Skydda säkerhetsinställningarna med manipuleringsskydd
Gäller för:
Skydd mot manipulering är tillgängligt för enheter som kör någon av följande versioner Windows:
- Windows 10
- Windows 11
- Windows 10 Enterprise flersession
- Windows 11 Enterprise flersession
- Windows Server 2019
- Windows Server 2022
- Windows Server, version 1803 eller senare
- Windows Server 2016
- Windows Server 2012 R2
Anteckning
Skydd mot manipulering i Windows Server 2012 R2 är tillgängligt för enheter som använder det moderna enhetliga lösningspaketet. Mer information finns i Nya funktioner i den moderna enhetliga lösningen för Windows Server 2012 R2 och 2016 Preview.
Översikt
Under vissa typer av cyberattacker försöker dåliga aktör att inaktivera säkerhetsfunktioner, till exempel antivirusskydd, på dina datorer. Dåliga aktör vill inaktivera dina säkerhetsfunktioner för att få enklare åtkomst till dina data, installera skadlig programvara eller på annat sätt utnyttja dina data, din identitet och dina enheter. Skydd mot manipulering förhindrar att den här typen av saker uppstår.
Med skydd mot manipulering förhindras skadliga program från att vidta åtgärder som:
- Inaktivera skydd mot virus och hot
- Inaktivera realtidsskydd
- Stänga av beteendeövervakning
- Inaktivera antivirus (till exempel IOfficeAntivirus (IOAV))
- Inaktivera moln levererat skydd
- Ta bort säkerhetsintelligensuppdateringar
- Inaktivera automatiska åtgärder för identifierade hot
Så här fungerar det
Skydd mot manipulering låser Microsoft Defender Antivirus skydd mot säkra värden, standardvärden och förhindrar att säkerhetsinställningarna ändras via appar och metoder som:
- Konfigurera inställningar i Registereditorn på din Windows enhet
- Ändra inställningar med PowerShell-cmdlets
- Redigera eller ta bort säkerhetsinställningar via Grupprincip
Skydd mot manipulering hindrar dig inte från att visa dina säkerhetsinställningar. Skydd mot manipulering påverkar inte heller hur antivirusappar som inte är Microsoft-appar registreras Windows-säkerhet appen. Om din organisation använder Windows 10 Enterprise E5 kan enskilda användare inte ändra inställningen för skydd mot manipulering. I så fall hanteras skydd mot manipulering av säkerhetsteamet.
Vad vill du göra?
| När du ska utföra den här uppgiften ... | Se det här avsnittet... |
|---|---|
| Hantera skydd mot manipulering i hela klientorganisationen Använda Microsoft 365 Defender för att aktivera eller inaktivera skydd mot manipulering |
Hantera skydd mot manipulering för organisationen med hjälp av Microsoft 365 Defender |
| Finjustera inställningar för manipuleringsskydd i organisationen Använd Intune (Microsoft Endpoint Manager) för att aktivera eller inaktivera skydd mot manipulering. Du kan konfigurera skydd mot manipulering för vissa eller alla användare med den här metoden. |
Hantera skydd mot manipulering för organisationen med hjälp av Microsoft Endpoint Manager |
| Aktivera (eller inaktivera) skydd mot manipulering för organisationen med Konfigurationshanteraren | Hantera skydd mot manipulering för organisationen med innehavar bifoga med Konfigurationshanteraren, version 2006 |
| Aktivera (eller inaktivera) skydd mot manipulering för en enskild enhet | Hantera skydd mot manipulering på en enskild enhet |
| Visa information om manipuleringsförsök på enheter | Visa information om försök till manipulering |
| Granska dina säkerhetsrekommendationer | Granska säkerhetsrekommendationer |
| Granska listan med vanliga frågor och svar | Bläddra i vanliga frågor och svar |
Beroende på vilken metod eller vilket hanteringsverktyg du använder för att aktivera skydd mot manipulering kan det finnas ett beroende av moln levererat skydd.
Följande tabell innehåller information om metoder, verktyg och beroenden.
| Så här aktiveras skydd mot manipulering | Beroende på moln levererat skydd (MAPS) |
|---|---|
| Microsoft Intune | Nej |
| Microsoft Endpoint Configuration Manager + Klientorganisationens bifoga | Nej |
| Microsoft 365 Defender portal (https://security.microsoft.com) | Ja |
Hantera skydd mot manipulering för organisationen med Microsoft 365 Defender portalen
Skydd mot manipulering kan aktiveras eller inaktiveras för klientorganisationen via Microsoft 365 Defender (https://security.microsoft.com). Här är några saker att tänka på:
För närvarande är alternativet för att hantera skydd mot manipulering i Microsoft 365 Defender-portalen på som standard för nya distributioner. För befintliga distributioner är skydd mot manipulering tillgängligt med välja att göra det. Om du vill registrera dig går du Microsoft 365 Defender-portalen och väljer Inställningar > Avancerade funktioner Skydd > mot manipulering>.
När du använder Microsoft 365 Defender-portalen för att hantera skydd mot manipulering behöver du inte använda Intune eller metoden för att koppla klientorganisationen.
När du hanterar skydd mot manipulering i Microsoft 365 Defender-portalen tillämpas inställningen på hela klientorganisationen och påverkar alla enheter som kör Windows 10, Windows 10 Enterprise flersessioner, Windows 11, Windows 11 Enterprise flersessions-, Windows Server 2012 R2-, Windows Server 2016-, Windows Server 2019 Windows Server 2022. Om du vill finjustera skydd mot manipulering (t.ex. om du har skydd mot manipulering på vissa enheter men inte för andra) använder du antingen Microsoft Endpoint Manager eller Konfigurationshanteraren med klientorganisationens bifoga.
Om du har en hybridmiljö har inställningar för skydd mot manipulering i Intune företräde framför inställningar som konfigurerats i Microsoft 365 Defender portalen.
Krav för hantering av skydd mot manipulering i Microsoft 365 Defender portalen
Du måste ha rätt behörigheter , till exempel global administratör, säkerhetsadministratör eller säkerhetsåtgärder.
Dina Windows-enheter måste köra någon av följande versioner av Windows:
- Windows 10
- Windows 11
- Windows 10 Enterprise flersession
- Windows 11 Enterprise flersession
- Windows Server 2019
- Windows Server 2022
- Windows Server, version 1803 eller senare
- Windows Server 2016
- Windows Server 2012 R2
Mer information om versioner finns Windows 10 versionsinformation.
Dina enheter måste vara onboarded to Microsoft Defender för Endpoint.
Enheterna måste använda plattformsversionen (eller högre)
4.18.2010.7mot skadlig programvara och version mot skadlig programvara1.1.17600.5(eller senare). (Hantera Microsoft Defender Antivirus uppdateringar och använda baslinjer.)Moln levererat skydd måste vara aktiverat.
Aktivera (eller inaktivera skydd mot manipulering) i Microsoft 365 Defender portalen
Gå till Microsoft 365 Defender (https://security.microsoft.com) och logga in.
Välj Inställningar > Slutpunkter.
Gå till Allmänna > avancerade funktioner och aktivera sedan skydd mot manipulering.
Hantera skydd mot manipulering för organisationen med hjälp av Microsoft Endpoint Manager
Om din organisation använder Microsoft Endpoint Manager (MEM) kan du aktivera (eller inaktivera) manipuleringsskydd för organisationen i Microsoft Endpoint Manager administrationscenter (https://endpoint.microsoft.com). Använd Intune när du vill finjustera inställningarna för skydd mot manipulering. Om du till exempel vill aktivera skydd mot manipulering på vissa enheter, men inte alla, använder du Intune.
Krav för hantering av skydd mot manipulering i Endpoint Manager
Dina enheter måste vara onboarded to Microsoft Defender för Endpoint.
Du måste ha rätt behörigheter , till exempel global administratör, säkerhetsadministratör eller säkerhetsåtgärder.
Din organisation använder Microsoft Endpoint Manager för att hantera enheter. (Microsoft Endpoint Manager (MEM)-licenser krävs. MEM ingår i Microsoft 365 E3/E5, Enterprise Mobility + Security E3/E5, Microsoft 365 Business Premium, Microsoft 365 F1/F3 Microsoft 365 Government G3/G5 och motsvarande utbildningslicenser.)
Dina Windows-enheter måste köra Windows 11 eller Windows 10 1709, 1803, 1809 eller senare. (Mer information om versioner finns Windows 10 versionsinformation.)
Du måste använda säkerhetsinformation Windows säkerhetsinformation som uppdaterats till version 1.287.60.0 (eller senare).
Enheterna måste använda plattform mot skadlig programvara version 4.18.1906.3 (eller senare) och version av skadlig programvara
1.1.15500.X(eller senare). (Hantera Microsoft Defender Antivirus uppdateringar och använda baslinjer.)
Aktivera (eller inaktivera skydd mot manipulering) i Microsoft Endpoint Manager

Gå till Microsoft Endpoint Manager säkerhetsantivirusprogram och välj + > Skapa princip i administrationscentret för slutpunkten.
- I listan Plattform väljer du Windows 10 och senare.
- I listan Profil väljer du Windows-säkerhet upplevelse.
Skapa en profil som innehåller följande inställning:
- Aktivera skydd mot manipulering för att förhindra att Microsoft Defender inaktiveras: Aktivera
Tilldela profilen till en eller flera grupper.
Hantera skydd mot manipulering för organisationen med Konfigurationshanteraren, version 2006
Om du använder version 2006 av Konfigurationshanteraren kan du hantera inställningar för skydd mot manipulering i Windows 10, Windows 10 Enterprise flersessioner, Windows 11, Windows 11 Enterprise flersessioner Windows Server 2012 R2, Windows Server 2016, Windows Server 2019 och Windows Server 2022 med hjälp av en metod som kallas klientorganisations attach. Med Innehavar bifoga kan du synkronisera dina enheter med Konfigurationshanteraren för lokala enheter till administrationscentret i Microsoft Endpoint Manager och sedan leverera principer för slutpunktssäkerhetskonfiguration till lokala samlingar & enheter.
Anteckning
Proceduren kan användas för att utöka skydd mot manipulering till enheter med Windows 10, Windows 10 Enterprise flera sessioner, Windows 11, Windows 11 Enterprise flersessioner, Windows Server 2019 och Windows Server 2022. Kontrollera att du granskar förutsättningarna och annan information i resurserna som nämns i den här proceduren.
Konfigurera klientorganisations bifoga. Mer information finns i Komma igång: Skapa och distribuera slutpunktssäkerhetsprinciper från administrationscentret.
Gå till Microsoft Endpoint Manager säkerhetsantivirusprogram och välj + > Skapa princip i administrationscentret för slutpunkten.
- I listan Plattform väljer du Windows 10, Windows 11 och Windows Server (ConfigMgr).
- I listan Profil väljer du Windows-säkerhet (förhandsgranskning).
Distribuera principen till din enhetssamling.
Behöver du hjälp med den här metoden?
Se följande resurser:
- Inställningar för Windows-säkerhet-upplevelsen i Microsoft Intune
- Tech Community-blogg: Vi presenterar skydd mot manipulering för Configuration Manager-klientorganisationens bifogar klienter
Hantera skydd mot manipulering på en enskild enhet
Anteckning
Skydd mot manipulering blockerar försök Microsoft Defender Antivirus ändra inställningarna via registret.
Om du vill se till att skydd mot manipulering inte stör säkerhetsprodukter som inte kommer från Microsoft eller företagsinstallationsskript som ändrar de här inställningarna går du till Windows-säkerhet och uppdaterar Säkerhetsinformation till version 1.287.60.0 eller senare. (Se Säkerhetsintelligensuppdateringar.)
När du har gjort den här uppdateringen fortsätter skydd mot manipulering att skydda dina registerinställningar och loggar försöker ändra dem utan att returnera fel.
Om du är hemanvändare, eller om du inte omfattas av inställningar som hanteras av ett säkerhetsteam, kan du använda Windows-säkerhet-appen för att hantera skydd mot manipulering. Du måste ha rätt administratörsbehörighet på enheten för att kunna ändra säkerhetsinställningarna, till exempel skydd mot manipulering.
Det här är vad som visas i Windows-säkerhet appen:

Välj Start och börja skriva Säkerhet. I sökresultatet väljer du Windows-säkerhet.
Välj Inställningar & skydd mot hot > Virus & inställningarna för skydd mot hot.
Ställ in Skydd mot manipulering på På eller Av.
Använder du Windows Server 2016 eller Windows version 1709, 1803 eller 1809?
Om du använder Windows Server 2016, Windows 10 version 1709, 1803 eller 1809 visas inte manipuleringsskydd i Windows-säkerhet-appen. I stället kan du använda PowerShell för att avgöra om skydd mot manipulering är aktiverat.
I Windows Server 2016 ändras Inställningar-appen inte korrekt återspeglar statusen för realtidsskydd när skydd mot manipulering har aktiverats.
Använd PowerShell för att avgöra om skydd mot manipulering och realtidsskydd ska vara aktiverat
Öppna Windows PowerShell appen.
Leta efter eller i resultatlistan
IsTamperProtectedRealTimeProtectionEnabled. (Värdet sant innebär att skydd mot manipulering har aktiverats.)
Visa information om försök till manipulering
Manipuleringsförsök indikerar vanligtvis större cyberattacker. Bad actors try to change security settings as a way to persist and stay undetected. Om du är en del av organisationens säkerhetsteam kan du visa information om sådana försök och sedan vidta lämpliga åtgärder för att minimera hot.
När ett försök till manipulering identifieras höjs en avisering i Microsoft 365 Defender portalen (https://security.microsoft.com).

Med identifiering och åtgärd på slutpunkt och avancerade sökfunktioner i Microsoft Defender för Endpoint kan ditt säkerhetsteam undersöka och åtgärda sådana försök.
Granska dina säkerhetsrekommendationer
Skydd mot manipulering integreras & funktioner för sårbarhetshantering . Bland säkerhetsrekommendationerna finns att se till att skydd mot manipulering är aktiverat. Du kan till exempel söka efter manipulering. I resultatet kan du välja Aktivera skydd mot manipulering om du vill veta mer och aktivera det.

Mer information om hur du & sårbarhetshantering finns i Instrumentpanelsinsikter – Hantering av hot och säkerhetsrisker.
Vanliga frågor och svar
I vilka versioner av Windows kan jag konfigurera skydd mot manipulering?
Windows 10 OS 1709, 1803, 1809 eller senare tillsammans med Microsoft Defender för Endpoint.
Windows 10 Enterprise flersession
Windows 11
Windows 11 Enterprise flersession
Om du använder Konfigurationshanteraren, version 2006, med innehavar bifoga kan skydd mot manipulering utökas till Windows Server 2012 R2, Windows Server 2016, Windows Server 2019 och Windows Server 2022. Se Klientorganisationens ansluta: Skapa och distribuera säkerhetsprincip för slutpunkt Antivirus från administrationscentret (förhandsversion).
Påverkar skydd av manipulering icke-Microsoft-antivirusregistrering i Windows-säkerhet appen?
Nej. Antiviruserbjudanden som inte är från Microsoft fortsätter att registreras i Windows-säkerhet program.
Vad händer om Microsoft Defender Antivirus är aktiv på en enhet?
Enheter som är onboarded to Microsoft Defender för Endpoint kommer att Microsoft Defender Antivirus i passiv form. I dessa fall fortsätter skydd mot manipulering att skydda tjänsten och dess funktioner.
Hur aktiverar eller inaktiverar jag skydd mot manipulering?
Om du är hemanvändare kan du gå till Hantera skydd mot manipulering på en enskild enhet.
Om du är en organisation som använder Microsoft Defender för Endpoint bör du kunna hantera skydd mot manipulering i Intune på liknande sätt som du hanterar andra funktioner för slutpunktsskydd. Se följande avsnitt i den här artikeln:
- Hantera skydd mot manipulering med Microsoft Endpoint Manager
- Hantera skydd mot manipulering med Microsoft 365 Defender portalen
Hur påverkar konfigureringsskyddet i Intune hur jag hanterar Microsoft Defender Antivirus med Grupprincip?
Grupprinciper gäller inte skydd mot manipulering. Ändringar av Microsoft Defender Antivirus ignoreras när skydd mot manipulering är på.
Om vi använder Microsoft Intune konfigurera skydd mot manipulering, gäller det bara för hela organisationen?
Du kan konfigurera skydd mot manipulering med Intune. Du kan rikta hela organisationen eller välja specifika enheter och användargrupper.
Kan jag konfigurera skydd mot manipulering med Microsoft Endpoint Configuration Manager?
Om du använder klientorganisationens bifoga kan du använda Microsoft Endpoint Configuration Manager. Se följande resurser:
- Hantera skydd mot manipulering för organisationen med Konfigurationshanteraren, version 2006
- Tech Community-blogg: Vi presenterar skydd mot manipulering för Klientorganisationens Konfigurationshanteraren-klientorganisationens klienter
Jag har Windows E3-registrering. Kan jag använda konfigurerar skydd mot manipulering i Intune?
För närvarande är konfigurering av skydd mot manipulering i Intune bara tillgängligt för kunder som har Microsoft Defender för slutpunkt.
Vad händer om jag försöker ändra Microsoft Defender för slutpunktsinställningar i Intune, Microsoft Endpoint Configuration Manager och Windows Management Instrumentation när Manipuleringsskydd har aktiverats på en enhet?
Du kan inte ändra de funktioner som skyddas genom skydd mot manipulering. sådana ändringsförfrågningar ignoreras.
Jag är företagskund. Kan lokala administratörer ändra skydd mot manipulering på sina enheter?
Nej. Lokala administratörer kan inte ändra inställningarna för skydd mot manipulering eller ändringar.
Vad händer om min enhet är inbyggd i Microsoft Defender för Endpoint och sedan hamnar i en status som inte är ombord?
Om en enhet är avstängd från Microsoft Defender för Endpoint aktiveras skydd mot manipulering, vilket är standardinställningen för ohanterade enheter.
Visas aviseringar i Microsoft 365 Defender portalen om statusen för ändring av manipuleringsskyddet ändras?
Ja. Aviseringen visas under https://security.microsoft.com Aviseringar.
Ditt säkerhetsteam kan också använda sökfrågor, till exempel följande exempel:
AlertInfo|where Title == "Tamper Protection bypass"
Visa information om manipuleringsförsök.
Se även
Skydda Windows datorer med Endpoint Protection för Microsoft Intune
Få en översikt över Microsoft Defender för Endpoint
Bättre tillsammans: Microsoft Defender Antivirus och Microsoft Defender för Endpoint