Zespół ds. Bezpieczeństwa systemu Windows wdrożył ochronę przed naruszeniami ^{(Tamper Protection)}dla wszystkich użytkowników systemu Windows^(Windows) . W tym poście pokażemy, w jaki sposób można włączyć lub wyłączyć Ochronę przed naruszeniem ^{( Tamper Protection)}bezpieczeństwa systemu Windows^{(Windows Security)} lub Windows Defender^{(Windows Defender)} za pośrednictwem interfejsu użytkownika, rejestru^(Registry) lub InTune . Chociaż możesz go wyłączyć, zdecydowanie zalecamy pozostawienie go włączonym przez cały czas dla własnego bezpieczeństwa.

Co to jest ochrona przed ingerencją^{(Tamper Protection)} w Windows 11/10

W prostym języku angielskim^(English) oznacza to, że nikt nie może manipulować systemem ochrony znanym również jako ^(Protection)Zabezpieczenia Windows^{(Windows Security)} . Wbudowane oprogramowanie jest wystarczająco dobre, aby poradzić sobie z większością zagrożeń bezpieczeństwa, w tym ransomware . Ale jeśli zostanie wyłączone przez oprogramowanie innej firmy lub złośliwe oprogramowanie, które się zakradnie, możesz wpaść w kłopoty.

Funkcja ochrony przed naruszeniami^{(Tamper Protection feature)} w programie Zabezpieczenia Windows^{(Windows Security)} zapobiega zmianom odpowiednich ustawień programu antywirusowego Windows Defender przez złośliwe aplikacje. ^{(Windows Defender Antivirus)}Funkcje takie jak ochrona w czasie rzeczywistym i^(Real-time) ochrona w chmurze są niezbędne, aby chronić Cię przed pojawiającymi się zagrożeniami. Ta funkcja zapewnia również, że nikt nie może zmienić ani zmodyfikować ustawień za pomocą Rejestru^(Registry) lub Zasad grupowych^{(Group Policy)} .

Oto, co mówi o tym Microsoft :

• Aby upewnić się, że funkcja Ochrona przed^{(Tamper Protection)} naruszeniem integralności nie koliduje z produktami zabezpieczającymi innych firm lub skryptami instalacyjnymi przedsiębiorstwa, które modyfikują te ustawienia, przejdź do sekcji Zabezpieczenia systemu Windows^{(Windows Security)} i zaktualizuj analizę zabezpieczeń do wersji 1.287.60.0 lub nowszej. Po dokonaniu tej aktualizacji funkcja Ochrona przed naruszeniem integralności^{(Tamper Protection)} będzie nadal chronić ustawienia rejestru i będzie rejestrować próby ich modyfikacji bez zwracania błędów.
• Jeśli ustawienie Ochrona przed^{(Tamper Protection)} naruszeniem integralności jest włączone , nie będzie można wyłączyć usługi Windows Defender Antivirus za pomocą   klucza zasad grupy DisableAntiSpyware .

Ochrona przed naruszeniami^{(Tamper Protection)} jest domyślnie włączona dla użytkowników domowych^(Home) . Włączenie ochrony przed naruszeniem integralności^{(Tamper Protection)} nie oznacza, że ​​nie można zainstalować programu antywirusowego innych firm. Oznacza to tylko, że żadne inne oprogramowanie nie może zmienić ustawień zabezpieczeń systemu Windows^{(Windows Security)} . Program antywirusowy innej^{(Third-party)} firmy będzie nadal rejestrował się w aplikacji Zabezpieczenia systemu Windows^{(Windows Security)} .

Wyłącz ochronę przed manipulacją^{(Tamper Protection)} w systemie Windows Security^{(Windows Security)}

Podczas gdy osoby trzecie nie mogą wprowadzać żadnych zmian, Ty jako administrator możesz wprowadzać zmiany. Nawet jeśli możesz, zdecydowanie zalecamy, abyś był włączony przez cały czas. Możesz go skonfigurować na trzy sposoby:

1. Interfejs zabezpieczeń systemu Windows
2. Zmiany w rejestrze
3. ^(InTune)Portal zarządzania urządzeniami ^{(Device Management)}InTune lub Microsoft 365

Nie ma obiektu zasad grupy,^{(Group Policy Object)} który mógłby zmienić to ustawienie.

1] Używanie interfejsu zabezpieczeń systemu Windows^{(Windows Security UI)} do wyłączania lub włączania ochrony przed manipulacją

• Kliknij^(Click) przycisk Start i na liście aplikacji znajdź Zabezpieczenia systemu Windows^{(Windows Security)} . Kliknij^(Click) , aby uruchomić, gdy go znajdziesz.
• Przełącz na Ochrona przed wirusami^(Virus) i zagrożeniami ^(Threat)> Manage Settings
• Przewiń^(Scroll) trochę, aby znaleźć Ochrona przed ingerencją^{(Tamper Protection)} . Upewnij^(Make) się, że jest włączony.
• Jeśli zajdzie taka potrzeba, możesz go wyłączyć, ale pamiętaj, aby włączyć go ponownie po zakończeniu pracy.

2] Zmiany w rejestrze^(Registry) , aby wyłączyć lub włączyć ochronę przed sabotażem

• Otwórz Edytor rejestru , wpisując Regedit w wierszu polecenia^{(Run Prompt)} , a następnie klawisz Enter
• Przejdź^(Navigate) do HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features
• Kliknij dwukrotnie DWORD TamperProtection, aby edytować wartość.
• Ustaw go na „0”, aby wyłączyć ochronę przed sabotażem^{(Tamper Protection)} lub na „5”, aby włączyć ochronę przed sabotażem^{(Tamper Protection)}

3] Włącz lub wyłącz ochronę przed naruszeniami^{(Turn Tamper Protection)} w swojej organizacji za pomocą usługi Intune^(Intune)

Jeśli korzystasz z InTune , tj. portalu zarządzania urządzeniami ^{(Device Management)}Microsoft 365 , możesz go użyć do włączenia lub wyłączenia ochrony przed naruszeniem integralności . ^{(Turn Tamper Protection)}Oprócz posiadania odpowiednich uprawnień, musisz mieć:

Jeśli należysz do zespołu ds. zabezpieczeń organizacji, możesz włączyć (lub wyłączyć) funkcję Ochrona przed^{(Tamper Protection)} naruszeniami w organizacji w portalu zarządzania urządzeniami ^{(Device Management)}platformy Microsoft 365 ( ^{(Microsoft 365)} Intune ), zakładając, że Twoja organizacja korzysta z usługi Microsoft Defender Advanced Threat Protection (Microsoft Defender ATP):

• Twoja organizacja musi mieć usługę Microsoft Defender ATP E5^{(Microsoft Defender ATP E5)} , zarządzaną przez usługę Intune^(Intune) i działającą w systemie Windows OS 1903^{(Windows OS 1903)} lub nowszym.
• Zabezpieczenia systemu Windows^(Windows) z analizą zabezpieczeń zaktualizowano do wersji 1.287.60.0 (lub nowszej)
• Twoje maszyny muszą korzystać z platformy chroniącej przed złośliwym oprogramowaniem w wersji 4.18.1906.3 (lub nowszej) i silnika chroniącego przed złośliwym oprogramowaniem w wersji 1.1.15500.X (lub nowszej)

Teraz postępuj zgodnie z instrukcjami, aby włączyć lub wyłączyć ochronę przed sabotażem:

1. Przejdź do portalu Microsoft 365 Device Management i zaloguj się przy użyciu konta służbowego lub szkolnego.
2. Wybierz  Konfiguracja urządzenia^{(Device configuration)}  >  Profile^(Profiles)
3. Utwórz profil zawierający następujące ustawienia:
   • Platforma^(Platform) : Windows 10 i nowsze
   • Typ profilu^{(ProfileType)} : Ochrona punktów końcowych
   • Ustawienia^(Settings) > Windows Defender Security Center > Tamper Protection . Skonfiguruj go lub wyłącz
4. Przypisz^(Assign) profil do jednej lub więcej grup

Jeśli nie widzisz tej opcji od razu, nadal jest ona wdrażana.

Za każdym razem, gdy nastąpi zmiana, w Centrum bezpieczeństwa^{(Security Center)} zostanie wyświetlony alert . Zespół ds. bezpieczeństwa może filtrować logi, postępując zgodnie z poniższym tekstem:

AlertEvents | where Title == "Tamper Protection bypass"

Brak obiektu zasad grupy^{(Group Policy Object)} dla ochrony przed manipulacją^{(Tamper Protection)}

Wreszcie, nie ma dostępnych zasad grupy^{(Group Policy)} do zarządzania wieloma komputerami. Notatka Microsoftu ^(Microsoft) wyraźnie mówi:^{(clearly says:)}

Your regular group policy doesn’t apply to Tamper Protection, and changes to Windows Defender Antivirus settings will be ignored when Tamper Protection is on.

Możesz użyć metody Rejestr^(Registry) dla wielu komputerów, łącząc się zdalnie z tym komputerem i wdrażając zmianę. Po wykonaniu tak to będzie wyglądać w indywidualnych ustawieniach użytkowników:

Mamy nadzieję, że kroki były łatwe do wykonania i można było włączyć lub wyłączyć ochronę przed^(Protection) manipulacją zgodnie z wymaganiami.

Enable or disable Tamper Protection using Intune, REGEDIT, UI

Windows Security Team has rolled out Tamper Protection for all Windows users. In this post, we will share how you can enable or disable Tamper Protection in Windows Security or Windows Defender via UI, Registry or InTune. While you can turn it off it, we highly recommend you keep it enabled at all times, for your protection.

What is Tamper Protection in Windows 11/10

In simple English, it makes sure nobody can tamper with the Protection system aka Windows Security. The onboard software is good enough to handle most of the security threats, including Ransomware. But if it is turned off by a third party software or a malware which sneaks in, then you can get into trouble.

Tamper Protection feature in Windows Security makes sure to prevent malicious apps from changing relevant Windows Defender Antivirus settings. Features like Real-time protection, cloud protection are essential to keep you safe from emerging threats. The feature also makes sure that nobody can change or modify the settings via Registry or Group Policy.

Here is what Microsoft says about it:

• To help ensure that Tamper Protection doesn’t interfere with third-party security products or enterprise installation scripts that modify these settings, go to Windows Security and update security intelligence to version 1.287.60.0 or later. Once you’ve made this update, Tamper Protection will continue to protect your registry settings and will log attempts to modify them without returning errors.
• If the Tamper Protection setting is On, you won’t be able to turn off the Windows Defender Antivirus service by using the DisableAntiSpyware group policy key.

Tamper Protection is enabled by default for Home users. Keeping Tamper Protection On doesn’t mean that you cannot install third-party antivirus. It only means no other software can change the settings of Windows Security. Third-party antivirus will continue to register with the Windows Security application.

Disable Tamper Protection in Windows Security

While third parties are blocked from making any changes, you as an administrator can make the changes. Even though you can, we will highly recommend you to keep it enabled all the time. You can configure it in three ways:

1. Windows Security UI
2. Registry changes
3. InTune or Microsoft 365 Device Management portal

There is no Group Policy Object to change this setting.

1] Using Windows Security UI to disable or enable Tamper Protection

• Click on the Start button, and from the app list, locate Windows Security. Click to launch when you find it.
• Switch to Virus and Threat protection > Manage Settings
• Scroll a bit to find Tamper Protection. Make sure its toggled On.
• If there is a particular need, you may turn it off, but make sure to turn it on again when work is done.

2] Registry changes to disable or enable Tamper protection

• Open Registry Editor by typing Regedit in the Run Prompt followed by the Enter key
• Navigate to HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features
• Double click on DWORD TamperProtection to edit the value.
• Set it to “0” to disable Tamper Protection or “5” to enable Tamper Protection

3] Turn Tamper Protection on or off for your organization using Intune

If you are using InTune, i.e. Microsoft 365 Device Management portal, you can use it to Turn Tamper Protection on or off. Apart from having appropriate permissions, you need to have the following:

If you are part of your organization’s security team, you can turn Tamper Protection on (or off) for your organization in the Microsoft 365 Device Management portal (Intune) assuming your organization has Microsoft Defender Advanced Threat Protection (Microsoft Defender ATP):

• Your organization must have Microsoft Defender ATP E5, Managed by Intune, and running Windows OS 1903 or later.
• Windows security with security intelligence updated to version 1.287.60.0 (or above)
• Your machines must be using anti-malware platform version 4.18.1906.3 (or above) and anti-malware engine version 1.1.15500.X (or above)

Now follow the steps to enable or disable Tamper Protection:

1. Go to the Microsoft 365 Device Management portal and sign in with your work or school account.
2. Select Device configuration > Profiles
3. Create a profile that includes the following settings:
   • Platform: Windows 10 and later
   • ProfileType: Endpoint protection
   • Settings > Windows Defender Security Center > Tamper Protection. Configure it on or off
4. Assign the profile to one or more groups

If you do not see this option right away, it is still being rolled out.

Whenever a change occurs, an alert will be displayed on the Security Center. The security team can filter from the logs by following the text below:

AlertEvents | where Title == "Tamper Protection bypass"

No Group Policy Object for Tamper Protection

Lastly, there is no Group Policy available to manage multiple computers. A note by Microsoft clearly says:

Your regular group policy doesn’t apply to Tamper Protection, and changes to Windows Defender Antivirus settings will be ignored when Tamper Protection is on.

You can use the Registry method for multiple computers by remotely connecting to that computer, and deploying the change. Once done, this is how it will look in users individual settings:

We hope the steps were easy to follow, and you were able to enable or disable Tamper Protection as per your requirement.

Related posts

• Włącz ochronę potencjalnie niechcianych programów: GPO, Regedit, PowerShell

• Co to jest funkcja Tamper Protection w systemie Windows 11/10?

• Włącz i skonfiguruj ochronę przed ransomware w Windows Defender

• Jak dodać lub wykluczyć aplikację w funkcji Ochrona przed lukami w zabezpieczeniach systemu Windows 10

• Jak wyczyścić historię ochrony Windows Defender w Windows 10?

• Włącz lub wyłącz ustawienia ochrony opartej na reputacji w systemie Windows 11/10

• Uniemożliwiaj użytkownikom modyfikowanie ochrony przed lukami w zabezpieczeniach systemu Windows

• Usuń ikonę powiadomienia Windows Defender w Windows 10

• Co to jest wydajność i kondycja urządzenia i jak ukryć tę sekcję?

• Jak otworzyć Centrum zabezpieczeń systemu Windows w systemie Windows 11/10?

• Operacja nie powiodła się, ponieważ plik zawiera wirusa

• Napraw kod błędu Windows Defender 0x8050800c w systemie Windows 11/10

• Co to jest ochrona przed wirusami i zagrożeniami w systemie Windows? Jak to ukryć?

• Jak wykluczyć folder ze skanowania Windows Defender w Windows 11/10?

• Jak ręcznie zaktualizować Windows Defender w Windows 10?

• Jak zatrzymać automatyczne przesyłanie próbek przez program Microsoft Defender

• Zarządzaj elementami poddanymi kwarantannie i wykluczeniami w programie Windows Defender

• Błąd 0x800106ba, nie udało się zainicjować aplikacji Windows Defender

• Napraw błąd Microsoft Defender 0x80073b01 w systemie Windows 11/10

• Co to jest funkcja Control Flow Guard w systemie Windows 10 — jak ją włączyć lub wyłączyć?