内置保护有助于防范勒索软件
适用于:
Microsoft Defender for Endpoint有助于预防、检测、调查和响应高级威胁,例如勒索软件攻击。 Defender for Endpoint 中的下一代保护和攻击面减少功能旨在捕获新出现的威胁。 为了对勒索软件和其他网络威胁进行最佳保护,必须配置某些设置。 内置保护可以通过提供默认设置来提供更好的保护,从而有所帮助。
什么是内置保护,它是如何工作的?
内置保护是一组默认设置,它们正在推出,以帮助确保设备受到保护。 这些默认设置旨在保护设备免受勒索软件和其他威胁的影响。 最初,内置保护包括为租户启用 篡改保护 ,其他默认设置即将推出。 有关详细信息,请参阅技术社区博客文章 ,将为所有企业客户启用篡改防护。
| 阶段 | 发生的情况 |
|---|---|
| 内置保护正在推出 | 客户会收到内置保护即将推出的 通知 。 如果尚未配置,则会为具有 Defender for Endpoint 计划 2 或Microsoft 365 E5的客户启用篡改防护。 |
| 内置保护可用于租户 | 系统会 通知 你租户即将接收内置保护,如果尚未) 配置, (何时启用篡改保护。 |
| 内置保护到达 | 已为租户启用篡改防护,并应用于组织的 Windows 设备。 可以选择退出或更改内置保护设置。 |
| 内置保护到达后 | 每当新设备载入 Defender for Endpoint 时,内置保护设置将应用于运行 Windows 的任何新设备。 始终可以 更改内置保护设置。 |
注意
内置保护设置 Windows 和 Mac 设备的默认值。 如果终结点安全设置发生更改(例如通过Microsoft Intune中的基线或策略),这些设置将替代内置保护设置。
通知的外观是什么?
预期会收到两种类型的通知:
消息中心帖子,指示即将推出内置保护;和
Microsoft Defender门户中的横幅,如下图所示:
如果尚未为租户) 配置内置保护,则通知会告知你何时推出内置保护,以及何时启用篡改保护 (。
我可以选择退出吗?
可以通过指定自己的安全设置来选择退出内置保护。 例如,如果不希望为租户自动启用篡改防护,可以显式选择退出。
警告
我们不建议关闭篡改保护。 篡改防护提供更好的勒索软件防护。 必须是全局管理员或安全管理员才能执行以下过程。
转到Microsoft Defender门户 (https://security.microsoft.com) 并登录。
转到 “设置>终结点>高级功能”。
如果“篡改保护”尚未) ,请将“篡改防护”设置为“ (上”,然后选择“保存首选项”。 暂时不要离开此页面。
将 “篡改防护” 设置为 “关闭”,然后选择“ 保存首选项”。
是否可以更改内置保护设置?
内置保护是一组默认设置。 无需保留这些默认设置。 你随时可以更改设置以满足业务需求。 下表列出了安全团队可能执行的任务,以及用于了解详细信息的链接。
| 任务 | 说明 |
|---|---|
| 确定是否为组织启用篡改防护 | 1. 转到 Microsoft Defender 门户 (https://security.microsoft.com) 并登录。 2. 转到 “设置>终结点>”“高级功能>”“篡改防护”。 |
| 使用 Microsoft Defender 门户 () https://security.microsoft.com 管理篡改防护租户范围 | 1. 转到 Microsoft Defender 门户 (https://security.microsoft.com) 并登录。 2. 转到 “设置>终结点>”“高级功能”。 3. 将 “篡改防护” 设置为“ 开 (建议) 或 关闭。 4.选择“ 保存首选项”。 请参阅使用 Microsoft Defender 门户管理组织的篡改防护。 |
| 为某些(但不是所有)设备设置篡改防护设置 | 使用应用于特定设备的终结点安全策略和配置文件。 另请参阅以下文章: - 使用 Microsoft Intune 管理篡改防护 - 通过 Configuration Manager 版本 2006 使用租户附加管理篡改防护 |
| 在单个 Windows 设备上打开或关闭篡改保护 | 1. 在 Windows 设备上,选择“ 开始”,然后开始键入 “安全性”。 2. 在搜索结果中,选择“Windows 安全中心”。 3. 选择 “病毒 & 威胁防护>”“病毒 & 威胁防护设置”。 4. 将 “篡改防护” 设置为“ 打开 ” (建议) 或 “关闭”。 如果设备已载入 Defender for Endpoint,或者设备在Microsoft Intune管理中心进行管理,这些设置将覆盖单个设备上的用户设置。 请参阅 管理单个设备上的篡改防护。 |
| 在 Mac 上手动打开或关闭篡改保护 | 1. 在 Mac 上,打开 Finder,然后转到 “应用程序>实用工具>终端”。 2. 在终端中,键入以下命令 sudo mdatp config tamper-protection enforcement-level --value (chosen mode)。请参阅 手动配置。 |
| 使用移动设备管理 (MDM) 解决方案更改篡改防护设置 | 若要使用 MDM 更改篡改防护模式,请转到配置文件,并在 Intune 或 JAMF 中更改强制级别。 使用 MDM 设置的配置文件将是你的第一个参考点。 配置文件中定义的任何设置都将在设备上强制执行,内置保护默认设置不会覆盖这些应用的设置。 |
| 出于故障排除目的,暂时禁用设备上的篡改防护 | 另请参阅以下文章: - Microsoft Defender for Endpoint中的故障排除模式入门 - Microsoft Defender for Endpoint中的模式方案疑难解答 |
另请参阅
- 技术社区博客:将为所有企业客户启用篡改防护
- 使用篡改保护保护安全设置
- 在 Microsoft Intune 中管理终结点安全性
- 在 Intune 中配置 Microsoft Defender for Endpoint
- 使用Microsoft Intune管理设备上的Microsoft Defender for Endpoint
- 响应勒索软件攻击
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈