MDE_Enum

MDE_Enum 是一款综合性 .NET 工具，旨在提取和显示有关 Windows Defender 排除和攻击面减少 (ASR) 规则的详细信息。即使在低用户环境下，它也能够有效地查询本地和远程系统，这使其成为系统管理员和安全专业人员的多功能工具。

• 本地和远程查询支持：无缝查询本地和远程计算机上的 Windows Defender 设置。
• 用户上下文：在低用户上下文中高效运行，无需管理权限。
• Windows Defender 排除：检索并列出 Windows Defender 中配置的所有排除路径。
• 减少攻击面 (ASR) 规则：枚举 ASR 规则，显示 ID 及其对应名称以便于识别。
• 触发的 ASR 事件：提取并列出所有触发的 ASR 事件以监控系统安全活动。
• 详细输出：以清晰的表格格式呈现信息，以便于阅读和分析。

此功能从 Windows 事件 ID 5007 日志中提取值。该工具使用正则表达式模式匹配从事件描述文本中准确提取这些值。

1. 枚举本地排除路径

 MDE_Enum /local /paths

MDE_Enum /local /paths /access (check if current user has write access) 

2. 枚举远程计算机上的排除路径

 MDE_Enum     /paths 

此功能从 Windows 事件 ID 1121 日志中提取值。该工具使用正则表达式模式匹配从事件描述文本中准确提取这些值。

1. 枚举本地记录的 ASR 规则

 MDE_Enum /local /asr 

2. 枚举远程计算机上记录的 ASR 规则

 MDE_Enum     /asr 

此功能从 MSFT_MpPreference WMI 类中提取攻击面减少 (ASR) 规则，并提供规则的综合状态及其相应的名称。

1. 本地枚举规则

 MDE_Enum /local /asr /alt 

2. 枚举远程计算机上的规则。

 MDE_Enum     /asr /alt 

• 感谢 VakninHai (https://x.com/VakninHai/status/1796628601535652289)