Veelgestelde vragen (VEELgestelde vragen) over manipulatiebeveiliging

Apparaten moeten voldoen aan alle volgende vereisten:

• Op apparaten moeten bepaalde versies van Windows of macOS worden uitgevoerd. (Zie Op welke apparaten kan manipulatiebeveiliging worden ingeschakeld?)
• Apparaten moeten worden toegevoegd aan Microsoft Defender voor Eindpunt.
• Apparaten moeten gebruikmaken van de antimalwareplatformversie 4.18.2010.7 (of hoger) en de versie 1.1.17600.5 van de antimalware-engine (of hoger). (Microsoft Defender Antivirus-updates beheren en basislijnen toepassen.)
• Cloudbeveiliging moet zijn ingeschakeld.

Als u manipulatiebeveiliging wilt beheren in de Microsoft Defender-portal (https://security.microsoft.com), moet u de juiste machtigingen hebben die zijn toegewezen via rollen, zoals Beveiligingsbeheerder. (Zie Op rollen gebaseerd toegangsbeheer (RBAC) van Microsoft Defender XDR.)

• Windows 11
• Windows 11 Enterprise multi-sessie
• Windows 10 OS 1709, 1803, 1809 of hoger, samen met Microsoft Defender voor Eindpunt.
• Windows 10 Enterprise multi-sessie

Als u Configuration Manager versie 2006 met tenantkoppeling gebruikt, kan manipulatiebeveiliging worden uitgebreid naar Windows Server 2012 R2, Windows Server 2016, Windows Server 2019 en Windows Server 2022. Zie Tenantkoppeling: Antivirusbeleid voor eindpuntbeveiliging maken en implementeren vanuit het beheercentrum (preview).

Nee. Niet-Microsoft Antivirus-aanbiedingen blijven worden geregistreerd bij de Windows-beveiligingstoepassing.

Als niet-Microsoft antivirus-/antimalwaresoftware op een apparaat is geïnstalleerd, wordt Microsoft Defender Antivirus standaard uitgevoerd in de passieve modus wanneer dat apparaat is onboarding naar Microsoft Defender for Endpoint. Manipulatiebeveiliging beschermt de service en de functies ervan.

Als/wanneer niet-Microsoft antivirus-/antimalwaresoftware wordt verwijderd, schakelt Microsoft Defender Antivirus automatisch over naar de actieve modus. Manipulatiebeveiliging blijft de service en de functies ervan beschermen.

We raden u aan Microsoft Intune te gebruiken voor het beheren van Microsoft Defender Antivirus-instellingen voor uw organisatie. Met Intune kunt u via beleid bepalen waar manipulatiebeveiliging wordt ingeschakeld (of uitgeschakeld). U kunt microsoft Defender Antivirus-uitsluitingen ook beveiligen. Zie Manipulatiebeveiliging: Microsoft Defender Antivirus-uitsluitingen.

U kunt ook de Microsoft Defender-portal of Configuration Manager gebruiken.

Als u een thuisgebruiker bent, raadpleegt u Manipulatiebeveiliging beheren op een afzonderlijk apparaat.

Manipulatiebeveiliging maakt deel uit van de ingebouwde beveiliging en moet worden ingeschakeld.

Ja. Als u Microsoft Defender Antivirus-uitsluitingen op apparaten wilt beveiligen, moet aan bepaalde voorwaarden worden voldaan. U moet bijvoorbeeld alleen Intune of Configuration Manager gebruiken om apparaten te beheren en u moet Sense hebben ingeschakeld. Zie Uitsluitingen van Microsoft Defender Antivirus beveiligen.

Als u momenteel Intune gebruikt voor het configureren en beheren van manipulatiebeveiliging, moet u Intune blijven gebruiken. Wanneer manipulatiebeveiliging is ingeschakeld en u groepsbeleid gebruikt om wijzigingen aan te brengen in de instellingen van Microsoft Defender Antivirus, worden alle instellingen die worden beveiligd door manipulatiebeveiliging genegeerd.

• Als u wijzigingen moet aanbrengen in een apparaat en deze wijzigingen worden geblokkeerd door manipulatiebeveiliging, kunt u de probleemoplossingsmodus gebruiken om manipulatiebeveiliging tijdelijk uit te schakelen op het apparaat. Nadat de probleemoplossingsmodus is beëindigd, worden alle wijzigingen in instellingen met manipulatiebeveiliging teruggezet naar de geconfigureerde status.
• U kunt Intune of Configuration Manager gebruiken om apparaten uit te sluiten van manipulatiebeveiliging.
• Als u manipulatiebeveiliging beheert via Intune en er aan bepaalde andere voorwaarden wordt voldaan, kunt u met manipulatie beveiligde antivirusuitsluitingen beheren.

Als u Intune gebruikt voor het configureren en beheren van manipulatiebeveiliging, hoeft u niet per se manipulatiebeveiliging toe te passen op uw hele organisatie. Met Intune kunt u ervoor kiezen om manipulatiebeveiliging toe te passen op uw hele organisatie, of u kunt specifieke apparaten of gebruikersgroepen selecteren om manipulatiebeveiliging te ontvangen. U kunt specifieke apparaten ook uitsluiten van manipulatiebeveiliging.

Wanneer manipulatiebeveiliging is ingeschakeld, kunnen de volgende beveiligingsinstellingen niet worden gewijzigd:

• Virus- en bedreigingsbeveiliging blijft ingeschakeld.
• Realtime-beveiliging blijft ingeschakeld.
• Gedragscontrole blijft ingeschakeld.
• Antivirusbeveiliging, waaronder IOfficeAntivirus (IOAV) blijft ingeschakeld.
• Cloudbeveiliging blijft ingeschakeld.
• Updates van beveiligingsinformatie blijven plaatsvinden.
• Er worden automatische acties uitgevoerd op gedetecteerde bedreigingen.
• Meldingen zijn zichtbaar in de App Windows-beveiliging op Windows-apparaten.
• Gearchiveerde bestanden worden gescand.

Zie Wat gebeurt er wanneer manipulatiebeveiliging is ingeschakeld? voor meer informatie.

Wanneer manipulatiebeveiliging is ingeschakeld in de Microsoft Defender-portal (https://security.microsoft.com), is manipulatiebeveiliging ingeschakeld, tenantbreed. Beleidsregels die zijn gedefinieerd in Intune of Configuration Manager, kunnen echter instellingen in de Microsoft Defender-portal overschrijven. U kunt bijvoorbeeld een beleid definiëren in Intune of Configuration Manager dat bepaalde apparaten uitsluit van manipulatiebeveiliging.

Gebruik Intune om DisableLocalAdminMerge te implementeren.

Volg de richtlijnen in Met manipulatie beveiligde antivirusuitsluitingen beheren.

Nee. Wanneer manipulatiebeveiliging voor uitsluitingen is ingeschakeld, hoeft u deze niet uit te schakelen om nieuwe uitsluitingen toe te passen.

Ja. Net als bij het gebruik van Intune kunt u manipulatiebeveiliging toepassen op uw hele organisatie of op specifieke gebruikers en apparaten. Zie de volgende hulpmiddelen voor meer informatie:

• Manipulatiebeveiliging beheren met Intune
• Manipulatiebeveiliging beheren met tenantkoppeling met Configuration Manager, versie 2006
• Tech Community-blog: Aankondiging van manipulatiebeveiliging voor Configuration Manager-tenantkoppelingsclients

Over het algemeen helpt manipulatiebeveiliging te voorkomen dat gebruikers beveiligingsinstellingen rechtstreeks op apparaten kunnen wijzigen. Manipulatiebeveiliging maakt deel uit van de mogelijkheden voor manipulatie tegen manipulatie, waaronder standaardbeveiligingsregels voor het verminderen van kwetsbaarheid voor aanvallen. Als u verder wilt voorkomen dat malware wordt uitgevoerd in de kernel, kunt u stuurprogrammablokkeringsregels gebruiken met Application Control voor Windows.

Als een apparaat is uitgeschakeld vanuit Microsoft Defender voor Eindpunt, is manipulatiebeveiliging ingeschakeld. Dit is de standaardstatus voor onbeheerde apparaten.

Waarschuwingen moeten worden vermeld in de Microsoft Defender-portal onder Waarschuwingen. Uw beveiligingsteam kan ook opsporingsquery's gebruiken, zoals het volgende voorbeeld:

AlertInfo|where Title == "Tamper Protection bypass"

U kunt een van de volgende methoden gebruiken om manipulatiebeveiliging te configureren:

• De Microsoft Defender-portal (manipulatiebeveiliging in- of uitschakelen, tenantbreed)
• Intune (manipulatiebeveiliging in- of uitschakelen en/of manipulatiebeveiliging configureren voor sommige of alle gebruikers)
• Configuration Manager (met tenantkoppeling kunt u manipulatiebeveiliging configureren voor sommige of alle apparaten met behulp van het Windows-beveiligingservaringsprofiel).
• Windows-beveiligings-app (voor een afzonderlijk apparaat dat thuis wordt gebruikt of in situaties waarin een beveiligingsteam uw apparaat niet beheert)