Tamper protection is now generally available in Microsoft Defender ATP

Colapsar
X
 
  • Filtrar
  • Tiempo
  • Mostrar
Limpiar Todo
nuevos mensajes
  • jmtella
    Administrator
    • Nov
    • 19902

    Tamper protection is now generally available in Microsoft Defender ATP

    Microsoft has announced that the new tamper protection feature is now generally available in Microsoft Defender Advanced Threat Protection. The feature is also available for consumers on Windows 10.
  • noSign
    Super Moderator
    • Dec
    • 4151

    #2
    Para activarlo (Windows Enterprise 18363.418).:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features

    Value "0" Disable Value "5" Enable
    Pero no me deja cambiarlo, he usado NSudo para tomar posesion de regedit y nada (antes con nsudo -ti abria como Administrador y ya no funciona)

    Comentario

    • jmtella
      Administrator
      • Nov
      • 19902

      #3
      Originalmente publicado por noSign Ver Mensaje
      Para activarlo (Windows Enterprise 18363.418).:
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features

      Value "0" Disable Value "5" Enable
      Pero no me deja cambiarlo, he usado NSudo para tomar posesion de regedit y nada (antes con nsudo -ti abria como Administrador y ya no funciona)
      NSudo.exe -U:T -P:E cmd

      y desde la consola... REGEDIT.

      Comentario

      • noSign
        Super Moderator
        • Dec
        • 4151

        #4
        Originalmente publicado por jmtella Ver Mensaje

        NSudo.exe -U:T -P:E cmd

        y desde la consola... REGEDIT.
        C:\NSudo.exe -U:T -P:E cmd.exe /c regedit y nada

        Comentario

        • jmtella
          Administrator
          • Nov
          • 19902

          #5
          Originalmente publicado por noSign Ver Mensaje

          C:\NSudo.exe -U:T -P:E cmd.exe /c regedit y nada
          Usa el nsudo 7.0 que dejé por estos grupos... a ver... (ahora no puedo probarlo...)

          Comentario

          • noSign
            Super Moderator
            • Dec
            • 4151

            #6
            Originalmente publicado por jmtella Ver Mensaje

            Usa el nsudo 7.0 que dejé por estos grupos... a ver... (ahora no puedo probarlo...)
            C:\NSudoC.exe -U:T -P:E cmd.exe /c regedit con el nsudo 7.0 nada

            Comentario

            • jmtella
              Administrator
              • Nov
              • 19902

              #7
              Originalmente publicado por noSign Ver Mensaje

              C:\NSudoC.exe -U:T -P:E cmd.exe /c regedit con el nsudo 7.0 nada
              Lo acabo de probar y efectivamente NO DEJA TOCAR ese valor. Y no se que protección tiene pero no son permisos... ya que ha comprobado que si creo un nuevo valor es precisamente como TrustedInstaller… por tanto NSUDO funciona bien pero esa clave tiene algo "especial"... y me pica la curiosidad...

              Comentario

              • jmtella
                Administrator
                • Nov
                • 19902

                #8
                Originalmente publicado por jmtella Ver Mensaje

                Lo acabo de probar y efectivamente NO DEJA TOCAR ese valor. Y no se que protección tiene pero no son permisos... ya que ha comprobado que si creo un nuevo valor es precisamente como TrustedInstaller… por tanto NSUDO funciona bien pero esa clave tiene algo "especial"... y me pica la curiosidad...
                Descubierto!... si paras windows defender y sobre todo desactivas esto, te deja tocar dicho valor con NSUDO.

                Haga clic en la imagen para ver una versión más grande

Nombre:	tamper.jpg
Visitas:	357
Size:	83,5 KB
ID:	39196

                Comentario

                • noSign
                  Super Moderator
                  • Dec
                  • 4151

                  #9
                  Tome posesion del regedit como dices, por ir probando
                  takeown /f %systemroot%\regedit.exe
                  icacls "%systemroot%\regedit.exe" /grant:r Administradores:F /c


                  Y nada.

                  Comentario

                  • noSign
                    Super Moderator
                    • Dec
                    • 4151

                    #10
                    Originalmente publicado por jmtella Ver Mensaje

                    Descubierto!... si paras windows defender y sobre todo desactivas esto, te deja tocar dicho valor con NSUDO.

                    Haga clic en la imagen para ver una versión más grande

Nombre:	tamper.jpg
Visitas:	357
Size:	83,5 KB
ID:	39196
                    Correcto, ahora si funca

                    Comentario

                    • jmtella
                      Administrator
                      • Nov
                      • 19902

                      #11
                      Originalmente publicado por noSign Ver Mensaje

                      Correcto, ahora si funca
                      El NSDUO tiene todos los permisos... si no puede modificar algo, es que ese "algo" está pillado... (fichero abierto, o bien clave leida con opción de bloqueo, etc... y en esos casos hay que parar el proceso que lo tiene pillado)

                      Comentario

                      Trabajando...
                      X