Ofte stillede spørgsmål om beskyttelse mod manipulation

Enheder skal opfylde alle følgende krav:

• Enheder skal køre visse versioner af Windows eller macOS. (Se Hvilke enheder kan ændre beskyttelse aktiveres?)
• Enheder skal onboardes til Microsoft Defender for Endpoint.
• Enheder skal bruge platformversionen 4.18.2010.7 af antimalware (eller nyere) og versionen 1.1.17600.5 af antimalwareprogrammet (eller nyere). (Administrer Microsoft Defender Antivirus-opdateringer, og anvend grundlinjer).
• Skybaseret beskyttelse skal være aktiveret.

Hvis du vil administrere ændringsbeskyttelse på Microsoft Defender-portalen (https://security.microsoft.com), skal du have tildelt de relevante tilladelser via roller, f.eks. Global administrator eller Sikkerhedsadministrator. (Se Microsoft Defender XDR rollebaseret adgangskontrol (RBAC)).

• Windows 11
• Windows 11 Enterprise multi-session
• Windows 10 OS 1709, 1803, 1809 eller nyere sammen med Microsoft Defender for Endpoint.
• Windows 10 Enterprise multi-session

Hvis du bruger Configuration Manager version 2006 med lejertilknyttelse, kan ændringsbeskyttelse udvides til Windows Server 2012 R2, Windows Server 2016, Windows Server 2019 og Windows Server 2022. Se Lejertilknyt: Create og udrul politikken for slutpunktssikkerhed Antivirus fra Administration (prøveversion).

Nej. Ikke-Microsoft Antivirus-tilbud fortsætter med at registrere sig i Windows Sikkerhed program.

Hvis der er installeret ikke-Microsoft-antivirus-/antimalwaresoftware på en enhed, når enheden er onboardet til Microsoft Defender for Endpoint, kører Microsoft Defender Antivirus som standard i passiv tilstand. Ændringsbeskyttelse beskytter tjenesten og dens funktioner.

Hvis/når ikke-Microsoft antivirus-/antimalwaresoftware fjernes, skifter Microsoft Defender Antivirus automatisk til aktiv tilstand. Ændringsbeskyttelse fortsætter med at beskytte tjenesten og dens funktioner.

Vi anbefaler, at du bruger Microsoft Intune til at administrere Microsoft Defender Antivirus-indstillinger for din organisation. Med Intune kan du styre, hvor manipulationsbeskyttelse er aktiveret (eller deaktiveret) via politikker. Du kan også beskytte Microsoft Defender Antivirus-undtagelser. Se Tamper Protection: Microsoft Defender Antivirus exclusions.

Du kan også bruge Microsoft Defender-portalen eller Configuration Manager.

Hvis du er privat bruger, skal du se Administrer beskyttelse mod manipulation på en individuel enhed.

Manipulationsbeskyttelse er en del af den indbyggede beskyttelse og skal aktiveres.

Ny funktionalitet udrulles nu for at beskytte Microsoft Defender Antivirus-undtagelser på enheder. Visse betingelser skal være opfyldt. Du skal f.eks. kun bruge Intune eller kun Configuration Manager til at administrere enheder, og du skal have Assistent aktiveret. Se Beskyt Microsoft Defender Antivirus-undtagelser.

Hvis du i øjeblikket bruger Intune til at konfigurere og administrere beskyttelse mod ændring, skal du fortsætte med at bruge Intune. Når manipulationsbeskyttelse er slået til, og du bruger Gruppepolitik til at foretage ændringer af Microsoft Defender Antivirus-indstillinger, ignoreres alle indstillinger, der er beskyttet af manipulationsbeskyttelse.

• Hvis du skal foretage ændringer af en enhed, og disse ændringer er blokeret af ændringsbeskyttelse, kan du bruge fejlfindingstilstand til midlertidigt at deaktivere ændringsbeskyttelse på enheden. Når fejlfindingstilstanden er slut, gendannes eventuelle ændringer, der er foretaget af de ændringsbeskyttede indstillinger, til deres konfigurerede tilstand.
• Du kan bruge Intune eller Configuration Manager til at udelukke enheder fra manipulationsbeskyttelse.
• Hvis du administrerer beskyttelse mod manipulation via Intune og visse andre betingelser er opfyldt, kan du administrere manipulationsbeskyttede antivirusudeladelser.

Hvis du bruger Intune til at konfigurere og administrere beskyttelse mod manipulation, behøver du ikke nødvendigvis at anvende beskyttelse mod ændring for hele organisationen. Med Intune kan du vælge at anvende manipulationsbeskyttelse på hele organisationen, eller du kan vælge bestemte enheder eller brugergrupper for at modtage ændringsbeskyttelse. Du kan også udelukke bestemte enheder fra manipulationsbeskyttelse.

Når manipulationsbeskyttelse er slået til, er følgende sikkerhedsindstillinger beskyttet mod at blive ændret:

• Beskyttelse mod virus og trusler forbliver aktiveret.
• Beskyttelse i realtid er stadig aktiveret.
• Overvågning af funktionsmåde er stadig slået til.
• Antivirusbeskyttelse, herunder IOfficeAntivirus (IOAV), forbliver aktiveret.
• Cloudbeskyttelse forbliver aktiveret.
• Opdateringer til sikkerhedsintelligens forekommer fortsat.
• Der udføres automatiske handlinger på registrerede trusler.
• Meddelelser er synlige i appen Windows Sikkerhed på Windows-enheder.
• Arkiverede filer scannes.

Du kan få flere oplysninger under Hvad sker der, når beskyttelse mod manipulation er slået til?

Når manipulationsbeskyttelse er slået til i Microsoft Defender-portalen (https://security.microsoft.com), er beskyttelse mod ændring slået til, og lejeren er bred. Politikker, der er defineret i Intune eller Configuration Manager, kan dog tilsidesætte indstillingerne på Microsoft Defender portalen. Du kan f.eks. definere en politik i Intune eller Configuration Manager, der udelukker visse enheder fra manipulationsbeskyttelse.

Brug Intune til at installere DisableLocalAdminMerge.

Følg vejledningen i Administrer manipulationsbeskyttede antivirusudeladelser.

Nej. Når du har aktiveret ændringsbeskyttelse for undtagelser, behøver du ikke at deaktivere den for at anvende nye undtagelser.

Ja. På samme måde som med brug af Intune kan du anvende manipulationsbeskyttelse på hele organisationen eller på bestemte brugere og enheder. Du kan få flere oplysninger i følgende ressourcer:

• Administrer manipulationsbeskyttelse ved hjælp af Intune
• Administrer manipulationsbeskyttelse ved hjælp af lejertilknyttelse med Configuration Manager, version 2006
• Tech Community-blog: Meddelelse om ændringsbeskyttelse for klienter med tilknytning til Configuration Manager lejer

Ændringsbeskyttelse hjælper generelt med at beskytte mod, at brugerne kan ændre sikkerhedsindstillingerne direkte på enheder. Manipulationsbeskyttelse er en del af anti-manipulationsfunktioner, der omfatter standardregler for reduktion af angrebsoverfladen. Hvis du vil forhindre malware i at køre i kernen, kan du overveje at bruge driverblokeringsregler med Programkontrol til Windows.

Hvis en enhed ikke er om bord fra Microsoft Defender for Endpoint, er beskyttelse mod manipulation slået til, hvilket er standardtilstanden for ikke-administrerede enheder.

Beskeder skal vises på Microsoft Defender-portalen under Beskeder.

Dit team af sikkerhedshandlinger kan også bruge jagtforespørgsler, f.eks. følgende eksempel:

AlertInfo|where Title == "Tamper Protection bypass"

Du kan bruge en af følgende metoder til at konfigurere beskyttelse mod manipulation:

• Microsoft Defender-portalen (slå ændringsbeskyttelse til eller fra, hele lejeren)
• Intune (slå ændringsbeskyttelse til eller fra og/eller konfigurer ændringsbeskyttelse for nogle eller alle brugere)
• Configuration Manager (med lejertilknyttelse kan du konfigurere beskyttelse mod ændring for nogle eller alle enheder ved hjælp af profilen Windows Sikkerhed oplevelse).
• Windows Sikkerhed app (for en individuel enhed, der bruges hjemme eller i situationer, hvor et sikkerhedsteam ikke administrerer din enhed)