Защита параметров безопасности с помощью защиты от подделки

Область применения:

Платформы

Что такое защита от незаконного изменения?

Защита от незаконного копирования — это возможность в Microsoft Defender для конечной точки, которая помогает защитить определенные параметры безопасности, такие как защита от вирусов и угроз, от отключения или изменения. Во время некоторых видов кибератак злоумышленники пытаются отключить функции безопасности на устройствах. Отключение функций безопасности обеспечивает злоумышленникам более простой доступ к данным, возможность установки вредоносных программ и возможность использовать данные, удостоверения и устройства. Защита от незаконного изменения помогает защититься от таких видов действий.

Защита от незаконного изменения является частью возможностей защиты от незаконного изменения, которые включают стандартные правила сокращения направлений атак. Защита от незаконного изменения является важной частью встроенной защиты.

Что происходит, если включена защита от незаконного изменения?

Если защита от незаконного изменения включена, эти параметры, защищенные от незаконного изменения, нельзя изменить:

  • Защита от вирусов и угроз остается включенной.
  • Защита в режиме реального времени остается включенной.
  • Мониторинг поведения остается включенным.
  • Антивирусная защита, включая IOfficeAntivirus (IOAV), остается включенной.
  • Облачная защита по-прежнему включена.
  • Происходят обновления аналитики безопасности.
  • При обнаружении угроз выполняются автоматические действия.
  • Уведомления отображаются в приложении Безопасность Windows на устройствах Windows.
  • Архивные файлы сканируются.
  • Исключения не могут быть изменены или добавлены (применяется к Intune или Configuration Manager)

После выпуска 1.383.1159.0сигнатуры из-за путаницы, связанной со значением по умолчанию для параметра "Разрешить сканирование сетевых файлов", защита от незаконного изменения больше не блокирует этот параметр по значению по умолчанию. В управляемых средах значение по умолчанию — enabled.

Важно!

Если защита от незаконного изменения включена, параметры, защищенные от незаконного изменения, нельзя изменить. Чтобы избежать критических моментов управления, включая Intune и Configuration Manager, помните, что изменения, внесенные в защищенные от незаконного изменения параметров, могут показаться успешными, но фактически блокируются защитой от незаконного изменения. В зависимости от конкретного сценария у вас есть несколько вариантов:

  • Если необходимо внести изменения в устройство и эти изменения заблокированы защитой от незаконного копирования, можно использовать режим устранения неполадок , чтобы временно отключить защиту от незаконного изменения на устройстве.
  • Вы можете использовать Intune или Configuration Manager, чтобы исключить устройства из защиты от незаконного вмешательства.

Защита от незаконного изменения не препятствует просмотру параметров безопасности. Кроме того, защита от незаконного изменения не влияет на то, как антивирусные приложения сторонних разработчиков регистрируются в приложении Безопасность Windows. Если ваша организация использует Defender для конечной точки, отдельные пользователи не могут изменить параметр защиты от незаконного изменения. в таких случаях ваша команда безопасности управляет защитой от незаконного изменения. Дополнительные сведения см. в статье Разделы справки настройка или управление защитой от незаконного вмешательства?

На каких устройствах можно включить защиту от незаконного изменения?

Защита от незаконного изменения доступна для устройств под управлением одной из следующих версий Windows:

  • Windows 10 и 11 (включая корпоративный многосеансовый режим)
  • Windows Server 2022, Windows Server 2019 и Windows Server версии 1803 или более поздней
  • Windows Server 2016 и Windows Server 2012 R2 (с использованием современного унифицированного решения)

Защита от незаконного изменения также доступна для Mac, хотя работает немного иначе, чем в Windows. Дополнительные сведения см. в статье Защита параметров безопасности macOS с помощью защиты от незаконного изменения.

Совет

Встроенная защита включает включение защиты от незаконного изменения по умолчанию. Дополнительные сведения см. в разделе:

Защита от незаконного изменения в Windows Server 2012 R2, 2016 или Windows версии 1709, 1803 или 1809

Если вы используете Windows Server 2012 R2 с помощью современного унифицированного решения, Windows Server 2016, Windows 10 версии 1709, 1803 или 1809, защита от незаконного изменения не отображается в приложении Безопасность Windows. Вместо этого можно использовать PowerShell, чтобы определить, включена ли защита от незаконного изменения.

Важно!

На Windows Server 2016 приложение "Параметры" не точно отражает состояние защиты в режиме реального времени при включении защиты от незаконного изменения.

Используйте PowerShell, чтобы определить, включена ли защита от незаконного изменения и защита в режиме реального времени

  1. Откройте приложение Windows PowerShell.

  2. Используйте командлет PowerShell Get-MpComputerStatus .

  3. В списке результатов найдите IsTamperProtected или RealTimeProtectionEnabled. (Значение true означает, что включена защита от незаконного изменения.)

Разделы справки настроить защиту от незаконного изменения или управлять ими?

Вы можете использовать Microsoft Intune и другие методы для настройки или управления защитой от незаконного изменения, как описано в следующей таблице.

Метод Возможное действие
Используйте портал Microsoft Defender. Включите (или выключите) защиту от незаконного изменения на уровне клиента. См. статью Управление защитой от незаконного изменения в организации с помощью Microsoft Defender XDR.

Этот метод не переопределяет параметры, управляемые в Microsoft Intune или Configuration Manager.
Используйте центр администрирования Microsoft Intune или Configuration Manager. Включите (или выключите) защиту от незаконного изменения, на уровне клиента или применяйте защиту от незаконного изменения для некоторых пользователей или устройств. Некоторые устройства можно исключить из защиты от незаконного изменения. См. статью Управление защитой от незаконного изменения в организации с помощью Intune.

Защитите исключения антивирусной программы Microsoft Defender от незаконного изменения, если вы используете только Intune или только Configuration Manager. См. раздел Защита от незаконного изменения для исключений антивирусной программы.
Используйте Configuration Manager с подключением клиента. Включите (или выключите) защиту от незаконного изменения, на уровне клиента или применяйте защиту от незаконного изменения для некоторых пользователей или устройств. Некоторые устройства можно исключить из защиты от незаконного изменения. См. статью Управление защитой от незаконного изменения в организации с помощью подключения клиента с помощью Configuration Manager версии 2006.
Используйте приложение Безопасность Windows. Включите (или выключите) защиту от незаконного изменения на отдельном устройстве, которое не управляется группой безопасности (например, устройства для домашнего использования). См. раздел Управление защитой от незаконного изменения на отдельном устройстве.

Этот метод не переопределяет параметры защиты от незаконного изменения, заданные на портале Microsoft Defender, Intune или Configuration Manager, и не предназначен для использования организациями.

Совет

Если вы используете групповая политика для управления параметрами антивирусной программы Microsoft Defender, помните, что все изменения, внесенные в параметры, защищенные от незаконного изменения, игнорируются. Если необходимо внести изменения в устройство и эти изменения заблокированы защитой от незаконного изменения, используйте режим устранения неполадок , чтобы временно отключить защиту от незаконного изменения на устройстве. После завершения режима устранения неполадок все изменения, внесенные в параметры, защищенные от незаконного изменения, возвращаются в настроенное состояние.

Защита исключений антивирусной программы Microsoft Defender

При определенных условиях защита от незаконного изменения может защищать исключения, определенные для Microsoft Defender антивирусной программы. Дополнительные сведения см. в разделе Защита от незаконного изменения для исключений.

Просмотр сведений о попытках незаконного изменения

Попытки незаконного изменения обычно указывают на то, что произошла более крупная кибератака. Злоумышленники пытаются изменить параметры безопасности, чтобы сохраниться и остаться незамеченным. Если вы входите в группу безопасности вашей организации, вы можете просмотреть сведения о таких попытках, а затем принять соответствующие меры для устранения угроз.

При обнаружении попытки незаконного изменения на портале Microsoft Defender (https://security.microsoft.com).

Используя обнаружение и реагирование на конечные точки, а также расширенные возможности охоты в Microsoft Defender для конечной точки, ваша команда по операциям безопасности может исследовать и устранять такие попытки.

Ознакомьтесь с рекомендациями по безопасности

Защита от незаконного изменения интегрируется с возможностями Управление уязвимостями Microsoft Defender. Рекомендации по безопасности включают включение защиты от незаконного изменения. Например, на панели мониторинга Управления уязвимостями можно выполнить поиск по незаконному обнаружению. В результатах можно выбрать Включить защиту от незаконного изменения, чтобы узнать больше и включить ее.

Дополнительные сведения о Управление уязвимостями Microsoft Defender см. в статье Аналитика панели мониторинга — управление уязвимостями в Defender.

См. также

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.