Екипът по сигурността на Windows внедри защита ^{(Tamper Protection)}от несанкциониране за всички потребители на Windows . В тази публикация ще споделим как можете да активирате или деактивирате защитата^{( Tamper Protection)} от подправяне в Windows Security или Windows Defender чрез потребителски интерфейс, регистър^(Registry) или InTune . Въпреки че можете да го изключите, силно ви препоръчваме да го поддържате активиран по всяко време, за ваша защита.

Какво представлява защитата^{(Tamper Protection)} от фалшифициране в Windows 11/10

На прост английски^(English) , това гарантира, че никой не може да подправи системата за защита^(Protection) , известна още като Windows Security . Вграденият софтуер е достатъчно добър, за да се справи с повечето заплахи за сигурността, включително Ransomware . Но ако е изключен от софтуер на трета страна или злонамерен софтуер, който се промъква, тогава можете да изпаднете в беда.

Функцията за защита^{(Tamper Protection feature)} от подправяне в Windows Security гарантира, че предотвратява промяната на съответните настройки на Windows Defender Antivirus от злонамерени приложения . Функции като защита в реално време^(Real-time) , защита в облака са от съществено значение, за да ви предпазят от възникващи заплахи. Функцията също така гарантира, че никой не може да променя или модифицира настройките чрез системния регистър^(Registry) или груповите правила^{(Group Policy)} .

Ето какво казва Microsoft за това:

• За да се уверите, че защитата^{(Tamper Protection)} от подправяне няма да пречи на продуктите за сигурност на трети страни или скриптовете за инсталация на предприятието, които променят тези настройки, отидете на Защита на Windows^{(Windows Security)} и актуализирайте информацията за сигурността до версия 1.287.60.0 или по-нова. След като направите тази актуализация, защитата от несанкциониране^{(Tamper Protection)} ще продължи да защитава настройките на системния ви регистър и ще регистрира опитите за промяната им, без да връща грешки.
• Ако настройката за защита^{(Tamper Protection)} от подправяне е Включена, няма да можете да изключите антивирусната услуга  на Windows Defender^{(Windows Defender Antivirus)} с помощта на ключа за  групови правила DisableAntiSpyware .

Защитата^{(Tamper Protection)} от фалшифициране е активирана по подразбиране за домашни^(Home) потребители. Поддържането на включена защита^{(Tamper Protection)} от подправяне не означава, че не можете да инсталирате антивирусна програма на трета страна. Това само означава, че никой друг софтуер не може да промени настройките на Windows Security . Антивирусната програма на трета страна ще продължи да се регистрира с приложението ^{(Third-party)}Windows Security .

Деактивирайте защитата^{(Tamper Protection)} от фалшифициране в Windows Security

Докато на трети страни е блокирано да правят промени, вие като администратор можете да правите промените. Въпреки че можете, горещо ще ви препоръчаме да го поддържате активиран през цялото време. Можете да го конфигурирате по три начина:

1. Потребителски интерфейс за защита на Windows
2. Промени в регистъра
3. ^(InTune)Портал за управление на устройства ^{(Device Management)}InTune или Microsoft 365

Няма обект на групови правила^{(Group Policy Object)} , който да промени тази настройка.

1] Използване на потребителския интерфейс за защита на Windows^{(Windows Security UI)} за деактивиране или активиране на защитата от фалшифициране

• Щракнете^(Click) върху бутона Старт^(Start) и от списъка с приложения намерете Защита на Windows^{(Windows Security)} . Щракнете^(Click) , за да стартирате, когато го намерите.
• Превключете към Защита от вируси^(Virus) и заплахи ^(Threat)> Manage Settings
• Превъртете^(Scroll) малко, за да намерите Защита^{(Tamper Protection)} от подправяне . Уверете^(Make) се, че е включено.
• Ако има конкретна нужда, можете да го изключите, но не забравяйте да го включите отново, когато свърши работата.

2] Промени в системния регистър^(Registry) , за да деактивирате или активирате защитата от несанкциониране

• Отворете редактора на системния регистър , като напишете Regedit в Run Prompt , последвано от клавиша Enter
• Отидете^(Navigate) до HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features
• Щракнете двукратно върху DWORD TamperProtection, за да редактирате стойността.
• Задайте го на „0“, за да деактивирате защитата^{(Tamper Protection)} от неправомерни действия, или на „5“, за да активирате защитата от подправяне^{(Tamper Protection)}

3] Включете^{(Turn Tamper Protection)} или изключете защитата от подправяне за вашата организация с помощта на Intune

Ако използвате InTune , т.е. портал за управление на устройства на ^{(Device Management)}Microsoft 365 , можете да го използвате, за да включите или изключите защитата от неправомерни действия. ^{(Turn Tamper Protection)}Освен да имате подходящи разрешения, трябва да имате следното:

Ако сте част от екипа по сигурността на вашата организация, можете да включите (или изключите) защитата^{(Tamper Protection)} от неправомерни действия за вашата организация в портала за управление на устройства на ^{(Device Management)}Microsoft 365 ( Intune ), като приемем, че вашата организация има разширена защита от заплахи на Microsoft Defender (Microsoft Defender ATP):

• Вашата организация трябва да има Microsoft Defender ATP E5 , управляван от Intune и работещ под Windows OS 1903^{(Windows OS 1903)} или по-нова.
• Защита на Windows^(Windows) с интелигентност за сигурност, актуализирана до версия 1.287.60.0 (или по-нова)
• Вашите машини трябва да използват платформа за защита от злонамерен софтуер версия 4.18.1906.3 (или по-нова) и версия на двигателя за защита от злонамерен софтуер 1.1.15500.X (или по-нова)

Сега следвайте стъпките, за да активирате или деактивирате защитата от подправяне:

1. Отидете на портала за управление на устройства на ^{(Device Management)}Microsoft 365 и влезте с вашия служебен или учебен акаунт.
2. Изберете  Конфигурация на устройството^{(Device configuration)}  >  Профили^(Profiles)
3. Създайте профил, който включва следните настройки:
   • Платформа^(Platform) : Windows 10 и по-нова версия
   • ProfileType : Защита на крайна точка
   • Настройки^(Settings) > Windows Defender Security Center > Tamper Protection . Конфигурирайте го или изключете
4. Присвоете^(Assign) профила на една или повече групи

Ако не видите тази опция веднага, тя все още се въвежда.

Всеки път, когато настъпи промяна, в Центъра за сигурност^{(Security Center)} ще се покаже предупреждение . Екипът по сигурността може да филтрира от регистрационните файлове, като следва текста по-долу:

AlertEvents | where Title == "Tamper Protection bypass"

Няма обект на групови правила за ^{(Group Policy Object)}защита от неправомерни действия^{(Tamper Protection)}

И накрая, няма налична групова политика^{(Group Policy)} за управление на множество компютри. Бележка на Microsoft ясно казва:^{(clearly says:)}

Your regular group policy doesn’t apply to Tamper Protection, and changes to Windows Defender Antivirus settings will be ignored when Tamper Protection is on.

Можете да използвате метода на системния регистър^(Registry) за множество компютъра, като се свържете отдалечено с този компютър и разположите промяната. След като бъде направено, това ще изглежда в индивидуалните настройки на потребителите:

Надяваме се, че стъпките са били лесни за следване и сте успели да активирате или деактивирате защитата^(Protection) от неправомерно подправяне според вашето изискване.

Enable or disable Tamper Protection using Intune, REGEDIT, UI

Windows Sеcurity Τeam has rolled оut Tamper Protectіon for all Windows users. In this post, we will share how you can enable or disable Tamper Protection in Windows Security or Windows Defender via UI, Registry or InTune. While you can turn it off it, we highly recommend you keep it enabled at all times, for your protection.

What is Tamper Protection in Windows 11/10

In simple English, it makes sure nobody can tamper with the Protection system aka Windows Security. The onboard software is good enough to handle most of the security threats, including Ransomware. But if it is turned off by a third party software or a malware which sneaks in, then you can get into trouble.

Tamper Protection feature in Windows Security makes sure to prevent malicious apps from changing relevant Windows Defender Antivirus settings. Features like Real-time protection, cloud protection are essential to keep you safe from emerging threats. The feature also makes sure that nobody can change or modify the settings via Registry or Group Policy.

Here is what Microsoft says about it:

• To help ensure that Tamper Protection doesn’t interfere with third-party security products or enterprise installation scripts that modify these settings, go to Windows Security and update security intelligence to version 1.287.60.0 or later. Once you’ve made this update, Tamper Protection will continue to protect your registry settings and will log attempts to modify them without returning errors.
• If the Tamper Protection setting is On, you won’t be able to turn off the Windows Defender Antivirus service by using the DisableAntiSpyware group policy key.

Tamper Protection is enabled by default for Home users. Keeping Tamper Protection On doesn’t mean that you cannot install third-party antivirus. It only means no other software can change the settings of Windows Security. Third-party antivirus will continue to register with the Windows Security application.

Disable Tamper Protection in Windows Security

While third parties are blocked from making any changes, you as an administrator can make the changes. Even though you can, we will highly recommend you to keep it enabled all the time. You can configure it in three ways:

1. Windows Security UI
2. Registry changes
3. InTune or Microsoft 365 Device Management portal

There is no Group Policy Object to change this setting.

1] Using Windows Security UI to disable or enable Tamper Protection

• Click on the Start button, and from the app list, locate Windows Security. Click to launch when you find it.
• Switch to Virus and Threat protection > Manage Settings
• Scroll a bit to find Tamper Protection. Make sure its toggled On.
• If there is a particular need, you may turn it off, but make sure to turn it on again when work is done.

2] Registry changes to disable or enable Tamper protection

• Open Registry Editor by typing Regedit in the Run Prompt followed by the Enter key
• Navigate to HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features
• Double click on DWORD TamperProtection to edit the value.
• Set it to “0” to disable Tamper Protection or “5” to enable Tamper Protection

3] Turn Tamper Protection on or off for your organization using Intune

If you are using InTune, i.e. Microsoft 365 Device Management portal, you can use it to Turn Tamper Protection on or off. Apart from having appropriate permissions, you need to have the following:

If you are part of your organization’s security team, you can turn Tamper Protection on (or off) for your organization in the Microsoft 365 Device Management portal (Intune) assuming your organization has Microsoft Defender Advanced Threat Protection (Microsoft Defender ATP):

• Your organization must have Microsoft Defender ATP E5, Managed by Intune, and running Windows OS 1903 or later.
• Windows security with security intelligence updated to version 1.287.60.0 (or above)
• Your machines must be using anti-malware platform version 4.18.1906.3 (or above) and anti-malware engine version 1.1.15500.X (or above)

Now follow the steps to enable or disable Tamper Protection:

1. Go to the Microsoft 365 Device Management portal and sign in with your work or school account.
2. Select Device configuration > Profiles
3. Create a profile that includes the following settings:
   • Platform: Windows 10 and later
   • ProfileType: Endpoint protection
   • Settings > Windows Defender Security Center > Tamper Protection. Configure it on or off
4. Assign the profile to one or more groups

If you do not see this option right away, it is still being rolled out.

Whenever a change occurs, an alert will be displayed on the Security Center. The security team can filter from the logs by following the text below:

AlertEvents | where Title == "Tamper Protection bypass"

No Group Policy Object for Tamper Protection

Lastly, there is no Group Policy available to manage multiple computers. A note by Microsoft clearly says:

Your regular group policy doesn’t apply to Tamper Protection, and changes to Windows Defender Antivirus settings will be ignored when Tamper Protection is on.

You can use the Registry method for multiple computers by remotely connecting to that computer, and deploying the change. Once done, this is how it will look in users individual settings:

We hope the steps were easy to follow, and you were able to enable or disable Tamper Protection as per your requirement.

Related posts

• Включете защитата от потенциално нежелана програма: GPO, Regedit, PowerShell

• Какво представлява функцията за защита от подправяне в Windows 11/10

• Активирайте и конфигурирайте защитата от Ransomware в Windows Defender

• Как да добавите или изключите приложение в защитата от експлоатиране на Windows 10

• Как да изчистите историята на защитата на Windows Defender в Windows 10

• Включете или изключете настройките за защита, базирани на репутацията, в Windows 11/10

• Как да изключите папка от сканирането на Windows Defender в Windows 11/10

• Предотвратете на потребителите да променят защитата от експлоатиране в Windows Security

• Поправете грешка на Microsoft Defender 0x80004004 в Windows 11/10

• Поправете грешка в Windows Defender 0x8007139f в Windows 11/10

• Windows Defender многократно идентифицира същата заплаха дори след премахване

• Какво е производителност и здраве на устройството и как да скриете този раздел?

• Поправете грешка в Microsoft Defender 0x80073b01 в Windows 11/10

• Къде се съхраняват регистрационните файлове за офлайн сканиране на Windows Defender?

• Грешка 0x800106ba, приложението Windows Defender не успя да се инициализира

• Управление на елементи, поставени под карантина, изключения в Windows Defender

• Премахнете иконата за уведомяване на Windows Defender в Windows 10

• Microsoft Defender ATP за Mac вече е наличен за Enterprise

• Какво е WDAGUtilityAccount в Windows 11/10? Трябва ли да го изтрия?

• Какво е Control Flow Guard в Windows 10 - как да го включите или изключите