Win10: owner TamperProtection "kaputt"

[tdklaus]

Hallo,
bei einem meiner PCs (Win10 Pro 22h2, keine Domäne) lässt sich die Tamper Protection (Manipulationsschutz in den Sicherheitseinstellungen) selbst von einem Admin-Account nicht mehr editieren. Ich kann die Ownership des Zweigs "Features" nicht übernehmen:
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features\TamperProtection"

Leider habe ich keine Ahnung, wie/wann das passiert ist. Ich kann ein offline-Windows vom USB-Stick booten, und von dort aus auch erfolgreich und persistent den Wert von TamperProtection in der Registry des PC-Windows ändern. Bisher hat bei diesen Versuchen aber noch keine Änderung der Ownership von "Features" (auf "jeder" oder "admin") den Neustart des PC-Windows überlebt, der Wert kann dort dann wieder nicht mehr geändert werden, bzw. die ownership von Features nicht übernommen werden. . Gibt es dazu noch Ideen?

Bevor jemand fragt, warum ich die TamperProtection (und danach dann den Defender) überhaupt umschalten will: mit abgeschaltetem Defender (DefenderControl) geht ein Voll-Backup mit ctWimage gute 40% schneller. Bei einem ganzen Stall von weiteren PCs, die ich so "behandle" gab es dieses Problem noch nie.

 

[Ray Donovan]

Hast du schon cmd

sfc /scannow

mit Administrationsrechten ausprobiert?
Ich weiß nicht, ob es auch die Registry reparieren kann. Es kann aber nicht schaden es zu versuchen!

 

[Kleiner69]

Ich weiß nicht, ob es auch die Registry reparieren kann.

Dafür gibt es die DISM-Befehle.

 

[tdklaus]

@Ray Donovan , @Kleiner69 , ja, diese beiden möglichen "internen" Reparaturwege habe ich auch schon durch - ohne Erfolg, haben aber auch keine Fehlermeldungen geworfen.

 

[cumulonimbus8]

Ich kann ein offline-Windows vom USB-Stick booten, und von dort aus auch erfolgreich und persistent den Wert von TamperProtection in der Registry des PC-Windows ändern.

Stellen wir uns dumm: damit sichern und löschen.

Wenn er dann automatisch angelegt wird wäre herauszufinden von wem. Wenn nicht sollte ein Reimportieren mit deinen Rechten dir Zugriff erlauben.

PS: wenn du den Besitz nicht übernehmen kannst - wer ist der Besitzer?

CN8

 

[tdklaus]

Stellen wir uns dumm: damit sichern und löschen.

Wenn er dann automatisch angelegt wird wäre herauszufinden von wem. Wenn nicht sollte ein Reimportieren mit deinen Rechten dir Zugriff erlauben.

@cumulonimbus8 : ja, dumm stellen kann ich gut ;-) Im Ernst, auch das hatte ich schon probiert. Den legt Windows selbst wieder an, nach allem was ich zusammen googeln konnte hat das auch seine Richtigkeit.

Owner ist nur TrustedInstaller. Auf allen anderen PCs hat zusätzlich auch SYSTEM Vollzugriff, deshalb ist der Schalter wohl im Sicherheitszentrum betätigbar...

 

[cumulonimbus8]

TrustedInstaller… Schau an 😉
Und du kannst dann (nach gewaltsamem Löschen) nicht z.B. System mit als Berechtigten hinzufügen?

→ Ich habe ein ärgerliches Problem das sogar auf 2 Rechnern auftritt. Updates können nicht von intern (Win-Update, Store; wörtlich) registriert werden, als einfacher Installer geht es. Als ob »ich« an bestimmten Stellen nicht mehr in die Reg schreiben kann wobei der Download 100% erfolgt.
Damit fürchte ich, dass da eine irreperable Malaise vorliegt.

CN8