Anuncio

Colapsar
No hay anuncio todavía.

Tamper protection is now generally available in Microsoft Defender ATP

Colapsar
X
 
  • Filtrar
  • Tiempo
  • Mostrar
Limpiar Todo
nuevos mensajes

  • Tamper protection is now generally available in Microsoft Defender ATP

    https://www.neowin.net/news/tamper-p...t-defender-atp

  • #2
    Para activarlo (Windows Enterprise 18363.418).:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features

    Value "0" Disable Value "5" Enable
    Pero no me deja cambiarlo, he usado NSudo para tomar posesion de regedit y nada (antes con nsudo -ti abria como Administrador y ya no funciona)

    Comentario


    • #3
      Originalmente publicado por noSign Ver Mensaje
      Para activarlo (Windows Enterprise 18363.418).:
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features

      Value "0" Disable Value "5" Enable
      Pero no me deja cambiarlo, he usado NSudo para tomar posesion de regedit y nada (antes con nsudo -ti abria como Administrador y ya no funciona)
      NSudo.exe -U:T -P:E cmd

      y desde la consola... REGEDIT.

      Comentario


      • #4
        Originalmente publicado por jmtella Ver Mensaje

        NSudo.exe -U:T -P:E cmd

        y desde la consola... REGEDIT.
        C:\NSudo.exe -U:T -P:E cmd.exe /c regedit y nada

        Comentario


        • #5
          Originalmente publicado por noSign Ver Mensaje

          C:\NSudo.exe -U:T -P:E cmd.exe /c regedit y nada
          Usa el nsudo 7.0 que dejé por estos grupos... a ver... (ahora no puedo probarlo...)

          Comentario


          • #6
            Originalmente publicado por jmtella Ver Mensaje

            Usa el nsudo 7.0 que dejé por estos grupos... a ver... (ahora no puedo probarlo...)
            C:\NSudoC.exe -U:T -P:E cmd.exe /c regedit con el nsudo 7.0 nada

            Comentario


            • #7
              Originalmente publicado por noSign Ver Mensaje

              C:\NSudoC.exe -U:T -P:E cmd.exe /c regedit con el nsudo 7.0 nada
              Lo acabo de probar y efectivamente NO DEJA TOCAR ese valor. Y no se que protección tiene pero no son permisos... ya que ha comprobado que si creo un nuevo valor es precisamente como TrustedInstaller… por tanto NSUDO funciona bien pero esa clave tiene algo "especial"... y me pica la curiosidad...

              Comentario


              • #8
                Originalmente publicado por jmtella Ver Mensaje

                Lo acabo de probar y efectivamente NO DEJA TOCAR ese valor. Y no se que protección tiene pero no son permisos... ya que ha comprobado que si creo un nuevo valor es precisamente como TrustedInstaller… por tanto NSUDO funciona bien pero esa clave tiene algo "especial"... y me pica la curiosidad...
                Descubierto!... si paras windows defender y sobre todo desactivas esto, te deja tocar dicho valor con NSUDO.

                Haga clic en la imagen para ver una versión más grande

Nombre:	tamper.jpg
Visitas:	55
Size:	83,5 KB
ID:	39196

                Comentario


                • #9
                  Tome posesion del regedit como dices, por ir probando
                  takeown /f %systemroot%\regedit.exe
                  icacls "%systemroot%\regedit.exe" /grant:r Administradores:F /c


                  Y nada.

                  Comentario


                  • #10
                    Originalmente publicado por jmtella Ver Mensaje

                    Descubierto!... si paras windows defender y sobre todo desactivas esto, te deja tocar dicho valor con NSUDO.

                    Haga clic en la imagen para ver una versión más grande

Nombre:	tamper.jpg
Visitas:	55
Size:	83,5 KB
ID:	39196
                    Correcto, ahora si funca

                    Comentario


                    • #11
                      Originalmente publicado por noSign Ver Mensaje

                      Correcto, ahora si funca
                      El NSDUO tiene todos los permisos... si no puede modificar algo, es que ese "algo" está pillado... (fichero abierto, o bien clave leida con opción de bloqueo, etc... y en esos casos hay que parar el proceso que lo tiene pillado)

                      Comentario

                      Trabajando...
                      X