使用篡改保护保护安全设置

适用于：

• Microsoft Defender for Endpoint 计划 1
• Microsoft Defender for Endpoint 计划 2
• Microsoft Defender 防病毒
• Microsoft Defender 商业版
• Microsoft 365 商业高级版

平台

• Windows
• macOS

什么是篡改防护？

篡改防护是Microsoft Defender for Endpoint中的一项功能，可帮助防止某些安全设置（如病毒和威胁防护）被禁用或更改。 在某些类型的网络攻击中，恶意参与者会尝试禁用设备上的安全功能。 禁用安全功能使恶意参与者能够更轻松地访问你的数据、安装恶意软件，以及利用你的数据、标识和设备的能力。 防篡改有助于防止此类活动。

篡改防护是防篡改功能的一部分，包括 标准保护攻击面减少规则。 篡改防护是 内置保护的重要组成部分。

打开篡改保护后会发生什么情况？

打开篡改保护后，无法更改以下防篡改设置：

• 病毒和威胁防护保持启用状态。
• 实时保护保持打开状态。
• 行为监视仍处于打开状态。
• 防病毒保护（包括 IOfficeAntivirus (IOAV) 仍处于启用状态。
• 云保护保持启用状态。
• 发生安全智能更新。
• 对检测到的威胁执行自动操作。
• 通知在 Windows 设备上的 Windows 安全中心 应用中可见。
• 扫描存档的文件。
• 无法修改或添加排除项

从签名版本开始 1.383.1159.0，由于“允许扫描网络文件”的默认值存在混淆，篡改防护不再将此设置锁定为其默认值。 在托管环境中，默认值为 enabled。

重要

打开篡改保护后，无法更改防篡改设置。 若要避免中断管理体验（包括 Intune 和 Configuration Manager），请记住，对防篡改设置所做的更改看起来可能会成功，但实际上已被篡改防护阻止。 根据特定方案，有几个可用选项：

• 如果必须对设备进行更改，并且这些更改被篡改防护阻止，则可以使用 故障排除模式 在设备上暂时禁用篡改保护。
• 可以使用 Intune 或 Configuration Manager 从篡改保护中排除设备。

篡改防护不会阻止你查看安全设置。 而且，篡改防护不会影响非 Microsoft 防病毒应用向 Windows 安全中心 应用注册的方式。 如果你的组织正在使用 Defender for Endpoint，则单个用户无法更改篡改防护设置;在这些情况下，安全团队管理篡改防护。 有关详细信息，请参阅如何实现配置或管理篡改防护？

在哪些设备上可以启用篡改防护？

篡改防护适用于运行以下 Windows 版本之一的设备：

• Windows 10和 11 个 (，包括企业多会话)
• Windows Server 2022、Windows Server 2019 和 Windows Server 版本 1803 或更高版本
• 使用新式统一解决方案) Windows Server 2016和Windows Server 2012 R2 (

篡改防护也可用于 Mac，尽管它的工作方式与 Windows 略有不同。 有关详细信息，请参阅 使用篡改防护保护 macOS 安全设置。

提示

内置保护 包括默认启用篡改保护。 有关更多信息，请参阅：

• 内置保护有助于防范勒索软件 (文章)
• 技术社区博客文章 (将为所有企业客户启用篡改防护)

Windows Server 2012 R2、2016 或 Windows 版本 1709、1803 或 1809 上的篡改保护

如果使用新式统一解决方案Windows Server 2012 R2 Windows Server 2016，Windows 10版本 1709、1803 或 1809，则不会在 Windows 安全中心 应用中看到篡改防护。 相反，可以使用 PowerShell 确定是否启用了篡改防护。

重要

在Windows Server 2016上，启用篡改保护时，“设置”应用不会准确反映实时保护的状态。

使用 PowerShell 确定是否打开篡改保护和实时保护

1. 打开Windows PowerShell应用。

2. 使用 Get-MpComputerStatus PowerShell cmdlet。

3. 在结果列表中，查找 IsTamperProtected 或 RealTimeProtectionEnabled。 (值为 true 表示已启用篡改防护。)

如何实现配置或管理篡改防护？

可以使用Microsoft Intune和其他方法来配置或管理篡改防护，如下表所示：

方法	可执行的操作
使用Microsoft Defender门户。	在租户范围内 (或关闭) 篡改保护。 请参阅使用 Microsoft Defender XDR 管理组织的篡改防护。 此方法不会覆盖Microsoft Intune或Configuration Manager中托管的设置。
使用Microsoft Intune管理中心或Configuration Manager。	打开 (或关闭) 、租户范围的篡改保护，或对某些用户/设备应用篡改保护。 可以从篡改保护中排除某些设备。 请参阅 使用 Intune 管理组织的篡改防护。 如果仅使用 Intune 或仅Configuration Manager，则防止Microsoft Defender防病毒排除项被篡改。 请参阅 防病毒排除项的篡改防护。
将Configuration Manager与租户附加配合使用。	打开 (或关闭) 、租户范围的篡改保护，或对某些用户/设备应用篡改保护。 可以从篡改保护中排除某些设备。 请参阅通过 Configuration Manager 版本 2006 使用租户附加管理组织的篡改防护。
使用 Windows 安全中心 应用。	在非安全团队 (（例如家庭使用) 的设备）上打开 (或关闭) 篡改保护。 请参阅 管理单个设备上的篡改防护。 此方法不会覆盖在 Microsoft Defender 门户、Intune 或 Configuration Manager 中设置的篡改防护设置，并且它不供组织使用。

提示

如果使用 组策略 来管理Microsoft Defender防病毒设置，请记住，将忽略对防篡改设置所做的任何更改。 如果必须对设备进行更改，并且这些更改被篡改保护阻止，请使用 故障排除模式 暂时禁用设备上的篡改保护。 故障排除模式结束后，对防篡改设置所做的任何更改都将恢复到其配置状态。

保护Microsoft Defender防病毒排除项

在某些情况下，篡改防护可以保护为 Microsoft Defender 防病毒定义的排除项。 有关详细信息，请参阅 排除项的篡改防护。

查看有关篡改尝试的信息

篡改尝试通常表示发生了更大的网络攻击。 恶意参与者尝试更改安全设置，以持久保存和未被检测到。 如果你是组织安全团队的一员，可以查看有关此类尝试的信息，然后采取适当的措施缓解威胁。

每当检测到篡改尝试时，Microsoft Defender门户中https://security.microsoft.com () 引发警报。

使用 Microsoft Defender for Endpoint 中的终结点检测和响应以及高级搜寻功能，安全运营团队可以调查和解决此类尝试。

查看安全建议

篡改防护与Microsoft Defender 漏洞管理功能集成。 安全建议 包括确保打开篡改防护。 例如，在漏洞管理仪表板中，可以搜索篡改。 在结果中，可以选择“ 打开篡改防护” 以了解详细信息并打开它。

若要详细了解Microsoft Defender 漏洞管理，请参阅仪表板见解 - Defender 漏洞管理。

另请参阅

• 内置保护有助于防范勒索软件
• 有关篡改防护的常见问题
• 排查篡改防护问题
• 非 Windows 设备上的 Defender for Endpoint

提示

想要了解更多信息？ Engage技术社区中的 Microsoft 安全社区：Microsoft Defender for Endpoint技术社区。