有关篡改防护的常见问题解答 (常见问题解答)

在 Microsoft Defender 门户中启用篡改防护后,访问设备的篡改防护有哪些设备要求?

设备必须满足以下所有要求:

若要在 Microsoft Defender 门户中管理篡改防护 (https://security.microsoft.com) ,必须具有通过安全管理员等角色分配的相应权限。 (请参阅 Microsoft Defender XDR 基于角色的访问控制 (RBAC) .)

可以在哪些版本的 Windows 上配置篡改防护?

如果使用具有租户附加的 Configuration Manager 版本 2006,则可以将篡改防护扩展到 Windows Server 2012 R2、Windows Server 2016、Windows Server 2019 和 Windows Server 2022。 请参阅 租户附加:从管理中心创建和部署终结点安全防病毒策略 (预览版)

篡改防护是否影响 Windows 安全应用中的非Microsoft防病毒注册?

不正确。 非Microsoft防病毒产品/服务将继续向 Windows 安全应用程序注册。

如果Microsoft Defender 防病毒在设备上未处于活动状态,会发生什么情况?

如果在设备上安装了非Microsoft防病毒/反恶意软件,则当该设备载入到 Microsoft Defender for Endpoint 时,Microsoft Defender 防病毒默认以被动模式运行。 防篡改保护服务及其功能。

如果卸载非Microsoft防病毒/反恶意软件,Microsoft Defender 防病毒会自动切换到活动模式。 篡改防护将继续保护服务及其功能。

如何打开或关闭篡改保护?

建议使用 Microsoft Intune 管理组织的 Microsoft Defender 防病毒设置。 使用 Intune,可以通过策略控制启用篡改保护 (或禁用) 的位置。 还可以保护 Microsoft Defender 防病毒排除项。 请参阅 篡改防护:Microsoft Defender 防病毒排除项。

还可以使用 Microsoft Defender 门户Configuration Manager

如果你是家庭用户,请参阅 管理单个设备上的篡改防护

篡改防护是 内置保护的一部分,应启用。

篡改防护是否适用于 Microsoft Defender 防病毒排除项?

是。 若要保护设备上Microsoft Defender 防病毒排除项,必须满足某些条件。 例如,必须仅使用 Intune 或 Configuration Manager 来管理设备,并且必须启用 Sense。 请参阅 保护 Microsoft Defender 防病毒排除项

在 Intune 中配置篡改防护如何影响使用组策略管理 Microsoft Defender 防病毒的方式?

如果当前正在使用 Intune 配置和管理篡改防护,则应继续使用 Intune。 启用篡改防护并使用组策略对 Microsoft Defender 防病毒设置进行更改时,将忽略受篡改防护保护的任何设置。

  • 如果必须对设备进行更改,并且这些更改被篡改防护阻止,则可以使用 故障排除模式 在设备上暂时禁用篡改保护。 故障排除模式结束后,对防篡改设置所做的任何更改都将恢复到其配置状态。
  • 可以使用 Intune 或 Configuration Manager 从篡改保护中排除设备。
  • 如果要通过 Intune 管理篡改防护,并且满足某些其他条件,则可以 管理防篡改防病毒排除项。

如果使用 Microsoft Intune 配置篡改防护,它是否仅适用于整个组织?

如果使用 Intune 配置和管理篡改防护,则不一定需要对整个组织应用篡改防护。 使用 Intune,可以选择对整个组织应用篡改防护,也可以选择特定设备或用户组来接收篡改防护。 还可以从篡改保护中排除特定设备。

打开篡改保护后,哪些设置无法更改?

打开篡改防护后,以下安全设置将受到保护,防止更改:

  • 病毒和威胁防护保持启用状态。
  • 实时保护保持打开状态。
  • 行为监视仍处于打开状态。
  • 防病毒保护(包括 IOfficeAntivirus (IOAV) 仍处于启用状态。
  • 云保护保持启用状态。
  • 安全智能更新会继续发生。
  • 对检测到的威胁执行自动操作。
  • 通知在 Windows 设备上的 Windows 安全应用中可见。
  • 扫描存档的文件。

有关详细信息,请参阅 打开篡改保护时会发生什么情况

如果在 Microsoft Defender XDR 中启用了篡改保护,Intune 或 Configuration Manager 中的设置是否可以替代它?

在 Microsoft Defender 门户中打开篡改保护 (https://security.microsoft.com) 时,会打开租户范围的篡改保护。 但是,Intune 或 Configuration Manager 中定义的策略可以覆盖 Microsoft Defender 门户中的设置。 例如,可以在 Intune 或 Configuration Manager 中定义一个策略,该策略将某些设备排除在篡改保护中。

如何部署 DisableLocalAdminMerge?

使用 Intune 部署 DisableLocalAdminMerge

如何确认排除项是否在 Windows 设备上受到篡改保护?

按照 管理防篡改防病毒排除项中的指南进行操作。

如果为排除项启用了篡改保护,是否需要禁用它才能从 Intune 或 Configuration Manager 应用新的排除策略设置?

不正确。 启用排除项的篡改保护后,无需禁用它来应用新的排除项。

是否可以使用 Configuration Manager 配置篡改防护?

是。 与使用 Intune 类似,可以对整个组织或特定用户和设备应用篡改防护。 有关详细信息,请参阅以下资源:

我是企业客户。 本地管理员是否可以更改其设备上的篡改防护?

通常,防篡改有助于防止用户直接在设备上更改安全设置。 篡改防护是防篡改功能的一部分,包括 标准保护攻击面减少规则。 若要进一步防止恶意软件在内核中运行,请考虑 将驱动程序阻止规则与适用于 Windows 的应用程序控制配合使用

如果我的设备已加入 Microsoft Defender for Endpoint,然后进入非载入状态,会发生什么情况?

如果设备从 Microsoft Defender for Endpoint 登出,则会打开篡改防护,这是非托管设备的默认状态。

如果篡改防护的状态发生更改,Microsoft Defender 门户中是否显示警报?

警报应列在 Microsoft Defender 门户“警报”下。 安全运营团队还可以使用搜寻查询,如以下示例:

AlertInfo|where Title == "Tamper Protection bypass"

配置篡改防护的所有选项有哪些?

可以使用以下任一方法来配置篡改防护:

  • Microsoft Defender 门户 (打开或关闭篡改防护(租户范围)
  • Intune (打开或关闭篡改防护,以及/或为部分或所有用户配置篡改防护)
  • 使用租户附加的 Configuration Manager (,可以使用 Windows 安全体验配置文件) 为部分或所有设备配置篡改防护。
  • Windows 安全应用 (用于家庭或安全团队不管理你的设备的情况下使用的单个设备)

注意

建议为整个组织启用篡改防护。 如果篡改防护阻止 IT 或安全团队在设备上执行必要的任务,请考虑使用 故障排除模式 ,而不是禁用篡改保护。