Manipuleringsbeskyttelse hindrer sikkerhetsteamet i å administrere en enhet. Hva skal vi gjøre?
Hvis IT- eller sikkerhetsteamet hindres i å utføre en nødvendig oppgave på en enhet, kan du vurdere å bruke feilsøkingsmodus. Når feilsøkingsmodusen er over, tilbakestilles eventuelle endringer i innstillinger som er beskyttet av manipulering, til konfigurert tilstand.
Endringer i Microsoft Defender antivirusinnstillinger ved hjelp av gruppepolicy ignoreres. Hvorfor skjer dette, og hva kan vi gjøre med det?
Hvis du bruker gruppepolicy til å administrere antivirusinnstillingene Microsoft Defender, må du huske på at beskyttelse av manipulering kan blokkere endringer i bestemte innstillinger i Microsoft Defender Antivirus. Når du bruker gruppepolicy til å gjøre endringer i Microsoft Defender antivirusinnstillinger og beskyttelsen mot manipulering er aktivert, ignoreres endringer i innstillinger som er beskyttet av manipulering. Hvis du vil ha mer informasjon, kan du se Hva skjer når manipuleringsbeskyttelse er aktivert?
Avhengig av hvilket scenario du har, har du flere tilgjengelige alternativer:
Hvis du må gjøre endringer i en enhet og beskyttelse mot manipulering blokkerer disse endringene, kan du bruke feilsøkingsmodus til midlertidig å deaktivere beskyttelse av manipulering på enheten. Når feilsøkingsmodusen er over, tilbakestilles eventuelle endringer i innstillinger som er beskyttet av manipulering, til konfigurert tilstand.
Du kan bruke Intune eller Configuration Manager til å utelate enheter fra beskyttelse mot manipulering.
Hvordan beskytter vi utelukkelser for Microsoft Defender Antivirus?
Kontroller at alle følgende krav er oppfylt:
Enheter kjører Windows Defender-plattform
4.18.2211.5
eller nyere. (Se månedlige plattform- og motorversjoner.)DisableLocalAdminMerge
er aktivert. (Se DisableLocalAdminMerge.)Manipuleringsbeskyttelse distribueres gjennom Intune, og bare Intune brukes til å administrere enheter.
Microsoft Defender Antivirus-utelatelser administreres i Microsoft Intune. (Se Innstillinger for Microsoft Defender antiviruspolicy i Microsoft Intune for Windows-enheter.)
Bekreft at bare Intune administrerer enheten. Gå til
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender
(ellerHKLM\SOFTWARE\Microsoft\Windows Defender
), og se etter enREG_DWORD
oppføring kalt ManagedDefenderProductType.Hvis ManagedDefenderProductType har verdien
6
, administreres enheten bare av Intune (denne verdien kreves for å beskytte Microsoft Defender antivirusutelukkelser).Hvis ManagedDefenderProductType har verdien
7
, administreres enheten samtidig, for eksempel ved Intune og Configuration Manager (denne verdien angir at utelatelser for øyeblikket ikke er ulovlig beskyttet).
Bekreft at manipuleringsbeskyttelse er distribuert, og at Microsoft Defender antivirusutelukkelser er beskyttet. Gå til
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features
(ellerHKLM\SOFTWARE\Microsoft\Windows Defender\Features
), og se etter enREG_DWORD
oppføring kalt TPExclusions.Hvis TPExclusions har en verdi på
1
, oppfylles alle nødvendige betingelser, og den nye funksjonaliteten for å beskytte utelatelser er aktivert på enheten. I dette tilfellet er utelukkelser manipuleringsbeskyttet.Hvis TPExclusions har en verdi av
0
, beskytter ikke manipuleringsbeskyttelse for øyeblikket utelukkelser på enheten. (Hvis du oppfyller alle kravene og denne tilstanden virker feil, kontakter du kundestøtte.)
Forsiktig!
Ikke endre verdien for registernøklene. Bruk den foregående prosedyren bare for informasjon. Endring av nøkler har ingen innvirkning på om manipuleringsbeskyttelse gjelder for unntak.