v3rtho/MDE-troubleshooter
GitHub: v3rtho/MDE-troubleshooter
一款用于分析与排查本地端点上 Defender for Endpoint 配置、日志与性能问题的轻量工具。
Stars: 104 | Forks: 8
# MDE-troubleshooter
# 信息
此工具旨在帮助您分析本地端点上与 Defender for Endpoint 相关的问题。它提供安全配置、日志文件、更新信息的集中视图,并提供性能分析器的访问权限。
请注意,这是该工具的初始版本。如果您遇到任何错误或有任何改进建议,请鼓励您在我的 GitHub 页面上提交它们。您的反馈和报告非常宝贵。
# 先决条件
脚本需要以管理员身份运行才能查看所有设置。
# 免责声明
按原样提供脚本。使用风险自负。不提供任何保证或保修。
# 联系
linkedin: https://www.linkedin.com/in/thomasvrhydn/
twitter: @thomasvrhydn
# 功能
Defender AV
版本信息 — AM 引擎、AM 产品、AM 服务、NIS 引擎版本、AM 运行模式、计算机状态
服务状态 — AM 服务、防病毒服务、反间谍软件服务、NIS 启用状态、虚拟机检测、计算机 ID
实时保护 — 实时保护、访问前保护、行为监控、IOAV 保护、篡改保护状态及来源
扫描信息 — 完整扫描和快速扫描的年龄、开始/结束时间
保护设置 — 云阻止级别、首次出现时阻止、云超时、隔离清除天数、文件哈希计算、设备控制状态
其他信息 — 签名回退顺序、NIS 签名最后更新时间、上次快速扫描来源
攻击面减少
ASR 规则状态 — 查看所有 19 条 ASR 规则及其当前状态(启用/审核/警告/未启用),并可按状态在可排序的数据网格弹出窗口中筛选
每条规则 ASR 排除项 — 查看按规则和全局 ASR 排除项(从注册表 HKLM:\...\Windows Defender Exploit Guard\ASR 读取),并可按规则名称筛选
漏洞利用防护 — 导出并打开漏洞利用防护 XML 配置
排除项
Defender AV 排除项 — 查看所有已配置的排除项(路径、扩展名、进程、IP地址),并在弹出数据网格中提供搜索和类型筛选
注册表键信息 — 显示 ManagedDefenderProductType、EnrollmentStatus、HideExclusionsFromLocalAdmins、DisableLocalAdminMerge,并确定在篡改保护验证下的管理状态(仅限 Intune、ConfigMgr、协同管理场景)
更新
当前签名信息 — AV 签名版本/年龄/最后更新时间、反间谍软件签名版本/年龄、NIS 签名版本
最新的 Microsoft 版本 — 从 Microsoft 网站获取最新的引擎、平台和签名版本以进行比较
更新操作 — 可直接从 UI 触发 MpCmdRun.exe 进行签名更新
日志
SENSE 日志 — 查看 EDR 传感器事件日志(Microsoft-Windows-SENSE/Operational),并提供按文本和级别(信息/警告/错误)筛选的功能,以及选中条目的详细信息窗格
Defender AV 日志 — 查看防病毒事件日志(Microsoft-Windows-Windows Defender/Operational),并提供相同的筛选和详细信息功能
性能
性能记录 — 启动 Defender AV 性能记录会话(New-MpPerformanceRecording),捕获扫描活动并保存为 ETL 文件
性能报告 — 从 ETL 记录生成报告,提供可选的报告类型:概览、十大文件、十大扩展、十大进程、十大扫描(可同时在独立窗口中打开多个报告)
预估影响(MPlog) — 解析最新的 MPlog 文件以获取 EstimatedImpact 条目,并按影响值排序,以识别高影响扫描目标
客户端分析器下载 — 将官方的 Microsoft Defender Client Analyzer 工具(MDEClientAnalyzer.zip)下载到您选择的文件夹
代理
代理配置 — 显示当前为 Defender 配置的代理 URL 和代理 PAC
防火墙
配置文件状态 — 查看域、专用和公用防火墙配置文件的设置(启用、默认入站/出站操作、日志允许)
防火墙规则浏览器 — 查看所有 Windows 防火墙规则的可过滤数据网格,支持搜索、方向、操作、启用状态和配置文件筛选。显示规则名称、端口、协议和程序路径
# 参考
https://github.com/ugurkocde/Intune/blob/main/Defender%20for%20Endpoint/MDE%20-%20Update%20Tool/MDE_Update_Tool.ps1
https://github.com/directorcia/Office365/blob/master/win10-asr-get.ps1
https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-atp/overview-attack-surface-reduction
https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-atp/attack-surface-reduction
https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-atp/attack-surface-reduction-faq
# 先决条件
脚本需要以管理员身份运行才能查看所有设置。
# 免责声明
按原样提供脚本。使用风险自负。不提供任何保证或保修。
# 联系
linkedin: https://www.linkedin.com/in/thomasvrhydn/
twitter: @thomasvrhydn
# 功能
Defender AV
版本信息 — AM 引擎、AM 产品、AM 服务、NIS 引擎版本、AM 运行模式、计算机状态
服务状态 — AM 服务、防病毒服务、反间谍软件服务、NIS 启用状态、虚拟机检测、计算机 ID
实时保护 — 实时保护、访问前保护、行为监控、IOAV 保护、篡改保护状态及来源
扫描信息 — 完整扫描和快速扫描的年龄、开始/结束时间
保护设置 — 云阻止级别、首次出现时阻止、云超时、隔离清除天数、文件哈希计算、设备控制状态
其他信息 — 签名回退顺序、NIS 签名最后更新时间、上次快速扫描来源
攻击面减少
ASR 规则状态 — 查看所有 19 条 ASR 规则及其当前状态(启用/审核/警告/未启用),并可按状态在可排序的数据网格弹出窗口中筛选
每条规则 ASR 排除项 — 查看按规则和全局 ASR 排除项(从注册表 HKLM:\...\Windows Defender Exploit Guard\ASR 读取),并可按规则名称筛选
漏洞利用防护 — 导出并打开漏洞利用防护 XML 配置
排除项
Defender AV 排除项 — 查看所有已配置的排除项(路径、扩展名、进程、IP地址),并在弹出数据网格中提供搜索和类型筛选
注册表键信息 — 显示 ManagedDefenderProductType、EnrollmentStatus、HideExclusionsFromLocalAdmins、DisableLocalAdminMerge,并确定在篡改保护验证下的管理状态(仅限 Intune、ConfigMgr、协同管理场景)
更新
当前签名信息 — AV 签名版本/年龄/最后更新时间、反间谍软件签名版本/年龄、NIS 签名版本
最新的 Microsoft 版本 — 从 Microsoft 网站获取最新的引擎、平台和签名版本以进行比较
更新操作 — 可直接从 UI 触发 MpCmdRun.exe 进行签名更新
日志
SENSE 日志 — 查看 EDR 传感器事件日志(Microsoft-Windows-SENSE/Operational),并提供按文本和级别(信息/警告/错误)筛选的功能,以及选中条目的详细信息窗格
Defender AV 日志 — 查看防病毒事件日志(Microsoft-Windows-Windows Defender/Operational),并提供相同的筛选和详细信息功能
性能
性能记录 — 启动 Defender AV 性能记录会话(New-MpPerformanceRecording),捕获扫描活动并保存为 ETL 文件
性能报告 — 从 ETL 记录生成报告,提供可选的报告类型:概览、十大文件、十大扩展、十大进程、十大扫描(可同时在独立窗口中打开多个报告)
预估影响(MPlog) — 解析最新的 MPlog 文件以获取 EstimatedImpact 条目,并按影响值排序,以识别高影响扫描目标
客户端分析器下载 — 将官方的 Microsoft Defender Client Analyzer 工具(MDEClientAnalyzer.zip)下载到您选择的文件夹
代理
代理配置 — 显示当前为 Defender 配置的代理 URL 和代理 PAC
防火墙
配置文件状态 — 查看域、专用和公用防火墙配置文件的设置(启用、默认入站/出站操作、日志允许)
防火墙规则浏览器 — 查看所有 Windows 防火墙规则的可过滤数据网格,支持搜索、方向、操作、启用状态和配置文件筛选。显示规则名称、端口、协议和程序路径
# 参考
https://github.com/ugurkocde/Intune/blob/main/Defender%20for%20Endpoint/MDE%20-%20Update%20Tool/MDE_Update_Tool.ps1
https://github.com/directorcia/Office365/blob/master/win10-asr-get.ps1
https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-atp/overview-attack-surface-reduction
https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-atp/attack-surface-reduction
https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-atp/attack-surface-reduction-faq标签:AI合规, ASR规则, AV引擎版本, Conpot, Defender for Endpoint, EDR, Libemu, PB级数据处理, Windows安全, 云防护级别, 安全运维, 安全配置, 安全防护, 实时保护, 性能分析器, 排错工具, 攻击面减少, 更新管理, 服务状态, 本地端点分析, 注册表查看, 端点检测与响应, 签名回退, 管理员权限, 篡改防护, 终端安全, 脆弱性评估, 脱壳工具, 虚拟机组检测, 规则排除, 设备控制