Sådan aktiveres eller deaktiveres Sabotagebeskyttelse i Windows 10

Windows Security Team har rullet Tamper Protection ud for alle Windows-brugere. I dette indlæg deler vi, hvordan du kan aktivere eller deaktivere Sabotagebeskyttelse i Windows-sikkerhed eller Windows Defender via brugergrænseflade, registreringsdatabase eller InTune. Mens du kan slå den fra, anbefaler vi stærkt, at du holder den aktiveret til enhver tid for din beskyttelse.

Hvad er manipulationsbeskyttelse i Windows 10

På enkel engelsk sørger det for, at ingen kan manipulere med beskyttelsessystemet aka Windows Security. Den indbyggede software er god nok til at håndtere de fleste sikkerhedstrusler, inklusive Ransomware. Men hvis det er slukket af en tredjepartssoftware eller en malware, der sniger sig ind, kan du komme i problemer.

Tamper Protection-funktionen i Windows Security sørger for at forhindre ondsindede apps i at ændre relevante Windows Defender Antivirus-indstillinger. Funktioner som realtidsbeskyttelse, skybeskyttelse er vigtige for at beskytte dig mod nye trusler. Funktionen sørger også for, at ingen kan ændre eller ændre indstillingerne via registreringsdatabasen eller gruppepolitikken.

Her er hvad Microsoft siger om det:

• For at hjælpe med at sikre, at Tamper Protection ikke forstyrrer tredjeparts sikkerhedsprodukter eller installationsinstallationsscripts, der ændrer disse indstillinger, skal du gå til Windows Security og opdatere sikkerhedsinformation til version 1.287.60.0 eller senere. Når du har foretaget denne opdatering, fortsætter Tamper Protection med at beskytte dine registreringsdatabaseindstillinger og logger forsøg på at ændre dem uden at returnere fejl.
• Hvis indstillingen for sabotagebeskyttelse er aktiveret, kan du ikke slukke for Windows Defender Antivirus-tjenesten ved hjælp af DisableAntiSpywaregruppepolitiknøgle.

Sabotagebeskyttelse er som standard aktiveret for hjemmebrugere. At holde manipulationsbeskyttelse aktiveret betyder ikke, at du ikke kan installere tredjeparts antivirus. Det betyder kun, at ingen anden software kan ændre indstillingerne i Windows Security. Tredjeparts antivirus vil fortsat registrere sig i Windows Security-applikationen.

Deaktiver beskyttelse mod manipulation i Windows-sikkerhed

Mens tredjeparter er blokeret for at foretage ændringer, kan du som administrator foretage ændringerne. Selvom du kan, vil vi varmt anbefale dig at holde det aktiveret hele tiden. Du kan konfigurere det på tre måder:

1. Windows Sikkerhedsgrænseflade
2. Registreringsændringer
3. InTune eller Microsoft 365 enhedsadministrationsportal

Der er intet gruppepolitisk objekt, der kan ændre denne indstilling.

1] Brug af Windows Security UI til at deaktivere eller aktivere Sabotagebeskyttelse

• Klik på Start-knappen, og find Windows-sikkerhed på applisten. Klik for at starte, når du finder den.
• Skift til virus- og trusselsbeskyttelse> Administrer indstillinger
• Rul lidt for at finde sabotagebeskyttelse. Sørg for, at den er slået til.
• Hvis der er et specielt behov, kan du slukke for det, men sørg for at tænde det igen, når arbejdet er udført.

2] Registreringsændringer for at deaktivere eller aktivere Sabotagebeskyttelse

• Åbn Registreringseditor ved at skrive Regedit i Kør prompt efterfulgt af Enter-tasten
• Naviger til HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows Defender \ Features
• Dobbeltklik på DWORD Sabotagebeskyttelse for at redigere værdien.
• Sæt det til "0" for at deaktivere manipulation af sabotage eller "5" for at aktivere sabotagebeskyttelse

3] Slå Sabotagebeskyttelse til eller fra for din organisation ved hjælp af Intune

Hvis du bruger InTune, i.e. Microsoft 365 Device Management portal, du kan bruge den til at slå Sabotagebeskyttelse til eller fra. Udover at have passende tilladelser skal du have følgende:

Hvis du er en del af din organisations sikkerhedsteam, kan du slå Tamper Protection til (eller fra) for din organisation i Microsoft 365 Device Management-portalen (Intune), forudsat at din organisation har Microsoft Defender Advanced Threat Protection (Microsoft Defender ATP):

• Din organisation skal have Microsoft Defender ATP E5, administreret af Intune, og køre Windows OS 1903 eller nyere.
• Windows-sikkerhed med sikkerhedsoplysning opdateret til version 1.287.60.0 (eller derover)
• Dine maskiner skal bruge anti-malware platform version 4.18.1906.3 (eller derover) og anti-malware-motorversion 1.1.15500.X (eller derover)

Følg nu trinene for at aktivere eller deaktivere sabotagebeskyttelse:

1. Gå til Microsoft 365 Device Management-portalen, og log ind med din arbejds- eller skolekonto.
2. Vælg Enhedskonfiguration > Profiler
3. Opret en profil, der indeholder følgende indstillinger:
   • Platform: Windows 10 og nyere
   • ProfilType: Slutpunktsbeskyttelse
   • Indstillinger > Windows Defender Sikkerhedscenter> Beskyttelse mod sabotage. Konfigurer det til eller fra
4. Tildel profilen til en eller flere grupper

Hvis du ikke ser denne mulighed med det samme, rulles den stadig ud.

Hver gang der sker en ændring, vises en advarsel i Sikkerhedscenter. Sikkerhedsteamet kan filtrere fra logfilerne ved at følge nedenstående tekst:

Advarselsbegivenheder | hvor titel == "omgåelse af manipulationsbeskyttelse"

Intet gruppepolitisk objekt til manipulation

Endelig er der ingen gruppepolitik tilgængelig til at administrere flere computere. En note fra Microsoft siger tydeligt:

Din almindelige gruppepolitik gælder ikke for Tamper Protection, og ændringer i Windows Defender Antivirus-indstillinger ignoreres, når Tamper Protection er aktiveret.

Du kan bruge registreringsmetoden til flere computere ved at oprette forbindelse til den computer via afstand og implementere ændringen. Når det er gjort, ser det sådan ud i brugernes individuelle indstillinger:

Vi håber, at trinnene var lette at følge, og du var i stand til at aktivere eller deaktivere manipulation af sabotage i henhold til dine krav.