排查篡改防护问题

如果阻止 IT 或安全团队在设备上执行必要的任务，请考虑使用 故障排除模式。 故障排除模式结束后，对防篡改设置所做的任何更改都将恢复到其配置状态。

如果使用 组策略 来管理Microsoft Defender防病毒设置，请记住，篡改防护可能会阻止对 Microsoft Defender 防病毒中某些设置的更改。 使用 组策略 对Microsoft Defender防病毒设置进行更改并且篡改保护处于打开状态时，将忽略对防篡改设置的更改。 有关详细信息，请参阅 打开篡改保护时会发生什么情况？

根据特定方案，有几个可用选项：

• 如果必须对设备进行更改并且篡改防护阻止了这些更改，则可以使用 故障排除模式 在设备上暂时禁用篡改保护。 故障排除模式结束后，对防篡改设置所做的任何更改都将恢复到其配置状态。

• 可以使用Intune或Configuration Manager从篡改保护中排除设备。

1. 确保满足以下所有要求：

   • 设备正在运行 Windows Defender 平台 4.18.2211.5 或更高版本。 (请参阅 每月平台和引擎版本。)

   • DisableLocalAdminMerge 已启用 。 (请参阅 DisableLocalAdminMerge.)

   • 篡改防护通过Intune部署，并且仅使用Intune来管理设备。

   • Microsoft Defender防病毒排除项在 Microsoft Intune 中管理。 (请参阅 Windows 设备Microsoft Intune中Microsoft Defender防病毒策略的设置。)

2. 确认只有Intune管理设备。 转到 Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender (或 HKLM\SOFTWARE\Microsoft\Windows Defender) ，并查找 REG_DWORD 名为 ManagedDefenderProductType 的条目。

   • 如果 ManagedDefenderProductType 的值6为 ，则设备由Intune管理， (此值是保护Microsoft Defender防病毒排除) 所必需的。

   • 如果 ManagedDefenderProductType 的7值为 ，则设备是共同管理的，例如通过Intune，Configuration Manager (此值指示排除项当前不受篡改保护) 。

3. 确认已部署篡改防护，并且Microsoft Defender防病毒排除项受到保护。 转到 Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features (或 HKLM\SOFTWARE\Microsoft\Windows Defender\Features) ，并查找 REG_DWORD 名为 TPExclusions 的条目。

   • 如果 TPExclusions 的 1值为 ，则满足所有必需的条件，并在设备上启用用于保护排除项的新功能。 在这种情况下，排除项是防篡改的。

   • 如果 TPExclusions 的 0值为 ，则篡改防护当前不保护设备上的排除项。 (如果满足所有要求，并且此状态似乎不正确，请联系 support.)

   警告

   不要更改注册表项的值。 仅使用上述过程获取信息。 更改密钥不会影响篡改保护是否适用于排除项。