關於竄改保護的常見問題 (常見問題)

裝置必須符合下列所有需求：

• 裝置必須執行特定版本的 Windows 或macOS。 (查看 哪些裝置可以啟用竄改保護？)
• 裝置必須上線才能 適用於端點的 Microsoft Defender。
• 裝置必須使用反惡意代碼平臺版本 (或更新版本 4.18.2010.7 ，) 和反惡意代碼引擎版本 (或更新版本 1.1.17600.5) 。 (管理 Microsoft Defender 防病毒軟體更新並套用baselines.)
• 必須開啟雲端式保護。

若要在 Microsoft Defender 入口網站中管理竄改保護 (https://security.microsoft.com) ，您必須具有透過安全性系統管理員等角色指派的適當許可權。 (請參閱 Microsoft Defender 全面偵測回應 角色型訪問控制 (RBAC) .)

• Windows 11
• Windows 11 企業版多工作模式
• Windows 10作系統 1709、1803、1809 或更新版本以及 適用於端點的 Microsoft Defender。
• Windows 10 企業版多工作階段

如果您使用 Configuration Manager 版本 2006 與租使用者附加，則竄改保護可以延伸至 Windows Server 2012 R2、Windows Server 2016、Windows Server 2019、Windows Server 2022 和Windows Server 2025 年。 請參閱 租使用者附加：從系統管理中心建立和部署端點安全性防病毒軟體原則 (預覽) 。

不能。 非Microsoft防病毒軟體供應項目會繼續向 Windows 安全性 應用程式註冊。

如果裝置上安裝了非Microsoft防病毒軟體/反惡意代碼軟體，當該裝置上線至 適用於端點的 Microsoft Defender 時，Microsoft Defender 防病毒軟體預設會以被動模式執行。 竄改保護可保護服務及其功能。

如果卸載非Microsoft防病毒軟體/反惡意代碼軟體，Microsoft Defender 防病毒軟體會自動切換至使用中模式。 竄改保護會繼續保護服務及其功能。

建議您使用 Microsoft Intune 來管理組織的 Microsoft Defender 防病毒軟體設定。 透過 Intune，您可以透過原則控制 (或停用) 啟用竄改保護的位置。 您也可以保護 Microsoft Defender 防病毒軟體排除專案。 請參閱竄改保護：Microsoft Defender 防病毒軟體排除專案。

您也可以使用 Microsoft Defender 入口網站或 Configuration Manager。

如果您是家庭使用者，請參閱 管理個別裝置上的竄改保護。

竄改保護是 內建保護的一部分，應該啟用。

是。 若要保護 Microsoft Defender 裝置上的防病毒軟體排除專案，必須符合特定條件。 例如，您必須只使用 Intune 或僅 Configuration Manager 來管理裝置，而且必須啟用 Sense。 請參閱保護 Microsoft Defender 防病毒軟體排除專案。

如果您目前使用 Intune 來設定和管理竄改保護，則應該繼續使用 Intune。 當竄改保護開啟，而且您使用 群組原則 變更 Microsoft Defender 防病毒軟體設定時，會忽略任何受到竄改保護的設定。

• 如果您必須對裝置進行變更，而且這些變更遭到竄改保護封鎖，您可以使用 疑難解答模式 暫時停用裝置上的竄改保護。 疑難解答模式結束后，對受竄改保護的設定所做的任何變更都會還原為其設定的狀態。
• 您可以使用 Intune 或 Configuration Manager 來排除裝置遭到竄改保護。
• 如果您透過 Intune 管理竄改保護，且符合某些其他條件，您可以管理受竄改保護的防病毒軟體排除專案。

如果您使用 Intune 來設定及管理竄改保護，則不一定要對整個組織套用竄改保護。 透過 Intune，您可以選擇將竄改保護套用至整個組織，也可以選取特定裝置或使用者群組來接收竄改保護。 您也可以排除特定裝置不受竄改保護。

開啟竄改保護時，會保護下列安全性設定，防止變更：

• 病毒和威脅防護仍維持啟用狀態。
• 實時保護仍會保持開啟狀態。
• 行為監視仍會開啟。
• 防病毒軟體保護，包括 IOfficeAntivirus (IOAV) 維持啟用狀態。
• 雲端保護仍會保持啟用狀態。
• 安全性情報更新會繼續發生。
• 會對偵測到的威脅採取自動動作。
• 通知會顯示在 Windows 裝置上的 Windows 安全性 應用程式中。
• 會掃描封存的檔案。

如需詳細資訊，請 參閱開啟竄改保護時會發生什麼情況？

在 Microsoft Defender 入口網站中開啟竄改保護 () https://security.microsoft.com 時，會開啟全租使用者的竄改保護。 不過，Intune 或 Configuration Manager 中定義的原則可以覆寫 Microsoft Defender 入口網站中的設定。 例如，您可以在 Intune 或 Configuration Manager 中定義原則，以排除某些裝置不受竄改保護。

使用 Intune 部署 DisableLocalAdminMerge。

請遵循 管理受竄改保護的防病毒軟體排除專案中的指引。

不能。 啟用排除專案的竄改保護時，您不需要停用它即可套用新的排除專案。

是。 類似於使用 Intune，您可以對整個組織或特定使用者和裝置套用竄改保護。 如需詳細資訊，請參閱下列資源：

• 使用 Intune 管理竄改保護
• 使用租用戶連結搭配 Configuration Manager 2006 版來管理竄改保護
• 技術社群部落格：宣佈 Configuration Manager 租使用者附加用戶端的竄改保護

一般而言，竄改保護有助於防止使用者直接在裝置上變更安全性設定。 竄改保護是防竄改功能的一部分，包括 標準保護攻擊面縮小規則。 若要進一步防止惡意代碼在核心中執行，請考慮搭配 Windows 應用 程控使用驅動程式封鎖規則。

如果裝置已從 適用於端點的 Microsoft Defender 離線，就會開啟竄改保護，這是非受控裝置的默認狀態。

警示應該列在 Microsoft Defender 入口網站的 [警示] 底下。 您的安全性作業小組也可以使用搜捕查詢，例如下列範例：

AlertInfo|where Title == "Tamper Protection bypass"

您可以使用下列任何一種方法來設定竄改保護：

• Microsoft Defender 入口網站 (開啟或關閉全租用戶保護)
• Intune (開啟或關閉竄改保護，以及/或為部分或所有使用者設定竄改保護)
• Configuration Manager 使用租使用者附加 (，您可以使用 Windows 安全性 體驗配置檔) 來設定部分或所有裝置的竄改保護。
• Windows 安全性 個人裝置的應用程式 (，或在安全性小組未管理裝置的情況下)