Schützen von Sicherheitseinstellungen mit Manipulationsschutz

Gilt für:

Plattformen

Was ist Manipulationsschutz?

Manipulationsschutz ist eine Funktion in Microsoft Defender for Endpoint, die dabei hilft, bestimmte Sicherheitseinstellungen wie Viren- und Bedrohungsschutz davor zu schützen, deaktiviert oder geändert zu werden. Bei einigen Arten von Cyberangriffen versuchen bösgläubige Akteure, Sicherheitsfeatures auf Geräten zu deaktivieren. Das Deaktivieren von Sicherheitsfeatures bietet bösgläubigen Akteuren einen einfacheren Zugriff auf Ihre Daten, die Möglichkeit, Schadsoftware zu installieren und Ihre Daten, Identitäten und Geräte auszunutzen. Manipulationsschutz hilft beim Schutz vor diesen Arten von Aktivitäten.

Der Manipulationsschutz ist Teil der Anti-Manipulationsfunktionen, die Standardschutzregeln zur Verringerung der Angriffsfläche enthalten. Der Manipulationsschutz ist ein wichtiger Bestandteil des integrierten Schutzes.

Was geschieht, wenn der Manipulationsschutz aktiviert ist?

Wenn der Manipulationsschutz aktiviert ist, können diese manipulationsgeschützten Einstellungen nicht geändert werden:

  • Viren- und Bedrohungsschutz bleibt aktiviert.
  • Der Echtzeitschutz bleibt aktiviert.
  • Die Verhaltensüberwachung bleibt aktiviert.
  • Antivirenschutz, einschließlich IOfficeAntivirus (IOAV) bleibt aktiviert.
  • Der Cloudschutz bleibt aktiviert.
  • Sicherheitsintelligenzupdates werden durchgeführt.
  • Bei erkannten Bedrohungen werden automatische Aktionen ausgeführt.
  • Benachrichtigungen sind in der Windows-Sicherheit-App auf Windows-Geräten sichtbar.
  • Archivierte Dateien werden gescannt.
  • Ausschlüsse können nicht geändert oder hinzugefügt werden (gilt für Intune oder Configuration Manager)

Ab der Veröffentlichung 1.383.1159.0der Signatur wird diese Einstellung aufgrund von Verwirrung um den Standardwert für "Scannen von Netzwerkdateien zulassen" nicht mehr auf den Standardwert gesperrt. In verwalteten Umgebungen ist enabledder Standardwert .

Wichtig

Wenn der Manipulationsschutz aktiviert ist, können manipulationsgeschützte Einstellungen nicht geändert werden. Beachten Sie, dass Änderungen, die an manipulationsgeschützten Einstellungen vorgenommen werden, möglicherweise erfolgreich sind, aber durch manipulationsgeschützten Schutz blockiert werden, um zu vermeiden, dass verwaltungsrelevante Funktionen, einschließlich Intune und Configuration Manager, nicht geändert werden. Abhängig von Ihrem jeweiligen Szenario stehen Ihnen mehrere Optionen zur Verfügung:

  • Wenn Sie Änderungen an einem Gerät vornehmen müssen und diese Änderungen durch den Manipulationsschutz blockiert werden, können Sie den Problembehandlungsmodus verwenden, um den Manipulationsschutz auf dem Gerät vorübergehend zu deaktivieren.
  • Sie können Intune oder Configuration Manager verwenden, um Geräte vom Manipulationsschutz auszuschließen.

Der Manipulationsschutz hindert Sie nicht daran, Ihre Sicherheitseinstellungen anzuzeigen. Und der Manipulationsschutz wirkt sich nicht darauf aus, wie nicht von Microsoft stammende Antiviren-Apps bei der Windows-Sicherheit-App registriert werden. Wenn Ihr organization Defender für Endpunkt verwendet, können einzelne Benutzer die Einstellung für den Manipulationsschutz nicht ändern. In diesen Fällen verwaltet Ihr Sicherheitsteam den Manipulationsschutz. Weitere Informationen finden Sie unter Gewusst wie Konfigurieren oder Verwalten des Manipulationsschutzes?

Auf welchen Geräten kann manipulationsschutz aktiviert werden?

Manipulationsschutz ist für Geräte verfügbar, auf denen eine der folgenden Versionen von Windows ausgeführt wird:

  • Windows 10 und 11 (einschließlich Enterprise multi-session)
  • Windows Server 2022, Windows Server 2019 und Windows Server, Version 1803 oder höher
  • Windows Server 2016 und Windows Server 2012 R2 (mithilfe der modernen, einheitlichen Lösung)

Manipulationsschutz ist auch für Mac verfügbar, obwohl er etwas anders funktioniert als unter Windows. Weitere Informationen finden Sie unter Schützen von macOS-Sicherheitseinstellungen mit Manipulationsschutz.

Tipp

Der integrierte Schutz umfasst die standardmäßige Aktivierung des Manipulationsschutzes. Weitere Informationen finden Sie unter:

Manipulationsschutz auf Windows Server 2012 R2, 2016 oder Windows Version 1709, 1803 oder 1809

Wenn Sie Windows Server 2012 R2 mit der modernen einheitlichen Lösung Windows Server 2016 Windows 10 Version 1709, 1803 oder 1809 verwenden, wird der Manipulationsschutz in der Windows-Sicherheit-App nicht angezeigt. Stattdessen können Sie powerShell verwenden, um zu bestimmen, ob der Manipulationsschutz aktiviert ist.

Wichtig

Auf Windows Server 2016 spiegelt die Einstellungs-App nicht genau die status des Echtzeitschutzes wider, wenn der Manipulationsschutz aktiviert ist.

Verwenden von PowerShell, um zu bestimmen, ob Manipulationsschutz und Echtzeitschutz aktiviert sind

  1. Öffnen Sie die Windows PowerShell-App.

  2. Verwenden Sie das PowerShell-Cmdlet Get-MpComputerStatus .

  3. Suchen Sie in der Ergebnisliste nach IsTamperProtected oder RealTimeProtectionEnabled. (Der Wert true bedeutet, dass der Manipulationsschutz aktiviert ist.)

Gewusst wie den Manipulationsschutz konfigurieren oder verwalten?

Sie können Microsoft Intune und andere Methoden verwenden, um den Manipulationsschutz zu konfigurieren oder zu verwalten, wie in der folgenden Tabelle aufgeführt:

Methode Mögliche Aktionen
Verwenden Sie das Microsoft Defender-Portal. Aktivieren (oder deaktivieren) Sie den Manipulationsschutz mandantenweit. Weitere Informationen finden Sie unter Verwalten des Manipulationsschutzes für Ihre organization mithilfe von Microsoft Defender XDR.

Diese Methode überschreibt keine Einstellungen, die in Microsoft Intune oder Configuration Manager verwaltet werden.
Verwenden Sie das Microsoft Intune Admin Center oder Configuration Manager. Aktivieren (oder deaktivieren), mandantenweit oder Anwenden von Manipulationsschutz auf einige Benutzer/Geräte. Sie können bestimmte Geräte vom Manipulationsschutz ausschließen. Weitere Informationen finden Sie unter Verwalten des Manipulationsschutzes für Ihre organization mithilfe von Intune.

Schützen Sie Microsoft Defender Antivirusausschlüsse vor Manipulationen, wenn Sie nur Intune oder nur Configuration Manager verwenden. Informationen zu Antivirenausschlüssen finden Sie unter Manipulationsschutz.
Verwenden Sie Configuration Manager mit Mandantenanfügung. Aktivieren (oder deaktivieren), mandantenweit oder Anwenden von Manipulationsschutz auf einige Benutzer/Geräte. Sie können bestimmte Geräte vom Manipulationsschutz ausschließen. Weitere Informationen finden Sie unter Verwalten des Manipulationsschutzes für Ihre organization mithilfe der Mandantenanfügung mit Configuration Manager, Version 2006.
Verwenden Sie die Windows-Sicherheit-App. Aktivieren (oder deaktivieren) Sie den Manipulationsschutz auf einem einzelnen Gerät, das nicht von einem Sicherheitsteam verwaltet wird (z. B. Geräte für den privaten Gebrauch). Weitere Informationen finden Sie unter Verwalten des Manipulationsschutzes auf einem einzelnen Gerät.

Diese Methode überschreibt keine Einstellungen für den Manipulationsschutz, die im Microsoft Defender-Portal, Intune oder Configuration Manager festgelegt sind, und ist nicht für die Verwendung von Organisationen vorgesehen.

Tipp

Wenn Sie Gruppenrichtlinie verwenden, um Microsoft Defender Antiviruseinstellungen zu verwalten, denken Sie daran, dass änderungen an manipulationsgeschützten Einstellungen ignoriert werden. Wenn Sie Änderungen an einem Gerät vornehmen müssen und diese Änderungen durch den Manipulationsschutz blockiert werden, verwenden Sie den Problembehandlungsmodus , um den Manipulationsschutz auf dem Gerät vorübergehend zu deaktivieren. Nachdem der Problembehandlungsmodus beendet wurde, werden alle Änderungen, die an manipulationsgeschützten Einstellungen vorgenommen wurden, in den konfigurierten Zustand zurückgesetzt.

Schützen Microsoft Defender Antivirusausschlüsse

Unter bestimmten Bedingungen kann der Manipulationsschutz Ausschlüsse schützen, die für Microsoft Defender Antivirus definiert sind. Weitere Informationen finden Sie unter Manipulationsschutz für Ausschlüsse.

Anzeigen von Informationen zu Manipulationsversuchen

Manipulationsversuche deuten in der Regel darauf hin, dass ein größerer Cyberangriff stattgefunden hat. Ungültige Akteure versuchen, Sicherheitseinstellungen zu ändern, um dauerhaft zu bleiben und unentdeckt zu bleiben. Wenn Sie Teil des Sicherheitsteams Ihrer organization sind, können Sie Informationen zu solchen Versuchen anzeigen und dann geeignete Maßnahmen ergreifen, um Bedrohungen zu mindern.

Wenn ein Manipulationsversuch erkannt wird, wird im Microsoft Defender-Portal (https://security.microsoft.com) eine Warnung ausgelöst.

Mithilfe von Endpunkterkennung und -antwort sowie erweiterten Suchfunktionen in Microsoft Defender for Endpoint kann Ihr Sicherheitsteam solche Versuche untersuchen und angehen.

Überprüfen Ihrer Sicherheitsempfehlungen

Manipulationsschutz lässt sich in Microsoft Defender Vulnerability Management Funktionen integrieren. Zu den Sicherheitsempfehlungen gehört, dass der Manipulationsschutz aktiviert ist. Beispielsweise können Sie in Ihrem Dashboard zur Verwaltung von Sicherheitsrisiken nach Manipulation suchen. In den Ergebnissen können Sie Manipulationsschutz aktivieren auswählen, um mehr zu erfahren und ihn zu aktivieren.

Weitere Informationen zu Microsoft Defender Vulnerability Management finden Sie unter Dashboardeinblicke – Defender-Sicherheitsrisikoverwaltung.

Siehe auch

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.