使用篡改保护保护安全设置

适用于:

平台

什么是篡改防护?

篡改防护是Microsoft Defender for Endpoint中的一项功能,可帮助防止某些安全设置(如病毒和威胁防护)被禁用或更改。 在某些类型的网络攻击中,恶意参与者会尝试禁用设备上的安全功能。 禁用安全功能使恶意参与者能够更轻松地访问你的数据、安装恶意软件,以及利用你的数据、标识和设备的能力。 防篡改有助于防止此类活动。

篡改防护是防篡改功能的一部分,包括 标准保护攻击面减少规则。 篡改防护是 内置保护的重要组成部分。

打开篡改保护后会发生什么情况?

打开篡改保护后,无法更改以下防篡改设置:

  • 病毒和威胁防护保持启用状态。
  • 实时保护保持打开状态。
  • 行为监视仍处于打开状态。
  • 防病毒保护(包括 IOfficeAntivirus (IOAV) 仍处于启用状态。
  • 云保护保持启用状态。
  • 发生安全智能更新。
  • 对检测到的威胁执行自动操作。
  • 通知在 Windows 设备上的 Windows 安全中心 应用中可见。
  • 扫描存档的文件。
  • 不能修改或添加排除 项 (适用于Intune或Configuration Manager)

从签名版本开始 1.383.1159.0,由于“允许扫描网络文件”的默认值存在混淆,篡改防护不再将此设置锁定为其默认值。 在托管环境中,默认值为 enabled

重要

打开篡改保护后,无法更改防篡改设置。 若要避免中断管理体验(包括IntuneConfiguration Manager),请记住,对防篡改设置所做的更改看起来可能成功,但实际上被篡改防护阻止。 根据特定方案,有几个可用选项:

  • 如果必须对设备进行更改,并且这些更改被篡改防护阻止,则可以使用 故障排除模式 在设备上暂时禁用篡改保护。
  • 可以使用Intune或Configuration Manager从篡改保护中排除设备。

篡改防护不会阻止你查看安全设置。 而且,篡改防护不会影响非 Microsoft 防病毒应用向 Windows 安全中心 应用注册的方式。 如果你的组织正在使用 Defender for Endpoint,则单个用户无法更改篡改防护设置;在这些情况下,安全团队管理篡改防护。 有关详细信息,请参阅如何实现配置或管理篡改防护

在哪些设备上可以启用篡改防护?

篡改防护适用于运行以下 Windows 版本之一的设备:

  • Windows 10和 11 个 (,包括企业多会话)
  • Windows Server 2022、Windows Server 2019 和 Windows Server 版本 1803 或更高版本
  • 使用新式统一解决方案) Windows Server 2016和Windows Server 2012 R2 (

篡改防护也可用于 Mac,尽管它的工作方式与 Windows 略有不同。 有关详细信息,请参阅 使用篡改防护保护 macOS 安全设置

提示

内置保护 包括默认启用篡改保护。 有关更多信息,请参阅:

Windows Server 2012 R2、2016 或 Windows 版本 1709、1803 或 1809 上的篡改保护

如果使用新式统一解决方案Windows Server 2012 R2 Windows Server 2016,Windows 10版本 1709、1803 或 1809,则不会在 Windows 安全中心 应用中看到篡改防护。 相反,可以使用 PowerShell 确定是否启用了篡改防护。

重要

在Windows Server 2016上,启用篡改保护时,“设置”应用不会准确反映实时保护的状态。

使用 PowerShell 确定是否打开篡改保护和实时保护

  1. 打开Windows PowerShell应用。

  2. 使用 Get-MpComputerStatus PowerShell cmdlet。

  3. 在结果列表中,查找 IsTamperProtectedRealTimeProtectionEnabled。 (值为 true 表示已启用篡改防护。)

如何实现配置或管理篡改防护?

可以使用Microsoft Intune和其他方法来配置或管理篡改防护,如下表所示:

方法 可执行的操作
使用Microsoft Defender门户 在租户范围内 (或关闭) 篡改保护。 请参阅使用 Microsoft Defender XDR 管理组织的篡改防护

此方法不会覆盖Microsoft Intune或Configuration Manager中托管的设置。
使用Microsoft Intune管理中心Configuration Manager 打开 (或关闭) 、租户范围的篡改保护,或对某些用户/设备应用篡改保护。 可以从篡改保护中排除某些设备。 请参阅使用 Intune 管理组织的篡改防护

如果仅使用Intune或仅Configuration Manager,则防止Microsoft Defender防病毒排除项被篡改。 请参阅 防病毒排除项的篡改防护
Configuration Manager与租户附加配合使用 打开 (或关闭) 、租户范围的篡改保护,或对某些用户/设备应用篡改保护。 可以从篡改保护中排除某些设备。 请参阅通过 Configuration Manager 版本 2006 使用租户附加管理组织的篡改防护
使用 Windows 安全中心 应用 在非安全团队 ((例如家庭使用) 的设备)上打开 (或关闭) 篡改保护。 请参阅 管理单个设备上的篡改防护

此方法不会覆盖在Microsoft Defender门户、Intune或Configuration Manager中设置的篡改防护设置,并且不供组织使用。

提示

如果使用 组策略 来管理Microsoft Defender防病毒设置,请记住,将忽略对防篡改设置所做的任何更改。 如果必须对设备进行更改,并且这些更改被篡改保护阻止,请使用 故障排除模式 暂时禁用设备上的篡改保护。 故障排除模式结束后,对防篡改设置所做的任何更改都将恢复到其配置状态。

保护Microsoft Defender防病毒排除项

在某些情况下,篡改防护可以保护为 Microsoft Defender 防病毒定义的排除项。 有关详细信息,请参阅 排除项的篡改防护

查看有关篡改尝试的信息

篡改尝试通常表示发生了更大的网络攻击。 恶意参与者尝试更改安全设置,以持久保存和未被检测到。 如果你是组织安全团队的一员,可以查看有关此类尝试的信息,然后采取适当的措施缓解威胁。

每当检测到篡改尝试时,Microsoft Defender门户中https://security.microsoft.com () 引发警报。

使用 Microsoft Defender for Endpoint 中的终结点检测和响应以及高级搜寻功能,安全运营团队可以调查和解决此类尝试。

查看安全建议

篡改防护与Microsoft Defender 漏洞管理功能集成。 安全建议 包括确保打开篡改防护。 例如,在漏洞管理仪表板中,可以搜索篡改。 在结果中,可以选择“ 打开篡改防护” 以了解详细信息并打开它。

若要详细了解Microsoft Defender 漏洞管理,请参阅仪表板见解 - Defender 漏洞管理

另请参阅

提示

想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区