使用 Intune、REGEDIT、UI 启用或禁用篡改保护

Windows 安全团队已经为所有Windows用户推出了 篡改保护。(Tamper Protection)在这篇文章中,我们将分享如何通过 UI、注册表(Registry)InTuneWindows SecurityWindows Defender中启用或禁用(Windows Defender)篡改保护( Tamper Protection)。虽然您可以将其关闭,但我们强烈建议您始终保持启用状态,以保护您的安全。

什么是Windows Windows 11/10篡改保护(Tamper Protection)

简单来说(English),它确保没有人可以篡改保护(Protection)系统,即Windows 安全(Windows Security)。板载软件足以应对大多数安全威胁,包括勒索软件(Ransomware)。但是,如果它被第三方软件或潜入的恶意软件关闭,那么您可能会遇到麻烦。

(Tamper Protection feature)Windows 安全(Windows Security)中的篡改保护功能可确保防止恶意应用更改相关的Windows Defender 防病毒(Windows Defender Antivirus)设置。实时(Real-time)保护、云保护等功能对于保护您免受新出现的威胁至关重要。该功能还确保没有人可以通过注册表(Registry)组策略(Group Policy)更改或修改设置。

以下是微软(Microsoft)对此的评价:

  • 为帮助确保篡改保护(Tamper Protection)不会干扰修改这些设置的第三方安全产品或企业安装脚本,请转到Windows 安全(Windows Security)中心并将安全智能更新到版本 1.287.60.0 或更高版本。进行此更新后,防篡改(Tamper Protection)将继续保护您的注册表设置,并将记录修改它们的尝试,而不会返回错误。
  • 如果篡改保护(Tamper Protection)设置为开,您将无法使用 DisableAntiSpyware 组策略键关闭Windows Defender 防病毒服务。(Windows Defender Antivirus)

(Tamper Protection)家庭(Home)用户默认启用篡改保护。保持篡改保护(Tamper Protection)开启并不意味着您不能安装第三方防病毒软件。这仅意味着没有其他软件可以更改Windows 安全(Windows Security)性的设置。第三方(Third-party)防病毒软件将继续向Windows 安全(Windows Security)应用程序注册。

Windows 安全(Windows Security)中禁用篡改保护(Tamper Protection)

虽然阻止第三方进行任何更改,但您作为管理员可以进行更改。即使可以,我们也强烈建议您始终保持启用状态。您可以通过三种方式对其进行配置:

  1. Windows 安全用户界面
  2. 注册表更改
  3. InTuneMicrosoft 365 设备管理(Device Management)门户

没有组策略对象(Group Policy Object)可以更改此设置。

1] 使用Windows 安全 UI(Windows Security UI)禁用或启用篡改保护

禁用启用篡改保护 Windows 10 UI 方法

  • 单击(Click)开始按钮,然后从应用程序列表中找到Windows(Start)安全性(Windows Security)找到后单击(Click)以启动。
  • 切换到病毒(Virus)威胁(Threat)防护> Manage Settings
  • 滚动(Scroll)一下以找到防篡改(Tamper Protection)确保(Make)其已打开。
  • 如果有特殊需要,您可以将其关闭,但请确保在工作完成后再次打开它。

2]注册表(Registry)更改以禁用或启用篡改保护

在 Windows 10 中启用禁用篡改保护

  • 通过在运行提示(Run Prompt)中键入Regedit ,然后按Enter键打开注册表编辑器
  • 导航(Navigate)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features
  • 双击 DWORDTamperProtection以编辑该值。
  • 将其设置为“0”以禁用篡改保护(Tamper Protection)或设置为“5”以启用篡改保护(Tamper Protection)

3]使用Intune为您的组织打开或关闭篡改保护(Turn Tamper Protection)

如果您使用InTune,即Microsoft 365 设备管理(Device Management)门户,您可以使用它来打开或关闭篡改保护(Turn Tamper Protection)。除了拥有适当的权限外,您还需要具备以下条件:

如果你是组织安全团队的一员,则可以在Microsoft 365设备管理(Device Management)门户 ( Intune )中为你的组织打开(或关闭)篡改保护(Tamper Protection),前提是你的组织具有Microsoft Defender 高级威胁防护(Microsoft Defender ATP):

  • 你的组织必须具有Microsoft Defender ATP E5,由Intune管理,并且运行Windows OS 1903或更高版本。
  • (Windows)具有安全智能的Windows安全更新到版本 1.287.60.0(或更高版本)
  • 您的机器必须使用反恶意软件平台版本 4.18.1906.3(或更高版本)和反恶意软件引擎版本 1.1.15500.X(或更高版本)

现在按照以下步骤启用或禁用篡改保护:

  1. 转到Microsoft 365 设备管理(Device Management)门户并使用你的工作或学校帐户登录。
  2. 选择 设备配置(Device configuration) > 配置文件(Profiles)
  3. 创建包含以下设置的配置文件:
    • 平台(Platform):Windows 10 及更高版本
    • ProfileType : 端点保护
    • 设置(Settings)> Windows Defender Security Center > Tamper Protection。将其配置为打开或关闭
  4. (Assign)配置文件分配给一个或多个组

如果您没有立即看到此选项,则它仍在推出中。

每当发生更改时,安全中心(Security Center)都会显示警报。安全团队可以按照以下文本从日志中过滤:

AlertEvents | where Title == "Tamper Protection bypass"

没有用于防篡改的(Tamper Protection)组策略对象(Group Policy Object)

最后,没有可用于管理多台计算机的组策略。(Group Policy)微软(Microsoft) 的一份说明清楚地表明:(clearly says:)

Your regular group policy doesn’t apply to Tamper Protection, and changes to Windows Defender Antivirus settings will be ignored when Tamper Protection is on.

启用篡改保护 Windows 10

您可以通过远程连接到多台计算机并部署更改来为多台计算机使用注册表方法。(Registry)完成后,这就是它在用户个人设置中的外观:

我们希望这些步骤易于遵循,并且您能够根据您的要求启用或禁用篡改保护(Protection)



About the author

我是一名专业的音频工程师,拥有超过 10 年的经验。我参与过各种各样的项目,从小型家庭音响系统到大型商业制作。我的技能在于创造出色的配乐和声音处理工具,让音乐听起来很棒。我对 Windows 10 也非常有经验,可以帮助您充分利用您的计算机系统。



Related posts