Teilen über


Schützen von macOS-Sicherheitseinstellungen mit Manipulationsschutz

Gilt für:

Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion

Der Manipulationsschutz in macOS verhindert, dass unerwünschte Änderungen an Den Sicherheitseinstellungen von nicht autorisierten Benutzern vorgenommen werden. Manipulationsschutz trägt dazu bei, das nicht autorisierte Entfernen von Microsoft Defender für Endpunkt unter macOS zu verhindern. Diese Funktion trägt auch dazu bei, dass wichtige Sicherheitsdateien, Prozesse und Konfigurationseinstellungen manipuliert werden.

Wichtig

Ab März 2023 berücksichtigt Microsoft Defender für Endpunkt unter macOS die Auswahl für den Manipulationsschutz, der über den globalen Manipulationsschutzschalter unter den erweiterten Einstellungen im Microsoft Defender-Portal (https://security.microsoft.com) angewendet wird. Sie können ihre eigenen macOS-Manipulationsschutzeinstellungen erzwingen (blockieren/überwachen/deaktivieren), indem Sie eine Mdm-Lösung (Mobile Device Management) wie Intune oder JAMF (empfohlen) verwenden. Wenn die Einstellung für den Manipulationsschutz nicht über MDM erzwungen wurde, kann ein lokaler Administrator die Einstellung mit dem folgenden Befehl weiterhin manuell ändern: sudo mdatp config tamper-protection enforcement-level --value (chosen mode).

Sie können den Manipulationsschutz in den folgenden Modi festlegen:

Artikel Beschreibung
Deaktiviert Der Manipulationsschutz ist vollständig deaktiviert.
Überwachung Manipulationsvorgänge werden protokolliert, aber nicht blockiert. Dieser Modus ist der Standardmodus nach der Installation.
Blockieren Der Manipulationsschutz ist aktiviert. Manipulationsvorgänge werden blockiert.

Wenn der Manipulationsschutz auf den Überwachungs- oder Blockmodus festgelegt ist, können Sie die folgenden Ergebnisse erwarten:

Überwachungsmodus:

  • Aktionen zum Deinstallieren des Defender für Endpunkt-Agents werden protokolliert (überwacht)
  • Bearbeitung/Änderung von Defender für Endpunkt-Dateien werden protokolliert (überwacht)
  • Die Erstellung neuer Dateien unter dem Speicherort von Defender für Endpunkt wird protokolliert (überwacht)
  • Das Löschen von Defender für Endpunkt-Dateien wird protokolliert (überwacht)
  • Das Umbenennen von Defender für Endpunkt-Dateien wird protokolliert (überwacht)

Blockmodus:

  • Aktionen zum Deinstallieren des Defender für Endpunkt-Agents sind blockiert
  • Die Bearbeitung/Änderung von Defender für Endpunkt-Dateien wird blockiert
  • Die Erstellung neuer Dateien unter dem Speicherort von Defender für Endpunkt ist blockiert.
  • Das Löschen von Defender für Endpunkt-Dateien ist blockiert.
  • Das Umbenennen von Defender für Endpunkt-Dateien ist blockiert.
  • Fehler bei Befehlen zum Beenden des Agents (wdavdaemon)

Hier sehen Sie ein Beispiel für eine Systemnachricht als Reaktion auf eine blockierte Aktion:

Screenshot der Meldung

Sie können den Manipulationsschutzmodus konfigurieren, indem Sie den Modusnamen als Erzwingungsebene angeben.

Hinweis

  • Die Modusänderung gilt sofort.
  • Wenn Sie JAMF während der Erstkonfiguration verwendet haben, müssen Sie die Konfiguration auch mithilfe von JAMF aktualisieren.

Bevor Sie beginnen

  • Unterstützte macOS-Versionen: Big Sur (11) oder höher
  • Erforderliche Mindestversion für Defender für Endpunkt: 101.70.19

Wichtig

Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Dies trägt zur Verbesserung der Sicherheit für Ihre Organisation bei. Globaler Administrator ist eine hoch privilegierte Rolle, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.

Dringend empfohlene Einstellungen:

  • Systemintegritätsschutz (SIP) aktiviert. Weitere Informationen finden Sie unter Deaktivieren und Aktivieren des Systemintegritätsschutzes.

  • Verwenden Sie ein Mdm-Tool (Mobile Device Management), um Microsoft Defender für Endpunkt zu konfigurieren.

  • Stellen Sie sicher, dass Defender für Endpunkt über die Vollzugriffsautorisierung verfügt .

    Hinweis

    Sowohl die Aktivierung von SIP als auch die gesamte Konfiguration über MDM ist nicht obligatorisch, aber für ein vollständig gesichertes Gerät erforderlich, da andernfalls ein lokaler Administrator weiterhin Manipulationsänderungen vornehmen kann, die von macOS verwaltet werden. Wenn Sie beispielsweise TCC (Transparenz, Zustimmung & Kontrolle) über eine Lösung für die Verwaltung mobiler Geräte wie Intune aktivieren, entfällt das Risiko, dass ein globaler Administrator die Autorisierung für den vollständigen Datenträgerzugriff durch einen lokalen Administrator widerruft.

Konfigurieren des Manipulationsschutzes auf macOS-Geräten

Microsoft Defender wertet diese Einstellungen in der folgenden Reihenfolge aus. Wenn eine Einstellung mit höherer Priorität konfiguriert ist, werden die übrigen ignoriert:

  1. Verwaltetes Konfigurationsprofil (Einstellung tamperProtection/enforcementLevel):

  2. Manuelle Konfiguration (mit mdatp config tamper-protection enforcement-level --value { disabled|audit|block })

  3. Wenn der Manipulationsschutz im Microsoft Defender-Portal aktiviert ist, wird der "Block"-Modus verwendet (in der Vorschau; nicht für alle Kunden verfügbar).

    • Wenn das Gerät lizenziert ist, wird standardmäßig der Überwachungsmodus verwendet.
    • Wenn das Gerät nicht lizenziert ist, befindet sich der Manipulationsschutz im Modus "Blockieren".

Bevor Sie beginnen

Stellen Sie sicher, dass Ihr Gerät lizenziert und fehlerfrei ist (entsprechende Werte melden true):

mdatp health
healthy                                     : true
health_issues                               : []
licensed                                    : true
...
tamper_protection                           : "audit"

tamper_protection gibt die effektive Erzwingungsstufe an.

Manuelle Konfiguration

  1. Verwenden Sie den folgenden Befehl, um in den restriktivsten Modus zu wechseln:
sudo mdatp config tamper-protection enforcement-level --value block

Abbildung des Befehls für die manuelle Konfiguration

Hinweis

Sie müssen ein verwaltetes Konfigurationsprofil (bereitgestellt über MDM) auf Produktionsgeräten verwenden. Wenn ein lokaler Administrator den Manipulationsschutzmodus über eine manuelle Konfiguration geändert hat, kann er ihn auch jederzeit in einen weniger restriktiven Modus ändern. Wenn der Manipulationsschutzmodus über ein verwaltetes Profil festgelegt wurde, kann nur ein globaler Administrator ihn rückgängig machen.

  1. Überprüfen Sie das Ergebnis.
healthy                                     : true
health_issues                               : []
licensed                                    : true
engine_version                              : "1.1.19300.3"
app_version                                 : "101.70.19"
org_id                                      : "..."
log_level                                   : "info"
machine_guid                                : "..."
release_ring                                : "InsiderFast"
product_expiration                          : Dec 29, 2022 at 09:48:37 PM
cloud_enabled                               : true
cloud_automatic_sample_submission_consent   : "safe"
cloud_diagnostic_enabled                    : false
passive_mode_enabled                        : false
real_time_protection_enabled                : true
real_time_protection_available              : true
real_time_protection_subsystem              : "endpoint_security_extension"
network_events_subsystem                    : "network_filter_extension"
device_control_enforcement_level            : "audit"
tamper_protection                           : "block"
automatic_definition_update_enabled         : true
definitions_updated                         : Jul 06, 2022 at 01:57:03 PM
definitions_updated_minutes_ago             : 5
definitions_version                         : "1.369.896.0"
definitions_status                          : "up_to_date"
edr_early_preview_enabled                   : "disabled"
edr_device_tags                             : []
edr_group_ids                               : ""
edr_configuration_version                   : "20.199999.main.2022.07.05.02-ac10b0623fd381e28133debe14b39bb2dc5b61af"
edr_machine_id                              : "..."
conflicting_applications                    : []
network_protection_status                   : "stopped"
data_loss_prevention_status                 : "disabled"
full_disk_access_enabled                    : true

Beachten Sie, dass jetzt tamper_protection auf blockfestgelegt ist.

JAMF

Konfigurieren Sie den Manipulationsschutzmodus im Microsoft Defender für Endpunkt-Konfigurationsprofil, indem Sie die folgenden Einstellungen hinzufügen:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
  <dict>
    <key>tamperProtection</key>
    <dict>
      <key>enforcementLevel</key>
      <string>block</string>
    </dict>
  </dict>
</plist>

Hinweis

Wenn Sie bereits über ein Konfigurationsprofil für Microsoft Defender für Endpunkt verfügen, müssen Sie diesem Einstellungen hinzufügen . Sie sollten kein zweites Konfigurationsprofil erstellen.

Intune

Einstellungenkatalog

Sie können ein neues Einstellungskatalogprofil erstellen, um die Manipulationsschutzkonfiguration hinzuzufügen, oder Sie können es einem vorhandenen Hinzufügen hinzufügen. Die Einstellung "Erzwingungsstufe" finden Sie in der Kategorie "Microsoft Defender" und unter der Unterkategorie "Manipulationsschutz". Wählen Sie anschließend die gewünschte Ebene aus.

Benutzerdefiniertes Profil

Alternativ können Sie den Manipulationsschutz auch über ein benutzerdefiniertes Profil konfigurieren. Weitere Informationen finden Sie unter Festlegen von Einstellungen für Microsoft Defender für Endpunkt unter macOS.

Hinweis

Für die Intune-Konfiguration können Sie eine neue Profilkonfigurationsdatei erstellen, um die Manipulationsschutzkonfiguration hinzuzufügen, oder Sie können diese Parameter dem vorhandenen Parameter hinzufügen. Wählen Sie die gewünschte Ebene aus.

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
    <dict>
        <key>PayloadUUID</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadType</key>
        <string>Configuration</string>
        <key>PayloadOrganization</key>
        <string>Microsoft</string>
        <key>PayloadIdentifier</key>
        <string>com.microsoft.wdav</string>
        <key>PayloadDisplayName</key>
        <string>Microsoft Defender for Endpoint settings</string>
        <key>PayloadDescription</key>
        <string>Microsoft Defender for Endpoint configuration settings</string>
        <key>PayloadVersion</key>
        <integer>1</integer>
        <key>PayloadEnabled</key>
        <true/>
        <key>PayloadRemovalDisallowed</key>
        <true/>
        <key>PayloadScope</key>
        <string>System</string>
        <key>PayloadContent</key>
        <array>
            <dict>
                <key>PayloadUUID</key>
                <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                <key>PayloadType</key>
                <string>com.microsoft.wdav</string>
                <key>PayloadOrganization</key>
                <string>Microsoft</string>
                <key>PayloadIdentifier</key>
                <string>com.microsoft.wdav</string>
                <key>PayloadDisplayName</key>
                <string>Microsoft Defender for Endpoint configuration settings</string>
                <key>PayloadDescription</key>
                <string/>
                <key>PayloadVersion</key>
                <integer>1</integer>
                <key>PayloadEnabled</key>
                <true/>
                <key>tamperProtection</key>
                <dict>
                             <key>enforcementLevel</key>
                             <string>block</string>
                </dict>
            </dict>
        </array>
    </dict>
</plist>

Überprüfen des Status

Überprüfen Sie den Status des Manipulationsschutzes, indem Sie den folgenden Befehl ausführen:

mdatp health --field tamper_protection

Das Ergebnis zeigt "Blockieren" an, wenn der Manipulationsschutz aktiviert ist:

Abbildung des Manipulationsschutzes im Blockmodus

Sie können auch vollständig mdatp health ausführen und in der Ausgabe nach dem "tamper_protection" suchen.

Führen Sie aus, um erweiterte Informationen zum Manipulationsschutzstatus zu erfahren mdatp health --details tamper_protection.

Überprüfen der Funktionen zum Schutz vor Manipulationen

Sie können auf verschiedene Weise überprüfen, ob der Manipulationsschutz aktiviert ist.

Überprüfen des Blockmodus

Manipulationswarnung wird im Microsoft Defender-Portal ausgelöst

Screenshot: Im Microsoft Defender-Portal ausgelöste Manipulationswarnung.

Überprüfen des Blockmodus und der Überwachungsmodi

  • Bei Verwendung der erweiterten Suche werden Manipulationswarnungen angezeigt.
  • Manipulationsereignisse finden Sie in den Protokollen des lokalen Geräts: sudo grep -F '[{tamperProtection}]' /Library/Logs/Microsoft/mdatp/microsoft_defender_core.log

Screenshot des Manipulationsschutzprotokolls.

DIY-Szenarien

  • Wenn der Manipulationsschutz auf "blockieren" festgelegt ist, versuchen Sie verschiedene Methoden zum Deinstallieren von Defender für Endpunkt. Ziehen Sie beispielsweise die App-Kachel in den Papierkorb, oder deinstallieren Sie den Manipulationsschutz über die Befehlszeile.

  • Versuchen Sie, den Defender für Endpunkt-Prozess zu beenden (beenden).

  • Versuchen Sie, Defender für Endpunkt-Dateien zu löschen, umzubenennen, zu ändern und zu verschieben (ähnlich wie ein böswilliger Benutzer), z. B.:

    • /Applications/Microsoft Defender.app/
    • /Library/LaunchDaemons/com.microsoft.fresno.plist
    • /Library/LaunchDaemons/com.microsoft.fresno.uninstall.plist
    • /Library/LaunchAgents/com.microsoft.wdav.tray.plist
    • /Library/Managed Preferences/com.microsoft.wdav.ext.plist
    • /Library/Managed Preferences/mdatp_managed.json
    • /Library/Managed Preferences/com.microsoft.wdav.atp.plist
    • /Library/Managed Preferences/com.microsoft.wdav.atp.offboarding.plist
    • /usr/local/bin/mdatp

Deaktivieren des Manipulationsschutzes

Sie können den Manipulationsschutz mit einer der folgenden Methoden deaktivieren.

Manuelle Konfiguration

Verwenden Sie den folgenden Befehl:

sudo mdatp config tamper-protection enforcement-level --value disabled

JAMF

Ändern Sie den enforcementLevel Wert in Ihrem Konfigurationsprofil in "deaktiviert", und pushen Sie ihn an das Gerät:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
  <dict>
    <key>tamperProtection</key>
    <dict>
      <key>enforcementLevel</key>
      <string>disabled</string>
    </dict>
  </dict>
</plist>

Intune

Fügen Sie in Ihrem Intune-Profil die folgende Konfiguration hinzu:

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1">
    <dict>
        <key>PayloadUUID</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadType</key>
        <string>Configuration</string>
        <key>PayloadOrganization</key>
        <string>Microsoft</string>
        <key>PayloadIdentifier</key>
        <string>com.microsoft.wdav</string>
        <key>PayloadDisplayName</key>
        <string>Microsoft Defender for Endpoint settings</string>
        <key>PayloadDescription</key>
        <string>Microsoft Defender for Endpoint configuration settings</string>
        <key>PayloadVersion</key>
        <integer>1</integer>
        <key>PayloadEnabled</key>
        <true/>
        <key>PayloadRemovalDisallowed</key>
        <true/>
        <key>PayloadScope</key>
        <string>System</string>
        <key>PayloadContent</key>
        <array>
            <dict>
                <key>PayloadUUID</key>
                <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                <key>PayloadType</key>
                <string>com.microsoft.wdav</string>
                <key>PayloadOrganization</key>
                <string>Microsoft</string>
                <key>PayloadIdentifier</key>
                <string>com.microsoft.wdav</string>
                <key>PayloadDisplayName</key>
                <string>Microsoft Defender for Endpoint configuration settings</string>
                <key>PayloadDescription</key>
                <string/>
                <key>PayloadVersion</key>
                <integer>1</integer>
                <key>PayloadEnabled</key>
                <true/>
                <key>tamperProtection</key>
                <dict>
                  <key>enforcementLevel</key>
                  <string>disabled</string>
                </dict>
            </dict>
        </array>
    </dict>
</plist>

Ausschlüsse

Hinweis

Verfügbar in version 101.98.71 oder höher.

Manipulationsschutz verhindert, dass ein macOS-Prozess Änderungen an den Ressourcen von Microsoft Defender vornimmt oder die Prozesse von Microsoft Defender beendet. Zu den geschützten Ressourcen gehören Installations- und Konfigurationsdateien.

Intern macht Microsoft Defender unter bestimmten Umständen Ausnahmen für bestimmte macOS-Prozesse. Beispielsweise kann macOS das Defender-Paket aktualisieren, wenn der Manipulationsschutz die Echtheit der Pakete überprüft. Es gibt auch andere Ausschlüsse. Beispielsweise kann der macOS-MDM-Prozess die verwalteten Konfigurationsdateien von Microsoft Defender ersetzen.

Es gibt Situationen, in denen ein globaler Administrator Defender auf allen oder einigen verwalteten Geräten neu starten muss. In der Regel erfolgt dies durch Erstellen und Ausführen einer JAMF-Richtlinie, die ein Skript auf Remotegeräten ausführt (oder ähnliche Vorgänge für andere MDM-Anbieter).

Um diese richtlinieninitiierte Vorgänge zu vermeiden, erkennt Microsoft Defender diese MDM-Richtlinienprozesse für JAMF und Intune und lässt Manipulationsvorgänge zu. Gleichzeitig verhindert der Manipulationsschutz, dass dasselbe Skript Microsoft Defender neu startet, wenn es lokal über ein Terminal gestartet wird.

Diese Richtlinienausführungsprozesse sind jedoch herstellerspezifisch. Obwohl Microsoft Defender integrierte Ausschlüsse für JAMF und Intune bereitstellt, kann es diese Ausschlüsse nicht für alle möglichen MDM-Anbieter bereitstellen. Stattdessen kann ein globaler Administrator eigene Ausschlüsse zum Manipulationsschutz hinzufügen. Ausschlüsse können nur über das MDM-Profil und nicht über die lokale Konfiguration erfolgen.

Dazu müssen Sie zunächst den Pfad zum MDM-Hilfsprozess ermitteln, der Richtlinien ausführt. Sie können dies tun, indem Sie die Dokumentation des MDM-Anbieters befolgen. Sie können auch eine Manipulation mit einer Testrichtlinie initiieren, eine Warnung im Sicherheitsportal erhalten, die Hierarchie der Prozesse untersuchen, die den Angriff initiiert haben, und den Prozess auswählen, der wie ein MDM-Hilfskandidat aussieht.

Nachdem der Prozesspfad identifiziert wurde, haben Sie einige Möglichkeiten zum Konfigurieren eines Ausschlusses:

  • Durch den Pfad selbst. Dies ist die einfachste (Sie haben diesen Pfad bereits) und die am wenigsten sichere Möglichkeit, dies zu tun, mit anderen Worten, nicht empfohlen.
  • Indem Sie die Signatur-ID aus der ausführbaren Datei abrufen, entweder TeamIdentifier oder Signaturbezeichner, indem Sie ausführen codesign -dv --verbose=4 path_to_helper (suchen Sie nach Bezeichner und TeamIdentifier, letzteres ist für apple-eigene Tools nicht verfügbar).)
  • Oder indem Sie eine Kombination dieser Attribute verwenden.

Beispiel:

codesign -dv --verbose=4 /usr/bin/ruby
Executable=/usr/bin/ruby
Identifier=com.apple.ruby
Format=Mach-O universal (x86_64 arm64e)
CodeDirectory v=20400 size=583 flags=0x0(none) hashes=13+2 location=embedded
Platform identifier=14
VersionPlatform=1
VersionMin=852992
VersionSDK=852992
Hash type=sha256 size=32
CandidateCDHash sha256=335c10d40db9417d80db87f658f6565018a4c3d6
CandidateCDHashFull sha256=335c10d40db9417d80db87f658f6565018a4c3d65ea3b850fc76c59e0e137e20
Hash choices=sha256
CMSDigest=335c10d40db9417d80db87f658f6565018a4c3d65ea3b850fc76c59e0e137e20
CMSDigestType=2
Executable Segment base=0
Executable Segment limit=16384
Executable Segment flags=0x1
Page size=4096
Launch Constraints:
  None
CDHash=335c10d40db9417d80db87f658f6565018a4c3d6
Signature size=4442
Authority=Software Signing
Authority=Apple Code Signing Certification Authority
Authority=Apple Root CA
Signed Time=Apr 15, 2023 at 4:45:52 AM
Info.plist=not bound
TeamIdentifier=not set
Sealed Resources=none
Internal requirements count=1 size=64

Konfigurieren Sie Einstellungen, z. B. für JAMF:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
  <dict>
    <key>tamperProtection</key>
    <dict>
      <key>enforcementLevel</key>
      <string>block</string>
      <key>exclusions</key>
      <array>
        <dict>
          <key>path</key>
          <string>/usr/bin/ruby</string>
          <key>teamId</key>
          <string/>
          <key>signingId</key>
          <string>com.apple.ruby</string>
          <key>args</key>
          <array>
            <string>/usr/local/bin/global_mdatp_restarted.rb</string>
          </array>
        </dict>
      </array>
    </dict>
  </dict>
</plist>

Beachten Sie, dass das Ausschließen eines Skriptinterpreters (wie Ruby aus dem obigen Beispiel) anstelle einer kompilierten ausführbaren Datei nicht sicher ist, da er jedes Beliebige Skript ausführen kann, nicht nur das Skript, das ein globaler Administrator verwendet.

Um das Risiko zu minimieren, empfehlen wir die Verwendung von extra args , damit nur bestimmte Skripts mit Skriptinterpretern ausgeführt werden können. Im obigen Beispiel ist es nur /usr/bin/ruby /usr/local/bin/global_mdatp_restarted.rb zulässig, Defender neu zu starten. Aber zum Beispiel /usr/bin/ruby /Library/Application Support/Global Manager/global_mdatp_restarted.rb sind oder sogar /usr/bin/ruby /usr/local/bin/global_mdatp_restarted.rb $USER nicht zulässig.

Warnung

Verwenden Sie immer die restriktivsten Kriterien, um unerwartete Angriffe zu verhindern!

Behandeln von Konfigurationsproblemen

Problem: Manipulationsschutz wird als deaktiviert gemeldet

Wenn die Ausführung des Befehls mdatp health meldet, dass der Manipulationsschutz deaktiviert ist, auch wenn Sie ihn aktiviert haben und seit dem Onboarding mehr als eine Stunde vergangen ist, können Sie überprüfen, ob Sie über die richtige Konfiguration verfügen, indem Sie den folgenden Befehl ausführen:

mdatp health --details tamper_protection
tamper_protection                           : "audit"
exclusions                                  : [{"path":"/usr/bin/ruby","team_id":"","signing_id":"com.apple.ruby","args":["/usr/local/bin/global_mdatp_restarted.rb"]}] [managed]
feature_enabled_protection                  : true
feature_enabled_portal                      : true
configuration_source                        : "local"
configuration_local                         : "audit"
configuration_portal                        : "block"
configuration_default                       : "audit"
configuration_is_managed                    : false
  • tamper_protection ist der effektive Modus. Wenn dieser Modus der Modus ist, den Sie verwenden möchten, sind Sie fertig.
  • configuration_source gibt an, wie die Erzwingungsstufe für den Manipulationsschutz festgelegt wird. Sie muss mit der Konfiguration des Manipulationsschutzes übereinstimmen. (Wenn Sie den Modus über ein verwaltetes Profil festlegen und configuration_source etwas anderes anzeigt, haben Sie Ihr Profil höchstwahrscheinlich falsch konfiguriert.)
    • mdm : Sie wird über ein verwaltetes Profil konfiguriert. Nur ein globaler Administrator kann dies mit einer Aktualisierung des Profils ändern!
    • local – Sie ist mit mdatp config dem Befehl konfiguriert.
    • portal – Im Sicherheitsportal festgelegte Standarderzwingungsstufe
    • defaults – nicht konfiguriert, der Standardmodus wird verwendet
  • Wenn feature_enabled_protection false ist, ist der Manipulationsschutz für Ihre Organisation nicht aktiviert (dies geschieht, wenn Defender nicht "lizenziert" meldet).
  • Wenn feature_enabled_portal false ist, ist das Festlegen des Standardmodus über das Sicherheitsportal für Sie noch nicht aktiviert.
  • configuration_local, configuration_portalgibt configuration_default den Modus an, der verwendet werden würde, wenn der entsprechende Konfigurationskanal verwendet wird. (Als Beispiel können Sie den Manipulationsschutz über ein MDM-Profil für den "Block"-Modus konfigurieren und configuration_default Sie auditdarüber informieren. Dies bedeutet nur, dass der Standardmodus auditverwendet wird, wenn Sie Ihr Profil entfernen und der Modus nicht mit mdatp config oder über das Sicherheitsportal festgelegt wurde.

Hinweis

Sie müssen die Protokolle von Microsoft Defender überprüfen, um die gleichen Informationen vor Version 101.98.71 zu erhalten. Im Folgenden sehen Sie ein Beispiel.

$ sudo grep -F '[{tamperProtection}]: Feature state:' /Library/Logs/Microsoft/mdatp/microsoft_defender_core.log | tail -n 1

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.