Dela via


Skydda säkerhetsinställningarna med manipuleringsskydd

Gäller för:

Plattformar

Vad är manipulationsskydd?

Manipulationsskydd är en funktion i Microsoft Defender för Endpoint som hjälper till att skydda vissa säkerhetsinställningar, till exempel virus- och hotskydd, från att inaktiveras eller ändras. Under vissa typer av cyberattacker försöker dåliga aktörer inaktivera säkerhetsfunktioner på enheter. Inaktivering av säkerhetsfunktioner ger dåliga aktörer enklare åtkomst till dina data, möjlighet att installera skadlig kod och möjlighet att utnyttja dina data, identiteter och enheter. Manipulationsskydd skyddar mot dessa typer av aktiviteter.

Manipulationsskydd är en del av funktioner för skydd mot manipulering som omfattar standardregler för minskning av attackytan. Manipulationsskydd är en viktig del av det inbyggda skyddet.

Vad händer när manipuleringsskydd är aktiverat?

När manipuleringsskydd är aktiverat kan dessa manipuleringsskyddade inställningar inte ändras:

  • Skydd mot virus och hot är fortfarande aktiverat.
  • Realtidsskydd är fortfarande aktiverat.
  • Beteendeövervakning är fortfarande aktiverat.
  • Antivirusskydd, inklusive IOfficeAntivirus (IOAV) förblir aktiverat.
  • Molnskydd är fortfarande aktiverat.
  • Uppdateringar av säkerhetsinformation sker.
  • Automatiska åtgärder vidtas för identifierade hot.
  • Meddelanden visas i Windows-säkerhet-appen på Windows-enheter.
  • Arkiverade filer genomsöks.
  • Undantag kan inte ändras eller läggas till (gäller för Intune eller Configuration Manager)

Från och med signaturversionen 1.383.1159.0låser manipuleringsskydd inte längre den här inställningen till standardvärdet på grund av förvirring kring standardvärdet för "Tillåt genomsökning av nätverksfiler". I hanterade miljöer är enabledstandardvärdet .

Viktigt

När manipuleringsskydd är aktiverat kan manipuleringsskyddade inställningar inte ändras. För att undvika avbrott i hanteringsupplevelser, inklusive Intune och Configuration Manager, bör du tänka på att ändringar som görs i manipulationsskyddade inställningar kan verka vara slutförda men faktiskt blockeras av manipuleringsskydd. Beroende på ditt specifika scenario har du flera tillgängliga alternativ:

  • Om du måste göra ändringar i en enhet och dessa ändringar blockeras av manipulationsskydd kan du använda felsökningsläget för att tillfälligt inaktivera manipuleringsskydd på enheten.
  • Du kan använda Intune eller Configuration Manager för att undanta enheter från manipuleringsskydd.

Manipulationsskydd hindrar dig inte från att visa dina säkerhetsinställningar. Och manipulationsskydd påverkar inte hur antivirusappar som inte kommer från Microsoft registreras med Windows-säkerhet-appen. Om din organisation använder Defender för Endpoint kan enskilda användare inte ändra inställningen för manipulationsskydd. I sådana fall hanterar säkerhetsteamet manipuleringsskydd. Mer information finns i Hur gör jag för att konfigurera eller hantera manipuleringsskydd?

På vilka enheter kan manipuleringsskydd aktiveras?

Manipulationsskydd är tillgängligt för enheter som kör någon av följande versioner av Windows:

  • Windows 10 och 11 (inklusive Enterprise multi-session)
  • Windows Server 2022, Windows Server 2019 och Windows Server version 1803 eller senare
  • Windows Server 2016 och Windows Server 2012 R2 (med den moderna, enhetliga lösningen)

Manipulationsskydd är också tillgängligt för Mac, även om det fungerar lite annorlunda än i Windows. Mer information finns i Skydda macOS-säkerhetsinställningar med manipuleringsskydd.

Tips

Det inbyggda skyddet omfattar att aktivera manipuleringsskydd som standard. Mer information finns i:

Manipulationsskydd på Windows Server 2012 R2, 2016 eller Windows version 1709, 1803 eller 1809

Om du använder Windows Server 2012 R2 med den moderna enhetliga lösningen Windows Server 2016, Windows 10 version 1709, 1803 eller 1809 visas inte manipulationsskydd i Windows-säkerhet-appen. I stället kan du använda PowerShell för att avgöra om manipuleringsskydd är aktiverat.

Viktigt

På Windows Server 2016 återspeglar appen Inställningar inte korrekt statusen för realtidsskydd när manipuleringsskydd är aktiverat.

Använda PowerShell för att avgöra om manipuleringsskydd och realtidsskydd är aktiverat

  1. Öppna appen Windows PowerShell.

  2. Använd PowerShell-cmdleten Get-MpComputerStatus .

  3. Leta efter IsTamperProtected eller RealTimeProtectionEnabledi listan med resultat. (Värdet true innebär att manipuleringsskydd är aktiverat.)

Hur gör jag för att konfigurera eller hantera manipuleringsskydd?

Du kan använda Microsoft Intune och andra metoder för att konfigurera eller hantera manipuleringsskydd, enligt följande tabell:

Metod Vad du kan göra
Använd Microsoft Defender-portalen. Aktivera eller inaktivera manipuleringsskydd för hela klientorganisationen. Se Hantera manipuleringsskydd för din organisation med hjälp av Microsoft Defender XDR.

Den här metoden åsidosätter inte inställningar som hanteras i Microsoft Intune eller Configuration Manager.
Använd Microsoft Intune administrationscenter eller Configuration Manager. Aktivera eller inaktivera manipuleringsskydd, hela klientorganisationen eller tillämpa manipuleringsskydd på vissa användare/enheter. Du kan undanta vissa enheter från manipuleringsskydd. Se Hantera manipuleringsskydd för din organisation med hjälp av Intune.

Skydda Microsoft Defender Antivirus-undantag från manipulering om du endast använder Intune eller Configuration Manager. Se Manipulationsskydd för antivirusundantag.
Använd Configuration Manager med klientkoppling. Aktivera eller inaktivera manipuleringsskydd, hela klientorganisationen eller tillämpa manipuleringsskydd på vissa användare/enheter. Du kan undanta vissa enheter från manipuleringsskydd. Se Hantera manipuleringsskydd för din organisation med klientkoppling med Configuration Manager version 2006.
Använd appen Windows-säkerhet. Aktivera eller inaktivera manipuleringsskydd på en enskild enhet som inte hanteras av ett säkerhetsteam (till exempel enheter för hemanvändning). Se Hantera manipuleringsskydd på en enskild enhet.

Den här metoden åsidosätter inte inställningar för manipuleringsskydd som anges i Microsoft Defender-portalen, Intune eller Configuration Manager, och den är inte avsedd att användas av organisationer.

Tips

Om du använder grupprincip för att hantera Microsoft Defender Antivirus-inställningar ska du komma ihåg att alla ändringar som görs i manipulationsskyddade inställningar ignoreras. Om du måste göra ändringar i en enhet och dessa ändringar blockeras av manipuleringsskydd använder du felsökningsläget för att tillfälligt inaktivera manipuleringsskydd på enheten. När felsökningsläget har avslutats återställs alla ändringar som görs i manipulationsskyddade inställningar till sitt konfigurerade tillstånd.

Skydda Microsoft Defender antivirusundantag

Under vissa förhållanden kan manipuleringsskydd skydda undantag som har definierats för Microsoft Defender Antivirus. Mer information finns i Manipulationsskydd för undantag.

Visa information om manipuleringsförsök

Manipuleringsförsök indikerar vanligtvis att en större cyberattack har ägt rum. Dåliga aktörer försöker ändra säkerhetsinställningarna som ett sätt att bevara och förbli oupptäckta. Om du ingår i organisationens säkerhetsteam kan du visa information om sådana försök och sedan vidta lämpliga åtgärder för att minimera hot.

När ett manipuleringsförsök upptäcks utlöses en avisering i Microsoft Defender-portalen (https://security.microsoft.com).

Med hjälp av slutpunktsidentifiering och svar och avancerade jaktfunktioner i Microsoft Defender för Endpoint kan ditt säkerhetsteam undersöka och åtgärda sådana försök.

Granska dina säkerhetsrekommendationer

Manipulationsskydd integreras med Microsoft Defender – hantering av säkerhetsrisker funktioner. Säkerhetsrekommendationer omfattar att se till att manipuleringsskydd är aktiverat. I instrumentpanelen för sårbarhetshantering kan du till exempel söka efter manipulering. I resultatet kan du välja Aktivera manipulationsskydd för att lära dig mer och aktivera det.

Mer information om Microsoft Defender – hantering av säkerhetsrisker finns i Instrumentpanelsinsikter – Sårbarhetshantering i Defender.

Se även

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.