Microsoft 365 Defender 为了更好地保护我们的客户免受勒索软件的侵害,我们默认为所有新 MDE 客户启用了篡改保护。为了进一步保护我们的客户,将对所有*现有*客户启用篡改保护,除非已在 M365D 门户中明确关闭。
原文链接:https://techcommunity.microsoft.com/t5/microsoft-defender-for-endpoint/tamper-protection-will-be-turned-on-for-all-enterprise-customers/bc-p/3632537
Microsoft Defender for Endpoint 中的篡改保护可保护你的组织免受对安全设置的不必要更改。篡改保护有助于防止未经授权的用户和恶意行为者关闭威胁保护功能,例如防病毒保护。篡改保护还包括对篡改企图的检测和响应。
从去年开始,为了更好地保护我们的客户免受勒索软件攻击,我们默认为所有使用 Defender for Endpoint Plan 2 或 Microsoft 365 E5 许可证的新客户启用篡改保护。为了进一步保护我们的客户,我们宣布将为所有现有客户启用篡改保护,除非已在 Microsoft 365 Defender 门户中明确关闭。对于尚未配置篡改保护的客户,他们很快就会收到通知,说明它将在 30 天内开启。例如,公共预览版客户在 2022 年 9 月 21 日收到通知,指示将在 30 天后,即 2022 年 10 月 24 日打开防篡改保护。
以下屏幕截图显示了通知的外观:
为什么要开启篡改保护?
人为操作的勒索软件是当今客户面临的最大网络安全挑战之一。勒索软件攻击的事后分析揭示了两件事:
- 攻击者使用一套通用的战术、技术和程序 (TTP)
- 如果配置了解决这些 TTP 的控件,则 Endpoint 的 Defender 可以帮助更多地防止攻击。
我们建议您打开篡改保护并在整个组织中保持启用状态。
如何选择退出
如果您不希望为您的租户自动启用篡改保护,您可以明确选择退出,如下所示:
- 转到 security.microsoft.com 并登录。
- 转到设置>端点>高级功能
- 通过选择其切换来打开篡改保护。
- 选择保存首选项
- 通过选择其切换来关闭篡改保护。
- 选择保存首选项。
通过显式关闭篡改保护,您的租户将保持关闭篡改保护的意图。有关详细信息,请参阅使用篡改保护保护安全设置 | 微软文档。
- 如果遇到设备问题,可以使用故障排除模式: Microsoft Defender for Endpoint 中的故障排除模式入门 | 微软文档
- 如果您担心应用程序与篡改保护的兼容性,您可以指定哪些设备要禁用篡改保护。
- 您可以通过在 Microsoft Endpoint Manager 中创建配置文件来将设备排除在篡改保护之外
- 您可以使用 Defender for Endpoint的安全管理将设备排除在篡改保护之外
- 注意: 篡改保护包含在 Windows 安全体验中,位于病毒和威胁保护设置部分。
学到更多
- 内置保护有助于防范勒索软件 | 微软文档
- 篡改保护
- Defender for Endpoint 安全配置管理