Post Views:
In questo periodo di ferie ho deciso di cominciare a creare anche degli script Powershell, diciamo pronti all'uso da mettere a disposizione della community tramite il mio repository di Github.
Il primo script è basilare, ma a mio avviso molto utile per aiutarvi a identificare e risolvere problemi di configurazione del vostro Endpoint.
In questo articolo vi spiego come è strutturato lo script e come procedere al Download ed al suo utilizzo.
Come prima cosa dovrete recarvi all'interno del seguente link per il download Gaudium1991/MicrosoftDefenderUtilScript: This repository Contain a lot of Script about Microsoft Defender for Endpoint (github.com)
Figura 1: Download dal repository Github dello zip contenente lo script |
Figura 2: Download Script |
Figura 3: Estrazione dello zip all'interno della cartella Download |
Figura 4: Contenuto della cartella appena scaricata da Github |
Ora dovrete aprire la powershell direttamente dall'Endpoint che volete anlizzare, mi raccomando apritela sempre come amministratore e con il comando cd (change directory) recatevi nella cartella appena scompattata. Il file README.md contiene una breve descrizione di quanto esegue lo script in lingua inglese.
Figura 5: Posizionamento da powershell nella cartella che contiene lo script |
Ora siete pronti ad eseguire lo script
Figura 6: Esecuzione dello script scaricato da Github |
Figura 7: Interfaccia del menù dello script |
- Verify Tamper Protection State: Verifica se la tamper protection è abilitata e viene visivamente restituito il risultato
- Check if MDE Module is Installed: Verifica che il modulo powershell per gestire MDE sia correttamente installato (nel mio caso sì) se non presente vi chiede se volete installarlo, e proprio per questo è necessario eseguire la powershell come amministratore
- MDE Client Analyzer: Esegue il Download del tools per analizzare i problemi relativi a Microsoft Defender for Endpoint e vi permette di scegliere la cartella in cui eseguire il download
- Verify is MDE is Onboarded into Tenant: Verifica che il device o meglio Defender for Endpoint all'interno della macchina sia "agganciato" ad un tenant Microsoft 365 e che quindi sia gestito in modo corretto (nel mio caso non essendo gestito mi viene detto che non ha una Value conosciuta)
- Check ForcePassiveMode Regkey: Molte volte soprattutto quando si esegue l'onboarding di MDE sui server viene configurata la chiave di registro presente a questo link Microsoft Defender Antivirus compatibility with other security products - Microsoft Defender for Endpoint | Microsoft Learn settata a 1 per forzare la modalità passiva, lo script controlla che se è configurata a 1 la setta a 0 per rendere defender attivo.
Ho voluto creare questo piccolo script, per aiutare le persone a "raccogliere" i maggiori comandi per il troubleshooting di Microsoft Defender for Endpoint sotto un unico punto per evitare di dover ricercare in rete tutte le soluzioni. Essendo la prima versione è abbastanza "basilare" ma lo aggiornerò in modo costante aggiungendo diverse funzionalità.