Включение Tamper Protection в Microsoft Defender

Интерфейс Microsoft Defender — панель безопасности Windows

Microsoft Windows остаётся самым распространённым рабочим окружением на десктопах и ноутбуках. Именно поэтому злоумышленники чаще нацеливаются на устройства под управлением Windows: чем больше устройств, тем выше привлекательность платформы для массовых атак. Чтобы снизить риск, Microsoft добавила функцию защиты от подмены настроек в платформу Microsoft Defender (Windows Security). Первая версия появилась в 2019 году для Windows 10 и отдельных серверных изданий; финальная редакция включена в базовые настройки безопасности Windows 11.

Важно: функция не всегда включена по умолчанию. Ниже — что она делает, как её активировать, когда она может не помочь и какие дополнительные меры принять.

Почему нужна защита от подмены настроек?

Схематичное изображение вымогательства и обмена ключа шифрования на деньги

Опыт злоумышленников показывает: прежде чем развернуть шифровальщик или другое вредоносное ПО, они пытаются отключить средства защиты. Если они выключат антивирус, поведенческий мониторинг или обновления сигнатур, им становится проще заразить систему и распространить атаку.

Защита от подмены создаёт «защищённый слой» вокруг критичных настроек Microsoft Defender. Она препятствует изменению этих настроек во время установки ПО или при попытках привилегированных процессов внести правки.

Коротко:

снижает шанс успешного отключения антивируса злоумышленником;
даёт сигнал в центр безопасности при попытках изменения настроек;
особенно важна при переходе на Windows 11 и для корпоративных устройств.

Что именно блокирует защита от подмены

Функция предотвращает изменение следующих параметров Microsoft Defender:

Отключение защиты от вирусов и угроз.
Выключение защиты в реальном времени.
Отключение поведенческого мониторинга.
Деактивация антивирусного движка.
Отключение облачной защиты.
Удаление обновлений безопасности и сигнатур (security intelligence).

Если происходит попытка внести такие изменения, система регистрирует событие и при наличии интеграции с Microsoft 365 Defender отправляет уведомление.

Как включить защиту от подмены в Windows Defender

Включение защиты от подмены настроек в Microsoft Defender — экран настроек

Ниже — шаги для обычного пользователя и для администратора организации.

Шаги для домашнего устройства (локально):

Откройте меню Пуск и запустите «Безопасность Windows» (Windows Security).
Перейдите в раздел «Защита от вирусов и угроз» (Virus & threat protection).
Нажмите «Управление параметрами» (Manage settings) под соответствующим блоком.
Найдите переключатель «Защита от подмены» и включите его.

Шаги для корпоративного управления:

Войдите в Microsoft 365 Defender portal (https://security.microsoft.com) под учётной записью администратора безопасности.
Перейдите в раздел настроек безопасности для конечных точек (Endpoints).
Выберите политику управления или профиль конфигурации для устройств.
Включите Tamper Protection для нужных групп устройств.
СИНХРОНИЗУЙТЕ/разверните политику через Microsoft Endpoint Manager (Intune) при необходимости.

Примечание: в локальной системе переключатель может быть недоступен (серый). Это обычно означает, что устройство управляется организацией или политика уже установлена через облачный профиль.

Если переключатель недоступен — что проверить

Устройство управляется организацией: обратитесь к IT-администратору.
Требуется лицензия или регистрация в службе Microsoft Defender для конечных точек (MDE) для централизованного управления.
Устройство не обновлено: установите критические обновления Windows и Defender.
Есть локальные политики, блокирующие изменение: проверьте GPO/MDM-конфигурации.

Как защита помогает при попытках атаки

Первое действие большинства злоумышленников — отключить защиту. Защита от подмены не даёт программе или установщику изменить критичные параметры Defender. Это усложняет сценарии, в которых злонамеренное ПО заранее готовит среду для шифровальщика.

Когда защита фиксирует попытку изменения, в журнал безопасности отправляется событие. В организациях оно отображается в Microsoft 365 Defender, что позволяет оперативно расследовать инцидент.

Когда защита может не сработать

Атака на прошивку (UEFI/BIOS) до загрузки ОС. Такие атаки обходят уровень, на котором работает Defender.
Полный физический доступ и перезапись диска с последующей установкой вредоносной ОС.
Уязвимость нулевого дня, позволяющая выполнить код с привилегиями на уровне ядра до инициализации защит.
Комплексные атаки цепочки поставок, меняющие образы до развёртывания в вашей сети.

Важно: защита от подмены — сильный барьер на уровне ОС, но она не заменяет слоистую защиту.

Дополнительные меры против вымогателей и прочих угроз

Регулярно делайте резервные копии и проверяйте восстановление.
Обновляйте ОС и сторонние приложения автоматически.
Применяйте принцип наименьших привилегий для учётных записей.
Включите многофакторную аутентификацию для админов и облачных сервисов.
Используйте сегментацию сети и фильтрацию входящего трафика.
Внедрите EDR/теlemetry и процедуры реагирования на инциденты.

Рольовые чек-листы

Администратор безопасности:

Убедиться, что Tamper Protection включена для всех групп устройств.
Настроить оповещения в Microsoft 365 Defender.
Документировать политику управления и доступы.
Проверить совместимость с другими агентами безопасности.

Обычный пользователь:

Включить Tamper Protection в «Безопасности Windows», если доступно.
Не отключать средства защиты без согласования с IT.
Делать резервные копии важных файлов.
Сообщать о подозрительных сообщениях и установках.

Короткая методика проверки работоспособности (SOP)

Убедитесь, что Tamper Protection включена на тестовом устройстве.
Попытайтесь изменить отключаемую настройку через учётную запись с правами администратора (имитировать злоумышленника).
Убедитесь, что изменение блокируется и создаётся запись в журнале.
Проверьте, что событие появляется в Microsoft 365 Defender и отправляет оповещение.
Восстановите состояние и задокументируйте результат теста.

Дерево решений для выбора способа управления

flowchart TD
  A[Нужна защита от подмены] --> B{Устройство управляется организацией?}
  B -- Да --> C[Управление через Microsoft 365 Defender / Intune]
  B -- Нет --> D[Включить в «Безопасности Windows» локально]
  C --> E{Требуется централизованное отчётность?}
  E -- Да --> F[Включить и настроить оповещения в портале]
  E -- Нет --> D
  D --> G[Проверить состояние и документировать]
  F --> G

Краткий словарь

Tamper Protection — защита от подмены настроек Microsoft Defender.
MDE — Microsoft Defender for Endpoint, корпоративная платформа защиты.
EDR — Endpoint Detection and Response, средства обнаружения и реагирования на конечных точках.
Ransomware — шифровальщик, вредоносное ПО, требующее выкуп.

Итоги

Защита от подмены — эффективный и недорогой способ повысить стойкость устройств к попыткам отключить защиту. Включите её на домашних компьютерах и централизованно на корпоративных устройствах. Она не решает всех задач безопасности, но существенно усложняет жизнь злоумышленникам и даёт дополнительное время для реагирования.

Важно: сочетайте Tamper Protection с резервными копиями, обновлениями, принципом наименьших привилегий и системой обнаружения инцидентов.

Notes: если переключатель недоступен, обратитесь к администратору или проверьте настройки политики в портале Microsoft 365 Defender.

Логотип Windows 11