使用 Microsoft Intune 管理组织的篡改保护
适用于:
- Microsoft Defender for Endpoint 计划 1
- Microsoft Defender for Endpoint 计划 2
- Microsoft Defender 防病毒
- Microsoft Defender 商业版
- Microsoft 365 商业高级版
平台
- Windows
篡改防护有助于防止某些 安全设置(如病毒和威胁防护)被禁用或更改。 如果你是组织安全团队的一员,并且使用的是 Microsoft Intune,则可以在 Intune 管理中心中管理组织的篡改防护。 或者,可以使用 Configuration Manager。 使用Intune或Configuration Manager,可以执行以下任务:
- 对某些或所有设备启用 (或关闭) 篡改保护。
- ) 必须满足某些要求 (防止Microsoft Defender防病毒排除项的篡改。
重要
如果使用 Microsoft Intune 来管理 Defender for Endpoint 设置,请确保在设备上将 DisableLocalAdminMerge 设置为 true 。
打开篡改保护后,无法更改 防篡改设置 。 若要避免中断管理体验(包括Intune (和Configuration Manager) ),请记住,对防篡改设置的更改看起来可能会成功,但实际上被篡改保护阻止。 根据特定方案,有几个可用选项:
如果必须对设备进行更改,并且篡改保护阻止了这些更改,我们建议使用 故障排除模式 在设备上暂时禁用篡改保护。 请注意,在故障排除模式结束后,对防篡改设置所做的任何更改都将还原到其配置状态。
可以使用Intune或Configuration Manager从篡改保护中排除设备。
如果要通过Intune管理篡改防护,则可以更改防篡改防病毒排除项。
在 Intune 中管理篡改防护的要求
| 要求 | 详细信息 |
|---|---|
| 角色和权限 | 必须具有通过角色(例如安全管理员)分配的相应权限。 请参阅具有Intune访问权限的Microsoft Entra角色。 |
| 设备管理 | 组织使用Configuration Manager或Intune来管理设备。 此功能不支持 Co-Managed 设备。 |
| Intune 许可证 | 需要Intune许可证。 请参阅Microsoft Intune许可。 |
| 操作系统 | Windows 设备必须运行Windows 10版本 1709 或更高版本或Windows 11。 (有关版本的详细信息,请参阅 Windows 版本信息。) 对于 Mac,请参阅 使用篡改防护保护 macOS 安全设置。 |
| 安全智能 | 必须将 Windows 安全性与 安全智能 更新为版本 1.287.60.0 (或更高版本) 。 |
| 反恶意软件平台 | 设备必须使用反恶意软件平台版本 4.18.1906.3 (或更高版本) 和反恶意软件引擎版本 1.1.15500.X (或更高版本) 。 请参阅管理Microsoft Defender防病毒更新和应用基线。 |
| Microsoft Entra ID | Intune和 Defender for Endpoint 租户必须共享相同的Microsoft Entra基础结构。 |
| Defender for Endpoint | 设备必须载入到 Defender for Endpoint。 |
注意
如果设备未在 Microsoft Defender for Endpoint 中注册,则防篡改在载入过程完成之前显示为“不适用”。 防篡改可以防止发生对安全设置的更改。 如果看到事件 ID 为 5013 的错误代码,请参阅查看事件日志和错误代码以排查Microsoft Defender防病毒问题。
在Microsoft Intune中打开 (或关闭) 篡改保护
在Intune管理中心,转到“终结点安全>防病毒”,然后选择“+ 创建策略”。
- 在“平台”列表中,选择“Windows 10”、“Windows 11”和“Windows Server”。
- 在“配置文件”列表中,选择“Windows 安全中心体验”。
创建包含以下设置的配置文件:
- 篡改保护 (设备) :打开
完成为策略选择选项和设置。
将策略部署到设备。
防病毒排除项的篡改保护
如果组织为 Microsoft Defender 防病毒定义了排除项,则篡改防护会保护这些排除项,前提是满足以下所有条件:
| 条件 | 标准 |
|---|---|
| Microsoft Defender平台 | 设备Microsoft Defender平台4.18.2211.5或更高版本运行。 有关详细信息,请参阅 每月平台和引擎版本。 |
DisableLocalAdminMerge 设置 |
此设置也称为阻止本地列表合并。
DisableLocalAdminMerge必须启用,以便在设备上配置的设置不会与组织策略(例如Intune中的设置)合并。 有关详细信息,请参阅 DisableLocalAdminMerge。 |
| 设备管理 | 设备要么仅在Intune中管理,要么仅使用Configuration Manager进行管理。 必须启用感知。 |
| 防病毒排除项 | Microsoft Defender防病毒排除在 Microsoft Intune 或 Configuration Manager 中管理。 有关详细信息,请参阅 Windows 设备Microsoft Intune中Microsoft Defender防病毒策略的设置。 设备上启用了保护Microsoft Defender防病毒排除项的功能。 有关详细信息,请参阅 如何确定防病毒排除项是否在 Windows 设备上受到篡改保护。 |
注意
例如,当Configuration Manager仅用于管理排除项并满足所需条件时,Configuration Manager的排除项将受到篡改保护。 在这种情况下,无需使用 Microsoft Intune 推送防病毒排除项。
有关Microsoft Defender防病毒排除项的更多详细信息,请参阅 Microsoft Defender for Endpoint 和 Microsoft Defender 防病毒的排除项。
如何确定防病毒排除项是否在 Windows 设备上受到篡改保护
可以使用注册表项来确定是否启用了保护Microsoft Defender防病毒排除的功能。 以下过程介绍如何查看(但不能更改)篡改防护状态。
在 Windows 设备上打开注册表编辑器。 (只读模式正常;未编辑注册表项。)
若要确认设备仅由 Intune 管理,或仅由 Configuration Manager 管理,并启用 Sense,检查以下注册表项值:
-
ManagedDefenderProductType(位于Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender或HKLM\SOFTWARE\Microsoft\Windows Defender) -
EnrollmentStatus(位于Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SenseCM或HKLM\SOFTWARE\Microsoft\SenseCM)
下表汇总了注册表项值的含义:
ManagedDefenderProductType值EnrollmentStatus值值的含义 6(任何值) 仅使用Intune管理设备。
(满足对排除项进行篡改保护的要求。)74使用Configuration Manager管理设备。
(满足对排除项进行篡改保护的要求。)73设备与 Configuration Manager 和 Intune 共同管理。
(不支持对 排除项进行篡改保护。)或 以外的 6值7(任何值) 设备不是仅由Intune管理,也不是仅Configuration Manager管理。
(排除项不受篡改保护。)-
若要确认是否已部署篡改防护以及排除项是否受到篡改保护,检查
TPExclusions注册表项 (位于Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features或HKLM\SOFTWARE\Microsoft\Windows Defender\Features) 。TPExclusions值的含义 1满足所需条件,并在设备上启用用于保护排除项的新功能。
(排除项受到篡改保护。)0篡改防护当前不保护设备上的排除项。
(如果满足所有要求,并且此状态似乎不正确,请联系 support.)
警告
不要更改注册表项的值。 仅使用上述过程获取信息。 更改密钥不会影响篡改保护是否适用于排除项。
另请参阅
- 有关篡改防护的常见问题解答 ()
- 非 Windows 设备上的 Defender for Endpoint
- 排查篡改防护问题
- 使用Microsoft Intune管理设备上的Microsoft Defender for Endpoint
提示
想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区。