Windows Security Team har rullat ut Tamper Protection för alla Windows-användare. I det här inlägget delar vi hur du kan aktivera eller inaktivera Sabotage skydd i Windows Security eller Windows Defender via UI, Registry eller InTune. Medan du kan stänga av den rekommenderar vi starkt att du håller den aktiverad hela tiden, för ditt skydd.
Vad är manipuleringsskydd i Windows 10
På enkel engelska ser det till att ingen kan manipulera med skyddssystemet aka Windows Security. Den inbyggda programvaran är tillräckligt bra för att hantera de flesta säkerhetshot, inklusive Ransomware. Men om den stängs av av en tredjepartsprogramvara eller en skadlig kod som smyger in, kan du komma i trubbel.
Tamper Protection-funktionen i Windows Security säkerställer att skadliga appar inte ändrar relevanta Windows Defender Antivirus-inställningar. Funktioner som realtidsskydd, molnskydd är viktiga för att skydda dig från nya hot. Funktionen ser också till att ingen kan ändra eller ändra inställningarna via registret eller grupprincipen.
Här är vad Microsoft säger om det:
- För att säkerställa att Tamper Protection inte stör tredjeparts säkerhetsprodukter eller installationsskript för företag som ändrar dessa inställningar, gå till Windows Security och uppdatera säkerhetsinformation till version 1.287.60.0 eller senare. När du har gjort den här uppdateringen fortsätter Tamper Protection att skydda dina registerinställningar och loggar försök att ändra dem utan att returnera fel.
- Om inställningen för sabotageskydd är På kan du inte stänga av Windows Defender Antivirus-tjänsten med DisableAntiSpywaregruppolicynyckel-.
Sabotageskydd är aktiverat som standard för hemanvändare. Att hålla manipuleringsskydd på betyder inte att du inte kan installera antivirus från tredje part. Det betyder bara att ingen annan programvara kan ändra inställningarna för Windows Security. Tredjeparts antivirusprogram fortsätter att registrera sig i Windows Security-applikationen.
Inaktivera manipuleringsskydd i Windows-säkerhet
Medan tredje parter blockeras från att göra några ändringar kan du som administratör göra ändringarna. Även om du kan, rekommenderar vi dig att hålla det aktiverat hela tiden. Du kan konfigurera det på tre sätt:
- Windows säkerhetsgränssnitt
- Registerändringar
- InTune eller Microsoft 365 Device Management portal
Det finns inget grupprincipobjekt som kan ändra den här inställningen.
1] Använda Windows säkerhetsgränssnitt för att inaktivera eller aktivera manipuleringsskydd
- Klicka på Start-knappen och leta reda på Windows-säkerhet i applistan. Klicka för att starta när du hittar den.
- Byt till virus- och hotskydd> Hantera inställningar
- Bläddra lite för att hitta Sabotageskydd. Se till att den är aktiverad.
- Om det finns ett särskilt behov kan du stänga av det, men se till att sätta på det igen när arbetet är klart.
2] Registreringsändringar för att inaktivera eller aktivera manipuleringsskydd
- Öppna registerredigeraren genom att skriva Regedit i körfrågan följt av Enter-tangenten
- Navigera till HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows Defender \ Features
- Dubbelklicka på DWORD
Sabotage Skydd
för att redigera värdet. - Ställ in den på "0" för att inaktivera manipuleringsskydd eller "5" för att aktivera manipulationsskydd
3] Aktivera eller inaktivera manipuleringsskydd för din organisation med Intune
Om du använder InTune, i.e. Microsoft 365 enhetshanteringsportal, du kan använda den för att aktivera eller inaktivera sabotageskydd. Förutom att ha lämpliga behörigheter måste du ha följande:
Om du är en del av organisationens säkerhetsteam kan du aktivera (eller inaktivera) Tamper Protection för din organisation i Microsoft 365 portal för enhetshantering (Intune) förutsatt att din organisation har Microsoft Defender Advanced Threat Protection (Microsoft Defender ATP):
- Din organisation måste ha Microsoft Defender ATP E5, hanterad av Intune, och kör Windows OS 1903 eller senare.
- Windows-säkerhet med säkerhetsinformation till version 1.287.60.0 (eller högre)
- Dina maskiner måste använda plattformen mot skadlig kod version 4.18.1906.3 (eller högre) och anti-malware-motorversion 1.1.15500.X (eller högre)
Följ nu stegen för att aktivera eller inaktivera manipuleringsskydd:
- Gå till Microsoft 365 portal för enhetshantering och logga in med ditt jobb- eller skolkonto.
- Välj Enhetskonfiguration > Profiler
- Skapa en profil som innehåller följande inställningar:
- Plattform: Windows 10 och senare
- Profiltyp: Slutpunktsskydd
- inställningar > Windows Defender Security Center> Sabotageskydd. Konfigurera den på eller av
- Tilldela profilen till en eller flera grupper
Om du inte ser det här alternativet direkt rullas det fortfarande ut.
När en ändring inträffar visas en varning i Säkerhetscentret. Säkerhetsteamet kan filtrera från loggarna genom att följa texten nedan:
Varningshändelser | där titel == "manipulationsskydd bypass"
Inget grupppolicyobjekt för manipuleringsskydd
Slutligen finns det ingen grupppolicy tillgänglig för att hantera flera datorer. En anteckning från Microsoft säger tydligt:
Din vanliga grupppolicy gäller inte för Tamper Protection, och ändringar av Windows Defender Antivirusinställningar ignoreras när Sabotage Protection är aktiverat.
Du kan använda registreringsmetoden för flera datorer genom att fjärransluta till den datorn och distribuera ändringen. När det är gjort så kommer det att se ut i användarnas individuella inställningar:
Vi hoppas att stegen var enkla att följa, och att du kunde aktivera eller inaktivera manipuleringsskydd enligt dina krav.