共用方式為


使用竄改防護來保護安全性設定

適用於:

平台

什麼是竄改保護?

竄改防護是 適用於端點的 Microsoft Defender 中的一項功能,可協助保護某些安全性設定,例如病毒和威脅防護,避免被停用或變更。 在某些類型的網路攻擊期間,不良執行者會嘗試停用裝置上的安全性功能。 停用安全性功能可讓不良執行者更輕鬆地存取您的數據、安裝惡意代碼的能力,以及惡意探索數據、身分識別和裝置的能力。 竄改保護有助於防範這些類型的活動。

竄改保護是防竄改功能的一部分,包括 標準保護攻擊面縮小規則。 竄改保護是 內建保護的重要部分。

開啟竄改保護時會發生什麼事?

開啟竄改保護時,無法變更這些受竄改保護的設定:

  • 病毒和威脅防護仍維持啟用狀態。
  • 實時保護仍會保持開啟狀態。
  • 行為監視仍會開啟。
  • 防病毒軟體保護,包括 IOfficeAntivirus (IOAV) 維持啟用狀態。
  • 雲端保護仍會保持啟用狀態。
  • 安全性情報更新隨即發生。
  • 會對偵測到的威脅採取自動動作。
  • 通知會顯示在 Windows 裝置上的 Windows 安全性 應用程式中。
  • 會掃描封存的檔案。
  • 無法修改或新增排除 專案 (適用於 Intune 或 Configuration Manager)

簽章發行 1.383.1159.0時,由於「允許掃描網路檔案」的預設值混淆,竄改保護不會再將此設定鎖定為其預設值。 在受控環境中,預設值為 enabled

重要事項

開啟竄改保護時,無法變更受竄改保護的設定。 若要避免中斷管理體驗,包括 IntuneConfiguration Manager,請記住,對受竄改保護的設定所做的變更可能會成功,但實際上會遭到竄改保護封鎖。 根據您的特定案例,您有數個可用的選項:

  • 如果您必須對裝置進行變更,而且這些變更遭到竄改保護封鎖,您可以使用 疑難解答模式 暫時停用裝置上的竄改保護。
  • 您可以使用 Intune 或 Configuration Manager 來排除裝置遭到竄改保護。

竄改保護不會防止您檢視安全性設定。 此外,竄改保護不會影響非 Microsoft 防病毒軟體應用程式向 Windows 安全性 應用程式註冊的程度。 如果您的組織使用適用於端點的Defender,則個別用戶無法變更竄改保護設定;在這些情況下,您的安全性小組會管理竄改保護。 如需詳細資訊,請參閱 如何? 設定或管理竄改保護

哪些裝置可以啟用竄改保護?

竄改保護適用於執行下列其中一個 Windows 版本的裝置:

  • Windows 10 和11個 (,包括企業多重會話)
  • Windows Server 2022、Windows Server 2019 和 Windows Server 版本 1803 或更新版本
  • Windows Server 2016 和 Windows Server 2012 R2 (使用現代化、統一的解決方案)

Mac 也提供竄改保護,但其運作方式與 Windows 稍有不同。 如需詳細資訊,請 參閱使用竄改保護來保護macOS安全性設定

提示

內建保護 包括預設開啟竄改保護。 如需詳細資訊,請參閱:

Windows Server 2012 R2、2016 或 Windows 1709、1803 或 1809 版的竄改保護

如果您使用 Windows Server 2012 R2 使用新式統一解決方案,Windows Server 2016、Windows 10 1709、1803 或 1809 版,則不會在 Windows 安全性 應用程式中看到竄改保護。 相反地,您可以使用 PowerShell 來判斷是否已啟用竄改保護。

重要事項

在 Windows Server 2016 上,[設定] 應用程式不會正確反映啟用竄改保護時的即時保護狀態。

使用 PowerShell 判斷是否開啟竄改保護和實時保護

  1. 開啟 Windows PowerShell 應用程式。

  2. 使用 Get-MpComputerStatus PowerShell Cmdlet。

  3. 在結果清單中,尋找 IsTamperProtectedRealTimeProtectionEnabled。 (值為 true 表示已啟用竄改保護。)

如何? 設定或管理竄改保護?

您可以使用 Microsoft Intune 和其他方法來設定或管理竄改保護,如下表所示:

方法 您可以執行的作業
使用 Microsoft Defender 入口網站 在全租使用者 (或關閉) 上開啟竄改保護。 請參閱使用 Microsoft Defender 全面偵測回應 管理組織的竄改保護

此方法不會覆寫在 Microsoft Intune 或 Configuration Manager 中管理的設定。
使用 Microsoft Intune 系統管理中心Configuration Manager 在 (或關閉) 、全租使用者或對某些使用者/裝置套用竄改保護時,開啟竄改保護。 您可以排除某些裝置不受竄改保護。 請參閱使用 Intune 管理組織的竄改保護

如果您只使用 Intune 或僅 Configuration Manager,請保護 Microsoft Defender 防病毒軟體排除專案不受竄改。 如 需防病毒軟體排除專案,請參閱竄改保護
搭配租使用者附加使用 Configuration Manager 在 (或關閉) 、全租使用者或對某些使用者/裝置套用竄改保護時,開啟竄改保護。 您可以排除某些裝置不受竄改保護。 請參閱使用租使用者附加與 Configuration Manager 版本 2006 來管理組織的竄改保護
使用 Windows 安全性 應用程式 在未由安全性小組管理的個別裝置上開啟 (或關閉) 的竄改保護 (,例如用於家庭使用的裝置) 。 請參閱 管理個別裝置上的竄改保護

此方法不會覆寫 Microsoft Defender 入口網站、Intune 或 Configuration Manager 中設定的竄改保護設定,而且並非供組織使用。

提示

如果您使用 群組原則 來管理 Microsoft Defender 防病毒軟體設定,請記住,對受竄改保護的設定所做的任何變更都會被忽略。 如果您必須對裝置進行變更,而且這些變更遭到竄改保護封鎖,請使用 疑難解答模式 暫時停用裝置上的竄改保護。 疑難解答模式結束后,對受竄改保護的設定所做的任何變更都會還原為其設定的狀態。

保護 Microsoft Defender 防病毒軟體排除專案

在某些情況下,竄改保護可以保護針對 Microsoft Defender 防病毒軟體所定義的排除專案。 如需詳細資訊,請參閱 針對排除專案進行竄改保護

檢視竄改嘗試的相關信息

竄改嘗試通常表示已發生較大的網路攻擊。 不良的執行者會嘗試變更安全性設定,以保存並保持未偵測。 如果您是組織安全性小組的一員,您可以檢視這類嘗試的相關信息,然後採取適當的動作來降低威脅。

每當偵測到竄改嘗試時,Microsoft Defender 入口網站 () https://security.microsoft.com 就會引發警示。

在 適用於端點的 Microsoft Defender 中使用端點偵測和回應進階搜捕功能,您的安全性作業小組可以調查並解決這類嘗試。

檢閱您的安全性建議

竄改保護與 Microsoft Defender 弱點管理 功能整合。 安全性建議 包括確定已開啟竄改保護。 例如,在 弱點管理儀錶板中,您可以搜尋 竄改。 在結果中,您可以選取 [開啟竄改保護 ] 以深入瞭解並加以開啟。

若要深入瞭解 Microsoft Defender 弱點管理,請參閱儀錶板深入解析 - Defender 弱點管理

另請參閱

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。