使用 Microsoft Intune 管理组织的篡改防护

适用于:

平台

  • Windows

篡改防护有助于防止某些 安全设置(如病毒和威胁防护)被禁用或更改。 如果你是组织安全团队的一员,并且使用的是 Microsoft Intune,则可以在 Intune 管理中心中管理组织的篡改防护。 或者,可以使用 Configuration Manager。 使用 Intune 或 Configuration Manager,可以:

重要

如果使用 Microsoft Intune 来管理 Defender for Endpoint 设置,请确保在设备上将 DisableLocalAdminMerge 设置为 true。

打开篡改保护后,无法更改 防篡改设置 。 若要避免中断管理体验(包括 Intune (和 Configuration Manager) ),请记住,对防篡改设置的更改看起来可能会成功,但实际上被篡改保护阻止。 根据特定方案,有几个可用选项:

  • 如果必须对设备进行更改,并且篡改保护阻止了这些更改,我们建议使用 故障排除模式 在设备上暂时禁用篡改保护。 请注意,在故障排除模式结束后,对防篡改设置所做的任何更改都将还原到其配置状态。
  • 可以使用 Intune 或 Configuration Manager 从篡改保护中排除设备。
  • 如果要通过 Intune 管理篡改防护,则可以更改 防篡改防病毒排除项

在 Intune 中管理篡改防护的要求

要求 详细信息
角色和权限 必须具有通过角色(例如安全管理员)分配的相应权限。 请参阅 Microsoft具有 Intune 访问权限的 Entra 角色
设备管理 你的组织使用 Intune 来管理设备
Intune 许可证 需要 Intune 许可证。 请参阅 Microsoft Intune 许可
操作系统 Windows 设备必须运行 Windows 10 版本 1709 或更高版本 或 Windows 11。 (有关版本的详细信息,请参阅 Windows 版本信息。)

对于 Mac,请参阅 使用篡改防护保护 macOS 安全设置
安全智能 必须将 Windows 安全性与 安全智能 更新为版本 1.287.60.0 (或更高版本) 。
反恶意软件平台 设备必须使用反恶意软件平台版本 4.18.1906.3 (或更高版本) 和反恶意软件引擎版本 1.1.15500.X (或更高版本) 。 请参阅 管理 Microsoft Defender 防病毒更新和应用基线
Microsoft Entra ID Intune 和 Defender for Endpoint 租户必须共享相同的Microsoft Entra 基础结构。
Defender for Endpoint 设备必须载入到 Defender for Endpoint。

注意

如果未在 Microsoft Defender for Endpoint 中注册设备,则在载入过程完成之前,篡改防护会显示为 “不适用 ”。 防篡改可以防止发生对安全设置的更改。 如果看到事件 ID 为 5013 的错误代码,请参阅 查看事件日志和错误代码以排查 Microsoft Defender 防病毒问题

在 Microsoft Intune 中打开 (或关闭) 篡改保护

使用 Intune 打开篡改保护

  1. Intune 管理中心,转到 “终结点安全>防病毒”,然后选择“ + 创建策略”。

    • “平台 ”列表中,选择“ Windows 10”、“Windows 11”和“Windows Server”。
    • “配置文件” 列表中,选择“ Windows 安全体验”。
  2. 创建包含以下设置的配置文件:

    • 篡改保护 (设备) :打开
  3. 完成为策略选择选项和设置。

  4. 将策略部署到设备。

防病毒排除项的篡改保护

如果组织 为 Microsoft Defender 防病毒定义了排除项,则篡改防护会保护这些排除项,前提是满足以下所有条件:

条件 标准
Microsoft Defender 平台 设备Microsoft Defender 平台 4.18.2211.5 或更高版本运行。 有关详细信息,请参阅 每月平台和引擎版本
DisableLocalAdminMerge 设置 此设置也称为阻止本地列表合并。 DisableLocalAdminMerge 启用 ,以便设备上配置的设置不会与组织策略(例如 Intune 中的设置)合并。 有关详细信息,请参阅 DisableLocalAdminMerge
设备管理 设备要么仅在 Intune 中管理,要么仅使用 Configuration Manager 进行管理。 必须启用感知。
防病毒排除项 Microsoft Defender 防病毒排除项在 Microsoft Intune 中管理。 有关详细信息,请参阅 Microsoft Intune for Windows 设备的 Microsoft Defender 防病毒策略的设置

设备上启用了用于保护 Microsoft Defender 防病毒排除项的功能。 有关详细信息,请参阅 如何确定防病毒排除项是否在 Windows 设备上受到篡改保护

提示

有关 Microsoft Defender 防病毒排除项的详细信息,请参阅 Microsoft Defender for Endpoint 和 Microsoft Defender 防病毒的排除项。

如何确定防病毒排除项是否在 Windows 设备上受到篡改保护

可以使用注册表项来确定是否启用了用于保护 Microsoft Defender 防病毒排除项的功能。 以下过程介绍如何查看(但不能更改)篡改防护状态。

  1. 在 Windows 设备上打开注册表编辑器。 (只读模式正常;未编辑注册表项。)

  2. 若要确认设备仅由 Intune 管理或仅由 Configuration Manager 管理(启用了 Sense),请检查以下注册表项值:

    • ManagedDefenderProductType (位于 Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows DefenderHKLM\SOFTWARE\Microsoft\Windows Defender)
    • EnrollmentStatus (位于 Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SenseCMHKLM\SOFTWARE\Microsoft\SenseCM)

    下表汇总了注册表项值的含义:

    ManagedDefenderProductType EnrollmentStatus 值的含义
    6 (任何值) 设备仅由 Intune 管理。
    (满足对排除项进行篡改保护的要求。)
    7 4 设备由 Configuration Manager 管理。
    (满足对排除项进行篡改保护的要求。)
    或 以外的 67 (任何值) 设备不仅由 Intune 或 Configuration Manager 管理。
    (排除项不受篡改保护。)
  3. 若要确认是否已部署篡改防护以及排除项是否受到篡改保护,请检查TPExclusions位于 或 HKLM\SOFTWARE\Microsoft\Windows Defender\Features) 的注册表项 (Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features

    TPExclusions 值的含义
    1 满足所需条件,并在设备上启用用于保护排除项的新功能。
    (排除项受到篡改保护。)
    0 篡改防护当前不保护设备上的排除项。
    (如果满足所有要求,并且此状态似乎不正确,请联系 support.)

警告

不要更改注册表项的值。 仅使用上述过程获取信息。 更改密钥不会影响篡改保护是否适用于排除项。

另请参阅

提示

想要了解更多信息? 在技术社区中与 Microsoft 安全社区互动: Microsoft Defender for Endpoint 技术社区