6
Powershell: Abschalten von Defender Echtzeitschutz
Hi,
folgendes in einer PS mit Adminrechten:
Feature oder Bug?
folgendes in einer PS mit Adminrechten:
PS C:\WINDOWS\system32> Set-MpPreference -DisableRealtimeMonitoring $true
PS C:\WINDOWS\system32> Get-MpPreference | select DisableRealtimeMonitoring
DisableRealtimeMonitoring
-------------------------
FalseFeature oder Bug?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 31640589252
Url: https://administrator.de/contentid/31640589252
Ausgedruckt am: 22.11.2024 um 11:11 Uhr
6 Kommentare
Neuester Kommentar
Feature
Defender Tamper Protection
https://learn.microsoft.com/de-de/microsoft-365/security/defender-endpoi ...
Defender Tamper Protection
https://learn.microsoft.com/de-de/microsoft-365/security/defender-endpoi ...
Was geschieht, wenn der Manipulationsschutz aktiviert ist?
Wenn der Manipulationsschutz aktiviert ist, können diese manipulationsgeschützten Einstellungen nicht geändert werden:
- Viren- und Bedrohungsschutz bleibt aktiviert.
- Der Echtzeitschutz bleibt aktiviert.
- Die Verhaltensüberwachung bleibt aktiviert.
- Antivirenschutz, einschließlich IOfficeAntivirus (IOAV) bleibt aktiviert.
- Der Cloudschutz bleibt aktiviert.
- Sicherheitsintelligenzupdates werden durchgeführt.
- Bei erkannten Bedrohungen werden automatische Aktionen ausgeführt.
- Benachrichtigungen sind in der Windows Sicherheit-App auf Windows-Geräten sichtbar.
- Archivierte Dateien werden gescannt.
- Ausschlüsse können nicht geändert oder hinzugefügt werden
2
Ok, das ergibt Sinn, aber:
Das scheint dann wohl auch ein Feature zu sein.
PS C:\WINDOWS\system32> Set-MpPreference -DisableTamperProtection $true
Set-MpPreference : Es wurde kein Parameter gefunden, der dem Parameternamen "DisableTamperProtection" entspricht.
In Zeile:1 Zeichen:19
+ Set-MpPreference -DisableTamperProtection $true
+ ~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : InvalidArgument: (:) [Set-MpPreference], ParameterBindingException
+ FullyQualifiedErrorId : NamedParameterNotFound,Set-MpPreference
PS C:\WINDOWS\system32> Get-MpPreference | select DisableTamperProtection
DisableTamperProtection
-----------------------
False
PS C:\WINDOWS\system32> Das scheint dann wohl auch ein Feature zu sein.
Tamper Protection muss im Defender Portal/Intune abgeschaltet werden.
Wäre ja sinnlos wenn das lokal geht
Wäre ja sinnlos wenn das lokal geht
Das geht schon lokal, aber nur interaktiv, nicht via Skript.
So iset.
Das scheint dann wohl auch ein Feature zu sein
Works as designed ... 😉. Wäre ja Blödsinn wenn der Angreifer es sich im Skript selbst zurecht biegen könnte wie er es gerade braucht.Änderung der Tamper-Protection geht nur via Interaktiv/GPO/ConfigMgr/Intune.
Ja, das ist natürlich gut so. Mir ging es ja erst auch nur mal ums Verständnis. Thx
