HOWTO: 使用 Intune 强制开启 Windows Defender 防篡改保护
HOWTO: 使用 Intune 强制开启 Windows Defender 防篡改保护
Windows Defender 中的防篡改保护(Tamper Protection)有助于防止恶意应用更改其重要的防病毒设置,包括“实时保护”和“云提供的保护”。如果当时前是管理员登录,则仍可以在“病毒和威胁保护”设置中关闭“篡改保护”,但其他程序仍无法更改这个设置。
篡改保护并不影响第三方防病毒应用的工作方式,也不影响这些应用注册 Windows 安全中心的方式。默认情况下篡改保护处于打开状态。
作为企业 IT 管理员或安全管理员,当然希望能够强制开启篡改保护,且禁止修改其设置。如果当前组织已经在使用现代管理模式,如 Intune!则可以通过 Endpoint Manager Center 进行策略的下发。为此,访问 Endpoint Manager Center,定位至“终结点安全性 - 防病毒 - AV 策略”,并创建该策略,选择“Windows 10、Windows 11 和 Windows Server (预览版)”平台,配置文件选择“Windows Security Experience”,跟随向导创建策略名称等信息,并在配置中打开“TamperProtection(设备)”。
注意,在 Intune 中管理篡改保护的要求如下:
- 必须分配适当的 权限 ,例如全局管理员、安全管理员或安全操作。
- 组织使用Intune来管理设备。 需要 (Intune许可证;Intune包含在 Microsoft 365 E3/E5、企业移动性 + 安全性 E3/E5、Microsoft 365 商业高级版、Microsoft 365 F1/F3、Microsoft 365 政府版 G3/G5 和相应的教育许可证中。)
- Windows 设备必须运行Windows 10版本 1709 或更高版本或Windows 11。 (有关版本的详细信息,请参阅 Windows 版本信息。)
- 必须将 Windows 安全性与 安全智能 更新到版本 1.287.60.0 (或更高版本) 结合使用。
- 你的设备必须使用反恶意软件平台版本 4.18.1906.3 (或更高版本) 和反恶意软件引擎版本 1.1.15500.X (或更高版本) 。 (管理Microsoft Defender防病毒更新并应用 baselines。)
- Intune和 Defender for Endpoint 租户必须共享同一Microsoft Entra (Azure Active Directory) 基础结构。
- 设备必须载入到 Defender for Endpoint。
当下发防篡改保护策略后,本机管理员将无法更改相关的设置,也无法关闭篡改防护。
具有计算机管理权限的账户在使用 PowerShell 命令 Set-MPPreference -DisableTamperProtection $true 强行关闭时将会报错。
参考资料:
微软推动 Windows 自动启动的功能更新
微软推动 Windows 自动启动的功能更新
相信细心的 IT 朋友在微软最近发布的一篇文档中或网上的新闻中已经留意到微软正在 Windows 11 上继续推动一项举措,即:自动启动的功能更新。自 WaaS 以来,Windows 10 和 Windows 11除了每年一次的功能更新以外(Win10 1809 OSBuild 17763,1909 OSBuild 18363,20H1 OSBuild 19041,20H2 OSBuild 19042,21H1 OSBuild 19043,21H2 OSBuild 19044,22H2 OSBuild 19045;Win11 21H1 OSBuild 22000.1516,22H2 OSBuild 22621),Windows 系统还会在每月收到质量更新(如 gOxiA 当前系统是Windows 11 的 22H2,内部版本号是22621.1194,其中1194即每月质量更新后便会更新的数字版本),其中包括功能改进、最新的安全威胁防护以及重要问题解决。
运行 winver 可获取当前系统的版本信息。
要持续接收每月更新,必须确保在使用的 Windows 版本是受支持的,也就是我们常说的在生命周期支持内的 Windows,每一个功能更新版本都有一个生命周期,如果生命周期结束,该版本则无法接收每月更新,除非更新到受支持的功能更新版本上。为了帮助设备保持在受支持的 Windows 版本上,Windows 更新会在服务结束之前或即将结束服务时自动为设备启动功能更新。在过去用户可以自行跳过或忽略功能更新。
注意,自动功能更新仅提供给消费者类型的用户设备以及非托管的商业类型设备。所以,并非向网上某些媒体宣传的那样“可怕”。
最后,提供一些有价值的参考资料:
Windows 10 和 Windows 11 的发布信息可参考:
Windows 质量更新和功能更新介绍:
HOWTO: 如何跳过 Windows 首次登录动画
HOWTO: 如何跳过 Windows 首次登录动画
企业 IT 在不断优化大规模自动化部署的 Windows 配置,试图加快部署的速度,尤其是希望缩短系统初始化阶段的等待时间,曾经不少 IT 都遭遇到部署的深度定制的 Image 在完成 OOBE 后卡在了首次登录阶段,OOBE 全自动完成迅速进入到了 Windows 登录界面,但是当输入账号密码后却经历了漫长的首次登录动画。
要跳过首次登录动画方法有很多,可以使用 GPO 或直接修改注册表,当然也可以通过 Intune CSP 实现。首先让我们回顾一下这些方案!
1. 通过组策略,定位至“计算机配置 - 管理模板 - 系统 - 登录”,找到“显示首次登录动画”,将其禁用。
2. 通过注册表方式,配置“EnableFirstLogonAnimation”键值为 0,它位于“HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System”,借助注册表的方式我们可以轻易的应用在不同的部署方式中。
3. Intune CSP
Scope:Device
Editions:除了Home以外
OS:1903及以上版本
Device:./Device/Vendor/MSFT/Policy/Config/WindowsLogon/EnableFirstLogonAnimation
Format:Int
Value:0
虽然我们有很多种方案来跳过首次登录动画,但在实际应用中会发现动画虽然不显示了,可登录到的桌面时间并未缩短。当我们输入账号密码点击登录后,会显示“正在准备 Windows”,一样需要等待一段时间。
此时,我们可以借助“DelayedDesktopSwitchTimeout”键值,缩短登录脚本完成前与用户交互的超时时间。默认需要等待 Session 0 的 30秒超时时间。为此需要定制注册表键值,它位于“HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System”,类型是 DWORD,值为 0。很可惜 gOxiA 并未在 GPO 或 CSP 中找到这个配置选项,目前仅能通过注册表方式实现。
当“DelayedDesktopSwitchTimeout”键值生效后,我们会发现首次登录桌面的时间将大大缩减,基本上是瞬间进入桌面,这将极大改善最终用户登录桌面时的体验。