Tamper protection is now generally available in Microsoft Defender ATP

**noSign** · 14/10/2019, 20:24:09

Para activarlo (Windows Enterprise 18363.418).:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features

Value "0" Disable Value "5" Enable
Pero no me deja cambiarlo, he usado NSudo para tomar posesion de regedit y nada (antes con nsudo -ti abria como Administrador y ya no funciona)

**jmtella** · 14/10/2019, 20:36:27

Originalmente publicado por noSign Ver Mensaje

Para activarlo (Windows Enterprise 18363.418).:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features

Value "0" Disable Value "5" Enable
Pero no me deja cambiarlo, he usado NSudo para tomar posesion de regedit y nada (antes con nsudo -ti abria como Administrador y ya no funciona)

NSudo.exe -U:T -P:E cmd

y desde la consola... REGEDIT.

**noSign** · 14/10/2019, 20:44:05

Originalmente publicado por jmtella Ver Mensaje

NSudo.exe -U:T -P:E cmd

y desde la consola... REGEDIT.

C:\NSudo.exe -U:T -P:E cmd.exe /c regedit y nada

**jmtella** · 14/10/2019, 20:54:30

Originalmente publicado por noSign Ver Mensaje

C:\NSudo.exe -U:T -P:E cmd.exe /c regedit y nada

Usa el nsudo 7.0 que dejé por estos grupos... a ver... (ahora no puedo probarlo...)

**noSign** · 14/10/2019, 21:09:46

Originalmente publicado por jmtella Ver Mensaje

Usa el nsudo 7.0 que dejé por estos grupos... a ver... (ahora no puedo probarlo...)

C:\NSudoC.exe -U:T -P:E cmd.exe /c regedit con el nsudo 7.0 nada

**jmtella** · 15/10/2019, 02:59:44

Originalmente publicado por noSign Ver Mensaje

C:\NSudoC.exe -U:T -P:E cmd.exe /c regedit con el nsudo 7.0 nada

Lo acabo de probar y efectivamente NO DEJA TOCAR ese valor. Y no se que protección tiene pero no son permisos... ya que ha comprobado que si creo un nuevo valor es precisamente como TrustedInstaller… por tanto NSUDO funciona bien pero esa clave tiene algo "especial"... y me pica la curiosidad...

**jmtella** · 15/10/2019, 03:07:32

Originalmente publicado por jmtella Ver Mensaje

Lo acabo de probar y efectivamente NO DEJA TOCAR ese valor. Y no se que protección tiene pero no son permisos... ya que ha comprobado que si creo un nuevo valor es precisamente como TrustedInstaller… por tanto NSUDO funciona bien pero esa clave tiene algo "especial"... y me pica la curiosidad...

Descubierto!... si paras windows defender y sobre todo desactivas esto, te deja tocar dicho valor con NSUDO.

**noSign** · 15/10/2019, 11:26:22

Tome posesion del regedit como dices, por ir probando
takeown /f %systemroot%\regedit.exe
icacls "%systemroot%\regedit.exe" /grant:r Administradores:F /c

Y nada.

**noSign** · 15/10/2019, 11:27:04

Originalmente publicado por jmtella Ver Mensaje

Descubierto!... si paras windows defender y sobre todo desactivas esto, te deja tocar dicho valor con NSUDO.

Correcto, ahora si funca

**jmtella** · 15/10/2019, 11:55:33

Originalmente publicado por noSign Ver Mensaje

Correcto, ahora si funca

El NSDUO tiene todos los permisos... si no puede modificar algo, es que ese "algo" está pillado... (fichero abierto, o bien clave leida con opción de bloqueo, etc... y en esos casos hay que parar el proceso que lo tiene pillado)

Tamper protection is now generally available in Microsoft Defender ATP

Tamper protection is now generally available in Microsoft Defender ATP

Comentario

Comentario

Comentario

Comentario

Comentario

Comentario

Comentario

Comentario

Comentario

Comentario