HOWTO: 使用 Intune 强制开启 Windows Defender 防篡改保护
HOWTO: 使用 Intune 强制开启 Windows Defender 防篡改保护
Windows Defender 中的防篡改保护(Tamper Protection)有助于防止恶意应用更改其重要的防病毒设置,包括“实时保护”和“云提供的保护”。如果当时前是管理员登录,则仍可以在“病毒和威胁保护”设置中关闭“篡改保护”,但其他程序仍无法更改这个设置。
篡改保护并不影响第三方防病毒应用的工作方式,也不影响这些应用注册 Windows 安全中心的方式。默认情况下篡改保护处于打开状态。
作为企业 IT 管理员或安全管理员,当然希望能够强制开启篡改保护,且禁止修改其设置。如果当前组织已经在使用现代管理模式,如 Intune!则可以通过 Endpoint Manager Center 进行策略的下发。为此,访问 Endpoint Manager Center,定位至“终结点安全性 - 防病毒 - AV 策略”,并创建该策略,选择“Windows 10、Windows 11 和 Windows Server (预览版)”平台,配置文件选择“Windows Security Experience”,跟随向导创建策略名称等信息,并在配置中打开“TamperProtection(设备)”。
注意,在 Intune 中管理篡改保护的要求如下:
- 必须分配适当的 权限 ,例如全局管理员、安全管理员或安全操作。
- 组织使用Intune来管理设备。 需要 (Intune许可证;Intune包含在 Microsoft 365 E3/E5、企业移动性 + 安全性 E3/E5、Microsoft 365 商业高级版、Microsoft 365 F1/F3、Microsoft 365 政府版 G3/G5 和相应的教育许可证中。)
- Windows 设备必须运行Windows 10版本 1709 或更高版本或Windows 11。 (有关版本的详细信息,请参阅 Windows 版本信息。)
- 必须将 Windows 安全性与 安全智能 更新到版本 1.287.60.0 (或更高版本) 结合使用。
- 你的设备必须使用反恶意软件平台版本 4.18.1906.3 (或更高版本) 和反恶意软件引擎版本 1.1.15500.X (或更高版本) 。 (管理Microsoft Defender防病毒更新并应用 baselines。)
- Intune和 Defender for Endpoint 租户必须共享同一Microsoft Entra (Azure Active Directory) 基础结构。
- 设备必须载入到 Defender for Endpoint。
当下发防篡改保护策略后,本机管理员将无法更改相关的设置,也无法关闭篡改防护。
具有计算机管理权限的账户在使用 PowerShell 命令 Set-MPPreference -DisableTamperProtection $true 强行关闭时将会报错。
参考资料:
HOWTO: 使用 Intune CSP 为 Windows 11 OOBE 跳过设备选择隐私设置
HOWTO: 为 Windows 11 OOBE 跳过设备选择隐私设置
前面 gOxiA 分享了如何使用 PPKG 跳过 Windows OOBE 过程,但是细心的网友会发现在登录桌面完成首次动画后会显示“为你的设备选择隐私设置”的界面,并且无法跳过。对于企业自动化部署场景来说,这一步会造成一些影响。那么我们该如何跳过设备选择隐私设置呢?!
在 Windows 10 的时候我们可以通过配置 PrivacyConsentStatus 键值来略过隐私设置,它位于 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\OOBE,类型为 DWORD,设置为 1 时将跳过隐私设置,但为 2 时则会重新显示隐私设置。
但是这个键值在 Windows 11 上失去了作用,取而代之的是 DisablePrivacyExperience,它位于 HKLM\SOFTWARE\Policies\Microsoft\Windows\OOBE,类型依旧是 DWORD,值为 1 时则禁用隐私设置。
如果当前组织仍在使用传统的 GPO 实施测试,则可以通过“计算机配置 - 管理模板 - Windows 组件 - OOBE”,找到“在用户登录时不启动隐私设置体验”进行配置。
如果当前基于动态部署方式,则可以考虑在 PPKG 中添加“ProvisioningCommands”,然后使用“DeviceContext”下的“CommandLine”执行注册表修改命令。
对于使用现代部署模式,如 Intune,则可以下发 CSP 策略。
Scope:Device and User
Editions:除了Home以外
OS:1809及以上版本
User:./User/Vendor/MSFT/Policy/Config/Privacy/DisablePrivacyExperience
Device:./Device/Vendor/MSFT/Policy/Config/Privacy/DisablePrivacyExperience
Format:Int
Value:1
从 CSP 的版本使用情况来看,对于 Windows 10 使用 DisablePrivacyExperience 也是适用的。
参考文档:https://learn.microsoft.com/en-us/windows/client-management/mdm/policy-csp-privacy
HOWTO: 允许 Microsoft 365 用户使用临时访问密码
HOWTO: 允许 Microsoft 365 用户使用临时访问密码
用户需要使用一个临时密码来登录自己账号访问资源,或执行某些操作,这种应用场景其实是存在的,在某些特定场景下也是合规的。如果按照以前的做法,重新修改用户账户密码使用完毕后再重新改回,显然不够妥当。但借助 Azure 身份验证方法中提供的临时访问密码就可以实现我们的需求,它允许 Microsoft 365 管理员为账户创建一个临时访问密码,在特定的时间开始生效,在一定时长后失效,并且可设置为是否为一次性使用。该项安全技术同样适用于 Windows 10/11 的 OOBE 阶段。
要为 Microsoft 365 用户账号启用和配置临时访问密码,可访问 Endpoint Manager Center,定位至“用户”,找到用户为其配置“身份验证方法”,添加“临时访问密码”。
配置成功后,会给出临时访问密码,以及安全注册信息。
接下来可以访问 http://aka.ms/mysecurityinfo 来注册用户的凭据,或在其他场景中使用。
如果无法为用户账户添加临时密码访问,则需要对 Azure AD 进行配置,为此请登录 Azure Portal,在 AAD 安全组中找到身份验证方法,并添加临时访问密码。全局设置中可以为特定的用户/组启用,也可以配置最短生存周期,最长生存周期,以及默认生存期,并可强制为一次性使用。
参考文档:
注意:临时访问密码一次仅能设置一个,如果重复设置将替换之前的配置。
