微软昨日宣布，Microsoft Defender ATP威胁和漏洞管理已添加了对Windows 10篡改保护功能的支持，以获取有关组织中暴露的计算机的其他信息。

微软说：“现在，在“威胁与漏洞管理（TVM）”的“安全建议”部分中，SecOps和安全管理员可以看到一项建议，以启用防篡改功能，然后可以了解有关该建议的更多信息并采取相应措施。”

“这使安全团队可以更清楚地了解有多少台计算机未启用此功能，可以监视随时间的变化以及启用该功能的过程。”

TVM已于2019年4月在Microsoft Defender ATP门户中公开预览发布，它为管理员和SecOps团队提供与事件调查，端点漏洞以及构建过程中机器漏洞上下文相关的实时端点检测和响应（EDR）见解。 -在修复过程中。

微软最初 于2019年3月宣布为企业客户的Microsoft Defender ATP 添加防篡改功能。

防篡改是1903版中引入的Windows 10安全功能，可防止恶意软件和威胁行为者禁用或更改旨在阻止其破坏设备或渗透网络的安全设置。

适用于更多Windows 10家庭和企业用户

该功能现在可在更多Windows 10版本中使用，包括最新版本1709、1803、1809、1903和1909。

虽然允许家庭用户通过Windows安全设置区域中的“病毒和威胁防护”选项卡切换防篡改功能，但对于企业用户，也可以“通过Intune管理门户集中管理此功能”。

即使企业用户也可以使用与家庭用户相同的方法来启用防篡改功能，组织安全团队的管理员也可以从Microsoft 365设备管理门户中的Microsoft Intune启用它。

在Intune的帮助下，组织的SecOps团队和管理员可以通过转到设备配置-配置文件 > 创建配置文件 > 端点保护，为整个组织或基于设备类型或用户组启用防篡改  功能，如下所示。

阻止安全绕过

Microsoft Defender ATP威胁和漏洞管理受到支持，可以为SecOps团队和管理员提供启用了防篡改功能的计算机的概况，可以在需要的地方切换它，并密切关注随时间的变化。

说篡改保护是防止安全绕过的重要工具，这是一种轻描淡写的说法，因为  过去曾经试图绕过Windows Defender以获得对受感染设备的持久性，安全研究人员已经观察到了TrickBot，GootKit和  Nodersok Trojan等危险恶意软件  。

但是，在Windows 10设备上启用防篡改功能将自动阻止或重置任何更改Windows Defender或Windows安全设置的尝试，从而阻止了破坏Windows内置安全保护的恶意尝试。

“要在TVM中查看篡改保护状态，请转到安全建议页面并搜索篡改，” Microsoft 解释说。

“在结果列表中，您可以选择“ 打开防拆保护”。它将打开弹出窗口，以便您可以了解更多信息，还可以从弹出屏幕中看到导出选项，以获取公开的设备列表。”

挖掘篡改企图

“破坏企图通常表明更大的网络攻击。别有用心的人企图更改安全设置，以此来坚持和住宿未被发现，”微软解释说。

当攻击者（恶意软件或恶意本地用户）试图破坏启用了防篡改功能的系统上的Windows安全性或Windows Defender设置时，组织的Microsoft Defender安全中心将自动发出警报。

这使安全管理员可以更仔细地检查这些事件，以查看组织网络上潜在的目标计算机，并在需要时采取补救措施。

微软补充说：“使用Microsoft Defender ATP中的端点检测和响应以及高级搜索功能，您的安全运营团队可以调查和解决此类尝试。”

要为您的组织启用防篡改功能，您必须具有适当的权限，例如，全局管理员，安全管理员或分配给组织的安全操作团队。

您的组织还必须满足所有这些要求：