Správa ochrany před falšováním ve vaší organizaci pomocí Microsoft Intune
Platí pro:
- Plán 1 pro Microsoft Defender for Endpoint
- Plán 2 pro Microsoft Defender pro koncový bod
- Antivirová ochrana v programu Microsoft Defender
- Microsoft Defender pro firmy
- Microsoft 365 Business Premium
Platformy
- Windows
Ochrana před falšováním pomáhá chránit určitá nastavení zabezpečení, jako je ochrana před viry a hrozbami, před zakázání nebo změnou. Pokud jste součástí týmu zabezpečení vaší organizace a používáte Microsoft Intune, můžete ochranu před neoprávněnými zásahy pro vaši organizaci spravovat v centru pro správu Intune. Nebo můžete použít Configuration Manager. Pomocí Intune nebo Configuration Manager můžete provádět následující úlohy:
- Zapněte (nebo vypněte) ochranu před neoprávněnou manipulací pro některá nebo všechna zařízení.
- Chraňte vyloučení Microsoft Defender Antivirové ochrany před neoprávněnou manipulací (musí být splněny určité požadavky).
Důležité
Pokud ke správě nastavení Defenderu for Endpoint používáte Microsoft Intune, nezapomeňte na zařízeních nastavit možnost DisableLocalAdminMergetrue
.
Pokud je zapnutá ochrana před falšováním, není možné změnit nastavení chráněné neoprávněnou úpravou. Abyste se vyhnuli prostředím pro správu způsobujícím narušení, včetně Intune (a Configuration Manager), mějte na paměti, že změny nastavení chráněných neoprávněnou manipulací můžou vypadat úspěšně, ale ve skutečnosti jsou blokované ochranou proti manipulaci. V závislosti na konkrétním scénáři máte k dispozici několik možností:
Pokud musíte udělat změny v zařízení a tyto změny jsou blokovány ochranou proti neoprávněné manipulaci, doporučujeme použít režim řešení potíží a dočasně zakázat ochranu před neoprávněnou úpravou zařízení. Všimněte si, že po ukončení režimu řešení potíží se všechny změny nastavení chráněného před falšováním vrátí do nakonfigurovaného stavu.
K vyloučení zařízení z ochrany před neoprávněnou manipulací můžete použít Intune nebo Configuration Manager.
Pokud spravujete ochranu před falšováním prostřednictvím Intune, můžete změnit vyloučení antivirové ochrany chráněné před falšováním.
Požadavky na správu ochrany před neoprávněnou manipulací v Intune
Požadavek | Podrobnosti |
---|---|
Role a oprávnění | Musíte mít příslušná oprávnění přiřazená prostřednictvím rolí, jako je správce zabezpečení. Viz Microsoft Entra rolí s Intune přístupem. |
Správa zařízení | Vaše organizace používá ke správě zařízení Configuration Manager nebo Intune. Co-Managed zařízení nejsou pro tuto funkci podporovaná. |
Intune licence | Intune licence jsou povinné. Viz licencování Microsoft Intune. |
Operační systém | Na zařízeních s Windows musí běžet Windows 10 verze 1709 nebo novější nebo Windows 11. (Další informace o vydaných verzích najdete v tématu Informace o verzích windows.) Pro Mac si přečtěte téma Ochrana nastavení zabezpečení macOS pomocí ochrany před falšováním. |
Bezpečnostní informace | Musíte používat zabezpečení Windows s bezpečnostními informacemi aktualizovanými na verzi 1.287.60.0 (nebo novější). |
Antimalwarová platforma | Zařízení musí používat verzi 4.18.1906.3 antimalwarové platformy (nebo novější) a verzi 1.1.15500.X antimalwarového modulu (nebo novější). Viz Správa aktualizací Microsoft Defender Antivirové ochrany a použití směrných plánů. |
Microsoft Entra ID | Tenanti Intune a Defender for Endpoint musí sdílet stejnou infrastrukturu Microsoft Entra. |
Defender for Endpoint | Vaše zařízení musí být onboardovaná do defenderu for Endpoint. |
Poznámka
Pokud zařízení nejsou zaregistrovaná v Microsoft Defender for Endpoint, zobrazí se ochrana před falšováním jako Nepoužitelné, dokud se proces onboardingu nedokončí. Ochrana před falšováním může zabránit změnám nastavení zabezpečení. Pokud se zobrazí kód chyby s ID události 5013, přečtěte si článek Kontrola protokolů událostí a kódů chyb při řešení potíží s Microsoft Defender Antivirovou sadou.
Zapnutí (nebo vypnutí) ochrany před neoprávněnou manipulací v Microsoft Intune
V Centru pro správu Intune přejděte naAntivirová ochrana zabezpečení >koncového bodua pak zvolte + Vytvořit zásadu.
- V seznamu Platforma vyberte Windows 10, Windows 11 a Windows Server.
- V seznamu Profil vyberte Zabezpečení Windows prostředí.
Vytvořte profil, který obsahuje následující nastavení:
- TamperProtection (zařízení): Zapnuto
Dokončete výběr možností a nastavení zásad.
Nasaďte zásadu do zařízení.
Ochrana před neoprávněnou manipulací pro vyloučení antivirového softwaru
Pokud má vaše organizace definovaná vyloučení pro Microsoft Defender Antivirus, ochrana před falšováním tato vyloučení chrání za předpokladu, že jsou splněny všechny následující podmínky:
Podmínka | Kritéria |
---|---|
Microsoft Defender platforma | Zařízení běží Microsoft Defender platformě 4.18.2211.5 nebo novější. Další informace najdete v tématu Měsíční verze platformy a modulu. |
DisableLocalAdminMerge nastavení |
Toto nastavení se také označuje jako zabránění slučování místních seznamů.
DisableLocalAdminMerge musí být povolené, aby se nastavení nakonfigurovaná na zařízení neslučovala se zásadami organizace, jako jsou nastavení v Intune. Další informace najdete v tématu DisableLocalAdminMerge. |
Správa zařízení | Zařízení se spravují buď jenom v Intune, nebo se spravují jenom pomocí Configuration Manager. Inteligentní musí být povolené. |
Vyloučení antivirové ochrany | Microsoft Defender Vyloučení antivirové ochrany se spravují v Microsoft Intune nebo Configuration Manager. Další informace najdete v tématu Nastavení zásad Microsoft Defender antivirové ochrany v Microsoft Intune pro zařízení s Windows. Funkce ochrany Microsoft Defender vyloučení antivirové ochrany je na zařízeních povolená. Další informace najdete v tématu Jak zjistit, jestli jsou vyloučení antivirového softwaru chráněná před neoprávněnou manipulací na zařízení s Windows. |
Poznámka
Pokud se například Configuration Manager používá výhradně ke správě vyloučení a jsou splněny požadované podmínky, jsou vyloučení z Configuration Manager chráněná před neoprávněnou manipulací. V takovém případě není nutné tlačit vyloučení antivirového softwaru pomocí Microsoft Intune.
Podrobnější informace o vyloučeních Microsoft Defender Antivirové ochrany najdete v tématu Vyloučení pro Microsoft Defender for Endpoint a Microsoft Defender Antivirus.
Jak zjistit, jestli jsou vyloučení antivirového softwaru chráněná před manipulací na zařízení s Windows
Klíč registru můžete použít k určení, jestli je povolená funkce ochrany Microsoft Defender vyloučení antivirové ochrany. Následující postup popisuje, jak zobrazit, ale ne změnit stav ochrany před falšováním.
Na zařízení s Windows otevřete Editor registru. (Režim jen pro čtení je v pořádku, neupravujete klíč registru.)
Pokud chcete ověřit, že zařízení spravuje jenom Intune nebo jenom Configuration Manager, zkontrolujte s povoleným inteligentním nastavením následující hodnoty klíčů registru:
-
ManagedDefenderProductType
(nachází se na adreseComputer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender
neboHKLM\SOFTWARE\Microsoft\Windows Defender
) -
EnrollmentStatus
(nachází se na adreseComputer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SenseCM
neboHKLM\SOFTWARE\Microsoft\SenseCM
)
Následující tabulka shrnuje význam hodnot klíčů registru:
ManagedDefenderProductType
hodnotaEnrollmentStatus
hodnotaVýznam hodnoty 6
(libovolná hodnota) Zařízení se spravuje jenom pomocí Intune.
(Splňuje požadavek na ochranu vyloučení před neoprávněnou manipulací.)7
4
Zařízení se spravuje pomocí Configuration Manager.
(Splňuje požadavek na ochranu vyloučení před neoprávněnou manipulací.)7
3
Zařízení je spoluspravované pomocí Configuration Manager a Intune.
(Tato možnost není podporována, aby se vyloučení chránila před neoprávněnou manipulací.)Jiná hodnota než 6
nebo7
(libovolná hodnota) Zařízení nespravuje jenom Intune nebo jenom Configuration Manager.
(Vyloučení nejsou chráněná před neoprávněnou manipulací.)-
Pokud chcete ověřit, že je nasazená ochrana před neoprávněnou manipulací a že jsou vyloučení chráněná před neoprávněnou manipulací, zkontrolujte
TPExclusions
klíč registru (umístěný na adreseComputer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features
neboHKLM\SOFTWARE\Microsoft\Windows Defender\Features
).TPExclusions
Význam hodnoty 1
Jsou splněné požadované podmínky a na zařízení je povolená nová funkce pro ochranu vyloučení.
(Vyloučení jsou chráněná před neoprávněnou manipulací.)0
Ochrana před falšováním v současné době nechrání vyloučení na zařízení.
(Pokud jsou splněné všechny požadavky a tento stav se zdá být nesprávný, kontaktujte podporu.)
Upozornění
Neměňte hodnotu klíčů registru. Předchozí postup použijte pouze pro informace. Změna klíčů nemá vliv na to, jestli se ochrana před falšováním vztahuje na vyloučení.
Viz také
- Nejčastější dotazy k ochraně před falšováním
- Defender for Endpoint na zařízeních s windows
- Řešení potíží s ochranou před falšováním
- Správa Microsoft Defender for Endpoint na zařízeních pomocí Microsoft Intune
Tip
Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.