Szerkesztés

Az illetéktelen módosítás elleni védelemmel kapcsolatos gyakori kérdések (GYIK)

  • GYIK

Érintett szolgáltatás:

Platformok

  • A Windows

Milyen eszközkövetelmények vonatkoznak az illetéktelen módosítás elleni védelemre az eszközök eléréséhez, ha az illetéktelen módosítás elleni védelem engedélyezve van a Microsoft Defender portálon?

Az eszközöknek meg kell felelniük az alábbi követelményeknek:

Az illetéktelen módosítás elleni védelem Microsoft Defender portálon (https://security.microsoft.com) való kezeléséhez megfelelő engedélyekkel kell rendelkeznie a szerepkörök, például a globális rendszergazda vagy a biztonsági rendszergazda segítségével. (Lásd: Microsoft Defender XDR szerepköralapú hozzáférés-vezérlés (RBAC))

A Windows mely verzióiban konfigurálhatom az illetéktelen módosítás elleni védelmet?

Ha a bérlői csatolással rendelkező Configuration Manager 2006-os verzióját használja, az illetéktelen módosítás elleni védelem kiterjeszthető Windows Server 2012 R2, Windows Server 2016, Windows Server 2019 és Windows Server 2022 rendszerekre. Lásd: Bérlő csatolása: Létrehozás és telepítse a végpontbiztonsági víruskereső szabályzatot a felügyeleti központból (előzetes verzió).

Befolyásolja az illetéktelen módosítás elleni védelem a nem Microsoft víruskereső regisztrációját a Windows biztonság alkalmazásban?

Nem. A nem Microsoft víruskereső-ajánlatok továbbra is regisztrálva lesznek a Windows biztonság alkalmazásban.

Mi történik, ha Microsoft Defender víruskereső nem aktív az eszközön?

Ha egy eszközön nem Microsoft víruskereső/kártevőirtó szoftver van telepítve, az eszköz Végponthoz készült Microsoft Defender való előkészítésekor a Microsoft Defender víruskereső alapértelmezés szerint passzív módban fut. Az illetéktelen módosítás elleni védelem védi a szolgáltatást és annak funkcióit.

Ha nem Microsoft víruskereső/kártevőirtó szoftvert távolít el, Microsoft Defender víruskereső automatikusan aktív módba vált. Az illetéktelen módosítás elleni védelem továbbra is védi a szolgáltatást és annak funkcióit.

Hogyan be- vagy kikapcsolni az illetéktelen módosítás elleni védelmet?

Javasoljuk, hogy a Microsoft Intune használatával kezelje Microsoft Defender víruskereső beállításait a szervezetében. A Intune szabályzatokkal szabályozhatja, hogy az illetéktelen módosítás elleni védelem hol legyen engedélyezve (vagy tiltva). A víruskereső kizárásait Microsoft Defender is megvédheti. Lásd: Illetéktelen hozzáférés elleni védelem: Microsoft Defender víruskereső kizárásai.

A Microsoft Defender portált vagy a Configuration Manager is használhatja.

Ha Ön otthoni felhasználó, olvassa el az Illetéktelen módosítás elleni védelem kezelése egy adott eszközön című témakört.

Az illetéktelen módosítás elleni védelem a beépített védelem része, és engedélyezni kell.

Vonatkozik az illetéktelen módosítás elleni védelem Microsoft Defender víruskereső kizárásokra?

Új funkciókat vezetünk be az eszközök Microsoft Defender víruskereső kizárásainak védelme érdekében. Bizonyos feltételeknek teljesülniük kell. Például csak Intune vagy csak Configuration Manager kell használnia az eszközök kezeléséhez, és engedélyeznie kell a Segédet. Lásd: A Microsoft Defender víruskereső kizárásainak védelme.

Hogyan befolyásolja az illetéktelen módosítás elleni védelem konfigurálása Intune Csoportházirend Microsoft Defender víruskereső kezelését?

Ha jelenleg Intune használ az illetéktelen hozzáférés elleni védelem konfigurálásához és kezeléséhez, folytassa a Intune használatát. Ha az illetéktelen módosítás elleni védelem be van kapcsolva, és Csoportházirend használatával módosítja Microsoft Defender víruskereső beállításait, a program figyelmen kívül hagyja az illetéktelen módosítás elleni védelemmel ellátott beállításokat.

  • Ha módosítania kell egy eszközt, és az illetéktelen módosítás elleni védelem blokkolja ezeket a módosításokat, a hibaelhárítási mód használatával ideiglenesen letilthatja az illetéktelen módosítás elleni védelmet az eszközön. A hibaelhárítási mód befejeződése után az illetéktelen módosításokkal védett beállítások módosításai visszaállnak a konfigurált állapotukra.
  • A Intune vagy Configuration Manager használatával kizárhatja az eszközöket az illetéktelen hozzáférés elleni védelemből.
  • Ha az illetéktelen módosítás elleni védelmet Intune kezeli, és bizonyos egyéb feltételek teljesülnek, kezelheti az illetéktelen módosításokkal védett víruskereső kizárásait.

Ha Microsoft Intune használunk az illetéktelen módosítás elleni védelem konfigurálásához, az csak a teljes szervezetre vonatkozik?

Ha Intune használ az illetéktelen módosítás elleni védelem konfigurálásához és kezeléséhez, akkor nem feltétlenül kell illetéktelen módosítás elleni védelmet alkalmaznia a teljes szervezetre. A Intune dönthet úgy, hogy az illetéktelen módosítás elleni védelmet a teljes szervezetre alkalmazza, vagy kiválaszthat bizonyos eszközöket vagy felhasználói csoportokat az illetéktelen módosítás elleni védelemhez. Bizonyos eszközöket kizárhat az illetéktelen hozzáférés elleni védelemből is.

Milyen beállítások nem módosíthatók, ha az illetéktelen módosítás elleni védelem be van kapcsolva?

Ha az illetéktelen módosítás elleni védelem be van kapcsolva, a rendszer az alábbi biztonsági beállításokat védi a módosítástól:

  • A vírus- és veszélyforrások elleni védelem továbbra is engedélyezve marad.
  • A valós idejű védelem továbbra is be van kapcsolva.
  • A viselkedésfigyelés továbbra is be van kapcsolva.
  • A víruskeresők, köztük az IOfficeAntivirus (IOAV) továbbra is engedélyezve maradnak.
  • A felhővédelem továbbra is engedélyezve marad.
  • A biztonságiintelligencia-frissítések továbbra is érvényben maradnak.
  • A rendszer automatikus műveleteket hajt végre az észlelt fenyegetéseken.
  • Az értesítések a windowsos eszközökön az Windows biztonság alkalmazásban láthatók.
  • A rendszer ellenőrzi az archivált fájlokat.

További információ: Mi történik, ha az illetéktelen módosítás elleni védelem be van kapcsolva?

Ha az illetéktelen módosítás elleni védelem be van kapcsolva Microsoft Defender XDR, a beállítások felülbírálhatják azt Intune vagy Configuration Manager?

Ha az illetéktelen módosítás elleni védelem be van kapcsolva a Microsoft Defender portálon (https://security.microsoft.com), az illetéktelen módosítás elleni védelem be van kapcsolva, bérlői szintű. A Intune vagy Configuration Manager definiált szabályzatok azonban felülbírálhatják a beállításokat a Microsoft Defender portálon. Meghatározhat például egy szabályzatot Intune vagy Configuration Manager, amely kizár bizonyos eszközöket az illetéktelen hozzáférés elleni védelemből.

Hogyan disableLocalAdminMerge üzembe helyezését?

A DisableLocalAdminMerge üzembe helyezéséhez használja a Intune.

Hogyan ellenőrizhetem, hogy a kizárások illetéktelen módosításokkal védettek-e egy Windows-eszközön?

Kövesse az illetéktelen hozzáféréssel védett víruskereső kizárásainak kezelése című témakör útmutatását.

Ha az illetéktelen módosítás elleni védelem be van kapcsolva a kizárások esetében, le kell tiltani a Intune vagy Configuration Manager új kizárási szabályzatbeállításainak alkalmazásához?

Nem. Ha engedélyezve van a kizárások illetéktelen módosítás elleni védelme, nem kell letiltania az új kizárások alkalmazásához.

Konfigurálhatom az illetéktelen módosítás elleni védelmet a Configuration Manager?

Igen, A Intune használatához hasonlóan a teljes szervezetre, illetve adott felhasználókra és eszközökre is alkalmazhat illetéktelen módosítás elleni védelmet. További információt a következő források tartalmaznak:

Nagyvállalati ügyfél vagyok. Módosíthatják a helyi rendszergazdák az illetéktelen módosítás elleni védelmet az eszközeiken?

Általánosságban elmondható, hogy az illetéktelen módosítás elleni védelem segít megvédeni a felhasználókat, hogy közvetlenül az eszközökön módosíthassák a biztonsági beállításokat. Az illetéktelen módosítás elleni védelem része az illetéktelen módosítás elleni képességeknek, amelyek magukban foglalják a szabványos védelmi támadásifelület-csökkentési szabályokat. Annak érdekében, hogy a kártevők ne fussanak a kernelben, fontolja meg az illesztőprogram-blokkolási szabályok használatát a Windows alkalmazásvezérlésével.

Mi történik, ha az eszközömet Végponthoz készült Microsoft Defender regisztrálják, majd kiszállásos állapotba kerül?

Ha egy eszköz ki van kapcsolva Végponthoz készült Microsoft Defender, az illetéktelen módosítás elleni védelem be van kapcsolva, ami a nem felügyelt eszközök alapértelmezett állapota.

Ha az illetéktelen módosítás elleni védelem állapota megváltozik, megjelennek a riasztások az Microsoft Defender portálon?

A riasztásokat az Microsoft Defender portálRiasztások területén kell listázni.

A biztonsági üzemeltetési csapat veszélyforrás-keresési lekérdezéseket is használhat, például az alábbi példát:

AlertInfo|where Title == "Tamper Protection bypass"

Milyen lehetőségek vannak az illetéktelen módosítás elleni védelem konfigurálására?

Az illetéktelen módosítás elleni védelem konfigurálásához az alábbi módszerek bármelyikét használhatja:

  • A Microsoft Defender portál (az illetéktelen módosítás elleni védelem be- vagy kikapcsolása, bérlőszintű)
  • Intune (kapcsolja be vagy ki az illetéktelen módosítás elleni védelmet, és/vagy konfigurálja az illetéktelen módosítás elleni védelmet néhány vagy az összes felhasználó számára)
  • Configuration Manager (bérlői csatolással az Windows biztonság felületprofillal konfigurálhatja az illetéktelen módosítás elleni védelmet néhány vagy az összes eszközhöz).
  • Windows biztonság alkalmazás (az otthon használt különálló eszközökhöz, vagy olyan helyzetekhez, amikor a biztonsági csapat nem felügyeli az eszközt)

Megjegyzés:

Azt javasoljuk, hogy az illetéktelen módosítás elleni védelem be legyen kapcsolva a teljes szervezet számára. Ha az illetéktelen módosítás elleni védelem megakadályozza, hogy az informatikai vagy biztonsági csapat végrehajtsa a szükséges feladatokat az eszközön, fontolja meg a hibaelhárítási módot az illetéktelen módosítás elleni védelem letiltása helyett.