v3rtho/MDE-troubleshooter

GitHub: v3rtho/MDE-troubleshooter

一款用于分析与排查本地端点上 Defender for Endpoint 配置、日志与性能问题的轻量工具。

Stars: 104 | Forks: 8

# MDE-troubleshooter # 信息 此工具旨在帮助您分析本地端点上与 Defender for Endpoint 相关的问题。它提供安全配置、日志文件、更新信息的集中视图,并提供性能分析器的访问权限。 请注意,这是该工具的初始版本。如果您遇到任何错误或有任何改进建议,请鼓励您在我的 GitHub 页面上提交它们。您的反馈和报告非常宝贵。 2026-03-09 10_40_30-MDE Troubleshooter v3 0 # 先决条件 脚本需要以管理员身份运行才能查看所有设置。 # 免责声明 按原样提供脚本。使用风险自负。不提供任何保证或保修。 # 联系 linkedin: https://www.linkedin.com/in/thomasvrhydn/ twitter: @thomasvrhydn # 功能 Defender AV 版本信息 — AM 引擎、AM 产品、AM 服务、NIS 引擎版本、AM 运行模式、计算机状态 服务状态 — AM 服务、防病毒服务、反间谍软件服务、NIS 启用状态、虚拟机检测、计算机 ID 实时保护 — 实时保护、访问前保护、行为监控、IOAV 保护、篡改保护状态及来源 扫描信息 — 完整扫描和快速扫描的年龄、开始/结束时间 保护设置 — 云阻止级别、首次出现时阻止、云超时、隔离清除天数、文件哈希计算、设备控制状态 其他信息 — 签名回退顺序、NIS 签名最后更新时间、上次快速扫描来源 攻击面减少 ASR 规则状态 — 查看所有 19 条 ASR 规则及其当前状态(启用/审核/警告/未启用),并可按状态在可排序的数据网格弹出窗口中筛选 每条规则 ASR 排除项 — 查看按规则和全局 ASR 排除项(从注册表 HKLM:\...\Windows Defender Exploit Guard\ASR 读取),并可按规则名称筛选 漏洞利用防护 — 导出并打开漏洞利用防护 XML 配置 排除项 Defender AV 排除项 — 查看所有已配置的排除项(路径、扩展名、进程、IP地址),并在弹出数据网格中提供搜索和类型筛选 注册表键信息 — 显示 ManagedDefenderProductType、EnrollmentStatus、HideExclusionsFromLocalAdmins、DisableLocalAdminMerge,并确定在篡改保护验证下的管理状态(仅限 Intune、ConfigMgr、协同管理场景) 更新 当前签名信息 — AV 签名版本/年龄/最后更新时间、反间谍软件签名版本/年龄、NIS 签名版本 最新的 Microsoft 版本 — 从 Microsoft 网站获取最新的引擎、平台和签名版本以进行比较 更新操作 — 可直接从 UI 触发 MpCmdRun.exe 进行签名更新 日志 SENSE 日志 — 查看 EDR 传感器事件日志(Microsoft-Windows-SENSE/Operational),并提供按文本和级别(信息/警告/错误)筛选的功能,以及选中条目的详细信息窗格 Defender AV 日志 — 查看防病毒事件日志(Microsoft-Windows-Windows Defender/Operational),并提供相同的筛选和详细信息功能 性能 性能记录 — 启动 Defender AV 性能记录会话(New-MpPerformanceRecording),捕获扫描活动并保存为 ETL 文件 性能报告 — 从 ETL 记录生成报告,提供可选的报告类型:概览、十大文件、十大扩展、十大进程、十大扫描(可同时在独立窗口中打开多个报告) 预估影响(MPlog) — 解析最新的 MPlog 文件以获取 EstimatedImpact 条目,并按影响值排序,以识别高影响扫描目标 客户端分析器下载 — 将官方的 Microsoft Defender Client Analyzer 工具(MDEClientAnalyzer.zip)下载到您选择的文件夹 代理 代理配置 — 显示当前为 Defender 配置的代理 URL 和代理 PAC 防火墙 配置文件状态 — 查看域、专用和公用防火墙配置文件的设置(启用、默认入站/出站操作、日志允许) 防火墙规则浏览器 — 查看所有 Windows 防火墙规则的可过滤数据网格,支持搜索、方向、操作、启用状态和配置文件筛选。显示规则名称、端口、协议和程序路径 # 参考 https://github.com/ugurkocde/Intune/blob/main/Defender%20for%20Endpoint/MDE%20-%20Update%20Tool/MDE_Update_Tool.ps1 https://github.com/directorcia/Office365/blob/master/win10-asr-get.ps1 https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-atp/overview-attack-surface-reduction https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-atp/attack-surface-reduction https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-atp/attack-surface-reduction-faq
标签:AI合规, ASR规则, AV引擎版本, Conpot, Defender for Endpoint, EDR, Libemu, PB级数据处理, Windows安全, 云防护级别, 安全运维, 安全配置, 安全防护, 实时保护, 性能分析器, 排错工具, 攻击面减少, 更新管理, 服务状态, 本地端点分析, 注册表查看, 端点检测与响应, 签名回退, 管理员权限, 篡改防护, 终端安全, 脆弱性评估, 脱壳工具, 虚拟机组检测, 规则排除, 设备控制