Vanliga frågor och svar om manipuleringsskydd

Vilka är enhetskraven för manipuleringsskydd för att nå enheter när manipuleringsskydd är aktiverat i Microsoft Defender-portalen?

Enheterna måste uppfylla alla följande krav:

Om du vill hantera manipuleringsskydd i Microsoft Defender-portalen (https://security.microsoft.com) måste du ha rätt behörigheter tilldelade via roller, till exempel säkerhetsadministratör. (Se Rollbaserad åtkomstkontroll för Microsoft Defender XDR (RBAC).)

På vilka versioner av Windows kan jag konfigurera manipuleringsskydd?

Om du använder Configuration Manager version 2006 med klientanslutning kan manipuleringsskyddet utökas till Windows Server 2012 R2, Windows Server 2016, Windows Server 2019 och Windows Server 2022. Se Klientkoppling: Skapa och distribuera antivirusprincip för slutpunktssäkerhet från administrationscentret (förhandsversion).

Påverkar manipulationsskydd icke-Microsoft Antivirus-registrering i Windows-säkerhetsappen?

Nej. Antiviruserbjudanden som inte kommer från Microsoft fortsätter att registreras med Windows-säkerhetsprogrammet.

Vad händer om Microsoft Defender Antivirus inte är aktivt på en enhet?

Om antivirusprogram/program mot skadlig kod som inte kommer från Microsoft installeras på en enhet, körs Microsoft Defender Antivirus som standard i passivt läge när enheten registreras i Microsoft Defender för Endpoint. Manipulationsskydd skyddar tjänsten och dess funktioner.

Om/när antivirusprogram som inte kommer från Microsoft/program mot skadlig kod avinstalleras växlar Microsoft Defender Antivirus automatiskt till aktivt läge. Manipulationsskyddet fortsätter att skydda tjänsten och dess funktioner.

Hur aktiverar eller inaktiverar jag manipuleringsskydd?

Vi rekommenderar att du använder Microsoft Intune för att hantera Microsoft Defender Antivirus-inställningar för din organisation. Med Intune kan du styra var manipuleringsskydd är aktiverat (eller inaktiverat) via principer. Du kan också skydda Microsoft Defender Antivirus-undantag. Se Manipulationsskydd: Microsoft Defender Antivirus-undantag.

Du kan också använda Microsoft Defender-portalen eller Configuration Manager.

Om du är en hemanvändare kan du läsa Hantera manipuleringsskydd på en enskild enhet.

Manipulationsskydd är en del av det inbyggda skyddet och bör aktiveras.

Gäller manipulationsskydd för Microsoft Defender Antivirus-undantag?

Ja. För att skydda Microsoft Defender Antivirus-undantag på enheter måste vissa villkor vara uppfyllda. Du måste till exempel endast använda Intune eller Configuration Manager för att hantera enheter, och du måste ha Sense aktiverat. Se Skydda Microsoft Defender Antivirus-undantag.

Hur påverkar konfigurationen av manipuleringsskydd i Intune hur jag hanterar Microsoft Defender Antivirus med en grupprincip?

Om du för närvarande använder Intune för att konfigurera och hantera manipuleringsskydd bör du fortsätta använda Intune. När manipuleringsskydd är aktiverat och du använder en grupprincip för att göra ändringar i inställningarna för Microsoft Defender Antivirus ignoreras alla inställningar som skyddas av manipuleringsskydd.

  • Om du måste göra ändringar i en enhet och dessa ändringar blockeras av manipulationsskydd kan du använda felsökningsläget för att tillfälligt inaktivera manipuleringsskydd på enheten. När felsökningsläget har avslutats återställs alla ändringar som görs i manipulationsskyddade inställningar till sitt konfigurerade tillstånd.
  • Du kan använda Intune eller Configuration Manager för att undanta enheter från manipuleringsskydd.
  • Om du hanterar manipuleringsskydd via Intune och vissa andra villkor uppfylls kan du hantera manipulationsskyddade antivirusundantag.

Gäller det endast för hela organisationen om vi använder Microsoft Intune för att konfigurera manipuleringsskydd?

Om du använder Intune för att konfigurera och hantera manipuleringsskydd behöver du inte nödvändigtvis tillämpa manipuleringsskydd på hela organisationen. Med Intune kan du välja att tillämpa manipuleringsskydd på hela organisationen, eller välja specifika enheter eller användargrupper för att få manipulationsskydd. Du kan också undanta specifika enheter från manipuleringsskydd.

Vilka inställningar kan inte ändras när manipuleringsskydd är aktiverat?

När manipuleringsskydd är aktiverat skyddas följande säkerhetsinställningar från att ändras:

  • Skydd mot virus och hot är fortfarande aktiverat.
  • Realtidsskydd är fortfarande aktiverat.
  • Beteendeövervakning är fortfarande aktiverat.
  • Antivirusskydd, inklusive IOfficeAntivirus (IOAV) förblir aktiverat.
  • Molnskydd är fortfarande aktiverat.
  • Uppdateringar av säkerhetsinformation fortsätter att ske.
  • Automatiska åtgärder vidtas för identifierade hot.
  • Meddelanden visas i Windows-säkerhetsappen på Windows-enheter.
  • Arkiverade filer genomsöks.

Mer information finns i Vad händer när manipuleringsskydd är aktiverat?

Kan inställningar i Intune eller Configuration Manager åsidosätta det om manipuleringsskydd är aktiverat i Microsoft Defender XDR?

När manipuleringsskydd är aktiverat i Microsoft Defender-portalen (https://security.microsoft.com), aktiveras manipuleringsskydd i hela klientorganisationen. Principer som definierats i Intune eller Configuration Manager kan dock åsidosätta inställningar i Microsoft Defender-portalen. Du kan till exempel definiera en princip i Intune eller Configuration Manager som undantar vissa enheter från manipuleringsskydd.

Hur distribuerar jag DisableLocalAdminMerge?

Använd Intune för att distribuera DisableLocalAdminMerge.

Hur kan jag bekräfta om undantag skyddas av manipulering på en Windows-enhet?

Om manipuleringsskydd är aktiverat för undantag, måste jag inaktivera det för att tillämpa nya principinställningar för undantag från Intune eller Configuration Manager?

Nej. När manipuleringsskydd för undantag är aktiverat behöver du inte inaktivera det för att tillämpa nya undantag.

Kan jag konfigurera manipuleringsskydd med Configuration Manager?

Ja. På samma sätt som med Intune kan du använda manipuleringsskydd för hela organisationen eller för specifika användare och enheter. Mer information finns i följande resurser:

Jag är företagskund. Kan lokala administratörer ändra manipuleringsskydd på sina enheter?

I allmänhet skyddar manipuleringsskydd mot att användare kan ändra säkerhetsinställningar direkt på enheter. Manipulationsskydd är en del av funktioner för skydd mot manipulering som omfattar standardregler för minskning av attackytan. Om du vill förhindra att skadlig kod körs i kernel ytterligare kan du överväga att använda regler för drivrutinsblockering med programkontroll för Windows.

Vad händer om min enhet registreras med Microsoft Defender för Endpoint och sedan hamnar i ett inbyggt tillstånd?

Om en enhet är inaktiverad från Microsoft Defender för Endpoint aktiveras manipuleringsskydd, vilket är standardtillståndet för ohanterade enheter.

Visas aviseringar i Microsoft Defender-portalen om statusen för manipuleringsskydd ändras?

Aviseringar bör visas i Microsoft Defender-portalen under Aviseringar. Ditt säkerhetsteam kan också använda jaktfrågor, till exempel följande exempel:

AlertInfo|where Title == "Tamper Protection bypass"

Vilka är alla alternativ för att konfigurera manipuleringsskyddet?

Du kan använda någon av följande metoder för att konfigurera manipuleringsskydd:

  • Microsoft Defender-portalen (aktivera eller inaktivera manipuleringsskydd, hela klientorganisationen)
  • Intune (aktivera eller inaktivera manipuleringsskydd och/eller konfigurera manipuleringsskydd för vissa eller alla användare)
  • Configuration Manager (med klientanslutning kan du konfigurera manipuleringsskydd för vissa eller alla enheter med hjälp av Profil för Windows-säkerhetsupplevelse).
  • Windows-säkerhetsapp (för en enskild enhet som används hemma eller i situationer där ett säkerhetsteam inte hanterar din enhet)

Obs!

Vi rekommenderar att du håller manipulationsskyddet aktiverat för hela organisationen. Om manipuleringsskydd hindrar IT- eller säkerhetsteamet från att utföra en nödvändig uppgift på en enhet bör du överväga att använda felsökningsläge i stället för att inaktivera manipuleringsskydd.