Beskyt sikkerhedsindstillinger med manipulationsbeskyttelse
Gælder for:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender Antivirus
- Microsoft Defender for Business
- Microsoft 365 Business Premium
Platforme
- Windows
- macOS
Hvad er manipulationsbeskyttelse?
Manipulationsbeskyttelse er en funktion i Microsoft Defender for Endpoint, der hjælper med at beskytte visse sikkerhedsindstillinger, f.eks. virus- og trusselsbeskyttelse, mod at blive deaktiveret eller ændret. Under nogle former for cyberangreb forsøger dårlige aktører at deaktivere sikkerhedsfunktioner på enheder. Deaktivering af sikkerhedsfunktioner giver dårlige aktører lettere adgang til dine data, muligheden for at installere malware og muligheden for at udnytte dine data, identitet og enheder. Manipulationsbeskyttelse hjælper med at beskytte mod disse typer aktiviteter.
Manipulationsbeskyttelse er en del af anti-manipulationsfunktioner, der omfatter standardregler for reduktion af angrebsoverfladen. Manipulationsbeskyttelse er en vigtig del af indbygget beskyttelse.
Hvad sker der, når manipulationsbeskyttelse er slået til?
Når manipulationsbeskyttelse er slået til, kan disse ændringsbeskyttede indstillinger ikke ændres:
- Beskyttelse mod virus og trusler forbliver aktiveret.
- Beskyttelse i realtid er stadig aktiveret.
- Overvågning af funktionsmåde er stadig slået til.
- Antivirusbeskyttelse, herunder IOfficeAntivirus (IOAV), forbliver aktiveret.
- Cloudbeskyttelse forbliver aktiveret.
- Der forekommer opdateringer til sikkerhedsintelligens.
- Der udføres automatiske handlinger på registrerede trusler.
- Meddelelser er synlige i appen Windows Sikkerhed på Windows-enheder.
- Arkiverede filer scannes.
- Udeladelser kan ikke ændres eller tilføjes (gælder kun for enheder, der administreres af Intune eller kun af Configuration Manager. Co-Managed enheder understøttes ikke)
I forbindelse med udgivelsen af signaturen 1.383.1159.0låser manipulationsbeskyttelse ikke længere denne indstilling til standardværdien på grund af forvirring omkring standardværdien for "Tillad scanning af netværksfiler". I administrerede miljøer er enabledstandardværdien .
Vigtigt!
Når manipulationsbeskyttelse er slået til, kan ændringsbeskyttede indstillinger ikke ændres. Hvis du vil undgå afbrydelsesadministrationsoplevelser, herunder Intune og Configuration Manager, skal du huske på, at ændringer af ændrede beskyttede indstillinger kan se ud til at lykkes, men faktisk blokeres af ændringsbeskyttelse. Afhængigt af dit specifikke scenarie har du flere tilgængelige muligheder:
- Hvis du skal foretage ændringer af en enhed, og disse ændringer er blokeret af ændringsbeskyttelse, kan du bruge fejlfindingstilstand til midlertidigt at deaktivere ændringsbeskyttelse på enheden.
- Du kan bruge Intune eller Configuration Manager til at udelukke enheder fra manipulationsbeskyttelse.
Ændringsbeskyttelse forhindrer dig ikke i at få vist dine sikkerhedsindstillinger. Og ændringsbeskyttelse påvirker ikke, hvordan antivirusprogrammer, der ikke er fra Microsoft, registreres i Windows Sikkerhed-appen. Hvis din organisation bruger Defender for Endpoint, kan individuelle brugere ikke ændre indstillingen for beskyttelse mod ændring. I disse tilfælde administrerer dit sikkerhedsteam manipulationsbeskyttelse. Du kan få flere oplysninger under Hvordan gør jeg konfigurere eller administrere beskyttelse mod manipulation?
På hvilke enheder kan beskyttelse mod ændring aktiveres?
Der er tamperbeskyttelse tilgængelig for enheder, der kører en af følgende versioner af Windows:
- Windows 10 og 11 (herunder flere virksomhedssessioner)
- Windows Server 2022, Windows Server 2019 og Windows Server, version 1803 eller nyere
- Windows Server 2016 og Windows Server 2012 R2 (ved hjælp af den moderne, samlede løsning)
Tamper-beskyttelse er også tilgængelig til Mac, selvom det fungerer lidt anderledes end på Windows. Du kan få flere oplysninger under Beskyt macOS-sikkerhedsindstillinger med manipulationsbeskyttelse.
Tip
Indbygget beskyttelse omfatter som standard aktivering af manipulationsbeskyttelse. Du kan finde flere oplysninger under:
- Indbygget beskyttelse hjælper med at beskytte mod ransomware (artikel)
- Manipulationsbeskyttelse er slået til for alle virksomhedskunder (Tech Community-blogindlæg)
Manipulationsbeskyttelse på Windows Server 2012 R2, 2016 eller Windows version 1709, 1803 eller 1809
Hvis du bruger Windows Server 2012 R2 ved hjælp af den moderne samlede løsning, Windows Server 2016, Windows 10 version 1709, 1803 eller 1809, kan du ikke se Tamper Protection i Windows Sikkerhed-appen. Du kan i stedet bruge PowerShell til at afgøre, om beskyttelse mod ændring er aktiveret.
Vigtigt!
På Windows Server 2016 afspejler appen Indstillinger ikke nøjagtigt status for beskyttelse i realtid, når ændringsbeskyttelse er aktiveret.
Brug PowerShell til at afgøre, om beskyttelse mod ændring og beskyttelse i realtid er slået til
Åbn appen Windows PowerShell.
Søg efter
IsTamperProtectedellerRealTimeProtectionEnabledpå listen over resultater. (Værdien true betyder, at ændringsbeskyttelse er aktiveret).
Hvordan gør jeg konfigurere eller administrere beskyttelse mod manipulation?
Du kan bruge Microsoft Intune og andre metoder til at konfigurere eller administrere beskyttelse mod ændring, som vist i følgende tabel:
| Metode | Det kan du gøre |
|---|---|
| Brug Microsoft Defender-portalen. | Slå manipulationsbeskyttelse til (eller fra), i hele lejeren. Se Administrer manipulationsbeskyttelse for din organisation ved hjælp af Microsoft Defender XDR. Denne metode tilsidesætter ikke indstillinger, der administreres i Microsoft Intune eller Configuration Manager. |
| Brug Microsoft Intune Administration eller Configuration Manager. | Slå manipulationsbeskyttelse til (eller fra), lejerdækkende, eller anvend manipulationsbeskyttelse på nogle brugere/enheder. Du kan udelukke visse enheder fra beskyttelse mod ændring. Se Administrer manipulationsbeskyttelse for din organisation ved hjælp af Intune. Beskyt Microsoft Defender Antivirus-udeladelser fra manipulation, hvis du kun bruger Intune eller kun Configuration Manager. Se Tamper Protection for antivirus exclusions. |
| Brug Configuration Manager med tilknytning af lejer. | Slå manipulationsbeskyttelse til (eller fra), lejerdækkende, eller anvend manipulationsbeskyttelse på nogle brugere/enheder. Du kan udelukke visse enheder fra beskyttelse mod ændring. Se Administrer manipulationsbeskyttelse for din organisation ved hjælp af lejertilknyttelse med Configuration Manager, version 2006. |
| Brug appen Windows Sikkerhed. | Slå manipulationsbeskyttelse til (eller fra) på en individuel enhed, der ikke administreres af et sikkerhedsteam (f.eks. enheder til privat brug). Se Administrer manipulationsbeskyttelse på en individuel enhed. Denne metode tilsidesætter ikke indstillinger for ændringsbeskyttelse, der er angivet i Microsoft Defender portalen, Intune eller Configuration Manager, og den er ikke beregnet til at blive brugt af organisationer. |
Tip
Hvis du bruger Gruppepolitik til at administrere Microsoft Defender Antivirus-indstillinger, skal du være opmærksom på, at ændringer, der foretages af ændringsbeskyttede indstillinger, ignoreres. Hvis du skal foretage ændringer af en enhed, og disse ændringer er blokeret af ændringsbeskyttelse, skal du bruge fejlfindingstilstand til midlertidigt at deaktivere beskyttelse mod ændring på enheden. Når fejlfindingstilstanden er slut, gendannes eventuelle ændringer, der er foretaget af de ændringsbeskyttede indstillinger, til deres konfigurerede tilstand. Hvis du vil ændre værdierne på de indstillinger, der er beskyttet med manipulation, permanent, skal du deaktivere beskyttelse af ændringer midlertidigt, før du aktiverer den igen, når indstillingerne er ændret. Vær opmærksom på, at denne metode kan udgøre en sikkerhedsrisiko og ikke fungerer på enheder, der er offline, når beskyttelse mod ændring midlertidigt blev deaktiveret. Derfor anbefaler vi, at du bruger andre administrationsmetoder til Defender for Endpoint-indstillinger, f.eks. Intune, i stedet for at bruge Gruppepolitik.
Beskyt Microsoft Defender Antivirus-undtagelser
Under visse betingelser kan ændringsbeskyttelse beskytte undtagelser, der er defineret for Microsoft Defender Antivirus. Du kan få flere oplysninger under Ændringsbeskyttelse i forbindelse med undtagelser.
Få vist oplysninger om manipulationsforsøg
Manipulationsforsøg indikerer typisk, at der har fundet et større cyberangreb sted. Forkerte aktører forsøger at ændre sikkerhedsindstillingerne for at bevare og forblive uopdaget. Hvis du er en del af organisationens sikkerhedsteam, kan du få vist oplysninger om sådanne forsøg og derefter udføre de nødvendige handlinger for at afhjælpe trusler.
Når der registreres et forsøg på indgreb, udløses der en besked på Microsoft Defender-portalen (https://security.microsoft.com).
Ved hjælp af registrering og svar på slutpunkter og avancerede jagtfunktioner i Microsoft Defender for Endpoint kan dit team for sikkerhedshandlinger undersøge og løse sådanne forsøg.
Gennemse dine sikkerhedsanbefalinger
Manipulationsbeskyttelse kan integreres med Admininstration af håndtering af sikkerhedsrisici til Microsoft Defender funktioner. Sikkerhedsanbefalinger omfatter sikring af, at beskyttelse mod manipulation er slået til. I dashboardet Administration af sårbarheder kan du f.eks. søge efter ændring. I resultaterne kan du vælge Slå Tamper Protection til for at få mere at vide og slå den til.
Du kan få mere at vide om Admininstration af håndtering af sikkerhedsrisici til Microsoft Defender under Dashboardindsigt – Administration af håndtering af sikkerhedsrisici til Defender.
Se også
- Indbygget beskyttelse hjælper med at beskytte mod ransomware
- Ofte stillede spørgsmål om ændringsbeskyttelse
- Foretag fejlfinding af problemer med manipulationsbeskyttelse
- Defender for Endpoint på ikke-Windows-enheder
Tip
Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.