Nowa funkcja Windows Defender odpowiedzią na zaawansowany malware. Opcja Tamper Protection dostępna globalnie

Możliwości Tamper Protection

Testy nad nową funkcjonalnością Microsoft rozpoczął już w grudniu 2018 roku. W marcu 2019 dostępna była ona w programie Insider dla specjalnych partnerów testowych Microsoft. Od teraz opcja jest dostępna dla wszystkich użytkowników systemu Windows 10. Zawiera się zarówno w darmowej wersji Microsoft Defender, tej dostępnej z każdym systemem operacyjnym Windows 10, jak i wersji „enterprise”, czyli w oprogramowaniu Microsoft Defender Advanced Threat Protection (ATP).

Włączenie nowego ustawienia Windows Defender powoduje blokowanie prób wyłączenia ochrony w systemie przez malware i każdą inną nieautoryzowaną aplikację. Nie będzie możliwości ingerencji w ustawienia systemowe „Virus & Threat protection” za plecami użytkownika.

Tamper Protection zapewni, że szkodliwe oprogramowanie nie będzie w stanie:

• Wyłączyć ochrony w czasie rzeczywistym
• Wyłączyć ochrony przeciw wirusami i zagrożeniami
• Wyłączyć monitorowania zachowania użytkowników i aplikacji
• Wyłączyć dodatkowych komponentów Defendera, takich jak np. IOfficeAntivirus (IOAV)
• Wyłączyć ochrony dostarczanej z chmury Microsoft
• Odinstalować aktualizacji i poprawek systemu Windows

W skrócie, Microsoft tłumaczy, że nowa funkcjonalność ma zabezpieczyć Windows Defendera przed nieautoryzowanymi zmianami takimi jak: zmiany konfiguracyjne w rejestrze, zmiany ustawień poprzez polityki grupy oraz zmiany z poziomu linii komend PowerShell.

Jak uruchomić Tamper Protection

Jeśli chodzi o „domowe” stacje robocze i laptopy ze standardową wersją Windows Defender to nowa opcja dostępna jest w ustawieniach: Windows Security -> Virus & Threat protection -> Settings -> Tamper Protection. Przedstawia to zdjęcie poniżej:

Microsoft zaznacza, że dodatkowa ochrona została zaprojektowana specjalnie z myślą o dużych środowiskach informatycznych, gdzie poziom zabezpieczeń różni się znacznie od domowego używania PC.

Kiedy administrator wdroży Tamper Protection na stacjach roboczych w swojej organizacji, zablokuje możliwość nie tylko modyfikacji ustawień Windows Defender przez inne aplikacje, ale również przez samych użytkowników i każdego kto będzie chciał zmodyfikować ustawienia lokalnie na stacji roboczej.

Aby dokonywać zmian w ustawieniach, należy je wdrażać poprzez globalną politykę w Microsoft Intune. Wszystkie zmiany są popisywane cyfrowo i weryfikowane w tle przed wdrożeniem na komputery w organizacji. Daje to taki efekt, że tylko zmiany wprowadzane przez osoby z uprawnieniami administracyjnymi w Microsoft Intune będą w stanie dokonać modyfikacji ustawień bezpieczeństwa na stacjach roboczych w organizacji, która korzysta z Windows Defender ATP.