编辑

有关篡改防护的常见问题解答 (常见问题解答)

  • 常见问题解答

适用于:

平台

  • Windows

在 Microsoft Defender 门户中启用篡改防护后,访问设备的篡改防护有哪些设备要求?

设备必须满足以下所有要求:

若要在 Microsoft Defender 门户中 (https://security.microsoft.com) 中管理篡改防护,必须具有通过全局管理员或安全管理员等角色分配的相应权限。 (请参阅Microsoft Defender XDR基于角色的访问控制 (RBAC) .)

可以在哪些版本的 Windows 上配置篡改防护?

如果使用具有租户附加的 Configuration Manager 版本 2006,则可以将篡改防护扩展到Windows Server 2012 R2、Windows Server 2016、Windows Server 2019 和 Windows Server 2022。 请参阅管理中心的租户附加:Create和部署终结点安全防病毒策略, (预览版)

篡改防护是否影响 Windows 安全中心 应用中的非 Microsoft 防病毒注册?

不正确。 非 Microsoft 防病毒产品/服务将继续向 Windows 安全中心 应用程序注册。

如果Microsoft Defender防病毒在设备上未处于活动状态,会发生什么情况?

如果在设备上安装了非 Microsoft 防病毒/反恶意软件,则当该设备载入到Microsoft Defender for Endpoint时,Microsoft Defender防病毒默认以被动模式运行。 防篡改保护服务及其功能。

如果卸载非 Microsoft 防病毒/反恶意软件,Microsoft Defender防病毒会自动切换到活动模式。 篡改防护将继续保护服务及其功能。

如何实现打开或关闭篡改保护?

建议使用 Microsoft Intune 来管理组织的Microsoft Defender防病毒设置。 使用Intune,可以通过策略控制启用篡改保护 (或禁用) 的位置。 还可以保护Microsoft Defender防病毒排除项。 请参阅篡改防护:Microsoft Defender防病毒排除项。

还可以使用Microsoft Defender门户Configuration Manager

如果你是家庭用户,请参阅 管理单个设备上的篡改防护

篡改防护是 内置保护的一部分,应启用。

篡改防护是否适用于Microsoft Defender防病毒排除项?

新功能现已推出,以保护设备上的Microsoft Defender防病毒排除项。 必须满足某些条件。 例如,必须仅使用Intune或仅Configuration Manager来管理设备,并且必须启用 Sense。 请参阅保护Microsoft Defender防病毒排除项

在 Intune 中配置篡改防护如何影响我如何使用 组策略 管理Microsoft Defender防病毒?

如果当前正在使用 Intune 来配置和管理篡改防护,则应继续使用 Intune。 启用篡改保护并使用 组策略 对Microsoft Defender防病毒设置进行更改时,将忽略受篡改防护保护的任何设置。

  • 如果必须对设备进行更改,并且这些更改被篡改防护阻止,则可以使用 故障排除模式 在设备上暂时禁用篡改保护。 故障排除模式结束后,对防篡改设置所做的任何更改都将恢复到其配置状态。
  • 可以使用Intune或Configuration Manager从篡改保护中排除设备。
  • 如果通过Intune管理篡改防护并且满足某些其他条件,则可以管理防篡改防病毒排除项。

如果使用 Microsoft Intune 配置篡改防护,它是否仅适用于整个组织?

如果使用 Intune 来配置和管理篡改防护,则无需对整个组织应用篡改防护。 使用Intune,可以选择对整个组织应用篡改防护,也可以选择特定设备或用户组来接收篡改防护。 还可以从篡改保护中排除特定设备。

打开篡改保护后,哪些设置无法更改?

打开篡改防护后,以下安全设置将受到保护,防止更改:

  • 病毒和威胁防护保持启用状态。
  • 实时保护保持打开状态。
  • 行为监视仍处于打开状态。
  • 防病毒保护(包括 IOfficeAntivirus (IOAV) 仍处于启用状态。
  • 云保护保持启用状态。
  • 安全智能更新会继续发生。
  • 对检测到的威胁执行自动操作。
  • 通知在 Windows 设备上的 Windows 安全中心 应用中可见。
  • 扫描存档的文件。

有关详细信息,请参阅 打开篡改保护时会发生什么情况

如果在Microsoft Defender XDR中打开了篡改保护,Intune中的设置或Configuration Manager是否可以替代它?

在 Microsoft Defender 门户中打开篡改保护 () https://security.microsoft.com 时,将打开租户范围的篡改保护。 但是,Intune或Configuration Manager中定义的策略可以覆盖Microsoft Defender门户中的设置。 例如,可以在 Intune 或 Configuration Manager 中定义一个策略,该策略将某些设备排除在防篡改保护中。

如何实现部署 DisableLocalAdminMerge?

使用 Intune 部署 DisableLocalAdminMerge

如何确认排除项是否在 Windows 设备上受到篡改保护?

按照 管理防篡改防病毒排除项中的指南进行操作。

如果为排除项启用了篡改保护,是否需要禁用它才能从Intune或Configuration Manager应用新的排除策略设置?

不正确。 启用排除项的篡改保护后,无需禁用它来应用新的排除项。

是否可以使用 Configuration Manager 配置篡改防护?

是。 与使用 Intune 类似,你可以对整个组织或特定用户和设备应用篡改防护。 有关详细信息,请参阅以下资源:

我是企业客户。 本地管理员是否可以更改其设备上的篡改防护?

通常,防篡改有助于防止用户直接在设备上更改安全设置。 篡改防护是防篡改功能的一部分,包括 标准保护攻击面减少规则。 若要进一步防止恶意软件在内核中运行,请考虑 将驱动程序阻止规则与适用于 Windows 的应用程序控制配合使用

如果我的设备已加入Microsoft Defender for Endpoint,然后进入非载入状态,会发生什么情况?

如果设备已从Microsoft Defender for Endpoint登出,则会打开篡改防护,这是非托管设备的默认状态。

如果篡改防护的状态发生更改,警报是否显示在Microsoft Defender门户中?

警报应列在Microsoft Defender门户中“警报”下。

安全运营团队还可以使用搜寻查询,如以下示例:

AlertInfo|where Title == "Tamper Protection bypass"

配置篡改防护的所有选项有哪些?

可以使用以下任一方法来配置篡改防护:

  • Microsoft Defender门户 (打开或关闭租户范围的篡改防护)
  • Intune (打开或关闭篡改防护,以及/或为部分或所有用户配置篡改防护)
  • Configuration Manager (租户附加,可以使用Windows 安全中心体验配置文件) 为部分或所有设备配置篡改防护。
  • Windows 安全中心应用 (用于家庭或安全团队不管理设备的情况下使用的单个设备)

注意

建议为整个组织启用篡改防护。 如果篡改防护阻止 IT 或安全团队在设备上执行必要的任务,请考虑使用 故障排除模式 ,而不是禁用篡改保护。