals het volgende voorbeeld:

AlertInfo|where Title == "Tamper Protection bypass"

Informatie weergeven over pogingen tot geknoei.

Zie ook

U kunt Windows pc's beveiligen met Endpoint Protection voor Microsoft Intune

Een overzicht krijgen van Microsoft Defender voor Eindpunt

Samen beter: Microsoft Defender Antivirus en Microsoft Defender voor Eindpunt