katja56
Goto Top

Powershell: Abschalten von Defender Echtzeitschutz

Hi,

folgendes in einer PS mit Adminrechten:

PS C:\WINDOWS\system32>  Set-MpPreference -DisableRealtimeMonitoring $true

PS C:\WINDOWS\system32>  Get-MpPreference  | select DisableRealtimeMonitoring 

DisableRealtimeMonitoring
-------------------------
                    False

Feature oder Bug?

Content-ID: 31640589252

Url: https://administrator.de/forum/powershell-abschalten-von-defender-echtzeitschutz-31640589252.html

Ausgedruckt am: 24.12.2024 um 17:12 Uhr

11078840001
Lösung 11078840001 29.02.2024 aktualisiert um 10:01:28 Uhr
Goto Top
Feature

Defender Tamper Protection
https://learn.microsoft.com/de-de/microsoft-365/security/defender-endpoi ...

Was geschieht, wenn der Manipulationsschutz aktiviert ist?
Wenn der Manipulationsschutz aktiviert ist, können diese manipulationsgeschützten Einstellungen nicht geändert werden:

- Viren- und Bedrohungsschutz bleibt aktiviert.
- Der Echtzeitschutz bleibt aktiviert.
- Die Verhaltensüberwachung bleibt aktiviert.
- Antivirenschutz, einschließlich IOfficeAntivirus (IOAV) bleibt aktiviert.
- Der Cloudschutz bleibt aktiviert.
- Sicherheitsintelligenzupdates werden durchgeführt.
- Bei erkannten Bedrohungen werden automatische Aktionen ausgeführt.
- Benachrichtigungen sind in der Windows Sicherheit-App auf Windows-Geräten sichtbar.
- Archivierte Dateien werden gescannt.
- Ausschlüsse können nicht geändert oder hinzugefügt werden
katja56
katja56 29.02.2024 um 10:19:42 Uhr
Goto Top
Ok, das ergibt Sinn, aber:

PS C:\WINDOWS\system32>  Set-MpPreference -DisableTamperProtection $true
Set-MpPreference : Es wurde kein Parameter gefunden, der dem Parameternamen "DisableTamperProtection" entspricht.  
In Zeile:1 Zeichen:19
+  Set-MpPreference -DisableTamperProtection $true
+                   ~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : InvalidArgument: (:) [Set-MpPreference], ParameterBindingException
    + FullyQualifiedErrorId : NamedParameterNotFound,Set-MpPreference
 

PS C:\WINDOWS\system32> Get-MpPreference | select DisableTamperProtection

DisableTamperProtection
-----------------------
                  False



PS C:\WINDOWS\system32> 

Das scheint dann wohl auch ein Feature zu sein.
pebcak7123
pebcak7123 29.02.2024 um 10:41:59 Uhr
Goto Top
Tamper Protection muss im Defender Portal/Intune abgeschaltet werden.
Wäre ja sinnlos wenn das lokal geht
DerWoWusste
DerWoWusste 29.02.2024 um 11:08:42 Uhr
Goto Top
Das geht schon lokal, aber nur interaktiv, nicht via Skript.
11078840001
11078840001 29.02.2024 aktualisiert um 11:44:09 Uhr
Goto Top
Zitat von @DerWoWusste:

Das geht schon lokal, aber nur interaktiv, nicht via Skript.

So iset.

Das scheint dann wohl auch ein Feature zu sein
Works as designed ... 😉. Wäre ja Blödsinn wenn der Angreifer es sich im Skript selbst zurecht biegen könnte wie er es gerade braucht.
Änderung der Tamper-Protection geht nur via Interaktiv/GPO/ConfigMgr/Intune.
katja56
Lösung katja56 29.02.2024 um 11:56:44 Uhr
Goto Top
Ja, das ist natürlich gut so. Mir ging es ja erst auch nur mal ums Verständnis. Thx