使用竄改防護來保護安全性設定
適用於:
- 適用於端點的 Microsoft Defender 方案 1
- 適用於端點的 Microsoft Defender 方案 2
- Microsoft Defender 防毒軟體
- 適用於企業的 Microsoft Defender
- Microsoft 365 商務進階版
平台
- Windows
- macOS
什麼是竄改保護?
竄改防護是 適用於端點的 Microsoft Defender 中的一項功能,可協助保護某些安全性設定,例如病毒和威脅防護,避免被停用或變更。 在某些類型的網路攻擊期間,不良執行者會嘗試停用裝置上的安全性功能。 停用安全性功能可讓不良執行者更輕鬆地存取您的數據、安裝惡意代碼的能力,以及惡意探索數據、身分識別和裝置的能力。 竄改保護有助於防範這些類型的活動。
竄改保護是防竄改功能的一部分,包括 標準保護攻擊面縮小規則。 竄改保護是 內建保護的重要部分。
開啟竄改保護時會發生什麼事?
開啟竄改保護時,無法變更這些受竄改保護的設定:
- 病毒和威脅防護仍維持啟用狀態。
- 實時保護仍會保持開啟狀態。
- 行為監視仍會開啟。
- 防病毒軟體保護,包括 IOfficeAntivirus (IOAV) 維持啟用狀態。
- 雲端保護仍會保持啟用狀態。
- 安全性情報更新隨即發生。
- 會對偵測到的威脅採取自動動作。
- 通知會顯示在 Windows 裝置上的 Windows 安全性 應用程式中。
- 會掃描封存的檔案。
- 無法修改或新增排除 專案 (僅適用於 Intune 管理的裝置或僅限 Configuration Manager。Co-Managed 不支援)
簽章發行 1.383.1159.0時,由於「允許掃描網路檔案」的預設值混淆,竄改保護不會再將此設定鎖定為其預設值。 在受控環境中,預設值為 enabled。
重要事項
開啟竄改保護時,無法變更受竄改保護的設定。 若要避免中斷管理體驗,包括 Intune 和 Configuration Manager,請記住,對受竄改保護的設定所做的變更可能會成功,但實際上會遭到竄改保護封鎖。 根據您的特定案例,您有數個可用的選項:
- 如果您必須對裝置進行變更,而且這些變更遭到竄改保護封鎖,您可以使用 疑難解答模式 暫時停用裝置上的竄改保護。
- 您可以使用 Intune 或 Configuration Manager 來排除裝置遭到竄改保護。
竄改保護不會防止您檢視安全性設定。 此外,竄改保護不會影響非Microsoft防病毒軟體應用程式向 Windows 安全性 應用程式註冊的程度。 如果您的組織使用適用於端點的Defender,則個別用戶無法變更竄改保護設定;在這些情況下,您的安全性小組會管理竄改保護。 如需詳細資訊,請參閱 如何? 設定或管理竄改保護?
哪些裝置可以啟用竄改保護?
竄改保護適用於執行下列其中一個 Windows 版本的裝置:
- Windows 10 和11個 (,包括企業多重會話)
- Windows Server 2022、Windows Server 2019 和 Windows Server 版本 1803 或更新版本
- 使用現代化、統一的解決方案 (Windows Server 2016 和 Windows Server 2012 R2)
Mac 也提供竄改保護,但其運作方式與 Windows 稍有不同。 如需詳細資訊,請 參閱使用竄改保護來保護macOS安全性設定。
Windows Server 2012 R2、2016 或 Windows 1709、1803 或 1809 版的竄改保護
如果您使用 Windows Server 2012 R2 使用新式統一解決方案,Windows Server 2016、Windows 10 1709、1803 或 1809 版,則不會在 Windows 安全性 應用程式中看到竄改保護。 相反地,您可以使用 PowerShell 來判斷是否已啟用竄改保護。
重要事項
在 Windows Server 2016 上,[設定] 應用程式不會正確反映啟用竄改保護時的即時保護狀態。
使用 PowerShell 判斷是否開啟竄改保護和實時保護
開啟 Windows PowerShell 應用程式。
使用 Get-MpComputerStatus PowerShell Cmdlet。
在結果清單中,尋找
IsTamperProtected或RealTimeProtectionEnabled。 (值為 true 表示已啟用竄改保護。)
如何? 設定或管理竄改保護?
您可以使用 Microsoft Intune 和其他方法來設定或管理竄改保護,如下表所示:
| 方法 | 您可以執行的作業 |
|---|---|
| 使用 Microsoft Defender 入口網站。 | 在全租使用者 (或關閉) 上開啟竄改保護。 請參閱使用 Microsoft Defender 全面偵測回應 管理組織的竄改保護。 此方法不會覆寫在 Microsoft Intune 或 Configuration Manager 中管理的設定。 |
| 使用 Microsoft Intune 系統管理中心或 Configuration Manager。 | 在 (或關閉) 、全租使用者或對某些使用者/裝置套用竄改保護時,開啟竄改保護。 您可以排除某些裝置不受竄改保護。 請參閱使用 Intune 管理組織的竄改保護。 如果您只使用 Intune 或僅 Configuration Manager,請保護 Microsoft Defender 防病毒軟體排除專案不受竄改。 如 需防病毒軟體排除專案,請參閱竄改保護。 |
| 搭配租使用者附加使用 Configuration Manager。 | 在 (或關閉) 、全租使用者或對某些使用者/裝置套用竄改保護時,開啟竄改保護。 您可以排除某些裝置不受竄改保護。 請參閱使用租使用者附加與 Configuration Manager 版本 2006 來管理組織的竄改保護。 |
| 使用 Windows 安全性 應用程式。 | 在未由安全性小組管理的個別裝置上開啟 (或關閉) 的竄改保護 (,例如用於家庭使用的裝置) 。 請參閱 管理個別裝置上的竄改保護。 此方法不會覆寫 Microsoft Defender 入口網站、Intune 或 Configuration Manager 中所設定的竄改保護設定,且並非供組織使用。 |
提示
如果您使用 群組原則 來管理 Microsoft Defender 防病毒軟體設定,請記住,對受竄改保護的設定所做的任何變更都會被忽略。 如果您必須對裝置進行變更,而且這些變更遭到竄改保護封鎖,請使用 疑難解答模式 暫時停用裝置上的竄改保護。 疑難解答模式結束后,對受竄改保護的設定所做的任何變更都會還原為其設定的狀態。 若要永久變更受竄改保護設定上的值,請先暫時停用竄改保護,再於設定變更后重新開啟。 請記住,此方法可能會造成安全性風險,而且無法在暫時停用竄改保護時脫機的裝置上運作。 基於這個理由,我們建議針對適用於端點的 Defender 設定使用其他管理方法,例如 Intune,而不是使用 群組原則。
保護 Microsoft Defender 防病毒軟體排除專案
在某些情況下,竄改保護可以保護針對 Microsoft Defender 防病毒軟體所定義的排除專案。 如需詳細資訊,請參閱 針對排除專案進行竄改保護。
檢視竄改嘗試的相關信息
竄改嘗試通常表示已發生較大的網路攻擊。 不良的執行者會嘗試變更安全性設定,以保存並保持未偵測。 如果您是組織安全性小組的一員,您可以檢視這類嘗試的相關信息,然後採取適當的動作來降低威脅。
每當偵測到竄改嘗試時,Microsoft Defender 入口網站 () https://security.microsoft.com 就會引發警示。
在 適用於端點的 Microsoft Defender 中使用端點偵測和回應和進階搜捕功能,您的安全性作業小組可以調查並解決這類嘗試。
檢閱您的安全性建議
竄改保護與 Microsoft Defender 弱點管理 功能整合。 安全性建議 包括確定已開啟竄改保護。 例如,在 弱點管理儀錶板中,您可以搜尋 竄改。 在結果中,您可以選取 [開啟竄改保護 ] 以深入瞭解並加以開啟。
若要深入瞭解 Microsoft Defender 弱點管理,請參閱儀錶板深入解析 - Defender 弱點管理。
另請參閱
提示
想要深入了解? Engage 技術社群中的Microsoft安全性社群:適用於端點的 Microsoft Defender 技術社群。