Verwalten des Manipulationsschutzes für Ihre organization mithilfe von Microsoft Intune
Gilt für:
- Microsoft Defender für Endpunkt Plan 1
- Microsoft Defender für Endpunkt Plan 2
- Microsoft Defender Antivirus
- Microsoft Defender für Unternehmen
- Microsoft 365 Business Premium
Plattformen
- Windows
Manipulationsschutz trägt dazu bei, dass bestimmte Sicherheitseinstellungen wie Viren- und Bedrohungsschutz deaktiviert oder geändert werden. Wenn Sie Teil des Sicherheitsteams Ihrer organization sind und Microsoft Intune verwenden, können Sie den Manipulationsschutz für Ihre organization im Intune Admin Center verwalten. Alternativ können Sie Configuration Manager verwenden. Mit Intune oder Configuration Manager haben Sie folgende Möglichkeiten:
- Aktivieren (oder deaktivieren) Sie den Manipulationsschutz für einige oder alle Geräte.
- Schützen Sie Microsoft Defender Antivirusausschlüsse vor Manipulation (bestimmte Anforderungen müssen erfüllt sein).
Wichtig
Wenn Sie Microsoft Intune verwenden, um Defender für Endpunkt-Einstellungen zu verwalten, stellen Sie sicher, dass Sie DisableLocalAdminMerge auf Geräten auf true festlegen.
Wenn der Manipulationsschutz aktiviert ist, können manipulationsgeschützte Einstellungen nicht geändert werden. Denken Sie daran, dass Änderungen an manipulationsgeschützten Einstellungen möglicherweise erfolgreich sind, aber tatsächlich durch manipulationsgeschützten Schutz blockiert werden, um zu vermeiden, dass verwaltungsrelevante Funktionen wie Intune (und Configuration Manager) nicht geändert werden können. Abhängig von Ihrem jeweiligen Szenario stehen Ihnen mehrere Optionen zur Verfügung:
- Wenn Sie Änderungen an einem Gerät vornehmen müssen und diese Änderungen durch den Manipulationsschutz blockiert werden, empfiehlt es sich, den Problembehandlungsmodus zu verwenden, um den Manipulationsschutz auf dem Gerät vorübergehend zu deaktivieren. Beachten Sie, dass alle Änderungen, die an manipulationsgeschützten Einstellungen vorgenommen wurden, nach Dem Beenden des Problembehandlungsmodus in den konfigurierten Zustand zurückgesetzt werden.
- Sie können Intune oder Configuration Manager verwenden, um Geräte vom Manipulationsschutz auszuschließen.
- Wenn Sie den Manipulationsschutz über Intune verwalten, können Sie manipulationsgeschützte Antivirenausschlüsse ändern.
Anforderungen für die Verwaltung des Manipulationsschutzes in Intune
| Anforderung | Details |
|---|---|
| Rollen und Berechtigungen | Sie müssen über geeignete Berechtigungen verfügen, die über Rollen zugewiesen werden, z. B. globaler Administrator oder Sicherheitsadministrator. Weitere Informationen finden Sie unter Microsoft Entra Rollen mit Intune Zugriff. |
| Geräteverwaltung | Ihr organization verwendet Intune zum Verwalten von Geräten. |
| Intune-Lizenzen | Intune Lizenzen sind erforderlich. Weitere Informationen finden Sie unter Microsoft Intune Lizenzierung. |
| Betriebssystem | Windows-Geräte müssen Windows 10 Version 1709 oder höher oder Windows 11 ausgeführt werden. (Weitere Informationen zu Releases finden Sie unter Windows-Releaseinformationen.) Für Mac finden Sie weitere Informationen unter Schützen von macOS-Sicherheitseinstellungen mit Manipulationsschutz. |
| Security Intelligence | Sie müssen Die Windows-Sicherheit mit Security Intelligence verwenden, die auf version 1.287.60.0 (oder höher) aktualisiert wurde. |
| Antischadsoftwareplattform | Geräte müssen eine Antischadsoftwareplattformversion 4.18.1906.3 (oder höher) und eine Antischadsoftware-Engine-Version 1.1.15500.X (oder höher) verwenden. Weitere Informationen finden Sie unter Verwalten Microsoft Defender Antivirenupdates und Anwenden von Baselines. |
| Microsoft Entra-ID | Ihre Intune- und Defender für Endpunkt-Mandanten müssen dieselbe Microsoft Entra Infrastruktur gemeinsam nutzen. |
| Defender für Endpunkt | Ihre Geräte müssen in Defender für Endpunkt integriert werden. |
Hinweis
Wenn Geräte nicht in Microsoft Defender for Endpoint registriert sind, wird der Manipulationsschutz als Nicht anwendbar angezeigt, bis der Onboardingprozess abgeschlossen ist. Der Manipulationsschutz kann verhindern, dass Änderungen an den Sicherheitseinstellungen vorgenommen werden. Wenn ein Fehlercode mit der Ereignis-ID 5013 angezeigt wird, lesen Sie Überprüfen von Ereignisprotokollen und Fehlercodes, um Probleme mit Microsoft Defender Antivirus zu beheben.
Aktivieren (oder Deaktivieren) des Manipulationsschutzes in Microsoft Intune
Wechseln Sie im Intune Admin Center zu Endpunktsicherheit>Antivirus, und wählen Sie dann + Create Richtlinie aus.
- Wählen Sie in der Liste PlattformWindows 10, Windows 11 und Windows Server aus.
- Wählen Sie in der Liste Profildie Option Windows-Sicherheit Erfahrung aus.
Create ein Profil, das die folgende Einstellung enthält:
- TamperProtection (Gerät): Ein
Schließen Sie die Auswahl von Optionen und Einstellungen für Ihre Richtlinie ab.
Stellen Sie die Richtlinie auf Geräten bereit.
Manipulationsschutz für Antivirenausschlüsse
Wenn für Ihre organization Ausschlüsse für Microsoft Defender Antivirus definiert sind, schützt der Manipulationsschutz diese Ausschlüsse, sofern alle folgenden Bedingungen erfüllt sind:
| Bedingung | Kriterien |
|---|---|
| Microsoft Defender-Plattform | Geräte werden Microsoft Defender Plattform 4.18.2211.5 oder höher ausgeführt. Weitere Informationen finden Sie unter Monatliche Plattform- und Engine-Versionen. |
DisableLocalAdminMerge Einstellung |
Diese Einstellung wird auch als Verhindern des Zusammenführens lokaler Listen bezeichnet. DisableLocalAdminMergeist aktiviert, sodass auf einem Gerät konfigurierte Einstellungen nicht mit organization Richtlinien zusammengeführt werden, z. B. Einstellungen in Intune. Weitere Informationen finden Sie unter DisableLocalAdminMerge. |
| Geräteverwaltung | Geräte werden entweder nur in Intune oder nur mit Configuration Manager verwaltet. Sense muss aktiviert sein. |
| Antivirusausschlüsse | Microsoft Defender Antivirusausschlüsse werden in Microsoft Intune verwaltet. Weitere Informationen finden Sie unter Einstellungen für Microsoft Defender Antivirusrichtlinie in Microsoft Intune für Windows-Geräte. Funktionen zum Schutz Microsoft Defender Antivirusausschlüsse sind auf Geräten aktiviert. Weitere Informationen finden Sie unter Ermitteln, ob Antivirenausschlüsse auf einem Windows-Gerät manipulationssicher sind. |
Tipp
Ausführlichere Informationen zu Microsoft Defender Antivirusausschlüssen finden Sie unter Ausschlüsse für Microsoft Defender for Endpoint und Microsoft Defender Antivirus.
Ermitteln, ob Antivirenausschlüsse auf einem Windows-Gerät manipulationssicher sind
Sie können einen Registrierungsschlüssel verwenden, um zu bestimmen, ob die Funktionalität zum Schutz Microsoft Defender Antivirusausschlüsse aktiviert ist. Im folgenden Verfahren wird beschrieben, wie Sie den Manipulationsschutz status anzeigen, aber nicht ändern.
Öffnen Sie auf einem Windows-Gerät registrierungs Editor. (Schreibgeschützter Modus ist in Ordnung. Sie bearbeiten den Registrierungsschlüssel nicht.)
Um zu bestätigen, dass das Gerät nur von Intune oder nur von Configuration Manager verwaltet wird, wenn Sense aktiviert ist, überprüfen Sie die folgenden Registrierungsschlüsselwerte:
ManagedDefenderProductType(befindet sich beiComputer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows DefenderoderHKLM\SOFTWARE\Microsoft\Windows Defender)EnrollmentStatus(befindet sich beiComputer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SenseCModerHKLM\SOFTWARE\Microsoft\SenseCM)
In der folgenden Tabelle wird zusammengefasst, was die Registrierungsschlüsselwerte bedeuten:
ManagedDefenderProductType-WertEnrollmentStatus-WertBedeutung des Werts 6(beliebiger Wert) Das Gerät wird nur von Intune verwaltet.
(Erfüllt die Anforderung, dass Ausschlüsse manipulationssicher sind.)74Das Gerät wird von Configuration Manager verwaltet.
(Erfüllt die Anforderung, dass Ausschlüsse manipulationssicher sind.)Ein anderer Wert als 6oder7(beliebiger Wert) Das Gerät wird nicht nur von Intune oder nur Configuration Manager verwaltet.
(Ausschlüsse sind nicht manipulationssicher.)Überprüfen Sie den
TPExclusionsRegistrierungsschlüssel (unterComputer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\FeaturesoderHKLM\SOFTWARE\Microsoft\Windows Defender\Features), um zu bestätigen, dass der Manipulationsschutz bereitgestellt wurde und dass Ausschlüsse manipulationssicher sind.TPExclusionsBedeutung des Werts 1Die erforderlichen Bedingungen sind erfüllt, und die neue Funktion zum Schutz von Ausschlüssen ist auf dem Gerät aktiviert.
(Ausschlüsse sind manipulationssicher.)0Der Manipulationsschutz schützt derzeit keine Ausschlüsse auf dem Gerät.
(Wenn alle Anforderungen erfüllt sind und dieser Zustand falsch erscheint, wenden Sie sich an den Support.)
Achtung
Ändern Sie den Wert der Registrierungsschlüssel nicht. Verwenden Sie das vorangehende Verfahren nur für Informationen. Das Ändern von Schlüsseln hat keine Auswirkung darauf, ob der Manipulationsschutz für Ausschlüsse gilt.
Siehe auch
- Häufig gestellte Fragen (FAQs) zum Manipulationsschutz
- Defender für Endpunkt auf Nicht-Windows-Geräten
- Behandeln von Problemen mit dem Manipulationsschutz
- Verwalten von Microsoft Defender for Endpoint auf Geräten mit Microsoft Intune
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für