Der Manipulationsschutz verhindert, dass mein Sicherheitsteam ein Gerät verwaltet. Was sollen wir tun?
Wenn der Manipulationsschutz verhindert, dass Ihr IT- oder Sicherheitsteam eine erforderliche Aufgabe auf einem Gerät ausführt, sollten Sie den Problembehandlungsmodus verwenden. Nachdem der Problembehandlungsmodus beendet wurde, werden alle Änderungen, die an manipulationsgeschützten Einstellungen vorgenommen wurden, in den konfigurierten Zustand zurückgesetzt.
Änderungen an Microsoft Defender Antiviruseinstellungen mithilfe von Gruppenrichtlinie werden ignoriert. Warum geschieht dies, und was können wir dagegen tun?
Wenn Sie Gruppenrichtlinie verwenden, um Microsoft Defender Antivirus-Einstellungen zu verwalten, denken Sie daran, dass der Manipulationsschutz Änderungen an bestimmten Einstellungen in Microsoft Defender Antivirus blockieren kann. Wenn Sie Gruppenrichtlinie verwenden, um Änderungen an Microsoft Defender Antivireneinstellungen vorzunehmen und der Manipulationsschutz aktiviert ist, werden Änderungen an manipulationsgeschützten Einstellungen ignoriert. Weitere Informationen finden Sie unter Was geschieht, wenn der Manipulationsschutz aktiviert ist?
Abhängig von Ihrem jeweiligen Szenario stehen Ihnen mehrere Optionen zur Verfügung:
Wenn Sie Änderungen an einem Gerät vornehmen müssen und der Manipulationsschutz diese Änderungen blockiert, können Sie den Problembehandlungsmodus verwenden, um den Manipulationsschutz auf dem Gerät vorübergehend zu deaktivieren. Nachdem der Problembehandlungsmodus beendet wurde, werden alle Änderungen, die an manipulationsgeschützten Einstellungen vorgenommen wurden, in den konfigurierten Zustand zurückgesetzt.
Sie können Intune oder Configuration Manager verwenden, um Geräte vom Manipulationsschutz auszuschließen.
Wie schützen wir Ausschlüsse für Microsoft Defender Antivirus?
Stellen Sie sicher, dass alle folgenden Anforderungen erfüllt sind:
Geräte werden Windows Defender Plattform
4.18.2211.5oder höher ausgeführt. (Siehe Monatliche Plattform- und Engine-Versionen.)DisableLocalAdminMergeist aktiviert. (Siehe DisableLocalAdminMerge.)Manipulationsschutz wird über Intune bereitgestellt, und zum Verwalten von Geräten wird nur Intune verwendet.
Microsoft Defender Antivirusausschlüsse werden in Microsoft Intune verwaltet. (Weitere Informationen finden Sie unter Einstellungen für Microsoft Defender Antivirenrichtlinie in Microsoft Intune für Windows-Geräte.)
Vergewissern Sie sich, dass das Gerät nur Intune verwaltet. Wechseln Sie zu
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender(oderHKLM\SOFTWARE\Microsoft\Windows Defender), und suchen Sie nach einemREG_DWORDEintrag mit dem Namen ManagedDefenderProductType.Wenn ManagedDefenderProductType den Wert hat
6, wird das Gerät nur von Intune verwaltet (dieser Wert ist erforderlich, um Microsoft Defender Antivirusausschlüsse zu schützen).Wenn ManagedDefenderProductType den Wert aufweist
7, wird das Gerät komanagiert, z. B. durch Intune und Configuration Manager (dieser Wert gibt an, dass Ausschlüsse derzeit nicht manipulationsgeschützt sind).
Vergewissern Sie sich, dass der Manipulationsschutz bereitgestellt wurde und dass Microsoft Defender Antivirusausschlüsse geschützt sind. Wechseln Sie zu
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features(oderHKLM\SOFTWARE\Microsoft\Windows Defender\Features), und suchen Sie nach einemREG_DWORDEintrag namens TPExclusions.Wenn TPExclusions den Wert hat
1, sind alle erforderlichen Bedingungen erfüllt, und die neue Funktion zum Schützen von Ausschlüssen ist auf dem Gerät aktiviert. In diesem Fall sind Ausschlüsse manipulationssicher.Wenn TPExclusions den Wert hat
0, schützt der Manipulationsschutz derzeit keine Ausschlüsse auf dem Gerät. (Wenn Sie alle Anforderungen erfüllen und dieser Zustand falsch erscheint, wenden Sie sich an den Support.)
Achtung
Ändern Sie den Wert der Registrierungsschlüssel nicht. Verwenden Sie das vorangehende Verfahren nur für Informationen. Das Ändern von Schlüsseln hat keine Auswirkung darauf, ob der Manipulationsschutz für Ausschlüsse gilt.