Управление защитой от незаконного изменения в организации с помощью Microsoft Intune
Область применения:
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
- Антивирусная программа в Microsoft Defender
- Microsoft Defender для бизнеса
- Microsoft 365 бизнес премиум
Платформы
- Windows
Защита от незаконного изменения помогает защитить определенные параметры безопасности, такие как защита от вирусов и угроз, от отключения или изменения. Если вы входите в группу безопасности вашей организации и используете Microsoft Intune, вы можете управлять защитой от незаконного изменения в организации в Центре администрирования Intune. Кроме того, можно использовать Configuration Manager. С помощью Intune или Configuration Manager вы можете:
- Включите (или выключите) защиту от незаконного изменения для некоторых или всех устройств.
- Защита исключений антивирусной программы Microsoft Defender от незаконного изменения (должны быть выполнены определенные требования).
Важно!
Если вы используете Microsoft Intune для управления параметрами Defender для конечной точки, обязательно установите для параметра DisableLocalAdminMerge значение true на устройствах.
Если защита от незаконного изменения включена, параметры, защищенные от незаконного изменения, нельзя изменить. Чтобы избежать нарушения управления, включая Intune (и Configuration Manager), помните, что изменения защищенных от незаконного изменения параметров могут показаться успешными, но на самом деле блокируются защитой от незаконного изменения. В зависимости от конкретного сценария у вас есть несколько вариантов:
Если необходимо внести изменения в устройство и эти изменения блокируются защитой от незаконного изменения, рекомендуется использовать режим устранения неполадок , чтобы временно отключить защиту от незаконного изменения на устройстве. Обратите внимание, что после завершения режима устранения неполадок все изменения, внесенные в параметры, защищенные от незаконного изменения, возвращаются в настроенное состояние.
Вы можете использовать Intune или Configuration Manager , чтобы исключить устройства из защиты от незаконного изменения.
Если вы управляете защитой от незаконного изменения с помощью Intune, вы можете изменить защищенные от незаконного изменения исключения антивирусной программы.
Требования к управлению защитой от незаконного изменения в Intune
Требование | Подробно |
---|---|
Роли и разрешения | Необходимо иметь соответствующие разрешения, назначенные через роли, такие как администратор безопасности. См . статью Роли Microsoft Entra с доступом к Intune. |
Управление устройствами | Ваша организация использует Intune для управления устройствами. |
Лицензии Intune | Требуются лицензии Intune. См . статью Лицензирование Microsoft Intune. |
Операционная система | Устройства Windows должны работать под управлением Windows 10 версии 1709 или более поздней или Windows 11. (Дополнительные сведения о выпусках см. в разделе Сведения о выпуске Windows.) Для Mac см . раздел Защита параметров безопасности macOS с помощью защиты от незаконного изменения. |
Механизм обнаружения угроз | Необходимо использовать безопасность Windows с аналитикой безопасности , обновленной до версии 1.287.60.0 (или более поздней). |
Платформа защиты от вредоносных программ | На устройствах должна быть установлена версия 4.18.1906.3 платформы защиты от вредоносных программ (или выше) и версия модуля защиты от вредоносных программ (или более поздняя).1.1.15500.X См. статью Управление обновлениями антивирусной программы в Microsoft Defender и применение базовых показателей. |
Microsoft Entra ID | Клиенты Intune и Defender для конечной точки должны совместно использовать одну инфраструктуру Microsoft Entra. |
Defender для конечной точки | Устройства должны быть подключены к Defender для конечной точки. |
Примечание.
Если устройства не зарегистрированы в Microsoft Defender для конечной точки, защита от незаконного изменения отображается как неприменимой до завершения процесса подключения. Защита от незаконного изменения может предотвратить изменение параметров безопасности. Если отображается код ошибки с идентификатором события 5013, см . статью Просмотр журналов событий и кодов ошибок для устранения неполадок с антивирусной программой в Microsoft Defender.
Включение (или отключение) защиты от незаконного изменения в Microsoft Intune
В Центре администрирования Intune перейдите в разделАнтивирусная программадля защиты> конечных точек и выберите + Создать политику.
- В списке Платформа выберите Windows 10, Windows 11 и Windows Server.
- В списке Профиль выберите Интерфейс безопасности Windows.
Создайте профиль, содержащий следующий параметр:
- TamperProtection (Device): On
Завершите выбор параметров и параметров для политики.
Разверните политику на устройствах.
Защита от незаконного изменения для исключений антивирусной программы
Если в вашей организации определены исключения для антивирусной программы Microsoft Defender, защита от незаконного изменения защищает эти исключения при условии выполнения всех следующих условий:
Условие | Критерии |
---|---|
Платформа Microsoft Defender | На устройствах установлена платформа 4.18.2211.5 Microsoft Defender или более поздняя версия. Дополнительные сведения см. в статье Версии ежемесячной платформы и подсистемы. |
DisableLocalAdminMerge оправа |
Этот параметр также называется предотвращением локального слияния списков.
DisableLocalAdminMerge необходимо включить, чтобы параметры, настроенные на устройстве, не объединялись с политиками организации, такими как параметры в Intune. Дополнительные сведения см. в разделе DisableLocalAdminMerge. |
Управление устройствами | Управление устройствами осуществляется только в Intune или только с помощью Configuration Manager. Необходимо включить функцию sense. |
Исключения антивирусной программы | Исключения антивирусной программы в Microsoft Defender управляются в Microsoft Intune или Configuration Manager. Дополнительные сведения см. в разделе Параметры политики антивирусной программы в Microsoft Defender в Microsoft Intune для устройств Windows. На устройствах включена функция защиты исключений антивирусной программы в Microsoft Defender. Дополнительные сведения см. в разделе Как определить, защищены ли исключения антивирусной программы на устройстве с Windows. |
Примечание.
Например, если Configuration Manager используется исключительно для управления исключениями и выполняются необходимые условия, исключения из Configuration Manager защищены от незаконного изменения. В этом случае нет необходимости отправлять исключения антивирусной программы с помощью Microsoft Intune.
Дополнительные сведения об исключениях антивирусной программы в Microsoft Defender см. в разделе Исключения для Microsoft Defender для конечной точки и антивирусной программы Microsoft Defender.
Как определить, защищены ли исключения антивирусной программы на устройстве с Windows
Вы можете использовать раздел реестра, чтобы определить, включена ли функция защиты исключений антивирусной программы в Microsoft Defender. В следующей процедуре описывается просмотр состояния защиты от незаконного изменения, но не изменение.
На устройстве с Windows откройте редактор реестра. (Режим только для чтения в порядке; раздел реестра не редактируется.)
Чтобы убедиться, что устройство управляется только Intune или только Configuration Manager с включенным sense, проверьте следующие значения разделов реестра:
-
ManagedDefenderProductType
(находится по адресуComputer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender
илиHKLM\SOFTWARE\Microsoft\Windows Defender
) -
EnrollmentStatus
(находится по адресуComputer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SenseCM
илиHKLM\SOFTWARE\Microsoft\SenseCM
)
В следующей таблице приведены значения разделов реестра.
значение ManagedDefenderProductType
значение EnrollmentStatus
Что означает значение 6
(любое значение) Устройством управляет только Intune.
(Соответствует требованию для защиты исключений, которые должны быть несанкционированными.)7
4
Устройство управляется Configuration Manager.
(Соответствует требованию для защиты исключений, которые должны быть несанкционированными.)Значение, отличное от 6
или7
(любое значение) Устройство не управляется только Intune или Configuration Manager.
(Исключения не защищены.)-
Чтобы убедиться, что защита от незаконного изменения развернута и что исключения защищены от незаконного
TPExclusions
изменения, проверьте раздел реестра (находится по адресуComputer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features
илиHKLM\SOFTWARE\Microsoft\Windows Defender\Features
).TPExclusions
Что означает значение 1
Выполняются необходимые условия, а на устройстве включается новая функция защиты исключений.
(Исключения защищены от незаконного изменения.)0
Защита от незаконного изменения в настоящее время не защищает исключения на устройстве.
(Если выполнены все требования и это состояние кажется неправильным, обратитесь в службу поддержки.)
Предостережение
Не изменяйте значение разделов реестра. Используйте приведенную выше процедуру только для получения сведений. Изменение ключей не влияет на то, применяется ли защита от незаконного изменения к исключениям.
См. также
- Часто задаваемые вопросы о защите от незаконного изменения
- Defender для конечной точки на устройствах, отличных от Windows
- Устранение неполадок с защитой от незаконного изменения
- Управление Microsoft Defender для конечной точки на устройствах с помощью Microsoft Intune
Совет
Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в техническом сообществе Microsoft Defender для конечной точки Tech Community.