使用 Microsoft Intune 管理组织的篡改防护
适用于:
- Microsoft Defender for Endpoint 计划 1
- Microsoft Defender for Endpoint 计划 2
- Microsoft Defender 防病毒
- Microsoft Defender 商业版
- Microsoft 365 商业高级版
平台
- Windows
篡改防护有助于防止某些 安全设置(如病毒和威胁防护)被禁用或更改。 如果你是组织安全团队的一员,并且使用的是 Microsoft Intune,则可以在 Intune 管理中心中管理组织的篡改防护。 或者,可以使用 Configuration Manager。 使用 Intune 或 Configuration Manager,可以:
- 对某些或所有设备启用 (或关闭) 篡改保护。
- Microsoft Defender 防病毒排除项,防止篡改 (必须满足) 某些要求。
重要
如果使用 Microsoft Intune 来管理 Defender for Endpoint 设置,请确保在设备上将 DisableLocalAdminMerge 设置为 true。
打开篡改保护后,无法更改 防篡改设置 。 若要避免中断管理体验(包括 Intune (和 Configuration Manager) ),请记住,对防篡改设置的更改看起来可能会成功,但实际上被篡改保护阻止。 根据特定方案,有几个可用选项:
- 如果必须对设备进行更改,并且篡改保护阻止了这些更改,我们建议使用 故障排除模式 在设备上暂时禁用篡改保护。 请注意,在故障排除模式结束后,对防篡改设置所做的任何更改都将还原到其配置状态。
- 可以使用 Intune 或 Configuration Manager 从篡改保护中排除设备。
- 如果要通过 Intune 管理篡改防护,则可以更改 防篡改防病毒排除项。
在 Intune 中管理篡改防护的要求
要求 | 详细信息 |
---|---|
角色和权限 | 必须具有通过角色(例如安全管理员)分配的相应权限。 请参阅 Microsoft具有 Intune 访问权限的 Entra 角色。 |
设备管理 | 你的组织使用 Intune 来管理设备。 |
Intune 许可证 | 需要 Intune 许可证。 请参阅 Microsoft Intune 许可。 |
操作系统 | Windows 设备必须运行 Windows 10 版本 1709 或更高版本 或 Windows 11。 (有关版本的详细信息,请参阅 Windows 版本信息。) 对于 Mac,请参阅 使用篡改防护保护 macOS 安全设置。 |
安全智能 | 必须将 Windows 安全性与 安全智能 更新为版本 1.287.60.0 (或更高版本) 。 |
反恶意软件平台 | 设备必须使用反恶意软件平台版本 4.18.1906.3 (或更高版本) 和反恶意软件引擎版本 1.1.15500.X (或更高版本) 。 请参阅 管理 Microsoft Defender 防病毒更新和应用基线。 |
Microsoft Entra ID | Intune 和 Defender for Endpoint 租户必须共享相同的Microsoft Entra 基础结构。 |
Defender for Endpoint | 设备必须载入到 Defender for Endpoint。 |
注意
如果未在 Microsoft Defender for Endpoint 中注册设备,则在载入过程完成之前,篡改防护会显示为 “不适用 ”。 防篡改可以防止发生对安全设置的更改。 如果看到事件 ID 为 5013 的错误代码,请参阅 查看事件日志和错误代码以排查 Microsoft Defender 防病毒问题。
在 Microsoft Intune 中打开 (或关闭) 篡改保护
在 Intune 管理中心,转到 “终结点安全>防病毒”,然后选择“ + 创建策略”。
- 在 “平台 ”列表中,选择“ Windows 10”、“Windows 11”和“Windows Server”。
- 在 “配置文件” 列表中,选择“ Windows 安全体验”。
创建包含以下设置的配置文件:
- 篡改保护 (设备) :打开
完成为策略选择选项和设置。
将策略部署到设备。
防病毒排除项的篡改保护
如果组织 为 Microsoft Defender 防病毒定义了排除项,则篡改防护会保护这些排除项,前提是满足以下所有条件:
条件 | 标准 |
---|---|
Microsoft Defender 平台 | 设备Microsoft Defender 平台 4.18.2211.5 或更高版本运行。 有关详细信息,请参阅 每月平台和引擎版本。 |
DisableLocalAdminMerge 设置 |
此设置也称为阻止本地列表合并。 DisableLocalAdminMerge 启用 ,以便设备上配置的设置不会与组织策略(例如 Intune 中的设置)合并。 有关详细信息,请参阅 DisableLocalAdminMerge。 |
设备管理 | 设备要么仅在 Intune 中管理,要么仅使用 Configuration Manager 进行管理。 必须启用感知。 |
防病毒排除项 | Microsoft Defender 防病毒排除项在 Microsoft Intune 中管理。 有关详细信息,请参阅 Microsoft Intune for Windows 设备的 Microsoft Defender 防病毒策略的设置。 设备上启用了用于保护 Microsoft Defender 防病毒排除项的功能。 有关详细信息,请参阅 如何确定防病毒排除项是否在 Windows 设备上受到篡改保护。 |
提示
有关 Microsoft Defender 防病毒排除项的详细信息,请参阅 Microsoft Defender for Endpoint 和 Microsoft Defender 防病毒的排除项。
如何确定防病毒排除项是否在 Windows 设备上受到篡改保护
可以使用注册表项来确定是否启用了用于保护 Microsoft Defender 防病毒排除项的功能。 以下过程介绍如何查看(但不能更改)篡改防护状态。
在 Windows 设备上打开注册表编辑器。 (只读模式正常;未编辑注册表项。)
若要确认设备仅由 Intune 管理或仅由 Configuration Manager 管理(启用了 Sense),请检查以下注册表项值:
ManagedDefenderProductType
(位于Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender
或HKLM\SOFTWARE\Microsoft\Windows Defender
)EnrollmentStatus
(位于Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SenseCM
或HKLM\SOFTWARE\Microsoft\SenseCM
)
下表汇总了注册表项值的含义:
ManagedDefenderProductType
值EnrollmentStatus
值值的含义 6
(任何值) 设备仅由 Intune 管理。
(满足对排除项进行篡改保护的要求。)7
4
设备由 Configuration Manager 管理。
(满足对排除项进行篡改保护的要求。)或 以外的 6
值7
(任何值) 设备不仅由 Intune 或 Configuration Manager 管理。
(排除项不受篡改保护。)若要确认是否已部署篡改防护以及排除项是否受到篡改保护,请检查
TPExclusions
位于 或HKLM\SOFTWARE\Microsoft\Windows Defender\Features
) 的注册表项 (Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features
。TPExclusions
值的含义 1
满足所需条件,并在设备上启用用于保护排除项的新功能。
(排除项受到篡改保护。)0
篡改防护当前不保护设备上的排除项。
(如果满足所有要求,并且此状态似乎不正确,请联系 support.)
警告
不要更改注册表项的值。 仅使用上述过程获取信息。 更改密钥不会影响篡改保护是否适用于排除项。
另请参阅
- 有关篡改防护的常见问题解答 ()
- 非 Windows 设备上的 Defender for Endpoint
- 排查篡改防护问题
- 使用 Microsoft Intune 管理设备上的 Microsoft Defender for Endpoint
提示
想要了解更多信息? 在技术社区中与 Microsoft 安全社区互动: Microsoft Defender for Endpoint 技术社区。
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈