Szerkesztés

Megosztás a következőn keresztül:

Az illetéktelen módosítás elleni védelemmel kapcsolatos gyakori kérdések (GYIK)

  • GYIK

Érintett szolgáltatás:

Platformok

  • A Windows

Milyen eszközkövetelmények vonatkoznak az illetéktelen módosítás elleni védelem elérésére, ha az illetéktelen módosítás elleni védelem engedélyezve van a Microsoft Defender portálon?

Az eszközöknek meg kell felelniük az alábbi követelményeknek:

A Microsoft Defender portálon (https://security.microsoft.com) az illetéktelen módosítás elleni védelem kezeléséhez megfelelő engedélyekkel kell rendelkeznie a szerepkörök, például a biztonsági rendszergazda segítségével. (Lásd: Microsoft Defender XDR szerepköralapú hozzáférés-vezérlés (RBAC).)

A Windows mely verzióiban konfigurálhatom az illetéktelen módosítás elleni védelmet?

Ha a Configuration Manager 2006-os verzióját használja bérlői csatolással, az illetéktelen módosítás elleni védelem kiterjeszthető a Windows Server 2012 R2, a Windows Server 2016, a Windows Server 2019 és a Windows Server 2022 rendszerre. Lásd: Bérlő csatolása: Végpontbiztonsági víruskereső szabályzat létrehozása és telepítése a felügyeleti központból (előzetes verzió).

Befolyásolja az illetéktelen módosítás elleni védelem a Nem Microsoft víruskereső regisztrációját a Windows biztonsági alkalmazásban?

Nem. A nem Microsoft víruskereső ajánlatok továbbra is regisztrálva lesznek a Windows biztonsági alkalmazással.

Mi történik, ha a Microsoft Defender víruskereső nem aktív egy eszközön?

Ha egy eszközön nem Microsoft víruskereső/kártevőirtó szoftver van telepítve, az eszköz végponthoz készült Microsoft Defenderbe való előkészítésekor a Microsoft Defender víruskereső alapértelmezés szerint passzív módban fut. Az illetéktelen módosítás elleni védelem védi a szolgáltatást és annak funkcióit.

Ha nem Microsoft víruskereső/kártevőirtó szoftvert távolít el, a Microsoft Defender víruskereső automatikusan aktív módba vált. Az illetéktelen módosítás elleni védelem továbbra is védi a szolgáltatást és annak funkcióit.

Hogyan kapcsolhatom be vagy ki az illetéktelen módosítás elleni védelmet?

Javasoljuk, hogy a Microsoft Intune használatával kezelje a szervezet Microsoft Defender víruskereső beállításait. Az Intune-nal szabályzatokkal szabályozhatja, hogy hol engedélyezhető (vagy tiltható le) az illetéktelen hozzáférés elleni védelem. A Microsoft Defender víruskereső kizárásait is megvédheti. Lásd: Illetéktelen módosítás elleni védelem: Microsoft Defender víruskereső kizárásai.

Használhatja a Microsoft Defender portált vagy a Configuration Managert is.

Ha Ön otthoni felhasználó, olvassa el az Illetéktelen módosítás elleni védelem kezelése egy adott eszközön című témakört.

Az illetéktelen módosítás elleni védelem a beépített védelem része, és engedélyezni kell.

Vonatkozik az illetéktelen módosítás elleni védelem a Microsoft Defender víruskereső kizárására?

Igen, A Microsoft Defender víruskereső eszközökre vonatkozó kizárásainak védelméhez bizonyos feltételeknek teljesülniük kell. Például csak az Intune-t vagy a Configuration Managert kell használnia az eszközök kezeléséhez, és engedélyeznie kell a Segédet. Lásd: A Microsoft Defender víruskereső kizárásainak védelme.

Hogyan befolyásolja az Illetéktelen hozzáférés elleni védelem konfigurálása az Intune-ban, hogyan kezelem a Microsoft Defender víruskeresőt csoportházirenddel?

Ha jelenleg az Intune-t használja az illetéktelen módosítás elleni védelem konfigurálásához és kezeléséhez, folytassa az Intune használatát. Ha az illetéktelen módosítás elleni védelem be van kapcsolva, és csoportházirend használatával módosítja a Microsoft Defender víruskereső beállításait, az illetéktelen módosítás elleni védelemmel védett beállítások figyelmen kívül lesznek hagyva.

  • Ha módosítania kell egy eszközt, és az illetéktelen módosítás elleni védelem blokkolja ezeket a módosításokat, a hibaelhárítási mód használatával ideiglenesen letilthatja az illetéktelen módosítás elleni védelmet az eszközön. A hibaelhárítási mód befejeződése után az illetéktelen módosításokkal védett beállítások módosításai visszaállnak a konfigurált állapotukra.
  • Az Intune vagy a Configuration Manager használatával kizárhatja az eszközöket az illetéktelen hozzáférés elleni védelemből.
  • Ha az Intune-nal kezeli az illetéktelen módosítás elleni védelmet, és bizonyos egyéb feltételek teljesülnek, kezelheti az illetéktelen módosításokkal védett víruskereső kizárásait.

Ha a Microsoft Intune-t használjuk az illetéktelen módosítás elleni védelem konfigurálására, az csak a teljes szervezetre vonatkozik?

Ha az Intune-t használja az illetéktelen módosítás elleni védelem konfigurálásához és kezeléséhez, akkor nem feltétlenül kell illetéktelen módosítás elleni védelmet alkalmaznia a teljes szervezetre. Az Intune-nal dönthet úgy, hogy az illetéktelen módosítás elleni védelmet a teljes szervezetre alkalmazza, vagy kiválaszthat bizonyos eszközöket vagy felhasználói csoportokat az illetéktelen módosítás elleni védelemhez. Bizonyos eszközöket kizárhat az illetéktelen hozzáférés elleni védelemből is.

Milyen beállítások nem módosíthatók, ha az illetéktelen módosítás elleni védelem be van kapcsolva?

Ha az illetéktelen módosítás elleni védelem be van kapcsolva, a rendszer az alábbi biztonsági beállításokat védi a módosítástól:

  • A vírus- és veszélyforrások elleni védelem továbbra is engedélyezve marad.
  • A valós idejű védelem továbbra is be van kapcsolva.
  • A viselkedésfigyelés továbbra is be van kapcsolva.
  • A víruskeresők, köztük az IOfficeAntivirus (IOAV) továbbra is engedélyezve maradnak.
  • A felhővédelem továbbra is engedélyezve marad.
  • A biztonságiintelligencia-frissítések továbbra is érvényben maradnak.
  • A rendszer automatikus műveleteket hajt végre az észlelt fenyegetéseken.
  • Az értesítések a Windows-eszközök Windows biztonsági alkalmazásában láthatók.
  • A rendszer ellenőrzi az archivált fájlokat.

További információ: Mi történik, ha az illetéktelen módosítás elleni védelem be van kapcsolva?

Ha az illetéktelen módosítás elleni védelem be van kapcsolva a Microsoft Defender XDR-ben, felülírhatják az Intune vagy a Configuration Manager beállításai?

Ha az illetéktelen módosítás elleni védelem be van kapcsolva a Microsoft Defender portálon (https://security.microsoft.com), az illetéktelen módosítás elleni védelem be van kapcsolva, bérlői szintű. Az Intune-ban vagy a Configuration Managerben definiált szabályzatok azonban felülbírálhatják a beállításokat a Microsoft Defender portálon. Meghatározhat például egy szabályzatot az Intune-ban vagy a Configuration Managerben, amely kizár bizonyos eszközöket az illetéktelen hozzáférés elleni védelemből.

Hogyan helyezhetem üzembe a DisableLocalAdminMerge szolgáltatást?

A DisableLocalAdminMerge üzembe helyezéséhez használja az Intune-t.

Hogyan ellenőrizhetem, hogy a kizárások illetéktelen módosításokkal védettek-e egy Windows-eszközön?

Kövesse az illetéktelen hozzáféréssel védett víruskereső kizárásainak kezelése című témakör útmutatását.

Ha az illetéktelen módosítás elleni védelem be van kapcsolva a kizárások esetében, le kell tiltani, hogy új kizárási szabályzatbeállításokat alkalmazzak az Intune-ból vagy a Configuration Managerből?

Nem. Ha engedélyezve van a kizárások illetéktelen módosítás elleni védelme, nem kell letiltania az új kizárások alkalmazásához.

Konfigurálhatok illetéktelen módosítás elleni védelmet a Configuration Managerrel?

Igen, Az Intune-hoz hasonlóan az illetéktelen hozzáférés elleni védelmet a teljes szervezetre, illetve adott felhasználókra és eszközökre is alkalmazhatja. További információt a következő források tartalmaznak:

Nagyvállalati ügyfél vagyok. Módosíthatják a helyi rendszergazdák az illetéktelen módosítás elleni védelmet az eszközeiken?

Általánosságban elmondható, hogy az illetéktelen módosítás elleni védelem segít megvédeni a felhasználókat, hogy közvetlenül az eszközökön módosíthassák a biztonsági beállításokat. Az illetéktelen módosítás elleni védelem része az illetéktelen módosítás elleni képességeknek, amelyek magukban foglalják a szabványos védelmi támadásifelület-csökkentési szabályokat. Annak érdekében, hogy a kártevők ne fussanak a kernelben, fontolja meg az illesztőprogram-blokkolási szabályok használatát a Windows alkalmazásvezérlésével.

Mi történik, ha az eszközöm regisztrálva van a Végponthoz készült Microsoft Defenderben, majd ki van kapcsolva?

Ha egy eszköz ki van kapcsolva a Végponthoz készült Microsoft Defenderből, az illetéktelen módosítás elleni védelem be van kapcsolva, ami a nem felügyelt eszközök alapértelmezett állapota.

Ha az illetéktelen módosítás elleni védelem állapota megváltozik, megjelennek a riasztások a Microsoft Defender portálon?

A riasztásokat a Microsoft Defender portálRiasztások területén kell listázni. A biztonsági üzemeltetési csapat veszélyforrás-keresési lekérdezéseket is használhat, például az alábbi példát:

AlertInfo|where Title == "Tamper Protection bypass"

Milyen lehetőségek vannak az illetéktelen módosítás elleni védelem konfigurálására?

Az illetéktelen módosítás elleni védelem konfigurálásához az alábbi módszerek bármelyikét használhatja:

  • A Microsoft Defender portál (az illetéktelen módosítás elleni védelem be- vagy kikapcsolása, bérlőszintű)
  • Intune (az illetéktelen módosítás elleni védelem be- és kikapcsolása, és/vagy az illetéktelen módosítás elleni védelem konfigurálása néhány vagy az összes felhasználó számára)
  • Configuration Manager (bérlői csatolással konfigurálhatja az illetéktelen módosítás elleni védelmet egyes eszközökhöz vagy az összes eszközhöz a Windows biztonsági felület profiljának használatával).
  • Windows Biztonsági alkalmazás (az otthon használt különálló eszközökhöz, vagy olyan helyzetekhez, amikor egy biztonsági csapat nem kezeli az eszközt)

Megjegyzés:

Azt javasoljuk, hogy az illetéktelen módosítás elleni védelem be legyen kapcsolva a teljes szervezet számára. Ha az illetéktelen módosítás elleni védelem megakadályozza, hogy az informatikai vagy biztonsági csapat végrehajtsa a szükséges feladatokat az eszközön, fontolja meg a hibaelhárítási módot az illetéktelen módosítás elleni védelem letiltása helyett.