katja56
Goto Top

Powershell: Abschalten von Defender Echtzeitschutz

Hi,

folgendes in einer PS mit Adminrechten:

PS C:\WINDOWS\system32>  Set-MpPreference -DisableRealtimeMonitoring $true

PS C:\WINDOWS\system32>  Get-MpPreference  | select DisableRealtimeMonitoring 

DisableRealtimeMonitoring
-------------------------
                    False

Feature oder Bug?

Content-Key: 31640589252

Url: https://administrator.de/contentid/31640589252

Printed on: April 12, 2024 at 23:04 o'clock

Mitglied: 11078840001
Solution 11078840001 Feb 29, 2024 updated at 09:01:28 (UTC)
Goto Top
Feature

Defender Tamper Protection
https://learn.microsoft.com/de-de/microsoft-365/security/defender-endpoi ...

Was geschieht, wenn der Manipulationsschutz aktiviert ist?
Wenn der Manipulationsschutz aktiviert ist, können diese manipulationsgeschützten Einstellungen nicht geändert werden:

- Viren- und Bedrohungsschutz bleibt aktiviert.
- Der Echtzeitschutz bleibt aktiviert.
- Die Verhaltensüberwachung bleibt aktiviert.
- Antivirenschutz, einschließlich IOfficeAntivirus (IOAV) bleibt aktiviert.
- Der Cloudschutz bleibt aktiviert.
- Sicherheitsintelligenzupdates werden durchgeführt.
- Bei erkannten Bedrohungen werden automatische Aktionen ausgeführt.
- Benachrichtigungen sind in der Windows Sicherheit-App auf Windows-Geräten sichtbar.
- Archivierte Dateien werden gescannt.
- Ausschlüsse können nicht geändert oder hinzugefügt werden
Member: katja56
katja56 Feb 29, 2024 at 09:19:42 (UTC)
Goto Top
Ok, das ergibt Sinn, aber:

PS C:\WINDOWS\system32>  Set-MpPreference -DisableTamperProtection $true
Set-MpPreference : Es wurde kein Parameter gefunden, der dem Parameternamen "DisableTamperProtection" entspricht.  
In Zeile:1 Zeichen:19
+  Set-MpPreference -DisableTamperProtection $true
+                   ~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : InvalidArgument: (:) [Set-MpPreference], ParameterBindingException
    + FullyQualifiedErrorId : NamedParameterNotFound,Set-MpPreference
 

PS C:\WINDOWS\system32> Get-MpPreference | select DisableTamperProtection

DisableTamperProtection
-----------------------
                  False



PS C:\WINDOWS\system32> 

Das scheint dann wohl auch ein Feature zu sein.
Member: pebcak7123
pebcak7123 Feb 29, 2024 at 09:41:59 (UTC)
Goto Top
Tamper Protection muss im Defender Portal/Intune abgeschaltet werden.
Wäre ja sinnlos wenn das lokal geht
Member: DerWoWusste
DerWoWusste Feb 29, 2024 at 10:08:42 (UTC)
Goto Top
Das geht schon lokal, aber nur interaktiv, nicht via Skript.
Mitglied: 11078840001
11078840001 Feb 29, 2024 updated at 10:44:09 (UTC)
Goto Top
Zitat von @DerWoWusste:

Das geht schon lokal, aber nur interaktiv, nicht via Skript.

So iset.

Das scheint dann wohl auch ein Feature zu sein
Works as designed ... ­čśë. Wäre ja Blödsinn wenn der Angreifer es sich im Skript selbst zurecht biegen könnte wie er es gerade braucht.
Änderung der Tamper-Protection geht nur via Interaktiv/GPO/ConfigMgr/Intune.
Member: katja56
Solution katja56 Feb 29, 2024 at 10:56:44 (UTC)
Goto Top
Ja, das ist natürlich gut so. Mir ging es ja erst auch nur mal ums Verständnis. Thx