none
Sysmon v11.0 does not install. Error: 'You need to launch Sysmon as an Administrator.' when I use my Domain Administrator credentials! RRS feed

  • Question

  • Sysmon v11.0 does not install.  Error: 'You need to launch Sysmon as an Administrator.' when I use my Domain Administrator credentials!

    How do we get this installed if we can not install it using Domain Administrator account???

    Windows 10 Pro version 1909 OS Build 18363.836

    Command lines that fail:

    sysmon -i

    sysmon -accepteula -i

    sysmon -c also produces the same error.

    • Edited by j-critch Thursday, June 11, 2020 9:12 PM more information
    Thursday, June 11, 2020 8:39 PM

All replies

  • Hello

    It sounds like you are missing the SeDebug privilege. Does your domain admin also have local admin access on the endpoint?  Could you post the output from whoami /priv

    MarkC(MFST)

    Friday, June 19, 2020 8:43 AM
  • So, why would it need SeDebug privilege?

    Because, there is a problem with that particular privilege:

    Forum is not letting me add the web link.

    Web search for:

    If you grant somebody SeDebugPrivilege, you gave away the farm

    Raymond

    March 14th, 2008

    C:\WINDOWS\system32>whoami /priv

    PRIVILEGES INFORMATION
    ----------------------

    Privilege Name                            Description                                                        State
    ========================================= ================================================================== ========
    SeIncreaseQuotaPrivilege                  Adjust memory quotas for a process                                 Disabled
    SeSecurityPrivilege                       Manage auditing and security log                                   Disabled
    SeTakeOwnershipPrivilege                  Take ownership of files or other objects                           Disabled
    SeLoadDriverPrivilege                     Load and unload device drivers                                     Disabled
    SeSystemProfilePrivilege                  Profile system performance                                         Disabled
    SeSystemtimePrivilege                     Change the system time                                             Disabled
    SeProfileSingleProcessPrivilege           Profile single process                                             Disabled
    SeIncreaseBasePriorityPrivilege           Increase scheduling priority                                       Disabled
    SeCreatePagefilePrivilege                 Create a pagefile                                                  Disabled
    SeBackupPrivilege                         Back up files and directories                                      Disabled
    SeRestorePrivilege                        Restore files and directories                                      Disabled
    SeShutdownPrivilege                       Shut down the system                                               Disabled
    SeDebugPrivilege                          Debug programs                                                     Disabled
    SeSystemEnvironmentPrivilege              Modify firmware environment values                                 Disabled
    SeChangeNotifyPrivilege                   Bypass traverse checking                                           Enabled
    SeRemoteShutdownPrivilege                 Force shutdown from a remote system                                Disabled
    SeUndockPrivilege                         Remove computer from docking station                               Disabled
    SeManageVolumePrivilege                   Perform volume maintenance tasks                                   Disabled
    SeImpersonatePrivilege                    Impersonate a client after authentication                          Enabled
    SeCreateGlobalPrivilege                   Create global objects                                              Enabled
    SeIncreaseWorkingSetPrivilege             Increase a process working set                                     Disabled
    SeTimeZonePrivilege                       Change the time zone                                               Disabled
    SeCreateSymbolicLinkPrivilege             Create symbolic links                                              Disabled
    SeDelegateSessionUserImpersonatePrivilege Obtain an impersonation token for another user in the same session Disabled

    C:\WINDOWS\system32>

    Friday, June 19, 2020 8:51 PM