Изменить

Поделиться через

Часто задаваемые вопросы о защите от незаконного изменения

  • Вопросы и ответы

Область применения:

Платформы

  • Windows

Каковы требования к устройству для защиты от незаконного изменения для доступа к устройствам, когда защита от незаконного изменения включена на портале Microsoft Defender?

Устройства должны соответствовать всем следующим требованиям:

Для управления защитой от незаконного изменения на портале Microsoft Defender (https://security.microsoft.com) необходимо иметь соответствующие разрешения, назначенные через роли, такие как администратор безопасности. (См . раздел Управление доступом на основе ролей (RBAC) в Microsoft Defender XDR.)

В каких версиях Windows можно настроить защиту от незаконного изменения?

Если вы используете Configuration Manager версии 2006 с подключением клиента, защита от незаконного изменения может быть расширена до Windows Server 2012 R2, Windows Server 2016, Windows Server 2019 и Windows Server 2022. См. статью Присоединение клиента: создание и развертывание политики антивирусной программы безопасности конечных точек в Центре администрирования (предварительная версия).

Влияет ли защита от незаконного изменения на регистрацию антивирусной программы сторонних разработчиков в приложении "Безопасность Windows"?

Нет. Предложения антивирусной программы сторонних разработчиков продолжают регистрироваться в приложении "Безопасность Windows".

Что произойдет, если антивирусная программа Microsoft Defender не активна на устройстве?

Если на устройстве установлено антивирусное или антивредоносное ПО, то при подключении этого устройства к Microsoft Defender для конечной точки антивирусная программа Microsoft Defender по умолчанию работает в пассивном режиме. Защита от незаконного изменения защищает службу и ее функции.

При удалении антивирусного или антивредоносного программного обеспечения, антивирусная программа в Microsoft Defender автоматически переключается в активный режим. Защита от незаконного изменения продолжает защищать службу и ее функции.

Как включить или отключить защиту от незаконного изменения?

Мы рекомендуем использовать Microsoft Intune для управления параметрами антивирусной программы Microsoft Defender для вашей организации. С помощью Intune можно управлять включением (или отключением) защиты от незаконного изменения с помощью политик. Вы также можете защитить исключения антивирусной программы в Microsoft Defender. См . раздел Защита от незаконного изменения: исключения антивирусной программы в Microsoft Defender.

Вы также можете использовать портал Microsoft Defender или Configuration Manager.

Если вы являетесь домашним пользователем, см. статью Управление защитой от незаконного изменения на отдельном устройстве.

Защита от незаконного изменения является частью встроенной защиты и должна быть включена.

Применяется ли защита от незаконного изменения к исключениям антивирусной программы в Microsoft Defender?

Да. Чтобы защитить исключения антивирусной программы в Microsoft Defender на устройствах, необходимо выполнить определенные условия. Например, для управления устройствами необходимо использовать только Intune или Configuration Manager, а также включить функцию Sense. См . раздел Защита исключений антивирусной программы в Microsoft Defender.

Как настройка защиты от незаконного изменения в Intune влияет на управление антивирусной программой в Microsoft Defender с помощью групповой политики?

Если в настоящее время вы используете Intune для настройки защиты от незаконного изменения и управления ими, следует продолжать использовать Intune. Если защита от незаконного изменения включена и вы используете групповую политику для внесения изменений в параметры антивирусной программы в Microsoft Defender, все параметры, защищенные защитой от незаконного изменения, игнорируются.

  • Если необходимо внести изменения в устройство и эти изменения заблокированы защитой от незаконного копирования, можно использовать режим устранения неполадок , чтобы временно отключить защиту от незаконного изменения на устройстве. После завершения режима устранения неполадок все изменения, внесенные в параметры, защищенные от незаконного изменения, возвращаются в настроенное состояние.
  • Вы можете использовать Intune или Configuration Manager, чтобы исключить устройства из защиты от незаконного изменения.
  • Если вы управляете защитой от незаконного изменения с помощью Intune и выполняются некоторые другие условия, вы можете управлять исключениями антивирусной программы, защищенной от незаконного изменения.

Если мы используем Microsoft Intune для настройки защиты от незаконного изменения, применяется ли она только ко всей организации?

Если вы используете Intune для настройки защиты от незаконного вмешательства и управления ими, вам не обязательно применять защиту от незаконного изменения во всей организации. С помощью Intune можно применить защиту от незаконного изменения во всей организации или выбрать определенные устройства или группы пользователей для получения защиты от незаконного изменения. Вы также можете исключить определенные устройства из защиты от незаконного изменения.

Какие параметры нельзя изменить при включении защиты от незаконного изменения?

При включении защиты от незаконного изменения защищаются следующие параметры безопасности:

  • Защита от вирусов и угроз остается включенной.
  • Защита в режиме реального времени остается включенной.
  • Мониторинг поведения остается включенным.
  • Антивирусная защита, включая IOfficeAntivirus (IOAV), остается включенной.
  • Облачная защита по-прежнему включена.
  • Обновления аналитики безопасности продолжают происходить.
  • При обнаружении угроз выполняются автоматические действия.
  • Уведомления отображаются в приложении "Безопасность Windows" на устройствах Windows.
  • Архивные файлы сканируются.

Дополнительные сведения см. в статье Что происходит при включении защиты от незаконного изменения?

Если защита от незаконного изменения включена в XDR в Microsoft Defender, могут ли параметры в Intune или Configuration Manager переопределить ее?

Когда защита от незаконного изменения включена на портале Microsoft Defender (https://security.microsoft.com), защита от незаконного изменения включается на уровне клиента. Однако политики, определенные в Intune или Configuration Manager, могут переопределять параметры на портале Microsoft Defender. Например, можно определить политику в Intune или Configuration Manager, которая исключает определенные устройства из защиты от незаконного вмешательства.

Как развернуть DisableLocalAdminMerge?

Используйте Intune для развертывания DisableLocalAdminMerge.

Как проверить, защищены ли исключения на устройстве с Windows?

Следуйте инструкциям в разделе Управление исключениями антивирусной программы, защищенными от незаконного изменения.

Если защита от незаконного изменения включена для исключений, нужно ли отключить ее, чтобы применить новые параметры политики исключений из Intune или Configuration Manager?

Нет. Если включена защита от незаконного изменения исключений, ее не нужно отключать, чтобы применить новые исключения.

Можно ли настроить защиту от незаконного изменения с помощью Configuration Manager?

Да. Как и в Intune, вы можете применить защиту от незаконного изменения ко всей организации или к определенным пользователям и устройствам. Дополнительные сведения см. в следующих источниках:

Я корпоративный клиент. Могут ли локальные администраторы изменить защиту от незаконного изменения на своих устройствах?

Как правило, защита от незаконного изменения помогает защитить пользователей от изменения параметров безопасности непосредственно на устройствах. Защита от незаконного изменения является частью возможностей защиты от незаконного изменения, которые включают стандартные правила сокращения направлений атак. Чтобы предотвратить запуск вредоносных программ в ядре, рассмотрите возможность использования правил блокировки драйверов с управлением приложениями для Windows.

Что произойдет, если мое устройство подключено к Microsoft Defender для конечной точки, а затем перейдет в автономное состояние?

Если устройство отключено от Microsoft Defender для конечной точки, защита от незаконного изменения включена, что является состоянием по умолчанию для неуправляемых устройств.

Если состояние защиты от незаконного изменения изменяется, отображаются ли оповещения на портале Microsoft Defender?

Оповещения должны быть перечислены на портале Microsoft Defender в разделе Оповещения. Ваша команда по операциям безопасности также может использовать запросы охоты, например следующий пример:

AlertInfo|where Title == "Tamper Protection bypass"

Каковы все варианты настройки защиты от незаконного изменения?

Для настройки защиты от незаконного изменения можно использовать любой из следующих методов:

  • Портал Microsoft Defender (включение или отключение защиты от незаконного изменения на уровне клиента)
  • Intune (включение или отключение защиты от незаконного изменения и (или) настройка защиты от незаконного изменения для некоторых или всех пользователей)
  • Configuration Manager (с подключением клиента можно настроить защиту от незаконного изменения для некоторых или всех устройств с помощью профиля взаимодействия с безопасностью Windows).
  • Приложение "Безопасность Windows " (для отдельного устройства, используемого дома или в ситуациях, когда команда безопасности не управляет вашим устройством)

Примечание.

Мы рекомендуем оставить защиту от незаконного изменения включенной для всей организации. Если защита от незаконного изменения не позволяет ит-отделу или команде безопасности выполнить необходимую задачу на устройстве, рассмотрите возможность использования режима устранения неполадок вместо отключения защиты от незаконного копирования.