使用竄改防護來保護安全性設定
適用於:
- 適用於端點的 Microsoft Defender 方案 1
- 適用於端點的 Microsoft Defender 方案 2
- Microsoft Defender 防毒軟體
- 適用於企業的 Microsoft Defender
- Microsoft 365 商務進階版
平台
- Windows
- macOS
什麼是竄改保護?
竄改防護是 適用於端點的 Microsoft Defender 中的一項功能,可協助保護某些安全性設定,例如病毒和威脅防護,避免被停用或變更。 在某些類型的網路攻擊期間,不良執行者會嘗試停用裝置上的安全性功能。 停用安全性功能可讓不良執行者更輕鬆地存取您的數據、安裝惡意代碼的能力,以及惡意探索數據、身分識別和裝置的能力。 竄改保護有助於防範這些類型的活動。
竄改保護是防竄改功能的一部分,包括 標準保護攻擊面縮小規則。 竄改保護是 內建保護的重要部分。
開啟竄改保護時會發生什麼事?
開啟竄改保護時,無法變更這些受竄改保護的設定:
- 病毒和威脅防護仍維持啟用狀態。
- 實時保護仍會保持開啟狀態。
- 行為監視仍會開啟。
- 防病毒軟體保護,包括 IOfficeAntivirus (IOAV) 維持啟用狀態。
- 雲端保護仍會保持啟用狀態。
- 安全性情報更新隨即發生。
- 會對偵測到的威脅採取自動動作。
- 通知會顯示在 Windows 裝置上的 Windows 安全性 應用程式中。
- 會掃描封存的檔案。
- 無法修改或新增排除 專案 (適用於 Intune 或 Configuration Manager)
簽章發行 1.383.1159.0時,由於「允許掃描網路檔案」的預設值混淆,竄改保護不會再將此設定鎖定為其預設值。 在受控環境中,預設值為 enabled。
重要事項
開啟竄改保護時,無法變更受竄改保護的設定。 若要避免中斷管理體驗,包括 Intune 和 Configuration Manager,請記住,對受竄改保護的設定所做的變更可能會成功,但實際上會遭到竄改保護封鎖。 根據您的特定案例,您有數個可用的選項:
- 如果您必須對裝置進行變更,而且這些變更遭到竄改保護封鎖,您可以使用 疑難解答模式 暫時停用裝置上的竄改保護。
- 您可以使用 Intune 或 Configuration Manager 來排除裝置遭到竄改保護。
竄改保護不會防止您檢視安全性設定。 此外,竄改保護不會影響非 Microsoft 防病毒軟體應用程式向 Windows 安全性 應用程式註冊的程度。 如果您的組織使用適用於端點的Defender,則個別用戶無法變更竄改保護設定;在這些情況下,您的安全性小組會管理竄改保護。 如需詳細資訊,請參閱 如何? 設定或管理竄改保護?
哪些裝置可以啟用竄改保護?
竄改保護適用於執行下列其中一個 Windows 版本的裝置:
- Windows 10 和11個 (,包括企業多重會話)
- Windows Server 2022、Windows Server 2019 和 Windows Server 版本 1803 或更新版本
- Windows Server 2016 和 Windows Server 2012 R2 (使用現代化、統一的解決方案)
Mac 也提供竄改保護,但其運作方式與 Windows 稍有不同。 如需詳細資訊,請 參閱使用竄改保護來保護macOS安全性設定。
Windows Server 2012 R2、2016 或 Windows 1709、1803 或 1809 版的竄改保護
如果您使用 Windows Server 2012 R2 使用新式統一解決方案,Windows Server 2016、Windows 10 1709、1803 或 1809 版,則不會在 Windows 安全性 應用程式中看到竄改保護。 相反地,您可以使用 PowerShell 來判斷是否已啟用竄改保護。
重要事項
在 Windows Server 2016 上,[設定] 應用程式不會正確反映啟用竄改保護時的即時保護狀態。
使用 PowerShell 判斷是否開啟竄改保護和實時保護
開啟 Windows PowerShell 應用程式。
使用 Get-MpComputerStatus PowerShell Cmdlet。
在結果清單中,尋找
IsTamperProtected或RealTimeProtectionEnabled。 (值為 true 表示已啟用竄改保護。)
如何? 設定或管理竄改保護?
您可以使用 Microsoft Intune 和其他方法來設定或管理竄改保護,如下表所示:
| 方法 | 您可以執行的作業 |
|---|---|
| 使用 Microsoft Defender 入口網站。 | 在全租使用者 (或關閉) 上開啟竄改保護。 請參閱使用 Microsoft Defender 全面偵測回應 管理組織的竄改保護。 此方法不會覆寫在 Microsoft Intune 或 Configuration Manager 中管理的設定。 |
| 使用 Microsoft Intune 系統管理中心或 Configuration Manager。 | 在 (或關閉) 、全租使用者或對某些使用者/裝置套用竄改保護時,開啟竄改保護。 您可以排除某些裝置不受竄改保護。 請參閱使用 Intune 管理組織的竄改保護。 如果您只使用 Intune 或僅 Configuration Manager,請保護 Microsoft Defender 防病毒軟體排除專案不受竄改。 如 需防病毒軟體排除專案,請參閱竄改保護。 |
| 搭配租使用者附加使用 Configuration Manager。 | 在 (或關閉) 、全租使用者或對某些使用者/裝置套用竄改保護時,開啟竄改保護。 您可以排除某些裝置不受竄改保護。 請參閱使用租使用者附加與 Configuration Manager 版本 2006 來管理組織的竄改保護。 |
| 使用 Windows 安全性 應用程式。 | 在未由安全性小組管理的個別裝置上開啟 (或關閉) 的竄改保護 (,例如用於家庭使用的裝置) 。 請參閱 管理個別裝置上的竄改保護。 此方法不會覆寫 Microsoft Defender 入口網站、Intune 或 Configuration Manager 中設定的竄改保護設定,而且並非供組織使用。 |
提示
如果您使用 群組原則 來管理 Microsoft Defender 防病毒軟體設定,請記住,對受竄改保護的設定所做的任何變更都會被忽略。 如果您必須對裝置進行變更,而且這些變更遭到竄改保護封鎖,請使用 疑難解答模式 暫時停用裝置上的竄改保護。 疑難解答模式結束后,對受竄改保護的設定所做的任何變更都會還原為其設定的狀態。
保護 Microsoft Defender 防病毒軟體排除專案
在某些情況下,竄改保護可以保護針對 Microsoft Defender 防病毒軟體所定義的排除專案。 如需詳細資訊,請參閱 針對排除專案進行竄改保護。
檢視竄改嘗試的相關信息
竄改嘗試通常表示已發生較大的網路攻擊。 不良的執行者會嘗試變更安全性設定,以保存並保持未偵測。 如果您是組織安全性小組的一員,您可以檢視這類嘗試的相關信息,然後採取適當的動作來降低威脅。
每當偵測到竄改嘗試時,Microsoft Defender 入口網站 () https://security.microsoft.com 就會引發警示。
在 適用於端點的 Microsoft Defender 中使用端點偵測和回應和進階搜捕功能,您的安全性作業小組可以調查並解決這類嘗試。
檢閱您的安全性建議
竄改保護與 Microsoft Defender 弱點管理 功能整合。 安全性建議 包括確定已開啟竄改保護。 例如,在 弱點管理儀錶板中,您可以搜尋 竄改。 在結果中,您可以選取 [開啟竄改保護 ] 以深入瞭解並加以開啟。
若要深入瞭解 Microsoft Defender 弱點管理,請參閱儀錶板深入解析 - Defender 弱點管理。
另請參閱
提示
想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。