使用 Microsoft Defender 门户管理组织的篡改防护

适用于：

• Microsoft Defender for Endpoint 计划 1
• Microsoft Defender for Endpoint 计划 2
• Microsoft Defender 防病毒
• Microsoft Defender 商业版
• Microsoft 365 商业高级版

平台

• Windows

篡改防护 有助于防止某些 安全设置（如病毒和威胁防护）被禁用或更改。 如果你是组织安全团队的一员，可以使用Microsoft Defender门户 () 在租户范围内 (https://security.microsoft.com 或关闭) 篡改防护。

重要

如果通过 Intune 部署和管理篡改防护，则打开或关闭Microsoft Defender门户中的篡改防护不会影响篡改防护的状态。 它将防篡改设置限制为其安全默认值。 有关详细信息，请参阅 打开篡改保护时会发生什么情况？

在 Microsoft Defender 门户中管理篡改防护的要求

• 必须具有通过角色分配的相应权限，例如全局管理员或安全管理员。 (请参阅Microsoft Defender XDR基于角色的访问控制 (RBAC) .)

• 设备必须运行某些版本的 Windows 或 macOS。 (请参阅 哪些设备可以启用篡改保护？)

• 设备必须载入到Microsoft Defender for Endpoint。

• 设备必须使用 (或更高版本的反恶意软件平台版本 4.18.2010.7) 和反恶意软件引擎版本 1.1.17600.5 (或更高版本) 。 (管理Microsoft Defender防病毒更新并应用 baselines。)

• 必须启用云提供的保护。

注意

通过 Microsoft Defender 门户启用篡改防护时，需要云提供的保护，以便可以控制篡改防护的启用状态。 从 2021 年 11 月更新 (平台版本 4.18.2111.5) 开始，如果尚未为设备启用云提供的保护，则启用篡改保护时，云提供的保护会在设备上自动打开。

在Microsoft Defender门户中打开 (或关闭) 篡改保护

1. 转到Microsoft Defender门户 (https://security.microsoft.com) 并登录。

2. 选择 “设置>终结点”。

3. 转到 “常规>高级功能”，然后打开篡改防护。

要记住的要点

• 目前，对于新部署，在 Microsoft Defender 门户中管理篡改防护的选项默认处于打开状态，这是内置保护的一部分，这有助于防范勒索软件。 对于现有部署，篡改防护以选择加入的方式提供。 若要选择加入，请在Microsoft Defender门户中，选择“设置>终结点>高级功能>篡改防护”。

• 在 Microsoft Defender 门户中启用篡改防护时，此设置在租户范围内应用，并将防篡改设置限制为其安全默认值。 忽略对防篡改设置所做的任何更改。 根据特定方案，有几个可用选项：

  • 如果必须对设备进行更改，并且这些更改被篡改防护阻止，则可以使用 故障排除模式 在设备上暂时禁用篡改保护。

  • 可以使用Intune或Configuration Manager从篡改保护中排除设备。

  • 如果通过Intune管理篡改防护并且满足某些其他条件，则可以管理防篡改防病毒排除项。

另请参阅

• 内置保护有助于防范勒索软件
• 打开篡改保护后会发生什么情况？
• 非 Windows 设备上的 Defender for Endpoint
• 排查篡改防护问题

提示

想要了解更多信息？ Engage技术社区中的 Microsoft 安全社区：Microsoft Defender for Endpoint技术社区。