使用篡改保护保护安全设置
适用于:
- Microsoft Defender for Endpoint 计划 1
- Microsoft Defender for Endpoint 计划 2
- Microsoft Defender 防病毒
- Microsoft Defender 商业版
- Microsoft 365 商业高级版
平台
- Windows
- macOS
什么是篡改防护?
篡改防护是Microsoft Defender for Endpoint中的一项功能,可帮助防止某些安全设置(如病毒和威胁防护)被禁用或更改。 在某些类型的网络攻击中,恶意参与者会尝试禁用设备上的安全功能。 禁用安全功能使恶意参与者能够更轻松地访问你的数据、安装恶意软件,以及利用你的数据、标识和设备的能力。 防篡改有助于防止此类活动。
篡改防护是防篡改功能的一部分,包括 标准保护攻击面减少规则。 篡改防护是 内置保护的重要组成部分。
打开篡改保护后会发生什么情况?
打开篡改保护后,无法更改以下防篡改设置:
- 病毒和威胁防护保持启用状态。
- 实时保护保持打开状态。
- 行为监视仍处于打开状态。
- 防病毒保护(包括 IOfficeAntivirus (IOAV) 仍处于启用状态。
- 云保护保持启用状态。
- 发生安全智能更新。
- 对检测到的威胁执行自动操作。
- 通知在 Windows 设备上的 Windows 安全中心 应用中可见。
- 扫描存档的文件。
- 不能修改或添加排除 项 (适用于Intune或Configuration Manager)
从签名版本开始 1.383.1159.0
,由于“允许扫描网络文件”的默认值存在混淆,篡改防护不再将此设置锁定为其默认值。 在托管环境中,默认值为 enabled
。
重要
打开篡改保护后,无法更改防篡改设置。 若要避免中断管理体验(包括Intune和Configuration Manager),请记住,对防篡改设置所做的更改看起来可能成功,但实际上被篡改防护阻止。 根据特定方案,有几个可用选项:
- 如果必须对设备进行更改,并且这些更改被篡改防护阻止,则可以使用 故障排除模式 在设备上暂时禁用篡改保护。
- 可以使用Intune或Configuration Manager从篡改保护中排除设备。
篡改防护不会阻止你查看安全设置。 而且,篡改防护不会影响非 Microsoft 防病毒应用向 Windows 安全中心 应用注册的方式。 如果你的组织正在使用 Defender for Endpoint,则单个用户无法更改篡改防护设置;在这些情况下,安全团队管理篡改防护。 有关详细信息,请参阅如何实现配置或管理篡改防护?
在哪些设备上可以启用篡改防护?
篡改防护适用于运行以下 Windows 版本之一的设备:
- Windows 10和 11 个 (,包括企业多会话)
- Windows Server 2022、Windows Server 2019 和 Windows Server 版本 1803 或更高版本
- 使用新式统一解决方案) Windows Server 2016和Windows Server 2012 R2 (
篡改防护也可用于 Mac,尽管它的工作方式与 Windows 略有不同。 有关详细信息,请参阅 使用篡改防护保护 macOS 安全设置。
Windows Server 2012 R2、2016 或 Windows 版本 1709、1803 或 1809 上的篡改保护
如果使用新式统一解决方案Windows Server 2012 R2 Windows Server 2016,Windows 10版本 1709、1803 或 1809,则不会在 Windows 安全中心 应用中看到篡改防护。 相反,可以使用 PowerShell 确定是否启用了篡改防护。
重要
在Windows Server 2016上,启用篡改保护时,“设置”应用不会准确反映实时保护的状态。
使用 PowerShell 确定是否打开篡改保护和实时保护
打开Windows PowerShell应用。
使用 Get-MpComputerStatus PowerShell cmdlet。
在结果列表中,查找
IsTamperProtected
或RealTimeProtectionEnabled
。 (值为 true 表示已启用篡改防护。)
如何实现配置或管理篡改防护?
可以使用Microsoft Intune和其他方法来配置或管理篡改防护,如下表所示:
方法 | 可执行的操作 |
---|---|
使用Microsoft Defender门户。 | 在租户范围内 (或关闭) 篡改保护。 请参阅使用 Microsoft Defender XDR 管理组织的篡改防护。 此方法不会覆盖Microsoft Intune或Configuration Manager中托管的设置。 |
使用Microsoft Intune管理中心或Configuration Manager。 | 打开 (或关闭) 、租户范围的篡改保护,或对某些用户/设备应用篡改保护。 可以从篡改保护中排除某些设备。 请参阅使用 Intune 管理组织的篡改防护。 如果仅使用Intune或仅Configuration Manager,则防止Microsoft Defender防病毒排除项被篡改。 请参阅 防病毒排除项的篡改防护。 |
将Configuration Manager与租户附加配合使用。 | 打开 (或关闭) 、租户范围的篡改保护,或对某些用户/设备应用篡改保护。 可以从篡改保护中排除某些设备。 请参阅通过 Configuration Manager 版本 2006 使用租户附加管理组织的篡改防护。 |
使用 Windows 安全中心 应用。 | 在非安全团队 ((例如家庭使用) 的设备)上打开 (或关闭) 篡改保护。 请参阅 管理单个设备上的篡改防护。 此方法不会覆盖在Microsoft Defender门户、Intune或Configuration Manager中设置的篡改防护设置,并且不供组织使用。 |
提示
如果使用 组策略 来管理Microsoft Defender防病毒设置,请记住,将忽略对防篡改设置所做的任何更改。 如果必须对设备进行更改,并且这些更改被篡改保护阻止,请使用 故障排除模式 暂时禁用设备上的篡改保护。 故障排除模式结束后,对防篡改设置所做的任何更改都将恢复到其配置状态。
保护Microsoft Defender防病毒排除项
在某些情况下,篡改防护可以保护为 Microsoft Defender 防病毒定义的排除项。 有关详细信息,请参阅 排除项的篡改防护。
查看有关篡改尝试的信息
篡改尝试通常表示发生了更大的网络攻击。 恶意参与者尝试更改安全设置,以持久保存和未被检测到。 如果你是组织安全团队的一员,可以查看有关此类尝试的信息,然后采取适当的措施缓解威胁。
每当检测到篡改尝试时,Microsoft Defender门户中https://security.microsoft.com () 引发警报。
使用 Microsoft Defender for Endpoint 中的终结点检测和响应以及高级搜寻功能,安全运营团队可以调查和解决此类尝试。
查看安全建议
篡改防护与Microsoft Defender 漏洞管理功能集成。 安全建议 包括确保打开篡改防护。 例如,在漏洞管理仪表板中,可以搜索篡改。 在结果中,可以选择“ 打开篡改防护” 以了解详细信息并打开它。
若要详细了解Microsoft Defender 漏洞管理,请参阅仪表板见解 - Defender 漏洞管理。
另请参阅
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区。