Nejčastější dotazy k ochraně před falšováním

Zařízení musí splňovat všechny následující požadavky:

• Na zařízeních musí běžet určité verze Windows nebo macOS. (Viz Na jakých zařízeních je možné povolit ochranu proti manipulaci?)
• Zařízení musí být onboardována do Microsoft Defenderu for Endpoint.
• Zařízení musí používat verzi 4.18.2010.7 antimalwarové platformy (nebo novější) a verzi 1.1.17600.5 antimalwarového modulu (nebo novější). (Spravujte aktualizace antivirové ochrany v programu Microsoft Defender a použijte směrné plány.)
• Musí být zapnutá cloudová ochrana .

Pokud chcete spravovat ochranu před falšováním na portálu Microsoft Defender (https://security.microsoft.com), musíte mít příslušná oprávnění přiřazená prostřednictvím rolí, jako je správce zabezpečení. (Viz Řízení přístupu na základě role (RBAC) v Programu Microsoft Defender XDR.)

• Windows 11
• Windows 11 Enterprise multi-session
• Windows 10 OS 1709, 1803, 1809 nebo novější společně s Microsoft Defenderem for Endpoint.
• Windows 10 Enterprise multi-session

Pokud používáte Configuration Manager verze 2006 s připojením tenanta, můžete ochranu před falšováním rozšířit na Windows Server 2012 R2, Windows Server 2016, Windows Server 2019 a Windows Server 2022. Viz Připojení tenanta: Vytvoření a nasazení zásad antivirové ochrany zabezpečení koncového bodu z Centra pro správu (Preview).

Ne. Nabídky antivirové ochrany od jiných společností než Microsoft se nadále registrují v aplikaci Zabezpečení Windows.

Pokud je na zařízení nainstalovaný antivirový nebo antimalwarový software jiného výrobce než Microsoft, po nasazení zařízení do programu Microsoft Defender for Endpoint se antivirová ochrana v programu Microsoft Defender ve výchozím nastavení spustí v pasivním režimu. Ochrana před falšováním chrání službu a její funkce.

Pokud je odinstalován antivirový nebo antimalwarový software jiného typu než Microsoft, antivirová ochrana v programu Microsoft Defender se automaticky přepne do aktivního režimu. Ochrana před falšováním dál chrání službu a její funkce.

Ke správě nastavení Antivirové ochrany v programu Microsoft Defender pro vaši organizaci doporučujeme použít Microsoft Intune . S Intune můžete řídit, kde je povolená (nebo zakázaná) ochrana před falšováním prostřednictvím zásad. Můžete také chránit vyloučení antivirové ochrany v programu Microsoft Defender. Viz Ochrana před falšováním: Vyloučení antivirové ochrany v programu Microsoft Defender.

Můžete také použít portál Microsoft Defender nebo Configuration Manager.

Pokud jste domácí uživatel, přečtěte si téma Správa ochrany před falšováním na jednotlivých zařízeních.

Ochrana před falšováním je součástí integrované ochrany a měla by být povolená.

Ano. Pokud chcete chránit vyloučení antivirové ochrany v programu Microsoft Defender na zařízeních, musí být splněné určité podmínky. Například ke správě zařízení musíte používat jenom Intune nebo Configuration Manager a musíte mít povolenou funkci Inteligentní. Viz Ochrana vyloučení antivirové ochrany v programu Microsoft Defender.

Pokud aktuálně ke konfiguraci a správě ochrany před falšováním používáte Intune, měli byste intune dál používat. Pokud je zapnutá ochrana před falšováním a pomocí zásad skupiny provedete změny nastavení antivirové ochrany v programu Microsoft Defender, budou všechna nastavení chráněná ochranou před falšováním ignorována.

• Pokud musíte provést změny zařízení a tyto změny jsou blokovány ochranou proti neoprávněné manipulaci, můžete v režimu řešení potíží dočasně zakázat ochranu zařízení před neoprávněnou úpravou. Po ukončení režimu řešení potíží se všechny změny nastavení chráněného před neoprávněnou úpravou vrátí do nakonfigurovaného stavu.
• K vyloučení zařízení z ochrany před neoprávněnou manipulací můžete použít Intune nebo Configuration Manager.
• Pokud spravujete ochranu před falšováním prostřednictvím Intune a jsou splněné určité další podmínky, můžete spravovat antivirová vyloučení chráněná před falšováním.

Pokud ke konfiguraci a správě ochrany před falšováním používáte Intune, nemusíte ochranu před falšováním nutně používat v celé organizaci. S Intune se můžete rozhodnout, jestli chcete ochranu před falšováním použít pro celou organizaci, nebo můžete vybrat konkrétní zařízení nebo skupiny uživatelů, které mají ochranu před falšováním získat. Můžete také vyloučit určitá zařízení z ochrany před falšováním.

Pokud je zapnutá ochrana před neoprávněnou úpravou, jsou před změnou chráněna následující nastavení zabezpečení:

• Ochrana před viry a hrozbami zůstane povolená.
• Ochrana v reálném čase zůstane zapnutá.
• Monitorování chování zůstává zapnuté.
• Antivirová ochrana, včetně IOfficeAntivirus (IOAV), zůstane povolená.
• Cloudová ochrana zůstává povolená.
• K aktualizacím bezpečnostních funkcí stále dochází.
• U zjištěných hrozeb se provádí automatické akce.
• Oznámení se zobrazují v aplikaci Zabezpečení Windows na zařízeních s Windows.
• Archivované soubory se kontrolují.

Další informace najdete v tématu Co se stane, když je zapnutá ochrana před falšováním?

Pokud je na portálu Microsoft Defenderu zapnutá ochrana před neoprávněnou manipulací (https://security.microsoft.com), je zapnutá ochrana před neoprávněnou manipulací v celém tenantovi. Zásady definované v Intune nebo Configuration Manageru ale můžou přepsat nastavení na portálu Microsoft Defender. V Intune nebo Configuration Manageru můžete například definovat zásadu, která vyloučí určitá zařízení z ochrany před falšováním.

Pomocí Intune nasaďte DisableLocalAdminMerge.

Postupujte podle pokynů v tématu Správa vyloučení antivirové ochrany chráněného před falšováním.

Ne. Pokud je povolená ochrana před neoprávněnou manipulací pro vyloučení, nemusíte ji kvůli použití nových vyloučení zakazovat.

Ano. Podobně jako při použití Intune můžete ochranu před falšováním použít pro celou organizaci nebo pro konkrétní uživatele a zařízení. Chcete-li se dozvědět více informací, podívejte se na následující zdroje:

• Správa ochrany před falšováním pomocí Intune
• Správa ochrany před falšováním pomocí připojení tenanta pomocí nástroje Configuration Manager, verze 2006
• Blog technické komunity: Oznámení o ochraně před neoprávněnou úpravou pro připojení klientů tenanta Nástroje Configuration Manager

Obecně platí, že ochrana před falšováním pomáhá chránit uživatele před tím, aby mohli měnit nastavení zabezpečení přímo na zařízeních. Ochrana před falšováním je součástí funkcí proti manipulaci, které zahrnují standardní pravidla omezení potenciální potenciální oblasti útoku ochrany. Pokud chcete dále zabránit spuštění malwaru v jádru, zvažte použití pravidel blokování ovladačů s řízením aplikací pro Windows.

Pokud je zařízení vypnuté z Microsoft Defenderu for Endpoint, je zapnutá ochrana proti manipulaci, což je výchozí stav nespravovaných zařízení.

Výstrahy by měly být uvedené na portálu Microsoft Defender v části Výstrahy. Váš tým pro operace zabezpečení může také používat dotazy proaktivního vyhledávání, jako je například následující příklad:

AlertInfo|where Title == "Tamper Protection bypass"

Ke konfiguraci ochrany před falšováním můžete použít některou z následujících metod:

• Portál Microsoft Defender (zapnutí nebo vypnutí ochrany před falšováním, pro celého tenanta)
• Intune (zapnutí nebo vypnutí ochrany před falšováním nebo konfigurace ochrany před falšováním pro některé nebo všechny uživatele)
• Configuration Manager (s připojením tenanta můžete nakonfigurovat ochranu před falšováním pro některá nebo všechna zařízení pomocí profilu prostředí Zabezpečení Windows).
• Aplikace Zabezpečení Windows (pro jednotlivá zařízení používaná doma nebo v situacích, kdy vaše zařízení nespravuje tým zabezpečení)