שתף דרך

נהל הגנה מפני טיפול שלא כדין עבור הארגון שלך באמצעות Microsoft Intune

  • חל על: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2, Microsoft Defender for Business, Microsoft Defender Antivirus

הגנה מפני טיפול שלא כדין עוזרת להגן על הגדרות אבטחה מסוימות, כגון הגנה מפני וירוסים ואיומים, מפני ביטול או שינוי. אם אתה חלק מצוות האבטחה של הארגון שלך ואתה משתמש ב- Microsoft Intune, באפשרותך לנהל את תכונת ההגנה מפני טיפול שלא כדין עבור הארגון שלך Intune הניהול. לחלופין, באפשרותך להשתמש Configuration Manager. באמצעות Intune או Configuration Manager, באפשרותך לבצע את המשימות הבאות:

חשוב

אם אתה משתמש ב- Microsoft Intune ניהול הגדרות של נקודות קצה של Defender עבור, הקפד להגדיר את DisableLocalAdminMerge ל במכשיריםtrue.

כאשר הגנה מפני טיפול שלא כדין מופעלת, לא ניתן לשנות הגדרות המוגנות מפני טיפול שלא כדין. כדי להימנע משיבוש חוויות ניהול, כולל Intune (ו- Configuration Manager), זכור ששינויים בהגדרות המוגנים מפני טיפול שלא כדין עשויים להיראות מצליחים, אך נחסמים על-ידי הגנה מפני טיפול שלא כדין. בהתאם לתרחיש הספציפי שלך, יש לך כמה אפשרויות זמינות:

  • אם עליך לבצע שינויים במכשיר, ותכונת ההגנה מפני טיפול שלא כדין חוסמת שינויים אלה, מומלץ להשתמש במצב פתרון בעיות כדי לבטל באופן זמני הגנה מפני טיפול שלא כדין במכשיר. לאחר שמצב פתרון הבעיות יסתיים, כל השינויים שבוצעו בהגדרות מוגנות שלא כדין יוחלו למצב שהוגדר עבורם.
  • באפשרותך להשתמש ב- Intune או Configuration Manager כדי לא לכלול מכשירים בהגנה מפני טיפול שלא כדין.
  • אם אתה מנהל הגנה מפני טיפול שלא כדין באמצעות Intune, באפשרותך לשנות אי-הכללות של אנטי-וירוס המוגנים שלא כדין.

דרישות מוקדמות

מערכות הפעלה נתמכות

  • Windows

דרישות לניהול הגנה מפני טיפול שלא כדין Intune

דרישה פרטים
תפקידים והרשאות דרושות לך הרשאות מתאימות שהוקצו לך באמצעות תפקידים, כגון מנהל אבטחה. ראה Microsoft Entra תפקידים בעלי Intune לגישה.
ניהול מכשירים הארגון שלך משתמש Configuration Manager או Intune כדי לנהל מכשירים. התקנים מנוהלים משותפים אינם נתמכים עבור תכונה זו.
Intune רישיונות Intune נדרשים רשיונות. ראה Microsoft Intune רישוי.
מערכת הפעלה מכשירי Windows חייבים לפעול בגירסה Windows 10 1709 ואילך או Windows 11. (לקבלת מידע נוסף אודות מהדורות, ראה מידע על מהדורות Windows.)

עבור Mac, ראה הגנה על הגדרות האבטחה של macOS באמצעות הגנה מפני טיפול שלא כדין.
בינת אבטחה עליך להשתמש בא אבטחת Windows עם בינת אבטחה מעודכנת לגירסה 1.287.60.0 (או גירסה מתקדמת יותר).
פלטפורמה נגד תוכנות זדוניות המכשירים חייבים להשתמש בגירסה של פלטפורמה נגד תוכנות 4.18.1906.3 זדוניות (או גירסה מתקדמת יותר) ובגירסה של מנוע למניעת 1.1.15500.X תוכנות זדוניות (או גירסה מתקדמת יותר). ראה ניהול Microsoft Defender אנטי-וירוס והחלת תוכניות בסיסיות.
מזהה Microsoft Entra דיירי Intune שלך ו- Defender for Endpoint חייבים לשתף את אותה Microsoft Entra תשתית.
Defender עבור Endpoint המכשירים שלך חייבים להיות מחוברים ל- Defender for Endpoint.

הערה

אם המכשירים אינם רשומים ל- Microsoft Defender עבור נקודת קצה, הגנה מפני טיפול שלא כדין מופיעה כ'לא ישים' עד להשלמת תהליך הצירוף. הגנה מפני טיפול שלא כדין עלולה לחסום שינויים בהגדרות אבטחה מסוימות. אם אתה רואה קוד שגיאה עם מזהה אירוע 5013, ראה סקירת יומני אירועים וקודים של שגיאות כדי לפתור בעיות באנטי Microsoft Defender אנטי-וירוס.

הפעלה או כיבוי של הגנה מפני טיפול שלא כדין Microsoft Intune

  1. במרכז הניהול Microsoft Intune, https://intune.microsoft.comעבור אל אבטחת נקודת קצה. על אבטחת נקודת הקצה | דף מבט כולל, בחר אנטי-וירוסבמקטע ניהול . לחלופין, כדי לעבור ישירות לאבטחת נקודת הקצה | דף אנטי-וירוס , השתמש ב- https://intune.microsoft.com/#view/Microsoft_Intune_Workflows/SecurityManagementMenu/~/antivirus.

  2. בכרטיסיה ' סיכום ' של אבטחת נקודת הקצה | בדף אנטי-וירוס, בחר צור מדיניות במקטע מדיניות AV .

  3. בתפריט הנשלף צור פרופיל שנפתח, קבע את תצורת ההגדרות הבאות:

    • פלטפורמה: בחר Windows.
    • פרופיל: בחר אבטחת Windows אישית.

    בחר צור.

  4. אשף יצירת המדיניות נפתח. בכרטיסיה יסודות , קבע את תצורת ההגדרות הבאות:

    • שם: הזן שם תיאורי ייחודי עבור המדיניות.
    • תיאור: הזן תיאור אופציונלי.

    בחר באפשרות הבא.

  5. בכרטיסיה הגדרות תצורה , הגנה מפני טיפול שלא כדין (מכשיר) זמינה במקטע Defender. בחר פועל ולאחר מכן בחר הבא.

    הפעלת הגנה מפני טיפול שלא כדין Intune

  6. בכרטיסיה תגיות טווח, תג הטווח בשם ברירת מחדל נבחר כברירת מחדל, אך באפשרותך להסיר אותו ולבחור תגי טווח קיימים אחרים. לאחר שתסיים, בחר הבא.

  7. בכרטיסיה מטלות , לחץ בתיבה, בחר כל המשתמשים , לחץ שוב בתיבה ולאחר מכן בחר כל המכשירים. ודא שערך סוג היעד הוא כלול עבור שניהם ולאחר מכן בחר הבא.

  8. בכרטיסיה סקירה + יצירה , אמת את ההגדרות ולאחר מכן בחר שמור.

הגנה מפני טיפול שלא כדין עבור אי הכללות של אנטי-וירוס

אם הארגון שלך הגדיר אי-הכללות עבור אנטי Microsoft Defender Antivirus, הגנה מפני טיפול שלא כדין מגנה על אי-הכללות אלה, בתנאי שכל התנאים הבאים מתקיימים:

תנאי קריטריונים
Microsoft Defender אישית המכשירים פועלים Microsoft Defender פלטפורמה 4.18.2211.5 ואילך. לקבלת מידע נוסף, ראה גירסאות חודשיות של פלטפורמה ומנוע.
DisableLocalAdminMerge הגדרת הגדרה זו נקראת גם מניעת מיזוג רשימה מקומית. DisableLocalAdminMergeיש להפוך לזמינות כדי שהגדרות שתצורתן נקבעה במכשיר לא ימוזגו עם פריטי מדיניות ארגוניים, כגון הגדרות ב- Intune. לקבלת מידע נוסף, ראה DisableLocalAdminMerge.
ניהול מכשירים המכשירים מנוהלים Intune בלבד, או מנוהלים עם Configuration Manager בלבד. יש להפעיל את החיישן.
פריטים שאינם נכללים באנטי-וירוס Microsoft Defender של אנטי-וירוס מנוהלים ב- Microsoft Intune או Configuration Manager. לקבלת מידע נוסף, ראה הגדרות עבור Microsoft Defender אנטי-וירוס ב- Microsoft Intune עבור מכשירי Windows.

פונקציונליות להגנה Microsoft Defender אנטי-וירוס מופעלת במכשירים. לקבלת מידע נוסף, ראה כיצד לקבוע אם אי-הכללות של אנטי-וירוס מוגנות שלא כדין במכשיר Windows.

הערה

לדוגמה, כאשר Configuration Manager אך ורק כדי לנהל פריטים שאינם נכללים והתנאים הנדרשים מתקיימים, אי-הכללות Configuration Manager מפני טיפול שלא כדין. במקרה זה, אין צורך לדחוף אי-הכללות של אנטי-וירוס באמצעות Microsoft Intune.

לקבלת מידע מפורט יותר אודות פריטים שאינם נכללים Microsoft Defender אנטי-וירוס, ראה פריטים שאינם נכללים Microsoft Defender עבור נקודת קצה ו- Microsoft Defender אנטי-וירוס.

כיצד לקבוע אם אי-הכללות של אנטי-וירוס מוגנות שלא כדין במכשיר Windows

באפשרותך להשתמש במפתח רישום כדי לקבוע אם הפונקציונליות להגנה על Microsoft Defender אנטי-וירוס זמינה. ההליך הבא מתאר כיצד להציג את מצב ההגנה מפני טיפול שלא כדין, אך לא לשנות אותו.

  1. במכשיר Windows, פתח את עורך הרישום. (מצב לקריאה בלבד הוא בסדר; אינך עורך את מפתח הרישום.)

  2. כדי לוודא שהמכשיר מנוהל על-ידי Intune על-ידי Configuration Manager בלבד, כאשר Sense מופעל, בדוק את ערכי מפתח הרישום הבאים:

    • ManagedDefenderProductType (ממוקם ב- Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender או ב- HKLM\SOFTWARE\Microsoft\Windows Defender)
    • EnrollmentStatus (ממוקם ב- Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SenseCM או ב- HKLM\SOFTWARE\Microsoft\SenseCM)

    הטבלה הבאה מסכמת את המשמעות של ערכי מפתח הרישום:

    ManagedDefenderProductType ערך EnrollmentStatus ערך משמעות הערך
    6 (כל ערך) המכשיר מנוהל עם Intune בלבד.
    (עומד בדרישות להגנה מפני אי-הכללה שלא כדין.)
    7 4 המכשיר מנוהל עם Configuration Manager.
    (עומד בדרישות להגנה מפני אי-הכללה שלא כדין.)
    7 3 המכשיר מנוהל במשותפים עם Configuration Manager ו- Intune.
    (אין תמיכה בהגנה מפני אי-הכללה שלא כדין.)
    ערך שאינו 6 או 7 (כל ערך) המכשיר אינו מנוהל על-ידי Intune בלבד או Configuration Manager בלבד.
    (פריטים שאינם נכללים אינם מוגנים מפני טיפול שלא כדין.)

  3. כדי לוודא שהגנת טיפול שלא כדין נפרסת ושפריטים שאינם נכללים מוגנים מפני טיפול שלא כדין, בדוק את TPExclusions מפתח הרישום (הממוקם ב- Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features או ב HKLM\SOFTWARE\Microsoft\Windows Defender\Features- ).

    TPExclusions משמעות הערך
    1 התנאים הנדרשים מתקיימים, והפונקציונליות החדשה להגנה על אי-הכללות זמינה במכשיר.
    (פריטים שאינם נכללים מוגנים מפני טיפול שלא כדין.)
    0 הגנה מפני טיפול שלא כדין אינה מגינה כעת על פריטים שאינם נכללים במכשיר.
    (אם כל הדרישות עומדות ומדינה זו נראית שגויה, פנה למחלקת התמיכה.)

זהירות

אל תשנה את הערך של מפתחות הרישום. השתמש בהליך הקודם לקבלת מידע בלבד. לשינוי מקשים אין כל השפעה אם הגנה מפני טיפול שלא כדין חלה על פריטים שאינם נכללים.

למידע נוסף

  • Last updated on