Chroń ustawienia zabezpieczeń z ochroną przed naruszeniami

Dotyczy:

Platformy

Co to jest ochrona przed naruszeniami?

Ochrona przed naruszeniami to funkcja w Ochrona punktu końcowego w usłudze Microsoft Defender, która pomaga chronić niektóre ustawienia zabezpieczeń, takie jak ochrona przed wirusami i zagrożeniami, przed wyłączeniem lub zmianą. Podczas pewnego rodzaju cyberataków źle aktorzy próbują wyłączyć funkcje zabezpieczeń na urządzeniach. Wyłączenie funkcji zabezpieczeń zapewnia złym podmiotom łatwiejszy dostęp do danych, możliwość instalowania złośliwego oprogramowania oraz możliwość wykorzystania danych, tożsamości i urządzeń. Ochrona przed naruszeniami pomaga chronić przed tego typu działaniami.

Ochrona przed naruszeniami jest częścią możliwości ochrony przed naruszeniami, które obejmują standardowe reguły zmniejszania obszaru podatnego na ataki. Ochrona przed naruszeniami jest ważną częścią wbudowanej ochrony.

Co się stanie po włączeniu ochrony przed naruszeniami?

Po włączeniu ochrony przed naruszeniami nie można zmienić tych ustawień chronionych przed naruszeniami:

  • Ochrona przed wirusami i zagrożeniami pozostaje włączona.
  • Ochrona w czasie rzeczywistym pozostaje włączona.
  • Monitorowanie zachowania pozostaje włączone.
  • Ochrona antywirusowa, w tym IOfficeAntivirus (IOAV), pozostaje włączona.
  • Ochrona w chmurze pozostaje włączona.
  • Występują aktualizacje analizy zabezpieczeń.
  • W przypadku wykrytych zagrożeń są wykonywane automatyczne akcje.
  • Powiadomienia są widoczne w aplikacji Zabezpieczenia Windows na urządzeniach z systemem Windows.
  • Skanowane są zarchiwizowane pliki.
  • Nie można modyfikować ani dodawać wykluczeń (dotyczy Intune lub Configuration Manager)

Od momentu wydania 1.383.1159.0sygnatury z powodu pomyłek dotyczących wartości domyślnej "Zezwalaj na skanowanie plików sieciowych" ochrona przed naruszeniami nie blokuje już tego ustawienia na wartość domyślną. W środowiskach zarządzanych wartość domyślna to enabled.

Ważna

Po włączeniu ochrony przed naruszeniami nie można zmienić ustawień chronionych przed naruszeniami. Aby uniknąć niezgodnych środowisk zarządzania, w tym Intune i Configuration Manager, należy pamiętać, że zmiany wprowadzone w ustawieniach chronionych przed naruszeniami mogą wydawać się pomyślne, ale w rzeczywistości są blokowane przez ochronę przed naruszeniami. W zależności od konkretnego scenariusza dostępnych jest kilka opcji:

  • Jeśli musisz wprowadzić zmiany na urządzeniu, a te zmiany zostaną zablokowane przez ochronę przed naruszeniami, możesz użyć trybu rozwiązywania problemów , aby tymczasowo wyłączyć ochronę przed naruszeniami na urządzeniu.
  • Aby wykluczyć urządzenia z ochrony przed naruszeniami, można użyć Intune lub Configuration Manager.

Ochrona przed naruszeniami nie uniemożliwia wyświetlania ustawień zabezpieczeń. Ochrona przed naruszeniami nie ma wpływu na sposób rejestrowania aplikacji antywirusowych innych niż Microsoft w aplikacji Zabezpieczenia Windows. Jeśli Twoja organizacja korzysta z usługi Defender for Endpoint, poszczególni użytkownicy nie mogą zmienić ustawienia ochrony przed naruszeniami. w takich przypadkach zespół ds. zabezpieczeń zarządza ochroną przed naruszeniami. Aby uzyskać więcej informacji, zobacz Jak mogę konfigurowania ochrony przed naruszeniami lub zarządzania nią?

Na jakich urządzeniach można włączyć ochronę przed naruszeniami?

Ochrona przed naruszeniami jest dostępna dla urządzeń z jedną z następujących wersji systemu Windows:

  • Windows 10 i 11 (w tym wiele sesji enterprise)
  • Windows Server 2022, Windows Server 2019 i Windows Server w wersji 1803 lub nowszej
  • Windows Server 2016 i Windows Server 2012 R2 (przy użyciu nowoczesnego, ujednoliconego rozwiązania)

Ochrona przed naruszeniami jest również dostępna dla komputerów Mac, chociaż działa nieco inaczej niż w systemie Windows. Aby uzyskać więcej informacji, zobacz Ochrona ustawień zabezpieczeń systemu macOS przy użyciu ochrony przed naruszeniami.

Porada

Wbudowana ochrona obejmuje domyślne włączanie ochrony przed naruszeniami. Więcej informacji można znaleźć w następujących artykułach:

Ochrona przed naruszeniami w Windows Server 2012 R2, 2016 lub Windows w wersji 1709, 1803 lub 1809

Jeśli używasz Windows Server 2012 R2 przy użyciu nowoczesnego ujednoliconego rozwiązania, Windows Server 2016, Windows 10 wersji 1709, 1803 lub 1809, nie widzisz ochrony przed naruszeniami w aplikacji Zabezpieczenia Windows. Zamiast tego można użyć programu PowerShell, aby określić, czy ochrona przed naruszeniami jest włączona.

Ważna

W Windows Server 2016 aplikacja Ustawienia nie odzwierciedla dokładnie stanu ochrony w czasie rzeczywistym po włączeniu ochrony przed naruszeniami.

Użyj programu PowerShell, aby określić, czy włączono ochronę przed naruszeniami i ochronę w czasie rzeczywistym

  1. Otwórz aplikację Windows PowerShell.

  2. Użyj polecenia cmdlet Get-MpComputerStatus programu PowerShell.

  3. Na liście wyników wyszukaj IsTamperProtected lub RealTimeProtectionEnabled. (Wartość true oznacza, że ochrona przed naruszeniami jest włączona).

Jak mogę skonfigurować ochronę przed naruszeniami lub zarządzać nią?

Aby skonfigurować ochronę przed naruszeniami lub zarządzać nią, można użyć Microsoft Intune i innych metod, jak pokazano w poniższej tabeli:

Metoda Co możesz zrobić
Użyj portalu Microsoft Defender. Włącz (lub wyłącz) ochronę przed naruszeniami, obejmującą szeroką dzierżawę. Zobacz Zarządzanie ochroną przed naruszeniami w organizacji przy użyciu Microsoft Defender XDR.

Ta metoda nie zastępuje ustawień zarządzanych w Microsoft Intune lub Configuration Manager.
Użyj centrum administracyjnego Microsoft Intune lub Configuration Manager. Włącz (lub wyłącz ochronę przed naruszeniami), w całej dzierżawie lub zastosuj ochronę przed naruszeniami do niektórych użytkowników/urządzeń. Niektóre urządzenia można wykluczyć z ochrony przed naruszeniami. Zobacz Zarządzanie ochroną przed naruszeniami w organizacji przy użyciu Intune.

Chroń wykluczenia programu antywirusowego Microsoft Defender przed naruszeniami, jeśli używasz tylko Intune lub tylko Configuration Manager. Zobacz Ochrona przed naruszeniami w przypadku wykluczeń programu antywirusowego.
Użyj Configuration Manager z dołączaniem dzierżawy. Włącz (lub wyłącz ochronę przed naruszeniami), w całej dzierżawie lub zastosuj ochronę przed naruszeniami do niektórych użytkowników/urządzeń. Niektóre urządzenia można wykluczyć z ochrony przed naruszeniami. Zobacz Manage tamper protection for your organization using tenant attach with Configuration Manager, version 2006 (Zarządzanie ochroną przed naruszeniami w organizacji przy użyciu dołączania dzierżawy do Configuration Manager, wersja 2006).
Użyj aplikacji Zabezpieczenia Windows. Włącz (lub wyłącz) ochronę przed naruszeniami na pojedynczym urządzeniu, które nie jest zarządzane przez zespół ds. zabezpieczeń (na przykład urządzenia do użytku domowego). Zobacz Zarządzanie ochroną przed naruszeniami na poszczególnych urządzeniach.

Ta metoda nie zastępuje ustawień ochrony przed naruszeniami ustawionych w portalu Microsoft Defender, Intune lub Configuration Manager i nie jest przeznaczona do użycia przez organizacje.

Porada

Jeśli używasz zasady grupy do zarządzania ustawieniami programu antywirusowego Microsoft Defender, pamiętaj, że wszelkie zmiany wprowadzone w ustawieniach chronionych przed naruszeniami są ignorowane. Jeśli musisz wprowadzić zmiany na urządzeniu, a te zmiany zostaną zablokowane przez ochronę przed naruszeniami, użyj trybu rozwiązywania problemów , aby tymczasowo wyłączyć ochronę przed naruszeniami na urządzeniu. Po zakończeniu trybu rozwiązywania problemów wszelkie zmiany wprowadzone w ustawieniach chronionych przed naruszeniami zostaną przywrócone do skonfigurowanego stanu.

Ochrona wykluczeń programu antywirusowego Microsoft Defender

W pewnych warunkach ochrona przed naruszeniami może chronić wykluczenia zdefiniowane dla programu antywirusowego Microsoft Defender. Aby uzyskać więcej informacji, zobacz Ochrona przed naruszeniami w przypadku wykluczeń.

Wyświetlanie informacji o próbach naruszenia

Próby naruszenia zazwyczaj wskazują, że doszło do większego cyberataku. Źli aktorzy próbują zmienić ustawienia zabezpieczeń jako sposób na utrwalanie i pozostawanie niewykrytymi. Jeśli jesteś członkiem zespołu ds. zabezpieczeń w organizacji, możesz wyświetlić informacje o takich próbach, a następnie podjąć odpowiednie działania w celu wyeliminowania zagrożeń.

Za każdym razem, gdy zostanie wykryta próba naruszenia, alert jest zgłaszany w portalu Microsoft Defender (https://security.microsoft.com).

Korzystając z funkcji wykrywania i reagowania na punkty końcowe oraz zaawansowanych możliwości wyszukiwania zagrożeń w Ochrona punktu końcowego w usłudze Microsoft Defender, zespół ds. operacji zabezpieczeń może badać i rozwiązywać takie próby.

Przeglądanie zaleceń dotyczących zabezpieczeń

Ochrona przed naruszeniami integruje się z funkcjami Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender. Zalecenia dotyczące zabezpieczeń obejmują upewnienie się, że ochrona przed naruszeniami jest włączona. Na przykład na pulpicie nawigacyjnym zarządzania lukami w zabezpieczeniach możesz wyszukać manipulację. W wynikach możesz wybrać pozycję Włącz ochronę przed naruszeniami , aby dowiedzieć się więcej i włączyć ją.

Aby dowiedzieć się więcej o Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender, zobacz Szczegółowe informacje dotyczące pulpitu nawigacyjnego — Zarządzanie lukami w zabezpieczeniach usługi Defender.

Zobacz też

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.