# AN1446 — Analytic 1446 ## Descrição Monitora a execução de utilitários administrativos (como `bcdedit.exe`) ou modificações no registro que desabilitam o Driver Signature Enforcement (DSE) ou habilitam o Test Signing. A telemetria inclui logs de criação de processos (Sysmon EventID 1), eventos de modificação de registro (EventID 4657) e execuções subsequentes de processos que contornam a válidação de assinatura de drivers. Esta analítica é crítica pois a desabilitação do DSE permite que adversários carreguem drivers maliciosos não assinados no kernel, possibilitando ataques avançados de elevação de privilégios e persistência profunda no sistema. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1014-rootkit|T1014 — Rootkit]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] - [[t1068-exploitation-for-privilege-escalation|T1068 — Exploitation for Privilege Escalation]] --- *Fonte: [MITRE ATT&CK — AN1446](https://attack.mitre.org/detectionstrategies/DET0523#AN1446)*