Często zadawane pytania dotyczące ochrony przed naruszeniami

Urządzenia muszą spełniać wszystkie następujące wymagania:

• Na urządzeniach muszą być uruchomione określone wersje systemu Windows lub macOS. (Zobacz Na jakich urządzeniach można włączyć ochronę przed naruszeniami?)
• Urządzenia muszą być dołączone do Ochrona punktu końcowego w usłudze Microsoft Defender.
• Urządzenia muszą używać wersji platformy chroniącej przed złośliwym oprogramowaniem (lub nowszej 4.18.2010.7 ) i wersji aparatu chroniącego przed złośliwym oprogramowaniem (lub nowszej 1.1.17600.5 ). (Zarządzaj aktualizacjami programu antywirusowego Microsoft Defender i stosuj punkty odniesienia).
• Ochrona dostarczana w chmurze musi być włączona.

Aby zarządzać ochroną przed naruszeniami w portalu Microsoft Defender (https://security.microsoft.com), musisz mieć odpowiednie uprawnienia przypisane za pośrednictwem ról, takich jak administrator globalny lub administrator zabezpieczeń. (Zobacz Microsoft Defender XDR kontroli dostępu opartej na rolach (RBAC).)

• Windows 11
• Windows 11 Enterprise multi-session
• Windows 10 system operacyjny 1709, 1803, 1809 lub nowszy razem z Ochrona punktu końcowego w usłudze Microsoft Defender.
• Windows 10 Enterprise multi-session

Jeśli używasz programu Configuration Manager w wersji 2006 z dołączaniem dzierżawy, ochronę przed naruszeniami można rozszerzyć na Windows Server 2012 R2, Windows Server 2016, Windows Server 2019 i Windows Server 2022. Zobacz Dołączanie dzierżawy: Twórca i wdrażanie zasad ochrony antywirusowej zabezpieczeń punktu końcowego z centrum administracyjnego (wersja zapoznawcza).

Nie. Oferty programów antywirusowych innych niż Microsoft nadal rejestrują się w aplikacji Zabezpieczenia Windows.

Jeśli oprogramowanie antywirusowe/chroniące przed złośliwym kodem firmy Microsoft jest zainstalowane na urządzeniu, gdy to urządzenie jest dołączone do Ochrona punktu końcowego w usłudze Microsoft Defender, program antywirusowy Microsoft Defender działa domyślnie w trybie pasywnym. Ochrona przed naruszeniami chroni usługę i jej funkcje.

Jeśli/kiedy odinstalowano oprogramowanie antywirusowe/chroniące przed złośliwym kodem firmy Microsoft, program antywirusowy Microsoft Defender automatycznie przełącza się w tryb aktywny. Ochrona przed naruszeniami w dalszym ciągu chroni usługę i jej funkcje.

Zalecamy zarządzanie ustawieniami programu antywirusowego Microsoft Defender dla organizacji przy użyciu Microsoft Intune. Za pomocą Intune można kontrolować, gdzie ochrona przed naruszeniami jest włączona (lub wyłączona) za pośrednictwem zasad. Można również chronić Microsoft Defender wykluczeń programu antywirusowego. Zobacz Ochrona przed naruszeniami: Microsoft Defender wykluczeń programu antywirusowego.

Możesz również użyć portalu Microsoft Defender lub Configuration Manager.

Jeśli jesteś użytkownikiem domowym, zobacz Manage tamper protection on an individual device (Zarządzanie ochroną przed naruszeniami na poszczególnych urządzeniach).

Ochrona przed naruszeniami jest częścią wbudowanej ochrony i powinna być włączona.

Nowe funkcje są teraz wdrażane w celu ochrony Microsoft Defender wykluczeń programu antywirusowego na urządzeniach. Należy spełnić pewne warunki. Na przykład należy używać tylko Intune lub Configuration Manager tylko do zarządzania urządzeniami i musisz mieć włączoną funkcję Sense. Zobacz Ochrona wykluczeń programu antywirusowego Microsoft Defender.

Jeśli obecnie używasz Intune do konfigurowania ochrony przed naruszeniami i zarządzania nią, należy nadal używać Intune. Po włączeniu ochrony przed naruszeniami i wprowadzeniu zmian w ustawieniach programu antywirusowego Microsoft Defender za pomocą zasady grupy wszystkie ustawienia chronione ochroną przed naruszeniami są ignorowane.

• Jeśli musisz wprowadzić zmiany na urządzeniu, a te zmiany zostaną zablokowane przez ochronę przed naruszeniami, możesz użyć trybu rozwiązywania problemów , aby tymczasowo wyłączyć ochronę przed naruszeniami na urządzeniu. Po zakończeniu trybu rozwiązywania problemów wszelkie zmiany wprowadzone w ustawieniach chronionych przed naruszeniami zostaną przywrócone do skonfigurowanego stanu.
• Aby wykluczyć urządzenia z ochrony przed naruszeniami, można użyć Intune lub Configuration Manager.
• Jeśli zarządzasz ochroną przed naruszeniami za pośrednictwem Intune i spełnione są pewne inne warunki, możesz zarządzać wykluczeniami antywirusowymi chronionymi przed naruszeniami.

Jeśli używasz Intune do konfigurowania ochrony przed naruszeniami i zarządzania nią, nie musisz stosować ochrony przed naruszeniami w całej organizacji. Dzięki Intune możesz zastosować ochronę przed naruszeniami w całej organizacji lub wybrać określone urządzenia lub grupy użytkowników, aby uzyskać ochronę przed naruszeniami. Można również wykluczyć określone urządzenia z ochrony przed naruszeniami.

Po włączeniu ochrony przed naruszeniami następujące ustawienia zabezpieczeń są chronione przed zmianą:

• Ochrona przed wirusami i zagrożeniami pozostaje włączona.
• Ochrona w czasie rzeczywistym pozostaje włączona.
• Monitorowanie zachowania pozostaje włączone.
• Ochrona antywirusowa, w tym IOfficeAntivirus (IOAV), pozostaje włączona.
• Ochrona w chmurze pozostaje włączona.
• Aktualizacje analizy zabezpieczeń są nadal wykonywane.
• W przypadku wykrytych zagrożeń są wykonywane automatyczne akcje.
• Powiadomienia są widoczne w aplikacji Zabezpieczenia Windows na urządzeniach z systemem Windows.
• Skanowane są zarchiwizowane pliki.

Aby uzyskać więcej informacji, zobacz Co się stanie po włączeniu ochrony przed naruszeniami?

Po włączeniu ochrony przed naruszeniami w portalu Microsoft Defender (https://security.microsoft.com) włączono ochronę przed naruszeniami, w całej dzierżawie. Jednak zasady zdefiniowane w Intune lub Configuration Manager mogą zastępować ustawienia w portalu Microsoft Defender. Na przykład można zdefiniować zasady w Intune lub Configuration Manager, które wykluczają niektóre urządzenia z ochrony przed naruszeniami.

Użyj Intune, aby wdrożyć polecenie DisableLocalAdminMerge.

Postępuj zgodnie ze wskazówkami w temacie Manage tamper-protected antivirus exclusions (Zarządzanie wykluczeniami antywirusowymi chronionymi przed naruszeniami).

Nie. Po włączeniu ochrony przed naruszeniami w przypadku wykluczeń nie trzeba jej wyłączać w celu stosowania nowych wykluczeń.

Tak. Podobnie jak w przypadku używania Intune można zastosować ochronę przed naruszeniami do całej organizacji lub do określonych użytkowników i urządzeń. Aby uzyskać więcej informacji, zapoznaj się z następującymi zasobami:

• Zarządzanie ochroną przed naruszeniami przy użyciu Intune
• Zarządzanie ochroną przed naruszeniami przy użyciu dołączania dzierżawy za pomocą Configuration Manager w wersji 2006
• Blog społeczności technicznej: ogłoszenie ochrony przed naruszeniami dla klientów dołączania dzierżawy Configuration Manager

Ogólnie rzecz biorąc ochrona przed naruszeniami pomaga chronić użytkowników przed zmianą ustawień zabezpieczeń bezpośrednio na urządzeniach. Ochrona przed naruszeniami jest częścią możliwości ochrony przed naruszeniami, które obejmują standardowe reguły zmniejszania obszaru podatnego na ataki. Aby jeszcze bardziej zapobiec uruchamianiu złośliwego oprogramowania w jądrze, rozważ użycie reguł bloku sterowników z kontrolą aplikacji dla systemu Windows.

Jeśli urządzenie jest wyłączone z Ochrona punktu końcowego w usłudze Microsoft Defender, jest włączona ochrona przed naruszeniami, co jest stanem domyślnym dla urządzeń niezarządzanych.

Alerty powinny być wyświetlane w portalu Microsoft Defender w obszarze Alerty.

Twój zespół ds. operacji zabezpieczeń może również używać zapytań wyszukiwania zagrożeń, takich jak następujący przykład:

AlertInfo|where Title == "Tamper Protection bypass"

Aby skonfigurować ochronę przed naruszeniami, można użyć dowolnej z następujących metod:

• Portal Microsoft Defender (włącz lub wyłącz ochronę przed naruszeniami, w całej dzierżawie)
• Intune (włącz lub wyłącz ochronę przed naruszeniami i/lub skonfiguruj ochronę przed naruszeniami dla niektórych lub wszystkich użytkowników)
• Configuration Manager (za pomocą dołączania dzierżawy można skonfigurować ochronę przed naruszeniami dla niektórych lub wszystkich urządzeń przy użyciu profilu środowiska Zabezpieczenia Windows).
• Zabezpieczenia Windows aplikacji (dla pojedynczego urządzenia używanego w domu lub w sytuacjach, gdy zespół ds. zabezpieczeń nie zarządza urządzeniem)