# AN0543 — Analytic 0543 ## Descrição Este analítico detecta modificações no registro e Group Policy que desabilitam ou enfraquecem o MFA no Windows, uso suspeito de PowerShell modificando atributos relacionados ao MFA e sessões de login anômalas bem-sucedidas sem o desafio de MFA esperado. A telemetria inclui modificações de registro via Sysmon (Event ID 13) em chaves relacionadas a políticas de autenticação, logs de eventos de GPO (Group Policy), logs de PowerShell (Event ID 4103, 4104) e logs de sign-in do Azure AD/Active Directory sem token MFA. Desabilitar MFA é uma técnica de alto impacto que pode comprometer toda a proteção de autenticação de uma organização, frequentemente usada em ataques de pré-ransomware. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1556-modify-authentication-process|T1556 — Modify Authentication Process]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] - [[t1112-modify-registry|T1112 — Modify Registry]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] --- *Fonte: [MITRE ATT&CK — AN0543](https://attack.mitre.org/detectionstrategies/DET0190#AN0543)*