Vanliga frågor och svar om manipuleringsskydd

Enheterna måste uppfylla alla följande krav:

• Enheter måste köra vissa versioner av Windows eller macOS. (Se På vilka enheter kan manipuleringsskydd aktiveras?)
• Enheter måste registreras i Microsoft Defender för Endpoint.
• Enheter måste använda plattformsversionen 4.18.2010.7 för program mot skadlig kod (eller senare) och motorversionen 1.1.17600.5 mot skadlig kod (eller senare). (Hantera Microsoft Defender Antivirus-uppdateringar och tillämpa baslinjer.)
• Molnlevererad skydd måste vara aktiverat.

Om du vill hantera manipuleringsskydd i Microsoft Defender-portalen (https://security.microsoft.com) måste du ha rätt behörigheter tilldelade via roller, till exempel säkerhetsadministratör. (Se Rollbaserad åtkomstkontroll för Microsoft Defender XDR (RBAC).)

• Windows 11
• Windows 11 Enterprise multi-session
• Windows 10 OS 1709, 1803, 1809 eller senare tillsammans med Microsoft Defender för Endpoint.
• Windows 10 Enterprise multi-session

Om du använder Configuration Manager version 2006 med klientanslutning kan manipuleringsskyddet utökas till Windows Server 2012 R2, Windows Server 2016, Windows Server 2019 och Windows Server 2022. Se Klientkoppling: Skapa och distribuera antivirusprincip för slutpunktssäkerhet från administrationscentret (förhandsversion).

Nej. Antiviruserbjudanden som inte kommer från Microsoft fortsätter att registreras med Windows-säkerhetsprogrammet.

Om antivirusprogram/program mot skadlig kod som inte kommer från Microsoft installeras på en enhet, körs Microsoft Defender Antivirus som standard i passivt läge när enheten registreras i Microsoft Defender för Endpoint. Manipulationsskydd skyddar tjänsten och dess funktioner.

Om/när antivirusprogram som inte kommer från Microsoft/program mot skadlig kod avinstalleras växlar Microsoft Defender Antivirus automatiskt till aktivt läge. Manipulationsskyddet fortsätter att skydda tjänsten och dess funktioner.

Vi rekommenderar att du använder Microsoft Intune för att hantera Microsoft Defender Antivirus-inställningar för din organisation. Med Intune kan du styra var manipuleringsskydd är aktiverat (eller inaktiverat) via principer. Du kan också skydda Microsoft Defender Antivirus-undantag. Se Manipulationsskydd: Microsoft Defender Antivirus-undantag.

Du kan också använda Microsoft Defender-portalen eller Configuration Manager.

Om du är en hemanvändare kan du läsa Hantera manipuleringsskydd på en enskild enhet.

Manipulationsskydd är en del av det inbyggda skyddet och bör aktiveras.

Ja. För att skydda Microsoft Defender Antivirus-undantag på enheter måste vissa villkor vara uppfyllda. Du måste till exempel endast använda Intune eller Configuration Manager för att hantera enheter, och du måste ha Sense aktiverat. Se Skydda Microsoft Defender Antivirus-undantag.

Om du för närvarande använder Intune för att konfigurera och hantera manipuleringsskydd bör du fortsätta använda Intune. När manipuleringsskydd är aktiverat och du använder en grupprincip för att göra ändringar i inställningarna för Microsoft Defender Antivirus ignoreras alla inställningar som skyddas av manipuleringsskydd.

• Om du måste göra ändringar i en enhet och dessa ändringar blockeras av manipulationsskydd kan du använda felsökningsläget för att tillfälligt inaktivera manipuleringsskydd på enheten. När felsökningsläget har avslutats återställs alla ändringar som görs i manipulationsskyddade inställningar till sitt konfigurerade tillstånd.
• Du kan använda Intune eller Configuration Manager för att undanta enheter från manipuleringsskydd.
• Om du hanterar manipuleringsskydd via Intune och vissa andra villkor uppfylls kan du hantera manipulationsskyddade antivirusundantag.

Om du använder Intune för att konfigurera och hantera manipuleringsskydd behöver du inte nödvändigtvis tillämpa manipuleringsskydd på hela organisationen. Med Intune kan du välja att tillämpa manipuleringsskydd på hela organisationen, eller välja specifika enheter eller användargrupper för att få manipulationsskydd. Du kan också undanta specifika enheter från manipuleringsskydd.

När manipuleringsskydd är aktiverat skyddas följande säkerhetsinställningar från att ändras:

• Skydd mot virus och hot är fortfarande aktiverat.
• Realtidsskydd är fortfarande aktiverat.
• Beteendeövervakning är fortfarande aktiverat.
• Antivirusskydd, inklusive IOfficeAntivirus (IOAV) förblir aktiverat.
• Molnskydd är fortfarande aktiverat.
• Uppdateringar av säkerhetsinformation fortsätter att ske.
• Automatiska åtgärder vidtas för identifierade hot.
• Meddelanden visas i Windows-säkerhetsappen på Windows-enheter.
• Arkiverade filer genomsöks.

Mer information finns i Vad händer när manipuleringsskydd är aktiverat?

När manipuleringsskydd är aktiverat i Microsoft Defender-portalen (https://security.microsoft.com), aktiveras manipuleringsskydd i hela klientorganisationen. Principer som definierats i Intune eller Configuration Manager kan dock åsidosätta inställningar i Microsoft Defender-portalen. Du kan till exempel definiera en princip i Intune eller Configuration Manager som undantar vissa enheter från manipuleringsskydd.

Använd Intune för att distribuera DisableLocalAdminMerge.

Följ riktlinjerna i Hantera manipulationsskyddade antivirusundantag.

Nej. När manipuleringsskydd för undantag är aktiverat behöver du inte inaktivera det för att tillämpa nya undantag.

Ja. På samma sätt som med Intune kan du använda manipuleringsskydd för hela organisationen eller för specifika användare och enheter. Mer information finns i följande resurser:

• Hantera manipuleringsskydd med Intune
• Hantera manipuleringsskydd med klientkoppling med Configuration Manager, version 2006
• Tech Community-blogg: Meddelande om manipulationsskydd för Klientkopplingsklienter i Configuration Manager

I allmänhet skyddar manipuleringsskydd mot att användare kan ändra säkerhetsinställningar direkt på enheter. Manipulationsskydd är en del av funktioner för skydd mot manipulering som omfattar standardregler för minskning av attackytan. Om du vill förhindra att skadlig kod körs i kernel ytterligare kan du överväga att använda regler för drivrutinsblockering med programkontroll för Windows.

Om en enhet är inaktiverad från Microsoft Defender för Endpoint aktiveras manipuleringsskydd, vilket är standardtillståndet för ohanterade enheter.

Aviseringar bör visas i Microsoft Defender-portalen under Aviseringar. Ditt säkerhetsteam kan också använda jaktfrågor, till exempel följande exempel:

AlertInfo|where Title == "Tamper Protection bypass"

Du kan använda någon av följande metoder för att konfigurera manipuleringsskydd:

• Microsoft Defender-portalen (aktivera eller inaktivera manipuleringsskydd, hela klientorganisationen)
• Intune (aktivera eller inaktivera manipuleringsskydd och/eller konfigurera manipuleringsskydd för vissa eller alla användare)
• Configuration Manager (med klientanslutning kan du konfigurera manipuleringsskydd för vissa eller alla enheter med hjälp av Profil för Windows-säkerhetsupplevelse).
• Windows-säkerhetsapp (för en enskild enhet som används hemma eller i situationer där ett säkerhetsteam inte hanterar din enhet)