2 votes

Alexey Starinsky avatar

J'ai désactivé la surveillance en temps réel de Windows Defender, mais un script PowerShell est toujours bloqué

Demandé el 19 de Novembre, 2019
Quand la question a-t-elle été
3292 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'ai désactivé la surveillance en temps réel de Windows Defender en exécutant la commande dans PowerShell en tant qu'administrateur :

Set-MpPreference -DisableRealtimeMonitoring $true

Mais on ne peut toujours pas exécuter le script. Get-TSLsaSecret . Lorsque j'essaie de l'exécuter, j'obtiens :

At line:1 char:1
+ function Get-TSLsaSecret {
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~
This script contains malicious content and has been blocked by your antivirus software.
    + CategoryInfo          : ParserError: (:) [], ParentContainsErrorRecordException
    + FullyQualifiedErrorId : ScriptContainedMaliciousContent

EDIT1 :

J'ai pu exécuter le script après avoir désactivé manuellement la protection en temps réel de Windows Defender dans les paramètres de Windows. Mais la raison pour laquelle la commande ne fonctionne pas n'est pas claire.

Demandé el 19 de Novembre, 2019 par Alexey Starinsky

Réponse

Trop de publicités?

2voto

harrymc avatar
harrymc Points 394411

Windows Defender n'aime pas Get-TSLsaSecret parce que ce script accède à la partie la plus secrète de Windows.

Les secrets LSA sont stockés comme Données privées LSA dans le registre sous la clé HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets . Par exemple, toutes les informations permettant d'accéder aux services du système, y compris les mots de passe, sont conservées en texte clair sous les sous-clés nommées _SC_<ServiceName> . Les informations relatives au compte de l'utilisateur sont également conservées ici.

Les données peuvent être piratées. Voir pour un traitement médico-légal l'article de
Utiliser PowerShell pour décrypter les secrets LSA du registre .

Il n'est pas surprenant que l'accès à cette clé soit rigoureusement contrôlé et qu'il soit impossible à accès, même pour les administrateurs. Windows Defender se prémunit contre toute tentative de ce type tentative, et lorsqu'il analyse le disque, il supprime même les scripts qui piratent le LSA.

Conclusion : Afin d'utiliser ce script vous devrez essentiellement désactiver Windows Defender. Si vous le réactivez un jour, vous pourrez constater que votre script a été mis en quarantaine et devra être autorisé et restauré.

Répondu el 19 de Novembre, 2019 par harrymc (394411 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X