Startereignis-Ablaufverfolgungssitzungen

eth0 · Beitrag von **eth0** » 01.06.2020, 13:28

Hallo Zusammen,

ich würde gerne Zugriff auf die Abverfolgungssitzung des DefenderApiLoggers und des DefenderAuditLoggers bekommen und diese ändern/deaktivieren. Mir wird aber leider der Zugriff verweigert. Per Registry (Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\DefenderApiLogger) habe ich schon versucht den Start zu unterbinden. Der Wert ändert sich nach einem Reboot leider wieder.

Weiß hier zufällig jemand wie ich Zugriff bekomme und die Werte ändern kann? Würde mich über jeden Tipp freuen!

Anbei sende ich noch einen Screenshot.

DefenderApiLogger.JPG

Beitrag von **Tante Google** » 01.06.2020, 13:28

moinmoin · Beitrag von **moinmoin** » 01.06.2020, 13:36

Ohne jetzt zu wissen, warum du es machen willst, vermute ich mal, dass mindestens der Echtzeitschutz vom Defender deaktiviert werden muss. Wenn nicht sogar alle Dienste vom Defender, bevor du da etwas ändern kannst.

eth0 · Beitrag von **eth0** » 01.06.2020, 14:00

Vielen Dank für die schnelle Antwort!

Der Defender ist komplett per GPO deaktiviert. Der Zugriff wird leider weiterhin verweigert.

DK2000 · Beitrag von **DK2000** » 01.06.2020, 16:01

Das scheint wohl daran zu liegen, dass nur der Benutzer "SYSTEM" da etwas ändern darf und Vollzugriff hat der auch nicht. Habe zwar mal die Computerverwaltung mit System- bzw. TI-Rechten gestartet, aber das klappt auch nicht. Habe mich da aber in der Ecke eigentlich noch nie länger aufgehalten. Mal schauen, ob man das herausbekommt, wie man da etwas ändern kann, warum auch immer. An den Rechten habe ich da jetzt noch nichts verändert, nur mal so nachgeschaut.