标题:HOWTO: 使用 Intune 强制开启 Windows Defender 防篡改保护 出处:gOxiA=苏繁=SuFan Blog 时间:Sun, 05 Feb 2023 14:11:00 +0000 作者:gOxiA 地址:https://goxia.maytide.net/read.php/2059.htm 内容: HOWTO: 使用 Intune 强制开启 Windows Defender 防篡改保护 Windows Defender 中的防篡改保护(Tamper Protection)有助于防止恶意应用更改其重要的防病毒设置,包括“实时保护”和“云提供的保护”。如果当时前是管理员登录,则仍可以在“病毒和威胁保护”设置中关闭“篡改保护”,但其他程序仍无法更改这个设置。 篡改保护并不影响第三方防病毒应用的工作方式,也不影响这些应用注册 Windows 安全中心的方式。默认情况下篡改保护处于打开状态。 作为企业 IT 管理员或安全管理员,当然希望能够强制开启篡改保护,且禁止修改其设置。如果当前组织已经在使用现代管理模式,如 Intune!则可以通过 Endpoint Manager Center 进行策略的下发。为此,访问 Endpoint Manager Center,定位至“终结点安全性 - 防病毒 - AV 策略”,并创建该策略,选择“Windows 10、Windows 11 和 Windows Server (预览版)”平台,配置文件选择“Windows Security Experience”,跟随向导创建策略名称等信息,并在配置中打开“TamperProtection(设备)”。 注意,在 Intune 中管理篡改保护的要求如下: 必须分配适当的 权限 ,例如全局管理员、安全管理员或安全操作。 组织使用Intune来管理设备。 需要 (Intune许可证;Intune包含在 Microsoft 365 E3/E5、企业移动性 + 安全性 E3/E5、Microsoft 365 商业高级版、Microsoft 365 F1/F3、Microsoft 365 政府版 G3/G5 和相应的教育许可证中。) Windows 设备必须运行Windows 10版本 1709 或更高版本或Windows 11。 (有关版本的详细信息,请参阅 Windows 版本信息。) 必须将 Windows 安全性与 安全智能 更新到版本 1.287.60.0 (或更高版本) 结合使用。 你的设备必须使用反恶意软件平台版本 4.18.1906.3 (或更高版本) 和反恶意软件引擎版本 1.1.15500.X (或更高版本) 。 (管理Microsoft Defender防病毒更新并应用 baselines。) Intune和 Defender for Endpoint 租户必须共享同一Microsoft Entra (Azure Active Directory) 基础结构。 设备必须载入到 Defender for Endpoint。 当下发防篡改保护策略后,本机管理员将无法更改相关的设置,也无法关闭篡改防护。 具有计算机管理权限的账户在使用 PowerShell 命令 Set-MPPreference -DisableTamperProtection $true 强行关闭时将会报错。 参考资料: 使用 Microsoft Intune 管理组织的篡改防护 | Microsoft Learn 使用篡改保护保护安全设置 | Microsoft Learn Generated by Bo-blog 2.1.1 Release