Sdílet prostřednictvím


Ochrana nastavení zabezpečení pomocí ochrany před falšováním

Platí pro:

Platformy

Co je ochrana před falšováním?

Ochrana před falšováním je funkce v Microsoft Defender for Endpoint, která pomáhá chránit určitá nastavení zabezpečení, jako je ochrana před viry a hrozbami, před zakázání nebo změnou. Během některých druhů kybernetických útoků se zlí aktéři snaží zakázat funkce zabezpečení na zařízeních. Zakázání funkcí zabezpečení poskytuje špatným subjektům snadnější přístup k vašim datům, možnost instalovat malware a využívat vaše data, identitu a zařízení. Ochrana před falšováním pomáhá chránit před těmito typy aktivit.

Ochrana před falšováním je součástí funkcí proti manipulaci, které zahrnují standardní pravidla omezení potenciální potenciální oblasti útoku ochrany. Ochrana před falšováním je důležitou součástí integrované ochrany.

Co se stane, když je zapnutá ochrana před falšováním?

Pokud je zapnutá ochrana před falšováním, tato nastavení chráněná před falšováním se nedají změnit:

  • Ochrana před viry a hrozbami zůstane povolená.
  • Ochrana v reálném čase zůstane zapnutá.
  • Monitorování chování zůstává zapnuté.
  • Antivirová ochrana, včetně IOfficeAntivirus (IOAV), zůstane povolená.
  • Cloudová ochrana zůstává povolená.
  • Dochází k aktualizacím bezpečnostních informací.
  • U zjištěných hrozeb se provádí automatické akce.
  • Oznámení se zobrazují v aplikaci Zabezpečení Windows na zařízeních s Windows.
  • Archivované soubory se kontrolují.
  • Vyloučení nelze upravit ani přidat (platí pro Intune nebo Configuration Manager).

Od vydání 1.383.1159.0podpisu už ochrana před falšováním kvůli nejasnostem ohledně výchozí hodnoty pro Povolit skenování síťových souborů nezamyká toto nastavení na výchozí hodnotu. Ve spravovaných prostředích je enabledvýchozí hodnota .

Důležité

Pokud je zapnutá ochrana před falšováním, není možné změnit nastavení chráněné neoprávněnou úpravou. Abyste se vyhnuli narušení prostředí správy, včetně Intune a Configuration Manager, mějte na paměti, že změny nastavení chráněného neoprávněnou manipulací můžou vypadat úspěšně, ale ve skutečnosti jsou blokované ochranou proti manipulaci. V závislosti na konkrétním scénáři máte k dispozici několik možností:

  • Pokud musíte provést změny zařízení a tyto změny jsou blokovány ochranou proti neoprávněné manipulaci, můžete v režimu řešení potíží dočasně zakázat ochranu zařízení před neoprávněnou úpravou.
  • K vyloučení zařízení z ochrany před falšováním můžete použít Intune nebo Configuration Manager.

Ochrana před falšováním vám nebrání v zobrazení nastavení zabezpečení. Ochrana před falšováním nemá vliv na registraci antivirových aplikací jiných společností než Microsoft v aplikaci Zabezpečení Windows. Pokud vaše organizace používá Defender for Endpoint, nemůžou jednotliví uživatelé změnit nastavení ochrany před falšováním. v těchto případech váš bezpečnostní tým spravuje ochranu před falšováním. Další informace najdete v tématu Návody konfigurovat nebo spravovat ochranu před falšováním?

Na jakých zařízeních je možné povolit ochranu před falšováním?

Ochrana před falšováním je k dispozici pro zařízení s některou z následujících verzí Windows:

  • Windows 10 a 11 (včetně enterprise s více relacemi)
  • Windows Server 2022, Windows Server 2019 a Windows Server verze 1803 nebo novější
  • Windows Server 2016 a Windows Server 2012 R2 (s využitím moderního sjednoceného řešení)

Ochrana před falšováním je k dispozici také pro Mac, i když funguje trochu jinak než ve Windows. Další informace najdete v tématu Ochrana nastavení zabezpečení macOS pomocí ochrany před falšováním.

Tip

Integrovaná ochrana zahrnuje zapnutí ochrany před falšováním ve výchozím nastavení. Další informace najdete tady:

Ochrana před falšováním ve Windows Server 2012 R2, 2016 nebo Windows verze 1709, 1803 nebo 1809

Pokud používáte Windows Server 2012 R2 pomocí moderního sjednoceného řešení Windows Server 2016 Windows 10 verze 1709, 1803 nebo 1809, nevidíte v aplikaci Zabezpečení Windows ochranu proti falšování. Místo toho můžete pomocí PowerShellu určit, jestli je povolená ochrana před falšováním.

Důležité

V Windows Server 2016 aplikace Nastavení přesně neodráží stav ochrany v reálném čase, když je povolená ochrana před falšováním.

Použití PowerShellu k určení, jestli je zapnutá ochrana proti manipulaci a ochrana v reálném čase

  1. Otevřete aplikaci Windows PowerShell.

  2. Použijte rutinu PowerShellu Get-MpComputerStatus .

  3. V seznamu výsledků vyhledejte IsTamperProtected nebo RealTimeProtectionEnabled. (Hodnota true znamená, že je povolená ochrana před falšováním.)

Návody konfigurovat nebo spravovat ochranu před falšováním?

Ke konfiguraci nebo správě ochrany před falšováním můžete použít Microsoft Intune a další metody, jak je uvedeno v následující tabulce:

Metoda Co můžete udělat
Použijte portál Microsoft Defender. Zapněte (nebo vypněte) ochranu před falšováním v celém tenantovi. Viz Správa ochrany před falšováním ve vaší organizaci pomocí Microsoft Defender XDR.

Tato metoda nepřepíše nastavení spravovaná v Microsoft Intune nebo Configuration Manager.
Použijte Centrum pro správu Microsoft Intune nebo Configuration Manager. Zapněte (nebo vypněte) ochranu před neoprávněnou manipulací, v celém tenantovi nebo použijte ochranu před neoprávněnou manipulaci u některých uživatelů nebo zařízení. Některá zařízení můžete vyloučit z ochrany před falšováním. Viz Správa ochrany před falšováním ve vaší organizaci pomocí Intune.

Chraňte vyloučení Microsoft Defender Antivirové ochrany před neoprávněnou manipulací, pokud používáte jenom Intune nebo jenom Configuration Manager. Informace o vyloučeních antivirového softwaru najdete v tématu Ochrana před falšováním.
Použijte Configuration Manager s připojením tenanta. Zapněte (nebo vypněte) ochranu před neoprávněnou manipulací, v celém tenantovi nebo použijte ochranu před neoprávněnou manipulaci u některých uživatelů nebo zařízení. Některá zařízení můžete vyloučit z ochrany před falšováním. Viz Správa ochrany před falšováním ve vaší organizaci pomocí připojení tenanta s Configuration Manager verze 2006.
Použijte aplikaci Zabezpečení Windows. Zapněte (nebo vypněte) ochranu před falšováním na jednotlivých zařízeních, která nespravuje bezpečnostní tým (například zařízení pro domácí použití). Viz Správa ochrany před falšováním na jednotlivých zařízeních.

Tato metoda nepřepíše nastavení ochrany před falšováním, která jsou nastavená na portálu Microsoft Defender, Intune nebo Configuration Manager, a není určená pro použití v organizacích.

Tip

Pokud ke správě nastavení Microsoft Defender antivirové ochrany používáte Zásady skupiny, mějte na paměti, že všechny změny nastavení chráněného před neoprávněnou úpravou se ignorují. Pokud musíte udělat změny v zařízení a tyto změny jsou blokovány ochranou proti neoprávněné manipulaci, pomocí režimu řešení potíží dočasně zakažte ochranu před falšováním na zařízení. Po ukončení režimu řešení potíží se všechny změny nastavení chráněného před neoprávněnou úpravou vrátí do nakonfigurovaného stavu.

Ochrana vyloučení Microsoft Defender Antivirové ochrany

Za určitých podmínek může ochrana před falšováním chránit vyloučení definovaná pro Microsoft Defender Antivirus. Další informace najdete v tématu Ochrana před falšováním pro vyloučení.

Zobrazení informací o pokusech o manipulaci

Pokusy o manipulaci obvykle značí, že došlo k většímu kybernetickému útoku. Chybní aktéři se snaží změnit nastavení zabezpečení jako způsob, jak zachovat a zůstat nezjištění. Pokud jste členem týmu zabezpečení vaší organizace, můžete zobrazit informace o těchto pokusech a pak podniknout příslušné akce ke zmírnění hrozeb.

Při každém zjištění pokusu o manipulaci se na portálu Microsoft Defender () vyvolá výstraha.https://security.microsoft.com

Díky detekci a odezvě koncových bodů a pokročilým možnostem proaktivního vyhledávání v Microsoft Defender for Endpoint může tým operací zabezpečení tyto pokusy prozkoumat a řešit.

Kontrola doporučení k zabezpečení

Ochrana před falšováním se integruje s možnostmi Microsoft Defender Správa zranitelností. Mezi doporučení zabezpečení patří zajištění, aby byla zapnutá ochrana před neoprávněnou úpravou. Například na řídicím panelu Pro správu ohrožení zabezpečení můžete vyhledat manipulaci. Ve výsledcích můžete vybrat Zapnout ochranu před falšováním , abyste se dozvěděli víc a zapnuli ji.

Další informace o Microsoft Defender Správa zranitelností najdete v tématu Přehledy řídicího panelu – Správa ohrožení zabezpečení v programu Defender.

Viz také

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.