有关篡改防护的常见问题解答 (常见问题解答)

设备必须满足以下所有要求：

• 设备必须运行某些版本的 Windows 或 macOS。 (请参阅 哪些设备可以启用篡改保护？)
• 设备必须 载入到 Microsoft Defender for Endpoint。
• 设备必须使用反恶意软件平台版本 4.18.2010.7 (或更高版本) 和反恶意软件引擎版本 1.1.17600.5 (或更高版本) 。 (管理 Microsoft Defender 防病毒更新并应用 baselines。)
• 必须启用云提供的保护。

若要在 Microsoft Defender 门户中管理篡改防护 (https://security.microsoft.com) ，必须具有通过安全管理员等角色分配的相应权限。 (请参阅 Microsoft Defender XDR 基于角色的访问控制 (RBAC) .)

• Windows 11
• Windows 11 企业版多会话
• Windows 10 OS 1709、 1803、 1809 或更高版本以及 Microsoft Defender for Endpoint。
• Windows 10 企业版多会话

如果使用具有租户附加的 Configuration Manager 版本 2006，则可以将篡改防护扩展到 Windows Server 2012 R2、Windows Server 2016、Windows Server 2019 和 Windows Server 2022。 请参阅 租户附加：从管理中心创建和部署终结点安全防病毒策略 (预览版) 。

不正确。 非Microsoft防病毒产品/服务将继续向 Windows 安全应用程序注册。

如果在设备上安装了非Microsoft防病毒/反恶意软件，则当该设备载入到 Microsoft Defender for Endpoint 时，Microsoft Defender 防病毒默认以被动模式运行。 防篡改保护服务及其功能。

如果卸载非Microsoft防病毒/反恶意软件，Microsoft Defender 防病毒会自动切换到活动模式。 篡改防护将继续保护服务及其功能。

建议使用 Microsoft Intune 管理组织的 Microsoft Defender 防病毒设置。 使用 Intune，可以通过策略控制启用篡改保护 (或禁用) 的位置。 还可以保护 Microsoft Defender 防病毒排除项。 请参阅 篡改防护：Microsoft Defender 防病毒排除项。

还可以使用 Microsoft Defender 门户 或 Configuration Manager。

如果你是家庭用户，请参阅 管理单个设备上的篡改防护。

篡改防护是 内置保护的一部分，应启用。

是。 若要保护设备上Microsoft Defender 防病毒排除项，必须满足某些条件。 例如，必须仅使用 Intune 或 Configuration Manager 来管理设备，并且必须启用 Sense。 请参阅 保护 Microsoft Defender 防病毒排除项。

如果当前正在使用 Intune 配置和管理篡改防护，则应继续使用 Intune。 启用篡改防护并使用组策略对 Microsoft Defender 防病毒设置进行更改时，将忽略受篡改防护保护的任何设置。

• 如果必须对设备进行更改，并且这些更改被篡改防护阻止，则可以使用 故障排除模式 在设备上暂时禁用篡改保护。 故障排除模式结束后，对防篡改设置所做的任何更改都将恢复到其配置状态。
• 可以使用 Intune 或 Configuration Manager 从篡改保护中排除设备。
• 如果要通过 Intune 管理篡改防护，并且满足某些其他条件，则可以 管理防篡改防病毒排除项。

如果使用 Intune 配置和管理篡改防护，则不一定需要对整个组织应用篡改防护。 使用 Intune，可以选择对整个组织应用篡改防护，也可以选择特定设备或用户组来接收篡改防护。 还可以从篡改保护中排除特定设备。

打开篡改防护后，以下安全设置将受到保护，防止更改：

• 病毒和威胁防护保持启用状态。
• 实时保护保持打开状态。
• 行为监视仍处于打开状态。
• 防病毒保护（包括 IOfficeAntivirus (IOAV) 仍处于启用状态。
• 云保护保持启用状态。
• 安全智能更新会继续发生。
• 对检测到的威胁执行自动操作。
• 通知在 Windows 设备上的 Windows 安全应用中可见。
• 扫描存档的文件。

有关详细信息，请参阅 打开篡改保护时会发生什么情况？

在 Microsoft Defender 门户中打开篡改保护 (https://security.microsoft.com) 时，会打开租户范围的篡改保护。 但是，Intune 或 Configuration Manager 中定义的策略可以覆盖 Microsoft Defender 门户中的设置。 例如，可以在 Intune 或 Configuration Manager 中定义一个策略，该策略将某些设备排除在篡改保护中。

使用 Intune 部署 DisableLocalAdminMerge。

按照 管理防篡改防病毒排除项中的指南进行操作。

不正确。 启用排除项的篡改保护后，无需禁用它来应用新的排除项。

是。 与使用 Intune 类似，可以对整个组织或特定用户和设备应用篡改防护。 有关详细信息，请参阅以下资源：

• 使用 Intune 管理篡改防护
• 通过 Configuration Manager 版本 2006 使用租户附加管理篡改防护
• 技术社区博客：宣布为 Configuration Manager 租户附加客户端提供篡改防护

通常，防篡改有助于防止用户直接在设备上更改安全设置。 篡改防护是防篡改功能的一部分，包括 标准保护攻击面减少规则。 若要进一步防止恶意软件在内核中运行，请考虑 将驱动程序阻止规则与适用于 Windows 的应用程序控制配合使用。

如果设备从 Microsoft Defender for Endpoint 登出，则会打开篡改防护，这是非托管设备的默认状态。

警报应列在 Microsoft Defender 门户 的 “警报”下。 安全运营团队还可以使用搜寻查询，如以下示例：

AlertInfo|where Title == "Tamper Protection bypass"

可以使用以下任一方法来配置篡改防护：

• Microsoft Defender 门户 (打开或关闭篡改防护（租户范围)
• Intune (打开或关闭篡改防护，以及/或为部分或所有用户配置篡改防护)
• 使用租户附加的 Configuration Manager (，可以使用 Windows 安全体验配置文件) 为部分或所有设备配置篡改防护。
• Windows 安全应用 (用于家庭或安全团队不管理你的设备的情况下使用的单个设备)