關於竄改保護的常見問題 (常見問題)

裝置必須符合下列所有需求：

• 裝置必須執行特定版本的 Windows 或macOS。 (查看 哪些裝置可以啟用竄改保護？)
• 裝置必須 上線以Microsoft適用於端點的Defender。
• 裝置必須使用反惡意代碼平臺版本 (或更新版本 4.18.2010.7 ，) 和反惡意代碼引擎版本 (或更新版本 1.1.17600.5) 。 (管理 Microsoft Defender 防病毒軟體更新並套用 baselines.)
• 必須開啟雲端式保護。

若要在 Microsoft Defender 入口網站中管理竄改保護 (https://security.microsoft.com) ，您必須具有透過安全性系統管理員等角色指派的適當許可權。 (請參閱 Microsoft Defender XDR 角色型訪問控制 (RBAC) .)

• Windows 11
• Windows 11 企業版多工作模式
• Windows 10 OS 1709、 1803、 1809 或更新版本，以及 適用於端點的 Microsoft Defender。
• Windows 10 企業版多工作階段

如果您使用 Configuration Manager 版本 2006 搭配租使用者附加，則竄改保護可以延伸至 Windows Server 2012 R2、Windows Server 2016、Windows Server 2019 和 Windows Server 2022。 請參閱 租使用者附加：從系統管理中心建立和部署端點安全性防病毒軟體原則 (預覽) 。

否。 非Microsoft防病毒軟體供應項目會繼續向 Windows 安全性應用程式註冊。

如果裝置上安裝了非Microsoft防病毒軟體/反惡意代碼軟體，當該裝置上線至適用於端點的Defender Microsoft時，Microsoft Defender 防病毒軟體預設會以被動模式執行。 竄改保護可保護服務及其功能。

如果卸載非Microsoft防病毒軟體/反惡意代碼軟體，Microsoft Defender 防病毒軟體會自動切換至使用中模式。 竄改保護會繼續保護服務及其功能。

建議您使用 Microsoft Intune 來管理組織的 Microsoft Defender 防病毒軟體設定。 使用 Intune，您可以透過原則控制 (或停用) 啟用竄改保護的位置。 您也可以保護 Microsoft Defender 防病毒軟體排除專案。 請參閱 竄改保護：Microsoft Defender 防病毒軟體排除專案。

您也可以使用 Microsoft Defender 入口網站 或 Configuration Manager。

如果您是家庭使用者，請參閱 管理個別裝置上的竄改保護。

竄改保護是 內建保護的一部分，應該啟用。

是。 若要保護Microsoft裝置上的Defender防病毒軟體排除專案，必須符合特定條件。 例如，您必須只使用 Intune 或 Configuration Manager 來管理裝置，而且必須啟用 Sense。 請 參閱保護 Microsoft Defender 防病毒軟體排除專案。

如果您目前使用 Intune 來設定和管理竄改保護，您應該繼續使用 Intune。 當竄改保護開啟，而且您使用組策略來變更 Microsoft Defender 防病毒軟體設定時，會忽略受到竄改保護的任何設定。

• 如果您必須對裝置進行變更，而且這些變更遭到竄改保護封鎖，您可以使用 疑難解答模式 暫時停用裝置上的竄改保護。 疑難解答模式結束后，對受竄改保護的設定所做的任何變更都會還原為其設定的狀態。
• 您可以使用 Intune 或 Configuration Manager 來排除裝置遭到竄改保護。
• 如果您要透過 Intune 管理竄改保護，且符合某些其他條件，您可以 管理受竄改保護的防病毒軟體排除專案。

如果您使用 Intune 來設定和管理竄改保護，則不一定要對整個組織套用竄改保護。 透過 Intune，您可以選擇將竄改保護套用至整個組織，也可以選取特定裝置或使用者群組來接收竄改保護。 您也可以排除特定裝置不受竄改保護。

開啟竄改保護時，會保護下列安全性設定，防止變更：

• 病毒和威脅防護仍維持啟用狀態。
• 實時保護仍會保持開啟狀態。
• 行為監視仍會開啟。
• 防病毒軟體保護，包括 IOfficeAntivirus (IOAV) 維持啟用狀態。
• 雲端保護仍會保持啟用狀態。
• 安全性情報更新會繼續發生。
• 會對偵測到的威脅採取自動動作。
• 通知會顯示在 Windows 裝置上的 Windows 安全性應用程式中。
• 會掃描封存的檔案。

如需詳細資訊，請 參閱開啟竄改保護時會發生什麼情況？

在 Microsoft Defender 入口網站中開啟竄改保護時， () https://security.microsoft.com ，就會開啟全租使用者的竄改保護。 不過，Intune 或 Configuration Manager 中定義的原則可以覆寫 Microsoft Defender 入口網站中的設定。 例如，您可以在 Intune 或 Configuration Manager 中定義原則，以排除某些裝置不受竄改保護。

使用 Intune 部署 DisableLocalAdminMerge。

請遵循 管理受竄改保護的防病毒軟體排除專案中的指引。

否。 啟用排除專案的竄改保護時，您不需要停用它即可套用新的排除專案。

是。 類似於使用 Intune，您可以對整個組織或特定使用者和裝置套用竄改保護。 如需詳細資訊，請參閱下列資源：

• 使用 Intune 管理竄改保護
• 使用租用戶連結搭配 Configuration Manager 2006 版來管理竄改保護
• 技術社群部落格：宣佈 Configuration Manager 租使用者附加用戶端的竄改保護

一般而言，竄改保護有助於防止使用者直接在裝置上變更安全性設定。 竄改保護是防竄改功能的一部分，包括 標準保護攻擊面縮小規則。 若要進一步防止惡意代碼在核心中執行，請考慮搭配 Windows 應用 程控使用驅動程式封鎖規則。

如果裝置已從適用於端點Microsoft Defender 離線，則會開啟竄改保護，這是非受控裝置的默認狀態。

警示應該列在 Microsoft Defender 入口網站 的 [ 警示] 底下。 您的安全性作業小組也可以使用搜捕查詢，例如下列範例：

AlertInfo|where Title == "Tamper Protection bypass"

您可以使用下列任何一種方法來設定竄改保護：

• Microsoft Defender 入口網站 (開啟或關閉全租使用者的竄改保護)
• Intune (開啟或關閉竄改保護，以及/或為部分或所有使用者設定竄改保護)
• Configuration Manager (租使用者附加，您可以使用 Windows 安全性體驗配置檔) ，為部分或所有裝置設定竄改保護。
• Windows 安全性應用程式 (用於家庭或安全性小組未管理裝置的個別裝置)