Защита параметров безопасности с помощью защиты от подделки
Область применения:
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
- Антивирусная программа в Microsoft Defender
- Microsoft Defender для бизнеса
- Microsoft 365 бизнес премиум
Платформы
- Windows
- macOS
Что такое защита от незаконного изменения?
Защита от незаконного копирования — это возможность в Microsoft Defender для конечной точки, которая помогает защитить определенные параметры безопасности, такие как защита от вирусов и угроз, от отключения или изменения. Во время некоторых видов кибератак злоумышленники пытаются отключить функции безопасности на устройствах. Отключение функций безопасности обеспечивает злоумышленникам более простой доступ к данным, возможность установки вредоносных программ и возможность использовать данные, удостоверения и устройства. Защита от незаконного изменения помогает защититься от таких видов действий.
Защита от незаконного изменения является частью возможностей защиты от незаконного изменения, которые включают стандартные правила сокращения направлений атак. Защита от незаконного изменения является важной частью встроенной защиты.
Что происходит, если включена защита от незаконного изменения?
Если защита от незаконного изменения включена, параметры, защищенные от незаконного изменения, нельзя изменить со значений по умолчанию:
- Включена защита от вирусов и угроз.
- Защита в режиме реального времени включена.
- Мониторинг поведения включен.
- Включена антивирусная защита, включая IOfficeAntivirus (IOAV).
- Облачная защита включена.
- Происходят обновления аналитики безопасности.
- При обнаружении угроз выполняются автоматические действия.
- Уведомления отображаются в приложении Безопасность Windows на устройствах Windows.
- Архивные файлы сканируются.
Примечание.
После выпуска 1.383.1159.0сигнатуры из-за путаницы, связанной со значением по умолчанию для параметра "Разрешить сканирование сетевых файлов", защита от незаконного изменения больше не блокирует этот параметр по значению по умолчанию. В управляемых средах включено значение по умолчанию.
Важно!
Если защита от незаконного изменения включена, параметры, защищенные от незаконного изменения, перечисленные выше, нельзя изменить со значений по умолчанию. Чтобы избежать критических моментов управления, включая Intune и Configuration Manager, помните, что изменения, внесенные в защищенные от незаконного изменения параметров, могут показаться успешными, но фактически блокируются защитой от незаконного изменения. Вы можете использовать Intune и Configuration Manager, чтобы исключить устройства из защиты от незаконного вмешательства. Кроме того, если вы управляете защитой от незаконного изменения с помощью Intune, вы можете изменить исключения антивирусной программы, защищенные от незаконного изменения.
Защита от незаконного изменения не препятствует просмотру параметров безопасности. Кроме того, защита от незаконного изменения не влияет на то, как антивирусные приложения сторонних разработчиков регистрируются в приложении Безопасность Windows. Если ваша организация использует Defender для конечной точки, отдельные пользователи не могут изменить параметр защиты от незаконного изменения. в таких случаях защита от незаконного изменения управляется командой безопасности. Дополнительные сведения см. в статье Разделы справки настройка или управление защитой от незаконного вмешательства?
На каких устройствах можно включить защиту от незаконного изменения?
Защита от незаконного изменения доступна для устройств под управлением одной из следующих версий Windows:
- Windows 10 и 11 (включая корпоративный многосеансовый режим)
- Windows Server 2022, Windows Server 2019 и Windows Server версии 1803 или более поздней
- Windows Server 2016 и Windows Server 2012 R2 (с использованием современного унифицированного решения)
Защита от незаконного изменения также доступна для Mac, хотя работает немного иначе, чем в Windows. Дополнительные сведения см. в статье Защита параметров безопасности macOS с помощью защиты от незаконного изменения.
Совет
Встроенная защита включает включение защиты от незаконного изменения по умолчанию. Дополнительные сведения см. в разделе:
- Встроенная защита помогает защититься от программ-шантажистов (статья)
- Защита от незаконного изменения будет включена для всех корпоративных клиентов (запись блога Tech Community)
Вы используете Windows Server 2012 R2, 2016 или Windows версии 1709, 1803 или 1809?
Если вы используете Windows Server 2012 R2, используя современное унифицированное решение, Windows Server 2016, Windows 10 версии 1709, 1803 или 1809, вы не увидите защиту от незаконного изменения в приложении Безопасность Windows. Вместо этого можно использовать PowerShell, чтобы определить, включена ли защита от незаконного изменения.
Важно!
На Windows Server 2016 приложение "Параметры" не будет точно отражать состояние защиты в режиме реального времени при включении защиты от незаконного изменения.
Используйте PowerShell, чтобы определить, включена ли защита от незаконного изменения и защита в режиме реального времени
Откройте приложение Windows PowerShell.
Используйте командлет PowerShell Get-MpComputerStatus .
В списке результатов найдите
IsTamperProtectedилиRealTimeProtectionEnabled. (Значение true означает, что включена защита от незаконного изменения.)
Разделы справки настроить защиту от незаконного изменения или управлять ими?
Вы можете использовать Microsoft Intune и другие методы для настройки или управления защитой от незаконного изменения, как описано в следующей таблице.
| Метод | Возможное действие |
|---|---|
| Портал Microsoft 365 Defender | Включите (или выключите) защиту от незаконного изменения на уровне клиента. Этот метод не переопределяет параметры, управляемые в Microsoft Intune или Configuration Manager с подключением клиента. См. статью Управление защитой от незаконного изменения в организации с помощью Microsoft 365 Defender. |
| Центр администрирования Microsoft Intune | Включите (или выключите) защиту от незаконного изменения на уровне клиента для некоторых или всех устройств. С помощью этого метода можно также изменить защиту от исключений антивирусной программы, определенных для Microsoft Defender антивирусной программы. См. статью Управление защитой от незаконного изменения в организации с помощью Intune. |
| Диспетчер конфигураций | Включите (или выключите) защиту от незаконного изменения для некоторых или всех устройств с помощью Configuration Manager с подключением клиента. Этот метод не переопределяет параметры, управляемые в Intune. См. статью Управление защитой от незаконного изменения в организации с помощью подключения клиента с помощью Configuration Manager версии 2006. |
| Приложение "Безопасность Windows | Включите (или выключите) защиту от незаконного изменения на отдельном устройстве, которое не управляется группой безопасности (например, устройства для домашнего использования). Этот метод не переопределяет параметры защиты от незаконного изменения, управляемые порталом Microsoft 365 Defender, Intune или Configuration Manager, и не предназначен для использования организациями. См. раздел Управление защитой от незаконного изменения на отдельном устройстве. |
Совет
Если вы используете групповая политика для управления параметрами антивирусной программы Microsoft Defender, помните, что любые изменения, внесенные в параметры, защищенные от незаконного изменения, будут игнорироваться. Для управления защитой от незаконного вмешательства рекомендуется использовать портал Microsoft 365 Defender, Intune или Configuration Manager.
Как насчет исключений?
При определенных условиях защита от незаконного изменения теперь может защищать исключения антивирусной программы, определенные для Microsoft Defender антивирусной программы. Дополнительные сведения см. в разделе Защита от незаконного изменения для исключений.
Просмотр сведений о попытках незаконного изменения
Попытки незаконного изменения обычно указывают на то, что произошла более крупная кибератака. Злоумышленники пытаются изменить параметры безопасности, чтобы сохраниться и остаться незамеченным. Если вы входите в группу безопасности вашей организации, вы можете просмотреть сведения о таких попытках, а затем принять соответствующие меры для устранения угроз.
При обнаружении попытки незаконного изменения на портале Microsoft 365 Defender (https://security.microsoft.com).
Используя обнаружение и реагирование на конечные точки, а также расширенные возможности охоты в Microsoft Defender для конечной точки, ваша команда по операциям безопасности может исследовать и устранять такие попытки.
Ознакомьтесь с рекомендациями по безопасности
Защита от незаконного изменения интегрируется с возможностями Управление уязвимостями Microsoft Defender. Рекомендации по безопасности включают включение защиты от незаконного изменения. Например, на панели мониторинга управления уязвимостями можно выполнить поиск по незаконному обнаружению. В результатах можно выбрать Включить защиту от незаконного изменения, чтобы узнать больше и включить ее.
Дополнительные сведения о Управление уязвимостями Microsoft Defender см. в статье Аналитика панели мониторинга — управление уязвимостями в Defender.