Управление защитой от незаконного изменения в организации с помощью Microsoft Intune
Область применения:
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
- Антивирусная программа в Microsoft Defender
- Microsoft Defender для бизнеса
- Microsoft 365 бизнес премиум
Платформы
- Windows
Защита от незаконного изменения помогает защитить определенные параметры безопасности, такие как защита от вирусов и угроз, от отключения или изменения. Если вы входите в группу безопасности вашей организации и используете Microsoft Intune, вы можете управлять защитой от незаконного вмешательства в свою организацию в центре администрирования Intune.
С помощью Intune можно:
- Включите (или выключите) защиту от незаконного изменения для некоторых или всех устройств.
- Незаконное изменение защиты от исключений антивирусной программы, определенных для Microsoft Defender антивирусной программы.
Важно!
Если вы используете Microsoft Intune для управления параметрами Defender для конечной точки, обязательно установите для параметра DisableLocalAdminMerge значение true на устройствах.
Если защита от незаконного изменения включена, параметры, защищенные от незаконного изменения, нельзя изменить. Чтобы избежать нарушений управления, включая Intune (и Configuration Manager), помните, что изменения защищенных от незаконного изменения параметров могут показаться успешными, но фактически блокируются защитой от незаконного изменения. В зависимости от конкретного сценария у вас есть несколько вариантов:
- Если необходимо внести изменения в устройство и эти изменения блокируются защитой от незаконного изменения, рекомендуется использовать режим устранения неполадок , чтобы временно отключить защиту от незаконного изменения на устройстве. Обратите внимание, что после завершения режима устранения неполадок все изменения, внесенные в параметры, защищенные от незаконного изменения, возвращаются в настроенное состояние.
- Вы можете использовать Intune или Configuration Manager, чтобы исключить устройства из защиты от незаконного вмешательства.
- Если вы управляете защитой от незаконного изменения с помощью Intune, вы можете изменить исключения антивирусной программы, защищенные от незаконного изменения.
Требования к управлению защитой от незаконного вмешательства в Intune
У вас должны быть соответствующие разрешения, назначенные через роли, такие как глобальный администратор или администратор безопасности. (См. статью Роли Azure Active Directory с доступом Intune.)
Ваша организация использует Intune для управления устройствами. (требуются Intune лицензии; Intune входит в состав Microsoft 365 E3/E5, Enterprise Mobility + Security E3/E5, Microsoft 365 бизнес премиум, Microsoft 365 F1/F3, Microsoft 365 для государственных организаций G3/G5 и соответствующие лицензии для образовательных учреждений.)
Устройства Windows должны работать Windows 10 версии 1709 или более поздней или Windows 11. (Дополнительные сведения о выпусках см. в разделе Сведения о выпуске Windows.)
Необходимо использовать безопасность Windows с аналитикой безопасности , обновленной до версии 1.287.60.0 (или более поздней).
На устройствах должна использоваться версия
4.18.1906.3платформы защиты от вредоносных программ (или более поздней) и подсистема защиты от вредоносных программ (или более поздняя).1.1.15500.X(См. статью Управление обновлениями антивирусной программы Microsoft Defender и применение базовых показателей.)Клиенты Intune и Defender для конечной точки должны совместно использовать одну инфраструктуру Azure Active Directory.
Устройства должны быть подключены к Defender для конечной точки.
Примечание.
Если устройства не зарегистрированы в Microsoft Defender для конечной точки, защита от незаконного изменения отображается как неприменимой до завершения процесса подключения. Защита от незаконного изменения может предотвратить изменение параметров безопасности. Если отображается код ошибки с идентификатором события 5013, см. статью Просмотр журналов событий и кодов ошибок для устранения неполадок с Microsoft Defender антивирусной программой.
Включение (или отключение) защиты от незаконного изменения в Microsoft Intune
В Центре администрирования Intune перейдите в разделАнтивирусная программадля защиты> конечных точек и выберите + Создать политику.
- В списке Платформа выберите Windows 10, Windows 11 и Windows Server.
- В списке Профиль выберите Безопасность Windows интерфейсе.
Создайте профиль, содержащий следующий параметр:
- TamperProtection (Device): On
Завершите выбор параметров и параметров для политики.
Разверните политику на устройствах.
Защита от незаконного изменения для исключений антивирусной программы
Если в вашей организации определены исключения для Microsoft Defender антивирусной программы, защита от незаконного изменения защищает эти исключения при условии выполнения всех следующих условий:
Устройства работают Защитник Windows платформе
4.18.2211.5или более поздней версии. (См . статью Ежемесячные версии платформы и подсистемы.)DisableLocalAdminMergeвключено. (См . раздел DisableLocalAdminMerge.)Защита от незаконного изменения развертывается с помощью Intune, а управление устройствами осуществляется только в Intune.
Microsoft Defender исключения антивирусной программы управляются в Microsoft Intune. (См. раздел Параметры политики антивирусной Microsoft Defender в Microsoft Intune для устройств Windows.)
На устройствах включена функция защиты Microsoft Defender исключений антивирусной программы. (См . раздел Как определить, защищены ли исключения антивирусной программы на устройстве с Windows.
Совет
Дополнительные сведения об исключениях антивирусной программы Microsoft Defender см. в разделе Исключения для Microsoft Defender для конечной точки и антивирусной Microsoft Defender.
Как определить, защищены ли исключения антивирусной программы на устройстве с Windows
Вы можете использовать раздел реестра, чтобы определить, включена ли функция защиты Microsoft Defender исключений антивирусной программы. В следующей процедуре описывается просмотр состояния защиты от незаконного изменения, но не изменение.
На устройстве с Windows откройте редактор реестра. (Режим только для чтения в порядке; раздел реестра не редактируется.)
Чтобы убедиться, что устройство управляется только Intune, перейдите на страницу
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender(илиHKLM\SOFTWARE\Microsoft\Windows Defender) и найдитеREG_DWORDзапись ManagedDefenderProductType.- Если managedDefenderProductType имеет значение , то устройство управляется только Intune (это значение требуется для защиты исключений от незаконного
6изменения). - Если managedDefenderProductType имеет значение
7, то устройство управляется совместно, например Intune и Configuration Manager (это значение указывает, что исключения в настоящее время не защищены от незаконного изменения).
- Если managedDefenderProductType имеет значение , то устройство управляется только Intune (это значение требуется для защиты исключений от незаконного
Чтобы убедиться, что защита от незаконного изменения развернута и что исключения защищены от незаконного изменения, перейдите по разделу
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features(илиHKLM\SOFTWARE\Microsoft\Windows Defender\Features) и найдитеREG_DWORDзапись с именем TPExclusions.- Если TPExclusions имеет значение
1, то выполняются все необходимые условия, а на устройстве включается новая функция защиты исключений. В этом случае исключения защищены от незаконного изменения. - Если TPExclusions имеет значение , то защита от незаконного
0изменения в настоящее время не защищает исключения на устройстве. (Если вы соответствуете всем требованиям и это состояние кажется неправильным, обратитесь в службу поддержки.)
- Если TPExclusions имеет значение
Предостережение
Не изменяйте значение разделов реестра. Используйте приведенную выше процедуру только для получения сведений. Изменение ключей не влияет на то, применяется ли защита от незаконного изменения к исключениям.