Häufig gestellte Fragen (FAQs) zum Manipulationsschutz

Geräte müssen alle folgenden Anforderungen erfüllen:

• Auf Geräten müssen bestimmte Versionen von Windows oder macOS ausgeführt werden. (Weitere Informationen finden Sie unter Auf welchen Geräten kann der Manipulationsschutz aktiviert werden?)
• Geräte müssen in Microsoft Defender für Endpunkt integriert werden.
• Geräte müssen eine Anti-Malware-Plattformversion 4.18.2010.7 (oder höher) und eine Antischadsoftware-Engine-Version 1.1.17600.5 (oder höher) verwenden. (Verwalten von Microsoft Defender Antivirus-Updates und Anwenden von Baselines.)
• Der von der Cloud bereitgestellte Schutz muss aktiviert sein.

Um den Manipulationsschutz im Microsoft Defender-Portal (https://security.microsoft.com) zu verwalten, müssen Sie über die entsprechenden Berechtigungen verfügen, die über Rollen zugewiesen werden, z. B. Sicherheitsadministrator. (Weitere Informationen finden Sie unter Rollenbasierte Zugriffssteuerung (RBAC) für Microsoft Defender XDR.)

• Windows 11
• Windows 11 Enterprise Mehrfachsitzung
• Windows 10 OS 1709, 1803, 1809 oder höher zusammen mit Microsoft Defender für Endpunkt.
• Windows 10 Enterprise für mehrere Sitzungen

Wenn Sie Configuration Manager, Version 2006, mit Mandantenanfügung verwenden, kann der Manipulationsschutz auf Windows Server 2012 R2, Windows Server 2016, Windows Server 2019 und Windows Server 2022 erweitert werden. Weitere Informationen finden Sie unter Mandantenanfügung: Erstellen und Bereitstellen der Endpunktsicherheits-Antivirenrichtlinie im Admin Center (Vorschauversion).

Nein Nicht-Microsoft Antivirus-Angebote werden weiterhin bei der Windows-Sicherheitsanwendung registriert.

Wenn nicht von Microsoft stammende Antiviren-/Antischadsoftware auf einem Gerät installiert ist und dieses Gerät in Microsoft Defender für Endpunkt integriert ist, wird Microsoft Defender Antivirus standardmäßig im passiven Modus ausgeführt. Manipulationsschutz schützt den Dienst und seine Features.

Wenn nicht von Microsoft stammende Antiviren-/Antischadsoftware deinstalliert wird, wechselt Microsoft Defender Antivirus automatisch in den aktiven Modus. Manipulationsschutz schützt den Dienst und seine Features weiterhin.

Es wird empfohlen, Microsoft Intune zum Verwalten von Microsoft Defender Antivirus-Einstellungen für Ihre Organisation zu verwenden. Mit Intune können Sie über Richtlinien steuern, wo der Manipulationsschutz aktiviert (oder deaktiviert) wird. Sie können auch Microsoft Defender Antivirus-Ausschlüsse schützen. Weitere Informationen finden Sie unter Manipulationsschutz: Microsoft Defender Antivirus-Ausschlüsse.

Sie können auch das Microsoft Defender-Portal oder Configuration Manager verwenden.

Wenn Sie ein Heimbenutzer sind, lesen Sie Verwalten des Manipulationsschutzes auf einem einzelnen Gerät.

Der Manipulationsschutz ist Teil des integrierten Schutzes und sollte aktiviert werden.

Ja. Um Microsoft Defender Antivirus-Ausschlüsse auf Geräten zu schützen, müssen bestimmte Bedingungen erfüllt sein. Beispielsweise müssen Sie nur Intune oder Configuration Manager verwenden, um Geräte zu verwalten, und Sense muss aktiviert sein. Weitere Informationen finden Sie unter Schützen von Microsoft Defender Antivirus-Ausschlüssen.

Wenn Sie derzeit Intune zum Konfigurieren und Verwalten des Manipulationsschutzes verwenden, sollten Sie Intune weiterhin verwenden. Wenn der Manipulationsschutz aktiviert ist und Sie gruppenrichtlinien verwenden, um Änderungen an den Einstellungen von Microsoft Defender Antivirus vorzunehmen, werden alle Einstellungen ignoriert, die durch Manipulationsschutz geschützt sind.

• Wenn Sie Änderungen an einem Gerät vornehmen müssen und diese Änderungen durch den Manipulationsschutz blockiert werden, können Sie den Problembehandlungsmodus verwenden, um den Manipulationsschutz auf dem Gerät vorübergehend zu deaktivieren. Nachdem der Problembehandlungsmodus beendet wurde, werden alle Änderungen, die an manipulationsgeschützten Einstellungen vorgenommen wurden, in den konfigurierten Zustand zurückgesetzt.
• Sie können Intune oder Configuration Manager verwenden, um Geräte vom Manipulationsschutz auszuschließen.
• Wenn Sie den Manipulationsschutz über Intune verwalten und bestimmte andere Bedingungen erfüllt sind, können Sie manipulationsgeschützte Antivirenausschlüsse verwalten.

Wenn Sie Intune zum Konfigurieren und Verwalten des Manipulationsschutzes verwenden, müssen Sie nicht unbedingt den Manipulationsschutz auf Ihre gesamte Organisation anwenden. Mit Intune können Sie den Manipulationsschutz auf Ihre gesamte Organisation anwenden oder bestimmte Geräte oder Benutzergruppen auswählen, die Manipulationsschutz erhalten sollen. Sie können auch bestimmte Geräte vom Manipulationsschutz ausschließen.

Wenn der Manipulationsschutz aktiviert ist, werden die folgenden Sicherheitseinstellungen vor Änderungen geschützt:

• Viren- und Bedrohungsschutz bleibt aktiviert.
• Der Echtzeitschutz bleibt aktiviert.
• Die Verhaltensüberwachung bleibt aktiviert.
• Antivirenschutz, einschließlich IOfficeAntivirus (IOAV) bleibt aktiviert.
• Der Cloudschutz bleibt aktiviert.
• Security Intelligence-Updates werden weiterhin ausgeführt.
• Bei erkannten Bedrohungen werden automatische Aktionen ausgeführt.
• Benachrichtigungen werden in der Windows-Sicherheits-App auf Windows-Geräten angezeigt.
• Archivierte Dateien werden gescannt.

Weitere Informationen finden Sie unter Was geschieht, wenn der Manipulationsschutz aktiviert ist?

Wenn der Manipulationsschutz im Microsoft Defender-Portal (https://security.microsoft.com) aktiviert ist, ist der Manipulationsschutz mandantenweit aktiviert. In Intune oder Configuration Manager definierte Richtlinien können jedoch Einstellungen im Microsoft Defender-Portal außer Kraft setzen. Sie können beispielsweise eine Richtlinie in Intune oder Configuration Manager definieren, die bestimmte Geräte vom Manipulationsschutz ausschließt.

Verwenden Sie Intune, um DisableLocalAdminMerge bereitzustellen.

Befolgen Sie die Anleitung unter Verwalten von manipulationsgeschützten Antivirenausschlüssen.

Nein Wenn der Manipulationsschutz für Ausschlüsse aktiviert ist, müssen Sie ihn nicht deaktivieren, um neue Ausschlüsse anzuwenden.

Ja. Ähnlich wie bei der Verwendung von Intune können Sie den Manipulationsschutz auf Ihre gesamte Organisation oder auf bestimmte Benutzer und Geräte anwenden. Weitere Informationen finden Sie in den folgenden Ressourcen:

• Verwalten des Manipulationsschutzes mit Intune
• Verwalten des Manipulationsschutzes mithilfe der Mandantenanfügung mit Configuration Manager, Version 2006
• Tech Community-Blog: Ankündigung von Manipulationsschutz für Configuration Manager-Mandantenanfügungsclients

Im Allgemeinen trägt der Manipulationsschutz dazu bei, dass Benutzer sicherheitseinstellungen direkt auf Geräten ändern können. Der Manipulationsschutz ist Teil der Anti-Manipulationsfunktionen, die Standardschutzregeln zur Verringerung der Angriffsfläche enthalten. Um die Ausführung von Schadsoftware im Kernel weiter zu verhindern, sollten Sie Treiberblockregeln mit der Anwendungssteuerung für Windows verwenden.

Wenn ein Gerät von Microsoft Defender für Endpunkt deaktiviert ist, wird der Manipulationsschutz aktiviert, der standardstatus für nicht verwaltete Geräte.

Warnungen sollten im Microsoft Defender-Portal unter Warnungen aufgeführt werden. Ihr Sicherheitsteam kann auch Hunting-Abfragen verwenden, z. B. das folgende Beispiel:

AlertInfo|where Title == "Tamper Protection bypass"

Sie können eine der folgenden Methoden verwenden, um den Manipulationsschutz zu konfigurieren:

• Das Microsoft Defender-Portal (Manipulationsschutz aktivieren oder deaktivieren, mandantenweit)
• Intune (Manipulationsschutz aktivieren oder deaktivieren und/oder Manipulationsschutz für einige oder alle Benutzer konfigurieren)
• Configuration Manager (mit Mandantenanfügung können Sie den Manipulationsschutz für einige oder alle Geräte mithilfe des Windows-Sicherheitserfahrungsprofils konfigurieren).
• Windows-Sicherheits-App (für ein einzelnes Gerät, das zu Hause oder in Situationen verwendet wird, in denen ein Sicherheitsteam Ihr Gerät nicht verwaltet)