Microsoft现在默认启用Windows 10篡改保护
2019-10-15 11:57:10 【

微软今天宣布,Windows 10篡改保护安全功能现已正式向企业和消费者正式可用。与此公告一起,Microsoft将默认在所有Windows 10设备上启用此安全功能。

篡改保护是Windows 10版本1903中引入的安全功能,也称为2019年5月更新。启用后,防篡改功能可防止Windows Security和Windows Defender设置被程序,Windows命令行工具,注册表更改或组策略更改。

相反,用户必须直接通过Windows 10用户界面或通过Microsoft企业管理软件(例如Intune)来修改安全设置。

如果Windows 10设备上当前未启用防篡改功能,则Microsoft告诉BleepingComputer他们将向所有Windows 10用户推出此更改。但是,可能需要几天的时间,每个人才能自动启用它。

如果您不想等待,可以按照以下说明立即启用它

防篡改是防止安全绕过的重要工具

随着Windows Defender成为可靠的防病毒解决方案,并且Windows 10进一步增强了安全性,恶意软件越来越多地努力绕过它。

通过尝试通过PowerShell命令,组策略或注册表修改来关闭或减少Windows Defender的功能,可以完成此操作。

例如,在过去的4个月中,我们看到TrickBotGootKit和  Nodersok  木马齐心协力绕过Windows Defender,以便驻留在受感染的计算机上或绕过其保护。


但是,启用防篡改功能后,这些更改Windows Defender或Windows安全设置的尝试将被忽略或仅重置。

由于在删除第三方防病毒软件后Windows Defender会自动打开,因此启用防篡改功能更为重要,这样Windows Defender才能充分保护您。

消费者使用Windows安全设置

对于消费者,防篡改可以在Windows安全性的“病毒和威胁防护”设置下进行管理。

要访问此设置,您需要打开Windows 10设置,依次单击Windows安全病毒和威胁防护,然后单击 病毒和威胁防护设置下的管理设置。

向下滚动,您将看到一个名为“ Tamper Protection”的选项,应启用该选项,如下所示。


企业使用Intune来管理篡改保护

企业工作站可以使用与使用者相同的方法来启用防篡改功能,而管理员也可以使用Microsoft Intune管理软件进行管理。

使用Intune,组织可以按设备类型甚至用户组为整个组织启用篡改保护,如下所示。



通过企业软件启用后,工作站将显示此设置正在“由管理员管理”。


为了为防篡改管理提供额外的安全性,每当Intune推出防篡改设置更改时,请求都会进行数字签名。

工作站收到此请求后,他们将确认签名是合法的,否则,请忽略更改。您可以在下面看到Intune如何推送这些已签名请求的图示。


当攻击者(无论是恶意软件还是本地用户)尝试篡改Windows安全性或Windows Defender设置时,警报将被推送到Microsoft Defender安全中心。然后,管理员可以深入研究这些警报,以查看目标机器是什么并进行修复。



在恶意软件主动将篡改防护作为目标的情况下,此功能不仅很重要,而且还需要启用以向Windows 10用户提供全面保护。

所有用户,无论是消费者还是企业组织,都应确保启用防篡改功能。


】【打印关闭】 【返回顶部
上一篇CNNVD关于泛微E-cology OA系统SQL.. 下一篇Linux SUDO Bug可让您以root用户..