Edytuj

Udostępnij za pośrednictwem

Często zadawane pytania dotyczące ochrony przed naruszeniami

  • Często zadawane pytania

Dotyczy:

Platformy

  • System Windows

Jakie są wymagania dotyczące urządzeń w zakresie ochrony przed naruszeniami w celu dotarcia do urządzeń po włączeniu ochrony przed naruszeniami w portalu usługi Microsoft Defender?

Urządzenia muszą spełniać wszystkie następujące wymagania:

Aby zarządzać ochroną przed naruszeniami w portalu usługi Microsoft Defender (https://security.microsoft.com), musisz mieć odpowiednie uprawnienia przypisane za pośrednictwem ról, takich jak administrator zabezpieczeń. (Zobacz Kontrola dostępu oparta na rolach (RBAC) w usłudze Microsoft Defender XDR.

W jakich wersjach systemu Windows można skonfigurować ochronę przed naruszeniami?

Jeśli używasz programu Configuration Manager w wersji 2006 z dołączeniem dzierżawy, ochronę przed naruszeniami można rozszerzyć na systemy Windows Server 2012 R2, Windows Server 2016, Windows Server 2019 i Windows Server 2022. Zobacz Dołączanie dzierżawy: Tworzenie i wdrażanie zasad ochrony antywirusowej zabezpieczeń punktu końcowego z centrum administracyjnego (wersja zapoznawcza).

Czy ochrona przed naruszeniami ma wpływ na rejestrację oprogramowania antywirusowego innej niż Microsoft w aplikacji Zabezpieczenia systemu Windows?

L.p. Oferty programów antywirusowych innych niż Microsoft nadal rejestrują się w aplikacji Windows Security.

Co się stanie, jeśli program antywirusowy Microsoft Defender nie jest aktywny na urządzeniu?

Jeśli oprogramowanie antywirusowe/chroniące przed złośliwym kodem firmy Microsoft jest zainstalowane na urządzeniu, po dołączeniu tego urządzenia do usługi Microsoft Defender for Endpoint program antywirusowy Microsoft Defender domyślnie działa w trybie pasywnym. Ochrona przed naruszeniami chroni usługę i jej funkcje.

Jeśli/kiedy odinstalowano oprogramowanie antywirusowe/chroniące przed złośliwym kodem firmy Microsoft, program antywirusowy Microsoft Defender automatycznie przełącza się w tryb aktywny. Ochrona przed naruszeniami w dalszym ciągu chroni usługę i jej funkcje.

Jak włączyć lub wyłączyć ochronę przed naruszeniami?

Zalecamy zarządzanie ustawieniami programu antywirusowego Microsoft Defender dla organizacji przy użyciu usługi Microsoft Intune . Za pomocą usługi Intune można kontrolować, gdzie ochrona przed naruszeniami jest włączona (lub wyłączona) za pomocą zasad. Można również chronić wykluczenia programu antywirusowego Microsoft Defender. Zobacz Ochrona przed naruszeniami: Wykluczenia programu antywirusowego Microsoft Defender.

Możesz również użyć portalu usługi Microsoft Defender lub programu Configuration Manager.

Jeśli jesteś użytkownikiem domowym, zobacz Manage tamper protection on an individual device (Zarządzanie ochroną przed naruszeniami na poszczególnych urządzeniach).

Ochrona przed naruszeniami jest częścią wbudowanej ochrony i powinna być włączona.

Czy ochrona przed naruszeniami ma zastosowanie do wykluczeń programu antywirusowego Microsoft Defender?

Tak. Aby chronić wykluczenia programu antywirusowego Microsoft Defender na urządzeniach, należy spełnić pewne warunki. Na przykład do zarządzania urządzeniami należy używać tylko usługi Intune lub programu Configuration Manager, a funkcja Sense musi być włączona. Zobacz Ochrona wykluczeń programu antywirusowego Microsoft Defender.

Jak konfigurowanie ochrony przed naruszeniami w usłudze Intune wpływa na sposób zarządzania programem antywirusowym Microsoft Defender przy użyciu zasad grupy?

Jeśli obecnie używasz usługi Intune do konfigurowania ochrony przed naruszeniami i zarządzania nią, należy nadal korzystać z usługi Intune. Po włączeniu ochrony przed naruszeniami i wprowadzeniu zmian w ustawieniach programu antywirusowego Microsoft Defender za pomocą zasad grupy wszystkie ustawienia chronione przez ochronę przed naruszeniami są ignorowane.

  • Jeśli musisz wprowadzić zmiany na urządzeniu, a te zmiany zostaną zablokowane przez ochronę przed naruszeniami, możesz użyć trybu rozwiązywania problemów , aby tymczasowo wyłączyć ochronę przed naruszeniami na urządzeniu. Po zakończeniu trybu rozwiązywania problemów wszelkie zmiany wprowadzone w ustawieniach chronionych przed naruszeniami zostaną przywrócone do skonfigurowanego stanu.
  • Za pomocą usługi Intune lub programu Configuration Manager można wykluczyć urządzenia z ochrony przed naruszeniami.
  • Jeśli zarządzasz ochroną przed naruszeniami za pośrednictwem usługi Intune i spełnione są pewne inne warunki, możesz zarządzać wykluczeniami antywirusowymi chronionymi przed naruszeniami.

Jeśli do skonfigurowania ochrony przed naruszeniami używamy usługi Microsoft Intune, czy ma ona zastosowanie tylko do całej organizacji?

Jeśli używasz usługi Intune do konfigurowania ochrony przed naruszeniami i zarządzania nią, nie musisz stosować ochrony przed naruszeniami w całej organizacji. W usłudze Intune można zastosować ochronę przed naruszeniami w całej organizacji lub wybrać określone urządzenia lub grupy użytkowników, aby uzyskać ochronę przed naruszeniami. Można również wykluczyć określone urządzenia z ochrony przed naruszeniami.

Jakich ustawień nie można zmienić po włączeniu ochrony przed naruszeniami?

Po włączeniu ochrony przed naruszeniami następujące ustawienia zabezpieczeń są chronione przed zmianą:

  • Ochrona przed wirusami i zagrożeniami pozostaje włączona.
  • Ochrona w czasie rzeczywistym pozostaje włączona.
  • Monitorowanie zachowania pozostaje włączone.
  • Ochrona antywirusowa, w tym IOfficeAntivirus (IOAV), pozostaje włączona.
  • Ochrona w chmurze pozostaje włączona.
  • Aktualizacje analizy zabezpieczeń są nadal wykonywane.
  • W przypadku wykrytych zagrożeń są wykonywane automatyczne akcje.
  • Powiadomienia są widoczne w aplikacji Zabezpieczenia systemu Windows na urządzeniach z systemem Windows.
  • Skanowane są zarchiwizowane pliki.

Aby uzyskać więcej informacji, zobacz Co się stanie po włączeniu ochrony przed naruszeniami?

Czy jeśli ochrona przed naruszeniami jest włączona w usłudze Microsoft Defender XDR, czy ustawienia w usłudze Intune lub programie Configuration Manager mogą ją zastąpić?

Po włączeniu ochrony przed naruszeniami w portalu usługi Microsoft Defender (https://security.microsoft.com) włączono ochronę przed naruszeniami, w całej dzierżawie. Jednak zasady zdefiniowane w usłudze Intune lub programie Configuration Manager mogą zastępować ustawienia w portalu usługi Microsoft Defender. Na przykład można zdefiniować zasady w usłudze Intune lub programie Configuration Manager, które wykluczają niektóre urządzenia z ochrony przed naruszeniami.

Jak wdrożyć polecenie DisableLocalAdminMerge?

Użyj usługi Intune do wdrożenia polecenia DisableLocalAdminMerge.

Jak mogę potwierdzić, czy wykluczenia są chronione na urządzeniu z systemem Windows?

Postępuj zgodnie ze wskazówkami w temacie Manage tamper-protected antivirus exclusions (Zarządzanie wykluczeniami antywirusowymi chronionymi przed naruszeniami).

Jeśli ochrona przed naruszeniami jest włączona w przypadku wykluczeń, czy muszę ją wyłączyć, aby zastosować nowe ustawienia zasad wykluczeń z usługi Intune lub programu Configuration Manager?

L.p. Po włączeniu ochrony przed naruszeniami w przypadku wykluczeń nie trzeba jej wyłączać w celu stosowania nowych wykluczeń.

Czy mogę skonfigurować ochronę przed naruszeniami za pomocą programu Configuration Manager?

Tak. Podobnie jak w przypadku korzystania z usługi Intune, można zastosować ochronę przed naruszeniami do całej organizacji lub do określonych użytkowników i urządzeń. Aby uzyskać więcej informacji, zapoznaj się z następującymi zasobami:

Jestem klientem korporacyjnym. Czy administratorzy lokalni mogą zmienić ochronę przed naruszeniami na swoich urządzeniach?

Ogólnie rzecz biorąc ochrona przed naruszeniami pomaga chronić użytkowników przed zmianą ustawień zabezpieczeń bezpośrednio na urządzeniach. Ochrona przed naruszeniami jest częścią możliwości ochrony przed naruszeniami, które obejmują standardowe reguły zmniejszania obszaru podatnego na ataki. Aby jeszcze bardziej zapobiec uruchamianiu złośliwego oprogramowania w jądrze, rozważ użycie reguł bloku sterowników z kontrolą aplikacji dla systemu Windows.

Co się stanie, jeśli moje urządzenie zostanie dołączone do usługi Microsoft Defender for Endpoint, a następnie przejdzie w stan wyłączony?

Jeśli urządzenie jest wyłączone z usługi Microsoft Defender for Endpoint, jest włączona ochrona przed naruszeniami, co jest stanem domyślnym dla urządzeń niezarządzanych.

Czy w przypadku zmiany stanu ochrony przed naruszeniami alerty są wyświetlane w portalu usługi Microsoft Defender?

Alerty powinny być wyświetlane w portalu usługi Microsoft Defender w obszarze Alerty. Twój zespół ds. operacji zabezpieczeń może również używać zapytań wyszukiwania zagrożeń, takich jak następujący przykład:

AlertInfo|where Title == "Tamper Protection bypass"

Jakie są wszystkie opcje konfigurowania ochrony przed naruszeniami?

Aby skonfigurować ochronę przed naruszeniami, można użyć dowolnej z następujących metod:

  • Portal usługi Microsoft Defender (włącza lub wyłącza ochronę przed naruszeniami, w całej dzierżawie)
  • Usługa Intune (włącz lub wyłącz ochronę przed naruszeniami i/lub skonfiguruj ochronę przed naruszeniami dla niektórych lub wszystkich użytkowników)
  • Configuration Manager (za pomocą dołączania dzierżawy można skonfigurować ochronę przed naruszeniami dla niektórych lub wszystkich urządzeń przy użyciu profilu środowiska zabezpieczeń systemu Windows).
  • Aplikacja Windows Security (dla pojedynczego urządzenia używanego w domu lub w sytuacjach, gdy zespół ds. zabezpieczeń nie zarządza urządzeniem)

Uwaga

Zalecamy włączenie ochrony przed naruszeniami dla całej organizacji. Jeśli ochrona przed naruszeniami uniemożliwia działowi IT lub zespołowi ds. zabezpieczeń wykonywanie niezbędnego zadania na urządzeniu, rozważ użycie trybu rozwiązywania problemów zamiast wyłączania ochrony przed naruszeniami.