内置保护有助于防范勒索软件

适用于：

• Microsoft Defender for Endpoint 计划 1
• Microsoft Defender for Endpoint 计划 2

Microsoft Defender for Endpoint 可帮助预防、检测、调查和响应高级威胁，例如勒索软件攻击。 Defender for Endpoint 中的下一代保护和攻击面减少功能旨在捕获新出现的威胁。 为了对勒索软件和其他网络威胁进行最佳保护，必须配置某些设置。 内置保护可以通过提供默认设置来提供更好的保护，从而有所帮助。

提示

你不必等待内置保护来找你！ 现在可以通过配置以下功能来保护组织的设备：

• 启用云保护
• 打开篡改保护
• 将标准攻击面减少规则设置为阻止模式
• 在块模式下启用网络保护

什么是内置保护，它是如何工作的？

内置保护是一组默认设置，可帮助确保设备受到 Defender for Endpoint 的保护。 这些默认设置旨在保护设备免受勒索软件和其他威胁的影响。 最初，内置保护从为租户 启用篡改保护 开始，并扩展到其他默认设置。 有关详细信息，请参阅技术社区博客文章 ，将为所有企业客户启用篡改防护。

当设备载入到 Defender for Endpoint 时，会自动应用内置保护设置。 但是，安全团队可以 更改内置保护设置。 |

注意

内置保护设置 Windows 和 Mac 设备的默认值。 如果终结点安全设置发生更改（例如通过 Microsoft Intune 中的基线或策略），这些设置将替代内置保护设置。

我可以选择退出吗？

可以通过指定自己的安全设置来选择退出内置保护。 例如，如果不希望为租户自动启用篡改防护，可以显式选择退出。

警告

我们不建议关闭篡改保护。 篡改防护提供更好的勒索软件防护。 必须分配有安全管理员角色才能执行以下过程。

1. 转到 Microsoft Defender 门户 (https://security.microsoft.com) 并登录。

2. 转到 “设置>终结点>高级功能”。

3. 如果“篡改保护”尚未) ，请将“篡改防护”设置为“ (上”，然后选择“保存首选项”。 暂时不要离开此页面。

4. 将 “篡改防护” 设置为 “关闭”，然后选择“ 保存首选项”。

是否可以更改内置保护设置？

内置保护是一组默认设置。 安全团队无需保留这些默认设置。 为满足组织的业务需求，安全团队可以更改安全设置。 下表列出了安全团队可能执行的任务，以及用于了解详细信息的链接。

任务	说明
确定是否为组织启用篡改防护	1. 转到 Microsoft Defender 门户 (https://security.microsoft.com) 并登录。 2. 转到 “设置>终结点>”“高级功能>”“篡改防护”。
使用 Microsoft Defender 门户 () https://security.microsoft.com 管理篡改防护租户范围	1. 转到 Microsoft Defender 门户 (https://security.microsoft.com) 并登录。 2. 转到 “设置>终结点>”“高级功能”。 3. 将 “篡改防护” 设置为“ 开 (建议) 或 关闭。 4.选择“ 保存首选项”。 请参阅 使用 Microsoft Defender 门户管理组织的篡改防护。
为某些（但不是所有）设备设置篡改防护设置	使用应用于特定设备的终结点安全策略和配置文件。 另请参阅以下文章： - 使用 Microsoft Intune 管理篡改防护 - 通过 Configuration Manager 版本 2006 使用租户附加管理篡改防护
在单个 Windows 设备上打开或关闭篡改保护	1. 在 Windows 设备上，选择“ 开始”，然后开始键入 “安全性”。 2. 在搜索结果中，选择“ Windows 安全中心”。 3. 选择 “病毒 & 威胁防护>”“病毒 & 威胁防护设置”。 4. 将 “篡改防护” 设置为“ 打开 ” (建议) 或 “关闭”。 如果设备已载入 Defender for Endpoint，或者设备在 Microsoft Intune 管理中心进行管理，这些设置将覆盖单个设备上的用户设置。 请参阅 管理单个设备上的篡改防护。
在 Mac 上手动打开或关闭篡改保护	1. 在 Mac 上，打开 Finder，然后转到 “应用程序>实用工具>终端”。 2. 在终端中，键入以下命令 sudo mdatp config tamper-protection enforcement-level --value (chosen mode)。 请参阅 手动配置。
使用移动设备管理 (MDM) 解决方案更改篡改防护设置	若要使用 MDM 更改篡改防护模式，请转到配置文件，并在 Intune 或 JAMF 中更改强制级别。 使用 MDM 设置的配置文件将是你的第一个参考点。 配置文件中定义的任何设置都将在设备上强制执行，内置保护默认设置不会覆盖这些应用的设置。
出于故障排除目的，暂时禁用设备上的篡改防护	另请参阅以下文章： - Microsoft Defender for Endpoint 中的故障排除模式入门 - Microsoft Defender for Endpoint 中的故障排除模式方案

重要

Microsoft建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一种高特权角色，在无法使用现有角色时，应仅限于紧急情况。

提示

想要了解更多信息？ 在技术社区中与 Microsoft 安全社区互动： Microsoft Defender for Endpoint 技术社区。