L1 BIO 12.02.01 ISO A.8.7 CIS Windows-Defender-Tamper

Tamper Bescherming Ingeschakeld Voor Windows Defender

πŸ“… 2025-10-30
β€’
⏱️ 6 minuten lezen
β€’
πŸ”΄ Must-Have

πŸ’Ό Management Samenvatting

Tamper bescherming voorkomt dat malware en aanvallers Windows Defender Antivirus uitschakelen of beveiligingsinstellings wijzigen, waardoor endpoint bescherming altijd actief blijft zelfs tijdens geavanceerde malware aanvallen.

Aanbeveling
IMPLEMENT
Risico zonder
Critical
Risk Score
9/10
Implementatie
2u (tech: 1u)
Van toepassing op:
βœ“ Windows 10
βœ“ Windows 11
βœ“ Windows Defender
βœ“ Microsoft Defender Antivirus

Moderne malware probeert altijd als eerste stap antivirus software uit te schakelen om detectie te voorkomen. Zonder Tamper bescherming kunnen malware en aanvallers: Windows Defender realtime bescherming uitschakelen via registry of PowerShell, cloud-delivered bescherming disablen waardoor nieuwe threats niet worden gedetecteerd, automatische sample submission uitschakelen (geen bedreigingsinformatie feedback), exclusions toevoegen voor malware directories (bijv. C:\Malware uitgesloten van scanning), en Defender settings resetten naar onveilige defaults. Dit gebeurt bij moderne ransomware families (Ryuk, LockBit, BlackCat) die allemaal anti-AV capabilities hebben ingebouwd. Tamper bescherming Blokkeert deze tampering attempts door: registry key modifications naar Defender settings te blokkeren, PowerShell commando's die Defender disablen te blokkeren, en ungeautoriseerde service stops van Defender services te voorkomen. Alleen vertrouwde processes (Microsoft signed) kunnen Defender settings wijzigen. Dit is essentieel voor defense-in-depth: zelfs als malware admin privileges verkrijgt, kan het Defender niet uitschakelen.

PowerShell Modules Vereist
Primary API: Microsoft Graph API
Connection: Connect-MgGraph
Required Modules: Microsoft.Graph.DeviceManagement

Implementatie

Deze control implementeert Tamper bescherming via Intune Endpoint beveiligingsbeleidsregels. Tamper bescherming wordt geconfigureerd via registry key HKLM:\SOFTWARE\Microsoft\Windows Defender\Features\TamperProtection met waarde 5 (ingeschakeld via Intune management). Waarden: 0 is Disabled, 4 is ingeschakeld via local configuration (kan worden disabled), 5 is ingeschakeld via Intune (kan NIET lokaal worden disabled - aanbevolen). De Intune-beheerde Tamper bescherming is superior omdat het niet kan worden uitgeschakeld door local administrators of malware, zelfs niet met admin privileges. Configuratie gebeurt via Intune Endpoint Security β†’ Antivirus policies of via Microsoft 365 Defender portal. Na enablement zijn Defender settings locked tegen ungeautoriseerde modifications.

Vereisten

Voor het implementeren van Tamper bescherming zijn de volgende voorwaarden vereist:

  1. Windows 10 version 1903 (May 2019 Update) of hoger, of Windows 11
  2. Microsoft Defender Antivirus actief als primary antivirus (niet derde partij AV)
  3. Microsoft Intune subscription met Endpoint Security licentie
  4. Devices enrolled in Intune of Microsoft 365 Defender management
  5. Microsoft Defender voor Endpoint licentie (Plan 1 of Plan 2) - aanbevolen maar niet strikt vereist
  6. Cloud-delivered bescherming ingeschakeld (voor optimale Tamper bescherming)
  7. Intune Endpoint beveiligingsbeleidsregels configuratie permissions

Implementatie

Tamper bescherming kan worden ingeschakeld via Intune of Microsoft 365 Defender portal:

Gebruik PowerShell-script tamper-bescherming-enabled.ps1 (functie Invoke-Monitoring) – PowerShell script voor lokale validatie van Tamper bescherming status.

Methode 1: via Microsoft Intune (AANBEVOLEN - centraal beheer):

  1. Microsoft Intune admin center β†’ Endpoint security β†’ Antivirus
  2. Click 'Maak aan Policy'
  3. Platform: Windows 10, Windows 11, en Windows server
  4. Profile: Microsoft Defender Antivirus
  5. configuratie-instellingen:
  6. - Tamper bescherming: Schakel in (of 'ingeschakeld via Intune')
  7. - Cloud-delivered bescherming: Schakel in (vereist voor optimale werking)
  8. - realtime bescherming: schakel in
  9. - Submit samples consent: Verzend alle samples (voor bedreigingsinformatie)
  10. Assign to: alle Windows devices
  11. Priority: High (tamper bescherming is kritiek)
  12. Deployment: monitoren compliance via Endpoint Security dashboard

Methode 2: via Microsoft 365 Defender portal (alternatief):

  1. Microsoft 365 Defender portal β†’ Settings β†’ Endpoints β†’ geavanceerd features
  2. Tamper bescherming: Turn op (tenant-wide)
  3. Of per-device: configuratiebeheer β†’ Antivirus β†’ Tamper bescherming

Verificatie na deployment:

  1. Windows Security app β†’ Virus & bedreigingsbescherming β†’ beheren settings
  2. Tamper bescherming zou moeten show: op (beheerde door your organization)
  3. Toggle zou moeten be grayed out (kan niet zijn disabled locally)
  4. Test: Try to Schakel uit realtime bescherming β†’ zou moeten fail met access denied
  5. Registry: HKLM:\SOFTWARE\Microsoft\Windows Defender\Features\TamperProtection is 5

monitoring

Gebruik PowerShell-script tamper-protection-enabled.ps1 (functie Invoke-Monitoring) – Controleren.

Continue monitoring:

  1. Intune β†’ Endpoint security β†’ Antivirus β†’ monitoren tab β†’ Compliance status
  2. Target: 100% devices met Tamper bescherming ingeschakeld
  3. Microsoft 365 Defender β†’ Device inventory β†’ Tamper bescherming column
  4. Windows Event Logs: Event ID 5013 (Tamper bescherming blocked attempt)
  5. Alert bij devices waar Tamper bescherming is Disabled (KRITIEKE BEVINDING)
  6. monitor malware detections: Correleer met Tamper bescherming status
  7. beveiligingsincidenten: Volg cases waar malware Defender probeerde uit te schakelen

Compliance en Auditing

Tamper bescherming is essentieel voor endpoint security compliance: CIS Benchmark voor Windows/Intune (Tamper bescherming ingeschakeld), BIO Thema 12.02.01 (Bescherming tegen malware - Anti-tampering maatregelen), ISO 27001:2022 A.8.7 (bescherming against malware - Tamper resistance), NIS2 Artikel 21 (Cybersecurity risicobeheer - bescherming van security tools), en NIST CSF PR.DS-1 (Data-at-rest bescherming mechanisms). Tamper bescherming is vaak een requirement bij security audits omdat het de effectiveness van antivirus bescherming garandeert.

Remediatie

Gebruik PowerShell-script tamper-protection-enabled.ps1 (functie Invoke-Remediation) – Herstellen.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Intune Windows Defender: Tamper Protection Enabled .DESCRIPTION CIS - Tamper protection KRITISCH voor bescherming tegen malware die Defender uitschakelt. .NOTES Filename: defender-tamper-protection.ps1|Author: Nederlandse Baseline voor Veilige Cloud|Feature: Tamper Protection|Expected: Enabled via Intune #> #Requires -Version 5.1 #Requires -RunAsAdministrator [CmdletBinding()]param([switch]$WhatIf, [switch]$Monitoring, [switch]$Remediation, [switch]$Revert) $ErrorActionPreference = 'Stop'; $RegPath = "HKLM:\SOFTWARE\Microsoft\Windows Defender\Features"; $RegName = "TamperProtection"; $ExpectedValue = 5 function Connect-RequiredServices { $p = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent()); return $p.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator) } function Test-Compliance { $r = [PSCustomObject]@{ScriptName = "tamper-protection.ps1"; PolicyName = "Tamper Protection"; IsCompliant = $false; CurrentValue = $null; Details = @() }; function Invoke-Revert { Write-Host "Revert via Intune" } try { if (Test-Path $RegPath) { $v = Get-ItemProperty -Path $RegPath -Name $RegName -ErrorAction SilentlyContinue; if ($v -and $v.$RegName -eq $ExpectedValue) { $r.IsCompliant = $true; $r.Details += "Tamper protection enabled" }else { $r.Details += "Tamper protection: $($v.$RegName) (5=Enabled)" } }else { $r.Details += "Registry path niet gevonden" } }catch { $r.Details += "Error: $($_.Exception.Message)" }; return $r } function Invoke-Remediation { Write-Host "Tamper protection configureren via Intune:" -ForegroundColor Yellow; Write-Host "Endpoint Security > Antivirus > Windows Security > Tamper Protection: Enabled" -ForegroundColor Gray } function Invoke-Monitoring { $r = Test-Compliance; Write-Host "`n$($r.PolicyName): $(if($r.IsCompliant){'COMPLIANT'}else{'NON-COMPLIANT'})" -ForegroundColor $(if ($r.IsCompliant) { 'Green' }else { 'Red' }); return $r } function Invoke-Revert { Write-Host "Revert via Intune" } try { if (-not(Connect-RequiredServices)) { exit 1 }; if ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.IsCompliant) { 0 }else { 1 }) }elseif ($Remediation) { if (-not $WhatIf) { Invoke-Remediation } }elseif ($Revert) { Invoke-Revert }else { $r = Test-Compliance; exit $(if ($r.IsCompliant) { 0 }else { 1 }) } }catch { Write-Error $_; exit 1 }

Risico zonder implementatie

Risico zonder implementatie
Critical: KRITIEK RISICO: Zonder Tamper bescherming kan malware Windows Defender uitschakelen binnen seconden na infection, waardoor: ransomware ongehinderd kan encrypten zonder detectie, data exfiltration malware onopgemerkt blijft, rootkits persistence kunnen verkrijgen, en de organisatie geen endpoint bescherming meer heeft. Moderne ransomware families (Ryuk, LockBit, BlackCat) hebben allemaal anti-AV capabilities die Defender proberen uit te schakelen. Tamper bescherming voorkomt dit volledig. Dit is een gratis security control (included in Windows 10/11) zonder performance impact - er is GEEN reden om dit niet ingeschakeld te hebben.

Management Samenvatting

Schakel in Tamper bescherming via Intune Endpoint beveiligingsbeleid. Voorkomt dat malware Windows Defender uitschakelt. Kritieke anti-malware/anti-ransomware control. Voldoet aan BIO 12.02, ISO 27001 A.8.7, CIS. Implementatie: 1-2 uur via Intune deployment. GRATIS security control - hoogste prioriteit. ALTIJD inschakelen.