tags: Disattivazione_Difese_Windows windows privilage_escalation
Per effettuare queste modifiche dobbiamo essere amministratori.
Disattivazione
Tramite powershell digitiamo i suguenti comandi:
#Disattivazione Windows Defender:
Set-MpPreference -DisableRealtimeMonitoring $true
Set-MpPreference -DisableIOAVProtection $true
Set-MpPreference -DisableBehaviorMonitoring $true
Set-MpPreference -DisableScriptScanning $true
Set-MpPreference -DisableIntrusionPreventionSystem $true
Set-MpPreference -EnableControlledFolderAccess Disabled
#Disattivazione Firewall:
Set-NetFirewallProfile -Profile Domain,Public,Private -Enabled False
#Disattivazione Smart Screen:
Set-MpPreference -EnableNetworkProtection Disabled
#Disattivazione AMSI (completamente):
Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows Script\Settings" -Name "AmsiEnable" -Value 0 -Force
#Disattivazione temporaneamente UAC (Controllo Account Utente):
Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" -Name "EnableLUA" -Value 0
Disabilita temporaneamente Tamper Protection (Protezione anti-manomissione)
- Vai su Impostazioni → Aggiornamento e sicurezza → Sicurezza di Windows → Protezione da virus e minacce → Gestisci impostazioni → Protezione anti-manomissione → OFF
Verifica della disattivazione delle difese:
Get-MpPreference | select DisableRealtimeMonitoring, DisableBehaviorMonitoring, DisableIOAVProtection, DisableScriptScanning, EnableControlledFolderAccessL’output ideale deve essere il seguente:
PS C:\Users\Vittima> Get-MpPreference | select DisableRealtimeMonitoring, DisableBehaviorMonitoring, DisableIOAVProtection, DisableScriptScanning, EnableControlledFolderAccess
DisableRealtimeMonitoring : True
DisableBehaviorMonitoring : True
DisableIOAVProtection : True
DisableScriptScanning : True
EnableControlledFolderAccess : 0Fai attenzione che quando riavvii il sistema per effettuare la disattivazione UAC i DisableRealtimeMonitoring e DisableBehaviorMonitoring ritornano ad attivarsi quindi se quei due appaiono false rieffettua le stesse operazioni che l’hanno disattivate.
Attivazione
# Riattiva Defender
Set-MpPreference -DisableRealtimeMonitoring $false
Set-MpPreference -DisableIOAVProtection $false
Set-MpPreference -DisableBehaviorMonitoring $false
Set-MpPreference -DisableScriptScanning $false
Set-MpPreference -EnableControlledFolderAccess Enabled
# Riattiva Firewall
Set-NetFirewallProfile -Profile Domain,Public,Private -Enabled True
# Riattiva SmartScreen
Set-MpPreference -EnableNetworkProtection Enabled
# Riattiva AMSI
Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows Script\Settings" -Name "AmsiEnable" -Value 1 -Force
# Riattiva UAC (Riavvia dopo)
Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" -Name "EnableLUA" -Value 1