MDE_Enum 是一款綜合性 .NET 工具,旨在提取和顯示有關 Windows Defender 排除和攻擊面減少 (ASR) 規則的詳細資訊。即使在低用戶環境下,它也能夠有效地查詢本機和遠端系統,這使其成為系統管理員和安全專業人員的多功能工具。
本機和遠端查詢支援:無縫查詢本機和遠端電腦上的 Windows Defender 設定。
使用者情境:在低使用者上下文中有效地運行,無需管理權限。
Windows Defender 排除:擷取並列出 Windows Defender 中配置的所有排除路徑。
減少攻擊面 (ASR) 規則:列舉 ASR 規則,顯示 ID 及其對應名稱以便於識別。
觸發的 ASR 事件:提取並列出所有觸發的 ASR 事件以監控系統安全活動。
詳細輸出:以清晰的表格格式呈現訊息,以便於閱讀和分析。
此功能從 Windows 事件 ID 5007 日誌中提取值。該工具使用正規表示式模式來匹配從事件描述文字中準確提取這些值。
列舉本地排除路徑
MDE_Enum /local /paths MDE_Enum /local /paths /access (check if current user has write access)
枚舉遠端電腦上的排除路徑
MDE_Enum/paths
此功能從 Windows 事件 ID 1121 日誌中提取值。該工具使用正規表示式模式來匹配從事件描述文字中準確提取這些值。
列舉本地記錄的 ASR 規則
MDE_Enum /local /asr
枚舉遠端電腦上記錄的 ASR 規則
MDE_Enum/asr
此功能可從 MSFT_MpPreference WMI 類別中提取攻擊面減少 (ASR) 規則,並提供規則的綜合狀態及其對應的名稱。
本地枚舉規則
MDE_Enum /local /asr /alt
枚舉遠端電腦上的規則。
MDE_Enum/asr /alt
感謝 VakninHai (https://x.com/VakninHai/status/1796628601535652289)
