Häufig gestellte Fragen (FAQs) zum Manipulationsschutz

Geräte müssen alle folgenden Anforderungen erfüllen:

• Auf Geräten müssen bestimmte Versionen von Windows oder macOS ausgeführt werden. (Weitere Informationen finden Sie unter Auf welchen Geräten kann der Manipulationsschutz aktiviert werden?)
• Geräte müssen in Microsoft Defender for Endpoint integriert werden.
• Geräte müssen eine Anti-Malware-Plattformversion 4.18.2010.7 (oder höher) und eine Antischadsoftware-Engine-Version 1.1.17600.5 (oder höher) verwenden. (Verwalten sie Microsoft Defender Antivirus-Updates, und wenden Sie Baselines an.)
• Der von der Cloud bereitgestellte Schutz muss aktiviert sein.

Zum Verwalten des Manipulationsschutzes im Microsoft Defender-Portal (https://security.microsoft.com) müssen Sie über die entsprechenden Berechtigungen verfügen, die über Rollen zugewiesen werden, z. B. globaler Administrator oder Sicherheitsadministrator. (Siehe Microsoft Defender XDR rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC).)

• Windows 11
• Windows 11 Enterprise Mehrfachsitzung
• Windows 10 Os 1709, 1803, 1809 oder höher zusammen mit Microsoft Defender for Endpoint.
• Windows 10 Enterprise für mehrere Sitzungen

Wenn Sie Configuration Manager Version 2006 mit Mandantenanfügung verwenden, kann der Manipulationsschutz auf Windows Server 2012 R2, Windows Server 2016, Windows Server 2019 und Windows Server 2022 erweitert werden. Weitere Informationen finden Sie unter Mandantenanfügung: Create und Bereitstellen der Endpunktsicherheits-Antivirenrichtlinie aus dem Admin Center (Vorschau).

Nein. Nicht-Microsoft Antivirus-Angebote werden weiterhin bei der Windows-Sicherheit-Anwendung registriert.

Wenn nicht von Microsoft stammende Antiviren-/Antischadsoftware auf einem Gerät installiert ist und dieses Gerät in Microsoft Defender for Endpoint integriert ist, wird Microsoft Defender Antivirus standardmäßig im passiven Modus ausgeführt. Manipulationsschutz schützt den Dienst und seine Features.

Wenn nicht von Microsoft stammende Antiviren-/Antischadsoftware deinstalliert wird, wechselt Microsoft Defender Antivirus automatisch in den aktiven Modus. Manipulationsschutz schützt den Dienst und seine Features weiterhin.

Es wird empfohlen, Microsoft Intune zu verwenden, um Microsoft Defender Antiviruseinstellungen für Ihre organization zu verwalten. Mit Intune können Sie über Richtlinien steuern, wo der Manipulationsschutz aktiviert (oder deaktiviert) wird. Sie können auch Microsoft Defender Antivirusausschlüsse schützen. Weitere Informationen finden Sie unter Manipulationsschutz: Microsoft Defender Antivirusausschlüsse.

Sie können auch das Microsoft Defender-Portal oder Configuration Manager verwenden.

Wenn Sie ein Heimbenutzer sind, lesen Sie Verwalten des Manipulationsschutzes auf einem einzelnen Gerät.

Der Manipulationsschutz ist Teil des integrierten Schutzes und sollte aktiviert werden.

Neue Funktionen werden jetzt eingeführt, um Microsoft Defender Antivirusausschlüsse auf Geräten zu schützen. Bestimmte Bedingungen müssen erfüllt sein. Sie müssen z. B. nur Intune oder nur Configuration Manager verwenden, um Geräte zu verwalten, und Sense muss aktiviert sein. Weitere Informationen finden Sie unter Schützen Microsoft Defender Antivirusausschlüsse.

Wenn Sie derzeit Intune zum Konfigurieren und Verwalten des Manipulationsschutzes verwenden, sollten Sie weiterhin Intune verwenden. Wenn der Manipulationsschutz aktiviert ist und Sie Gruppenrichtlinie verwenden, um Änderungen an Microsoft Defender Antiviruseinstellungen vorzunehmen, werden alle Einstellungen ignoriert, die durch Manipulationsschutz geschützt sind.

• Wenn Sie Änderungen an einem Gerät vornehmen müssen und diese Änderungen durch den Manipulationsschutz blockiert werden, können Sie den Problembehandlungsmodus verwenden, um den Manipulationsschutz auf dem Gerät vorübergehend zu deaktivieren. Nachdem der Problembehandlungsmodus beendet wurde, werden alle Änderungen, die an manipulationsgeschützten Einstellungen vorgenommen wurden, in den konfigurierten Zustand zurückgesetzt.
• Sie können Intune oder Configuration Manager verwenden, um Geräte vom Manipulationsschutz auszuschließen.
• Wenn Sie den Manipulationsschutz über Intune verwalten und bestimmte andere Bedingungen erfüllt sind, können Sie manipulationsgeschützte Antivirenausschlüsse verwalten.

Wenn Sie Intune zum Konfigurieren und Verwalten des Manipulationsschutzes verwenden, müssen Sie nicht unbedingt den Manipulationsschutz auf Ihre gesamte organization anwenden. Mit Intune können Sie den Manipulationsschutz auf Ihre gesamte organization anwenden oder bestimmte Geräte oder Benutzergruppen auswählen, die Manipulationsschutz erhalten sollen. Sie können auch bestimmte Geräte vom Manipulationsschutz ausschließen.

Wenn der Manipulationsschutz aktiviert ist, werden die folgenden Sicherheitseinstellungen vor Änderungen geschützt:

• Viren- und Bedrohungsschutz bleibt aktiviert.
• Der Echtzeitschutz bleibt aktiviert.
• Die Verhaltensüberwachung bleibt aktiviert.
• Antivirenschutz, einschließlich IOfficeAntivirus (IOAV) bleibt aktiviert.
• Der Cloudschutz bleibt aktiviert.
• Security Intelligence-Updates werden weiterhin ausgeführt.
• Bei erkannten Bedrohungen werden automatische Aktionen ausgeführt.
• Benachrichtigungen sind in der Windows-Sicherheit-App auf Windows-Geräten sichtbar.
• Archivierte Dateien werden gescannt.

Weitere Informationen finden Sie unter Was geschieht, wenn der Manipulationsschutz aktiviert ist?

Wenn der Manipulationsschutz im Microsoft Defender-Portal (https://security.microsoft.com) aktiviert ist, ist der Manipulationsschutz mandantenweit aktiviert. In Intune oder Configuration Manager definierte Richtlinien können jedoch Einstellungen im Microsoft Defender-Portal außer Kraft setzen. Sie können beispielsweise eine Richtlinie in Intune oder Configuration Manager definieren, die bestimmte Geräte vom Manipulationsschutz ausschließt.

Verwenden Sie Intune, um DisableLocalAdminMerge bereitzustellen.

Befolgen Sie die Anleitung unter Verwalten von manipulationsgeschützten Antivirenausschlüssen.

Nein. Wenn der Manipulationsschutz für Ausschlüsse aktiviert ist, müssen Sie ihn nicht deaktivieren, um neue Ausschlüsse anzuwenden.

Ja. Ähnlich wie bei der Verwendung von Intune können Sie manipulationsschutz auf Ihre gesamte organization oder auf bestimmte Benutzer und Geräte anwenden. Weitere Informationen finden Sie in den folgenden Ressourcen:

• Verwalten des Manipulationsschutzes mithilfe von Intune
• Verwalten des Manipulationsschutzes mithilfe der Mandantenanfügung mit Configuration Manager, Version 2006
• Tech Community-Blog: Ankündigung von Manipulationsschutz für Configuration Manager Mandantenanfügungsclients

Im Allgemeinen trägt der Manipulationsschutz dazu bei, dass Benutzer sicherheitseinstellungen direkt auf Geräten ändern können. Der Manipulationsschutz ist Teil der Anti-Manipulationsfunktionen, die Standardschutzregeln zur Verringerung der Angriffsfläche enthalten. Um die Ausführung von Schadsoftware im Kernel weiter zu verhindern, sollten Sie Treiberblockregeln mit der Anwendungssteuerung für Windows verwenden.

Wenn ein Gerät von Microsoft Defender for Endpoint ausgeschaltet ist, wird der Manipulationsschutz aktiviert, der standardstatus für nicht verwaltete Geräte.

Warnungen sollten im Microsoft Defender-Portal unter Warnungen aufgeführt werden.

Ihr Sicherheitsteam kann auch Hunting-Abfragen verwenden, z. B. das folgende Beispiel:

AlertInfo|where Title == "Tamper Protection bypass"

Sie können eine der folgenden Methoden verwenden, um den Manipulationsschutz zu konfigurieren:

• Das Microsoft Defender-Portal (Manipulationsschutz aktivieren oder deaktivieren, mandantenweit)
• Intune (Aktivieren oder Deaktivieren des Manipulationsschutzes und/oder Konfigurieren des Manipulationsschutzes für einige oder alle Benutzer)
• Configuration Manager (mit Mandantenanfügung können Sie den Manipulationsschutz für einige oder alle Geräte mithilfe des Windows-Sicherheit-Erfahrungsprofils konfigurieren).
• Windows-Sicherheit-App (für ein einzelnes Gerät, das zu Hause oder in Situationen verwendet wird, in denen ein Sicherheitsteam Ihr Gerät nicht verwaltet)