Windows Defender abschalten

Die Windows Defender Antivirus-Features wurden in der Vergangenheit ständig verbessert. Der mittels Metasploit-Framework (Msfvenom) erstellte Payload, wird in der Regel zuverlässig erkannt. Für Penetrationstester und Red Teams wird es zunehmend schwerer, den in der Cloud bereitgestellten Schutz einschließlich der verhaltensbasierenden/heuristischen Erkennung zu umgehen.

Für Administratoren existieren eine Reihe von Möglichkeiten, um Windows Defender zu administrieren und die Software den eigenen Anforderungen anzupassen.

Angreifer versuchen zunehmend ihre vorhanden Payloads so abzuändern, dass sie einer Prüfung wiederstehen können. Hier wenden sie neue Methoden für die Verschlüsselung des Codes bzw. des Datenverkehres aber auch der absichtlichen Veränderung von Programmcode (Obfuskation) an.

In diesem Beitrag beschreibe ich, wie Sie mit Hilfe des USB-Rubber-Ducky und Digispark den Windows Defender in Windows 10 abschalten können. Voraussetzung ist, dass der Angreifer/ Penetrationstester lokal Zugang zum Opfer-PC hat und der verwendete Nutzer administrative Rechte auf dem lokalen System besitzt. Dieser Angriff sollte somit in zentral administrierten Netzwerken nicht zum Erfolg führen, da hier der reguläre Nutzer seine Rechten nicht so einfach mit Hilfe der Benutzerkontensteuerung (UAC) eskalieren kann.

In der Literatur und im Internet lassen sich mehrere Möglichkeiten finden, um den Windows Defender abzuschalten. Für dieses Beispiel habe ich die Möglichkeit mittels PowerShell gewählt.

Zur Konfiguration der Windows-Defender Scans und Updates existieren eine Reihe von Parametern, die im Windows IT Pro Center eingesehen werden können. Die hier aufgeführten Optionen sind selbsterklärend.

WeiterlesenWindows Defender abschalten