Windows Security Team har udrullet Tamper Protection for alle Windows- brugere. I dette indlæg vil vi dele, hvordan du kan aktivere eller deaktivere Tamper Protection i Windows Security eller Windows Defender via UI, Registry eller InTune . Selvom du kan slå det fra, anbefaler vi stærkt, at du altid holder det aktiveret for din beskyttelse.

Hvad er sabotagebeskyttelse^{(Tamper Protection)} i Windows 11/10

På simpelt engelsk^(English) sørger den for, at ingen kan manipulere med beskyttelsessystemet^(Protection) alias Windows Security . Den indbyggede software er god nok til at håndtere de fleste sikkerhedstrusler, inklusive Ransomware . Men hvis det er slået fra af en tredjepartssoftware eller en malware, der sniger sig ind, så kan du få problemer.

Tamper Protection-funktionen^{(Tamper Protection feature)} i Windows Security sørger for at forhindre ondsindede apps i at ændre relevante Windows Defender Antivirus - indstillinger. Funktioner som realtidsbeskyttelse^(Real-time) og skybeskyttelse er afgørende for at beskytte dig mod nye trusler. Funktionen sørger også for, at ingen kan ændre eller ændre indstillingerne via registreringsdatabasen^(Registry) eller gruppepolitik^{(Group Policy)} .

Her er hvad Microsoft siger om det:

• For at sikre, at Tamper Protection ikke forstyrrer tredjeparts sikkerhedsprodukter eller virksomhedsinstallationsscripts, der ændrer disse indstillinger, skal du gå til Windows-sikkerhed^{(Windows Security)} og opdatere sikkerhedsintelligens til version 1.287.60.0 eller nyere. Når du har lavet denne opdatering, vil Tamper Protection fortsætte med at beskytte dine indstillinger i registreringsdatabasen og logger forsøg på at ændre dem uden at returnere fejl.
• Hvis indstillingen for sabotagebeskyttelse^{(Tamper Protection)} er slået til, vil du ikke være i stand til at slå Windows Defender Antivirus -tjenesten fra ved at bruge  DisableAntiSpyware  -gruppepolitiknøglen.

Sabotagebeskyttelse^{(Tamper Protection)} er som standard aktiveret for hjemmebrugere^(Home) . At beholde Tamper Protection On betyder ikke, at du ikke kan installere tredjeparts antivirus. Det betyder kun, at ingen anden software kan ændre indstillingerne for Windows Security . Tredjeparts^{(Third-party)} antivirus vil fortsætte med at registrere sig med Windows Security - applikationen.

Deaktiver sabotagebeskyttelse^{(Tamper Protection)} i Windows-sikkerhed^{(Windows Security)}

Mens tredjeparter er blokeret fra at foretage ændringer, kan du som administrator foretage ændringerne. Selvom du kan, vil vi varmt anbefale dig at holde det aktiveret hele tiden. Du kan konfigurere det på tre måder:

1. Windows Security UI
2. Ændringer i registreringsdatabasen
3. InTune eller Microsoft 365 Device Management - portal

Der er ikke noget gruppepolitikobjekt^{(Group Policy Object)} til at ændre denne indstilling.

1] Brug af Windows Security UI til at deaktivere eller aktivere sabotagebeskyttelse

• Klik^(Click) på knappen Start , og find ^(Start)Windows Security fra applisten . Klik^(Click) for at starte, når du finder det.
• Skift til Virus- og trusselsbeskyttelse^(Threat) > > Manage Settings
• Rul^(Scroll) lidt for at finde Tamper Protection . Sørg^(Make) for, at den er slået til.
• Hvis der er et særligt behov, kan du slukke for det, men sørg for at tænde det igen, når arbejdet er færdigt.

2] Registerændringer^(Registry) for at deaktivere eller aktivere sabotagebeskyttelse

• Åbn Registreringseditor ved at skrive Regedit i Kør-prompten^{(Run Prompt)} efterfulgt af Enter- tasten
• Naviger^(Navigate) til HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features
• Dobbeltklik på DWORD TamperProtectionfor at redigere værdien.
• Indstil den til "0" for at deaktivere sabotagebeskyttelse^{(Tamper Protection)} eller "5" for at aktivere sabotagebeskyttelse^{(Tamper Protection)}

3] Slå sabotagebeskyttelse^{(Turn Tamper Protection)} til eller fra for din organisation ved hjælp af Intune

Hvis du bruger InTune , dvs. Microsoft 365 Device Management - portal, kan du bruge den til at slå sabotagebeskyttelse^{(Turn Tamper Protection)} til eller fra. Udover at have passende tilladelser, skal du have følgende:

Hvis du er en del af din organisations sikkerhedsteam, kan du slå Tamper Protection til (eller deaktivere) for din organisation i Microsoft 365 Device Management - portalen ( Intune ), forudsat at din organisation har Microsoft Defender Advanced Threat Protection (Microsoft Defender ATP):

• Din organisation skal have Microsoft Defender ATP E5 , administreret af Intune og køre Windows OS 1903 eller nyere.
• Windows -sikkerhed med sikkerhedsintelligens opdateret til version 1.287.60.0 (eller nyere)
• Dine maskiner skal bruge anti-malware platform version 4.18.1906.3 (eller nyere) og anti-malware engine version 1.1.15500.X (eller nyere)

Følg nu trinene for at aktivere eller deaktivere sabotagebeskyttelse:

1. Gå til Microsoft 365 Device Management -portalen, og log ind med din arbejds- eller skolekonto.
2. Vælg  Enhedskonfiguration^{(Device configuration)}  >  Profiler^(Profiles)
3. Opret en profil, der indeholder følgende indstillinger:
   • Platform : Windows 10 og nyere
   • Profiltype^{(ProfileType)} : Slutpunktsbeskyttelse
   • Indstillinger^(Settings) > Windows Defender Security Center > Tamper Protection . Konfigurer det til eller fra
4. Tildel^(Assign) profilen til en eller flere grupper

Hvis du ikke kan se denne mulighed med det samme, bliver den stadig rullet ud.

Når der sker en ændring, vil der blive vist en advarsel på sikkerhedscenteret^{(Security Center)} . Sikkerhedsteamet kan filtrere fra logfilerne ved at følge teksten nedenfor:

AlertEvents | where Title == "Tamper Protection bypass"

Intet gruppepolitikobjekt^{(Group Policy Object)} til sabotagebeskyttelse^{(Tamper Protection)}

Endelig er der ingen tilgængelig gruppepolitik^{(Group Policy)} til at administrere flere computere. En note fra Microsoft siger tydeligt:^{(clearly says:)}

Your regular group policy doesn’t apply to Tamper Protection, and changes to Windows Defender Antivirus settings will be ignored when Tamper Protection is on.

Du kan bruge registreringsmetoden^(Registry) til flere computere ved at oprette fjernforbindelse til den pågældende computer og implementere ændringen. Når det er gjort, vil det se sådan ud i brugernes individuelle indstillinger:

Vi håber, at trinene var nemme at følge, og at du var i stand til at aktivere eller deaktivere sabotagebeskyttelse i^(Protection) henhold til dit krav.

Enable or disable Tamper Protection using Intune, REGEDIT, UI

Windows Security Τeam has rolled out Tamper Protection for all Windows users. In thiѕ post, we will share how you can enable or disable Tamper Protection in Windows Security or Windows Defender via UI, Registry or InTune. While you can turn it off it, we highly recommend you keep it enabled at all times, for your protection.

What is Tamper Protection in Windows 11/10

In simple English, it makes sure nobody can tamper with the Protection system aka Windows Security. The onboard software is good enough to handle most of the security threats, including Ransomware. But if it is turned off by a third party software or a malware which sneaks in, then you can get into trouble.

Tamper Protection feature in Windows Security makes sure to prevent malicious apps from changing relevant Windows Defender Antivirus settings. Features like Real-time protection, cloud protection are essential to keep you safe from emerging threats. The feature also makes sure that nobody can change or modify the settings via Registry or Group Policy.

Here is what Microsoft says about it:

• To help ensure that Tamper Protection doesn’t interfere with third-party security products or enterprise installation scripts that modify these settings, go to Windows Security and update security intelligence to version 1.287.60.0 or later. Once you’ve made this update, Tamper Protection will continue to protect your registry settings and will log attempts to modify them without returning errors.
• If the Tamper Protection setting is On, you won’t be able to turn off the Windows Defender Antivirus service by using the DisableAntiSpyware group policy key.

Tamper Protection is enabled by default for Home users. Keeping Tamper Protection On doesn’t mean that you cannot install third-party antivirus. It only means no other software can change the settings of Windows Security. Third-party antivirus will continue to register with the Windows Security application.

Disable Tamper Protection in Windows Security

While third parties are blocked from making any changes, you as an administrator can make the changes. Even though you can, we will highly recommend you to keep it enabled all the time. You can configure it in three ways:

1. Windows Security UI
2. Registry changes
3. InTune or Microsoft 365 Device Management portal

There is no Group Policy Object to change this setting.

1] Using Windows Security UI to disable or enable Tamper Protection

• Click on the Start button, and from the app list, locate Windows Security. Click to launch when you find it.
• Switch to Virus and Threat protection > Manage Settings
• Scroll a bit to find Tamper Protection. Make sure its toggled On.
• If there is a particular need, you may turn it off, but make sure to turn it on again when work is done.

2] Registry changes to disable or enable Tamper protection

• Open Registry Editor by typing Regedit in the Run Prompt followed by the Enter key
• Navigate to HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features
• Double click on DWORD TamperProtection to edit the value.
• Set it to “0” to disable Tamper Protection or “5” to enable Tamper Protection

3] Turn Tamper Protection on or off for your organization using Intune

If you are using InTune, i.e. Microsoft 365 Device Management portal, you can use it to Turn Tamper Protection on or off. Apart from having appropriate permissions, you need to have the following:

If you are part of your organization’s security team, you can turn Tamper Protection on (or off) for your organization in the Microsoft 365 Device Management portal (Intune) assuming your organization has Microsoft Defender Advanced Threat Protection (Microsoft Defender ATP):

• Your organization must have Microsoft Defender ATP E5, Managed by Intune, and running Windows OS 1903 or later.
• Windows security with security intelligence updated to version 1.287.60.0 (or above)
• Your machines must be using anti-malware platform version 4.18.1906.3 (or above) and anti-malware engine version 1.1.15500.X (or above)

Now follow the steps to enable or disable Tamper Protection:

1. Go to the Microsoft 365 Device Management portal and sign in with your work or school account.
2. Select Device configuration > Profiles
3. Create a profile that includes the following settings:
   • Platform: Windows 10 and later
   • ProfileType: Endpoint protection
   • Settings > Windows Defender Security Center > Tamper Protection. Configure it on or off
4. Assign the profile to one or more groups

If you do not see this option right away, it is still being rolled out.

Whenever a change occurs, an alert will be displayed on the Security Center. The security team can filter from the logs by following the text below:

AlertEvents | where Title == "Tamper Protection bypass"

No Group Policy Object for Tamper Protection

Lastly, there is no Group Policy available to manage multiple computers. A note by Microsoft clearly says:

Your regular group policy doesn’t apply to Tamper Protection, and changes to Windows Defender Antivirus settings will be ignored when Tamper Protection is on.

You can use the Registry method for multiple computers by remotely connecting to that computer, and deploying the change. Once done, this is how it will look in users individual settings:

We hope the steps were easy to follow, and you were able to enable or disable Tamper Protection as per your requirement.

Related posts

• Aktiver potentielt uønsket programbeskyttelse: GPO, Regedit, PowerShell

• Hvad er funktionen til sabotagebeskyttelse i Windows 11/10

• Aktiver og konfigurer Ransomware Protection i Windows Defender

• Sådan tilføjer eller ekskluderer du en app i Exploit Protection af Windows 10

• Sådan rydder du Windows Defender Protection History i Windows 10

• Hvad er Control Flow Guard i Windows 10 - Sådan slår du den til eller fra

• Windows Defender identificerer gentagne gange den samme trussel, selv efter fjernelse

• Aktiver beskyttelse af potentielt uønskede applikationer i Windows 11/10

• Hvad er WDAGUtilityAccount i Windows 11/10? Skal jeg slette den?

• Forhindre brugere i at ændre Exploit Protection i Windows Security

• Hvad er virus- og trusselsbeskyttelse i Windows? Hvordan skjuler man det?

• Ret Microsoft Defender-fejl 0x80073b01 på Windows 11/10

• Hvordan man manuelt scanner individuelle filer og bruger Microsoft Defender

• Hvor er Windows Defender Offline scanningslogfiler gemt?

• Skift Windows-sikkerhedsindstillinger øjeblikkeligt med ConfigureDefender

• Din virus- og trusselsbeskyttelse administreres af din organisation

• Windows Defender er slået fra eller virker ikke

• Sådan tilføjer du fil- eller procesekskludering til Windows-sikkerhed

• Windows Defender opdaterer ikke automatisk i Windows 11/10

• Opdater Windows Defender, når Automatiske opdateringer er deaktiveret