MDE_Enum 是一款综合性 .NET 工具,旨在提取和显示有关 Windows Defender 排除和攻击面减少 (ASR) 规则的详细信息。即使在低用户环境下,它也能够有效地查询本地和远程系统,这使其成为系统管理员和安全专业人员的多功能工具。
本地和远程查询支持:无缝查询本地和远程计算机上的 Windows Defender 设置。
用户上下文:在低用户上下文中高效运行,无需管理权限。
Windows Defender 排除:检索并列出 Windows Defender 中配置的所有排除路径。
减少攻击面 (ASR) 规则:枚举 ASR 规则,显示 ID 及其相应名称以便于识别。
触发的 ASR 事件:提取并列出所有触发的 ASR 事件以监控系统安全活动。
详细输出:以清晰的表格格式呈现信息,以便于阅读和分析。
此功能从 Windows 事件 ID 5007 日志中提取值。该工具使用正则表达式模式匹配从事件描述文本中准确提取这些值。
枚举本地排除路径
MDE_Enum /local /paths MDE_Enum /local /paths /access (check if current user has write access)
枚举远程计算机上的排除路径
MDE_Enum <remoteComputer> <username> <password> <domain> /paths
此功能从 Windows 事件 ID 1121 日志中提取值。该工具使用正则表达式模式匹配从事件描述文本中准确提取这些值。
枚举本地记录的 ASR 规则
MDE_Enum /local /asr
枚举远程计算机上记录的 ASR 规则
MDE_Enum <remoteComputer> <username> <password> <domain> /asr
此功能从 MSFT_MpPreference WMI 类中提取攻击面减少 (ASR) 规则,并提供规则的综合状态及其相应的名称。
本地枚举规则
MDE_Enum /local /asr /alt
枚举远程计算机上的规则。
MDE_Enum <remoteComputer> <domain> <username> <password> /asr /alt
感谢 VakninHai (https://x.com/VakninHai/status/1796628601535652289)
