竄改保護導致我的安全性小組無法管理裝置。 我們應該怎麼做?
如果您的 IT 或安全性小組無法在裝置上執行必要的工作,請考慮使用 疑難解答模式。 疑難解答模式結束后,對受竄改保護的設定所做的任何變更都會還原為其設定的狀態。
會忽略使用 群組原則 Microsoft Defender 防病毒軟體設定的變更。 為什麼會發生這種情況,以及我們該怎麼做?
如果您使用 群組原則 來管理 Microsoft Defender 防病毒軟體設定,請記住,竄改保護可能會封鎖 Microsoft Defender 防病毒軟體中特定設定的變更。 當您使用 群組原則 來變更防病毒軟體設定 Microsoft Defender 且防竄改保護已開啟時,會忽略對受竄改保護的設定所做的變更。 如需詳細資訊,請 參閱開啟竄改保護時會發生什麼情況?
根據您的特定案例,您有數個可用的選項:
如果您必須對裝置進行變更,而且竄改保護會封鎖這些變更,您可以使用 疑難解答模式 暫時停用裝置上的竄改保護。 疑難解答模式結束后,對受竄改保護的設定所做的任何變更都會還原為其設定的狀態。
您可以使用 Intune 或 Configuration Manager 來排除裝置遭到竄改保護。
如何保護 Microsoft Defender 防病毒軟體的排除專案?
請確定符合下列所有需求:
裝置正在執行 Windows Defender 平臺
4.18.2211.5或更新版本。 (請參閱 每月平臺和引擎版本。)DisableLocalAdminMerge已啟用。 (請參閱 DisableLocalAdminMerge.)竄改保護是透過 Intune 部署,而且只會使用 Intune 來管理裝置。
Microsoft Defender 在 Microsoft Intune 中管理防病毒軟體排除專案。 (請參閱 Windows 裝置 Microsoft Intune 中 Microsoft Defender 防病毒軟體原則的設定。)
確認只有 Intune 管理裝置。 移至
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender(或HKLM\SOFTWARE\Microsoft\Windows Defender) ,並尋找REG_DWORD名為 ManagedDefenderProductType 的專案。如果 ManagedDefenderProductType 的值為
6,則裝置只會由 Intune 管理 (此值才需要此值,才能保護 Microsoft Defender 防病毒軟體排除專案) 。如果 ManagedDefenderProductType 的值為
7,則裝置會受到共同管理,例如由 Intune 和 Configuration Manager (這個值表示排除專案目前未受到竄改保護) 。
確認已部署竄改保護,並 Microsoft Defender 防病毒軟體排除專案受到保護。 移至
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features(或HKLM\SOFTWARE\Microsoft\Windows Defender\Features) ,並尋找REG_DWORD名為 TPExclusions 的專案。如果 TPExclusions 的值為
1,則會符合所有必要條件,並在裝置上啟用保護排除專案的新功能。 在此情況下,排除專案會受到竄改保護。如果 TPExclusions 的值為
0,則竄改保護目前不會保護裝置上的排除專案。 (如果您符合所有需求且此狀態似乎不正確,請連絡 support.)
注意
請勿變更登錄機碼的值。 請只使用上述程式來取得資訊。 變更索引鍵不會影響竄改保護是否適用於排除專案。