Изменить

Часто задаваемые вопросы о защите от незаконного изменения

  • Вопросы и ответы

Область применения:

Платформы

  • Windows

Каковы требования к устройству для защиты от незаконного вмешательства для доступа к устройствам, если на портале Microsoft Defender включена защита от незаконного изменения?

Устройства должны соответствовать всем следующим требованиям:

Для управления защитой от незаконного изменения на портале Microsoft Defender (https://security.microsoft.com) необходимо иметь соответствующие разрешения, назначенные через роли, такие как глобальный администратор или администратор безопасности. (См. Microsoft Defender XDR управление доступом на основе ролей (RBAC).)

В каких версиях Windows можно настроить защиту от незаконного изменения?

Если вы используете Configuration Manager версии 2006 с подключением клиента, защиту от незаконного изменения можно расширить на Windows Server 2012 R2, Windows Server 2016, Windows Server 2019 и Windows Server 2022. См. статью Подключение клиента: Create и развертывание политики антивирусной защиты конечной точки в Центре администрирования (предварительная версия).

Влияет ли защита от незаконного изменения на регистрацию антивирусной программы сторонних разработчиков в приложении Безопасность Windows?

Нет. Предложения антивирусной программы сторонних разработчиков продолжают регистрироваться в приложении Безопасность Windows.

Что произойдет, если антивирусная программа Microsoft Defender не активна на устройстве?

Если на устройстве установлено антивирусное или антивредоносное ПО, то при подключении этого устройства к Microsoft Defender для конечной точки Microsoft Defender антивирусная программа по умолчанию работает в пассивном режиме. Защита от незаконного изменения защищает службу и ее функции.

При удалении антивирусного или антивредоносного программного обеспечения сторонних разработчиков Microsoft Defender антивирусная программа автоматически переключается в активный режим. Защита от незаконного изменения продолжает защищать службу и ее функции.

Разделы справки включить или отключить защиту от незаконного изменения?

Мы рекомендуем использовать Microsoft Intune для управления параметрами антивирусной программы Microsoft Defender для вашей организации. С помощью Intune можно управлять включением (или отключением) защиты от незаконного изменения с помощью политик. Вы также можете защитить Microsoft Defender исключения антивирусной программы. См. раздел Защита от незаконного изменения: Microsoft Defender исключения антивирусной программы.

Вы также можете использовать портал Microsoft Defender или Configuration Manager.

Если вы являетесь домашним пользователем, см. статью Управление защитой от незаконного изменения на отдельном устройстве.

Защита от незаконного изменения является частью встроенной защиты и должна быть включена.

Применяется ли защита от незаконного изменения к исключениям антивирусной программы Microsoft Defender?

Теперь развернуты новые функции для защиты Microsoft Defender исключений антивирусной программы на устройствах. Необходимо выполнить определенные условия. Например, для управления устройствами необходимо использовать только Intune или Configuration Manager, а также включить функцию Sense. См. раздел Защита исключений антивирусной программы Microsoft Defender.

Как настройка защиты от незаконного изменения в Intune влияет на управление антивирусной программой Microsoft Defender с помощью групповая политика?

Если в настоящее время вы используете Intune для настройки защиты от незаконного изменения и управления ими, следует продолжать использовать Intune. Если защита от незаконного изменения включена и вы используете групповая политика для внесения изменений в параметры Microsoft Defender антивирусной программы, все параметры, защищенные с помощью защиты от незаконного изменения, игнорируются.

  • Если необходимо внести изменения в устройство и эти изменения заблокированы защитой от незаконного копирования, можно использовать режим устранения неполадок , чтобы временно отключить защиту от незаконного изменения на устройстве. После завершения режима устранения неполадок все изменения, внесенные в параметры, защищенные от незаконного изменения, возвращаются в настроенное состояние.
  • Вы можете использовать Intune или Configuration Manager, чтобы исключить устройства из защиты от незаконного вмешательства.
  • Если вы управляете защитой от незаконного изменения с помощью Intune и выполняются некоторые другие условия, вы можете управлять исключениями антивирусной программы, защищенной от незаконного изменения.

Если мы используем Microsoft Intune для настройки защиты от незаконного изменения, применяется ли она только ко всей организации?

Если вы используете Intune для настройки и управления защитой от незаконного вмешательства, вам не обязательно применять защиту от незаконного вмешательства во всей организации. С помощью Intune вы можете применить защиту от незаконного изменения для всей организации или выбрать определенные устройства или группы пользователей для получения защиты от незаконного изменения. Вы также можете исключить определенные устройства из защиты от незаконного изменения.

Какие параметры нельзя изменить при включении защиты от незаконного изменения?

При включении защиты от незаконного изменения защищаются следующие параметры безопасности:

  • Защита от вирусов и угроз остается включенной.
  • Защита в режиме реального времени остается включенной.
  • Мониторинг поведения остается включенным.
  • Антивирусная защита, включая IOfficeAntivirus (IOAV), остается включенной.
  • Облачная защита по-прежнему включена.
  • Обновления аналитики безопасности продолжают происходить.
  • При обнаружении угроз выполняются автоматические действия.
  • Уведомления отображаются в приложении Безопасность Windows на устройствах Windows.
  • Архивные файлы сканируются.

Дополнительные сведения см. в статье Что происходит при включении защиты от незаконного изменения?

Если защита от незаконного изменения включена в Microsoft Defender XDR, могут ли параметры в Intune или Configuration Manager переопределить ее?

Если на портале Microsoft Defender () включена защита от незаконного изменения наhttps://security.microsoft.com уровне клиента. Однако политики, определенные в Intune или Configuration Manager, могут переопределять параметры на портале Microsoft Defender. Например, можно определить политику в Intune или Configuration Manager, которая исключает определенные устройства из защиты от незаконного изменения.

Разделы справки развернуть DisableLocalAdminMerge?

Используйте Intune для развертывания DisableLocalAdminMerge.

Как проверить, защищены ли исключения на устройстве с Windows?

Следуйте инструкциям в разделе Управление исключениями антивирусной программы, защищенными от незаконного изменения.

Если защита от незаконного изменения включена для исключений, нужно ли отключить ее для применения новых параметров политики исключений из Intune или Configuration Manager?

Нет. Если включена защита от незаконного изменения исключений, ее не нужно отключать, чтобы применить новые исключения.

Можно ли настроить защиту от незаконного изменения с помощью Configuration Manager?

Да. Как и при использовании Intune, вы можете применить защиту от незаконного изменения ко всей организации или к определенным пользователям и устройствам. Дополнительные сведения см. в следующих источниках:

Я корпоративный клиент. Могут ли локальные администраторы изменить защиту от незаконного изменения на своих устройствах?

Как правило, защита от незаконного изменения помогает защитить пользователей от изменения параметров безопасности непосредственно на устройствах. Защита от незаконного изменения является частью возможностей защиты от незаконного изменения, которые включают стандартные правила сокращения направлений атак. Чтобы предотвратить запуск вредоносных программ в ядре, рассмотрите возможность использования правил блокировки драйверов с управлением приложениями для Windows.

Что произойдет, если устройство подключено к Microsoft Defender для конечной точки, а затем перейдет в отключенное состояние?

Если устройство отключено от Microsoft Defender для конечной точки, защита от незаконного изменения включается, что является состоянием по умолчанию для неуправляемых устройств.

Если состояние защиты от незаконного изменения изменяется, отображаются ли оповещения на портале Microsoft Defender?

Оповещения должны быть перечислены на портале Microsoft Defender в разделе Оповещения.

Ваша команда по операциям безопасности также может использовать запросы охоты, например следующий пример:

AlertInfo|where Title == "Tamper Protection bypass"

Каковы все варианты настройки защиты от незаконного изменения?

Для настройки защиты от незаконного изменения можно использовать любой из следующих методов:

  • Портал Microsoft Defender (включение или отключение защиты от незаконного изменения на уровне клиента)
  • Intune (включение или отключение защиты от незаконного изменения и (или) настройка защиты от незаконного изменения для некоторых или всех пользователей)
  • Configuration Manager (с подключением клиента можно настроить защиту от незаконного изменения для некоторых или всех устройств с помощью профиля взаимодействия Безопасность Windows).
  • Безопасность Windows приложение (для отдельного устройства, используемого дома или в ситуациях, когда команда безопасности не управляет вашим устройством)

Примечание.

Мы рекомендуем оставить защиту от незаконного изменения включенной для всей организации. Если защита от незаконного изменения не позволяет ит-отделу или команде безопасности выполнить необходимую задачу на устройстве, рассмотрите возможность использования режима устранения неполадок вместо отключения защиты от незаконного копирования.