内置保护有助于防范勒索软件

适用于:

Microsoft Defender for Endpoint 可帮助预防、检测、调查和响应高级威胁,例如勒索软件攻击。 Defender for Endpoint 中的下一代保护和攻击面减少功能旨在捕获新出现的威胁。 为了对勒索软件和其他网络威胁进行最佳保护,必须配置某些设置。 内置保护可以通过提供默认设置来提供更好的保护,从而有所帮助。

提示

你不必等待内置保护来找你! 现在可以通过配置以下功能来保护组织的设备:

什么是内置保护,它是如何工作的?

内置保护是一组默认设置,可帮助确保设备受到 Defender for Endpoint 的保护。 这些默认设置旨在保护设备免受勒索软件和其他威胁的影响。 最初,内置保护从为租户 启用篡改保护 开始,并扩展到其他默认设置。 有关详细信息,请参阅技术社区博客文章 ,将为所有企业客户启用篡改防护

当设备载入到 Defender for Endpoint 时,会自动应用内置保护设置。 但是,安全团队可以 更改内置保护设置。 |

注意

内置保护设置 Windows 和 Mac 设备的默认值。 如果终结点安全设置发生更改(例如通过 Microsoft Intune 中的基线或策略),这些设置将替代内置保护设置。

我可以选择退出吗?

可以通过指定自己的安全设置来选择退出内置保护。 例如,如果不希望为租户自动启用篡改防护,可以显式选择退出。

警告

我们不建议关闭篡改保护。 篡改防护提供更好的勒索软件防护。 必须分配有安全管理员角色才能执行以下过程。

  1. 转到 Microsoft Defender 门户 (https://security.microsoft.com) 并登录。

  2. 转到 “设置>终结点>高级功能”。

  3. 如果篡改保护”尚未) ,请将“篡改防护”设置为“ (上”,然后选择“保存首选项”。 暂时不要离开此页面

  4. “篡改防护” 设置为 “关闭”,然后选择“ 保存首选项”。

是否可以更改内置保护设置?

内置保护是一组默认设置。 安全团队无需保留这些默认设置。 为满足组织的业务需求,安全团队可以更改安全设置。 下表列出了安全团队可能执行的任务,以及用于了解详细信息的链接。

任务 说明
确定是否为组织启用篡改防护 1. 转到 Microsoft Defender 门户 (https://security.microsoft.com) 并登录。

2. 转到 “设置>终结点>”“高级功能>”“篡改防护”。
使用 Microsoft Defender 门户 () https://security.microsoft.com 管理篡改防护租户范围 1. 转到 Microsoft Defender 门户 (https://security.microsoft.com) 并登录。

2. 转到 “设置>终结点>”“高级功能”。

3. 将 “篡改防护” 设置为“ (建议) 或 关闭

4.选择“ 保存首选项”。

请参阅 使用 Microsoft Defender 门户管理组织的篡改防护
为某些(但不是所有)设备设置篡改防护设置 使用应用于特定设备的终结点安全策略和配置文件。

另请参阅以下文章:
- 使用 Microsoft Intune 管理篡改防护
- 通过 Configuration Manager 版本 2006 使用租户附加管理篡改防护
在单个 Windows 设备上打开或关闭篡改保护 1. 在 Windows 设备上,选择“ 开始”,然后开始键入 “安全性”。

2. 在搜索结果中,选择“ Windows 安全中心”。

3. 选择 “病毒 & 威胁防护>”“病毒 & 威胁防护设置”。

4. 将 “篡改防护” 设置为“ 打开 ” (建议) 或 “关闭”。

如果设备已载入 Defender for Endpoint,或者设备在 Microsoft Intune 管理中心进行管理,这些设置将覆盖单个设备上的用户设置。 请参阅 管理单个设备上的篡改防护
在 Mac 上手动打开或关闭篡改保护 1. 在 Mac 上,打开 Finder,然后转到 “应用程序>实用工具>终端”。

2. 在终端中,键入以下命令 sudo mdatp config tamper-protection enforcement-level --value (chosen mode)

请参阅 手动配置
使用移动设备管理 (MDM) 解决方案更改篡改防护设置 若要使用 MDM 更改篡改防护模式,请转到配置文件,并在 IntuneJAMF 中更改强制级别。

使用 MDM 设置的配置文件将是你的第一个参考点。 配置文件中定义的任何设置都将在设备上强制执行,内置保护默认设置不会覆盖这些应用的设置。
出于故障排除目的,暂时禁用设备上的篡改防护 另请参阅以下文章:
- Microsoft Defender for Endpoint 中的故障排除模式入门
- Microsoft Defender for Endpoint 中的故障排除模式方案

重要

Microsoft建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一种高特权角色,在无法使用现有角色时,应仅限于紧急情况。

提示

想要了解更多信息? 在技术社区中与 Microsoft 安全社区互动: Microsoft Defender for Endpoint 技术社区