katja56
Feb 29, 2024, updated at 11:05:43 (UTC)
view890
view6
1
Goto Top

Powershell: Abschalten von Defender Echtzeitschutz

GermansolvedQuestionWindows 11
Hi,

folgendes in einer PS mit Adminrechten:

PS C:\WINDOWS\system32>  Set-MpPreference -DisableRealtimeMonitoring $true

PS C:\WINDOWS\system32>  Get-MpPreference  | select DisableRealtimeMonitoring 

DisableRealtimeMonitoring
-------------------------
                    False

Feature oder Bug?
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 31640589252

Url: https://administrator.de/contentid/31640589252

Printed on: April 27, 2024 at 05:04 o'clock

6 Comments
Latest comment
Goto Top
Mitglied: 11078840001
Solution 11078840001 Feb 29, 2024 updated at 09:01:28 (UTC)
Goto Top
Feature

Defender Tamper Protection
https://learn.microsoft.com/de-de/microsoft-365/security/defender-endpoi ...

Was geschieht, wenn der Manipulationsschutz aktiviert ist?
Wenn der Manipulationsschutz aktiviert ist, können diese manipulationsgeschützten Einstellungen nicht geändert werden:

- Viren- und Bedrohungsschutz bleibt aktiviert.
- Der Echtzeitschutz bleibt aktiviert.
- Die Verhaltensüberwachung bleibt aktiviert.
- Antivirenschutz, einschließlich IOfficeAntivirus (IOAV) bleibt aktiviert.
- Der Cloudschutz bleibt aktiviert.
- Sicherheitsintelligenzupdates werden durchgeführt.
- Bei erkannten Bedrohungen werden automatische Aktionen ausgeführt.
- Benachrichtigungen sind in der Windows Sicherheit-App auf Windows-Geräten sichtbar.
- Archivierte Dateien werden gescannt.
- Ausschlüsse können nicht geändert oder hinzugefügt werden
heart2
Member: katja56
katja56 Feb 29, 2024 at 09:19:42 (UTC)
Goto Top
Ok, das ergibt Sinn, aber:

PS C:\WINDOWS\system32>  Set-MpPreference -DisableTamperProtection $true
Set-MpPreference : Es wurde kein Parameter gefunden, der dem Parameternamen "DisableTamperProtection" entspricht.  
In Zeile:1 Zeichen:19
+  Set-MpPreference -DisableTamperProtection $true
+                   ~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : InvalidArgument: (:) [Set-MpPreference], ParameterBindingException
    + FullyQualifiedErrorId : NamedParameterNotFound,Set-MpPreference
 

PS C:\WINDOWS\system32> Get-MpPreference | select DisableTamperProtection

DisableTamperProtection
-----------------------
                  False



PS C:\WINDOWS\system32>

Das scheint dann wohl auch ein Feature zu sein.
Member: pebcak7123
pebcak7123 Feb 29, 2024 at 09:41:59 (UTC)
Goto Top
Tamper Protection muss im Defender Portal/Intune abgeschaltet werden.
Wäre ja sinnlos wenn das lokal geht
Member: DerWoWusste
DerWoWusste Feb 29, 2024 at 10:08:42 (UTC)
Goto Top
Das geht schon lokal, aber nur interaktiv, nicht via Skript.
Mitglied: 11078840001
11078840001 Feb 29, 2024 updated at 10:44:09 (UTC)
Goto Top
Zitat von @DerWoWusste:

Das geht schon lokal, aber nur interaktiv, nicht via Skript.

So iset.

Das scheint dann wohl auch ein Feature zu sein
Works as designed ... 😉. Wäre ja Blödsinn wenn der Angreifer es sich im Skript selbst zurecht biegen könnte wie er es gerade braucht.
Änderung der Tamper-Protection geht nur via Interaktiv/GPO/ConfigMgr/Intune.
Member: katja56
Solution katja56 Feb 29, 2024 at 10:56:44 (UTC)
Goto Top
Ja, das ist natürlich gut so. Mir ging es ja erst auch nur mal ums Verständnis. Thx
GermansolvedQuestionWindows 11