Настройка антивирусной программы Microsoft Defender и управление ими с помощью программы командной строки MpCmdRun

  • Применяется к: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

Вы можете выполнять задачи в Microsoft Defender антивирусной программы с помощью программы командной строки MpCmdRun. MpCmdRun удобен, если вы хотите автоматизировать задачи Microsoft Defender антивирусной программы.

  • Необходимо запустить MpCmdRun в командной строке с повышенными привилегиями (окно командной строки, открытое путем выбора запуска от имени администратора). Например, вы можете:

    1. Откройте меню Пуск и введите cmd.
    2. Щелкните правой кнопкой мыши результат командной строки и выберите Запуск от имени администратора.

  • По умолчанию папка, содержащая MpCmdRun, не находится в переменной среды PATH, поэтому перед запуском необходимо открыть папку, содержащую MpCmdRun. MpCmdRun.exe находится в следующих расположениях на устройствах Windows x64:

    • C:\Program Files\Windows Defender
    • C:\ProgramData\Microsoft\Windows Defender\Platform\<antimalware platform version>

    Последняя версия MpCmdRun всегда находится в папке C:\ProgramData\Microsoft\Windows Defender\Platform\<antimalware platform version> , если она доступна. Чтобы перейти в лучшее доступное расположение, не зная версий или доступности, используйте следующую команду расширенного каталога изменений (cd):

    (set "_done=" & if exist "%ProgramData%\Microsoft\Windows Defender\Platform\" (for /f "delims=" %d in ('dir "%ProgramData%\Microsoft\Windows Defender\Platform" /ad /b /o:-n 2^>nul') do if not defined _done (cd /d "%ProgramData%\Microsoft\Windows Defender\Platform\%d" & set _done=1)) else (cd /d "%ProgramFiles%\Windows Defender")) >nul 2>&1

    Дополнительные сведения о платформе защиты от вредоносных программ см. в разделе обновления и базовые показатели антивирусной программы Microsoft Defender.

MpCmdRun использует следующий синтаксис:

MpCmdRun.exe -Command [-CommandOptions]

В следующем примере MpCmdRun запускает полную антивирусную проверку на устройстве.

MpCmdRun.exe -Scan -ScanType 2

В оставшейся части этой статьи описываются доступные команды, параметры и сведения об устранении неполадок для MpCmdRun.

Предварительные условия

Поддерживаемые операционные системы

  • Windows

Команды и параметры в MpCmdRun

Команды и их доступные параметры описаны в следующей таблице.

Command Вариант Описание
-? или -h Отображает все доступные команды и их параметры.
-Scan [Options] Проверяет наличие вредоносных программ. Как правило, -Scan без параметров выполняется быстрая проверка, если на устройстве не настроен другой тип проверки по умолчанию.

Время ожидания быстрой и полной проверки по умолчанию истекает. Проверка автоматически останавливается по истечении времени:
  • Быстрые проверки: один день
  • Полные проверки: семь дней
-ScanType <value> Указывает тип выполняемой проверки защиты от вредоносных программ. Допустимые значения:
  • 0: по умолчанию в соответствии с конфигурацией устройства.
  • 1. Быстрая проверка.
  • 2. Полная проверка
  • 3. Настраиваемое сканирование

Код возврата является одним из следующих значений:
  • 0: один из следующих результатов:
    • Вредоносные программы не найдены.
    • Обнаружена и успешно исправлена вредоносная программа.
  • 2. Один из следующих результатов:
    • Обнаружена вредоносная программа, но не устранена.
    • Обнаружена вредоносная программа и действия пользователя, необходимые для завершения исправления.
    • Ошибки сканирования.
-BootSectorScan Допустимо только для пользовательских проверок. Включает сканирование загрузочных секторов.
-Cancel Попробуйте отменить активные быстрые или полные проверки.
-CpuThrottling Задает максимальный процент использования ЦП. Значение по умолчанию равно 50.
-DisableRemediation Допустимо только для пользовательских проверок.
  • Исключения файлов игнорируются.
  • Архив файлы сканируются.
  • Действия не применяются после обнаружения.
  • Записи журнала событий не записываются после обнаружения.
  • Обнаружения, полученные в пользовательском сканировании, не отображаются в пользовательском интерфейсе.
  • Обнаружения в результате пользовательской проверки отображаются в выходных данных команды.
-File <PathAndFilename or Path> Допустимо только для пользовательских проверок. Указывает файл или папку для сканирования.
-ReturnHR Вместо возврата 0 или 2 верните фактический HRESULT команды сканирования.
-Timeout <days> Значение по умолчанию — 7 для полных проверок и 1 для всех остальных типов сканирования. Максимальное значение — 30.
-AddDynamicSignature -Path <path> Загружает динамическую аналитику безопасности из указанного расположения.
-CaptureNetworkTrace -Path <path> Записывает входные данные сети из службы защиты сети и сохраняет их в указанном расположении. Чтобы остановить трассировку, используйте -Path без значения .

Примечание. NT AUTHORITY\LocalService должен иметь доступ на запись по указанному пути (например, C:\Windows\Temp\MpCmdRun).
-CheckExclusion -Path <PathAndFilename or Path> Проверяет, исключен ли указанный файл или путь из сканирования. Дополнительные сведения см. в разделе Проверка исключения указанного пути с помощью MpCmdRun.
-DeviceControl -TestPolicyXml <PathAndFilename> -Groups or -Rules Проверьте указанный XML-файл политики правил управления устройствами.
-Groups Определяет указанный файл как файл политики групп.
-Rules Определяет указанный файл как файл политики правил.
-DisplayECSConnection Отображает URL-адреса, используемые службой Defender Core для подключения к службе экспериментирования и конфигурации (ECS).
-GetFiles [Параметры] Создает, сжимает и сохраняет Microsoft Defender файлов журналов, связанных с антивирусной программой, в файл C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cabпо умолчанию . Дополнительные сведения см. в статье Сбор диагностических данных Microsoft Defender антивирусной программы.
-DlpTrace Включает файлы трассировки защиты от потери данных (DLP) в файл .cab.
-SupportLogLocation <RootPath> Задает корневую папку центрального расположения, куда копируется локальный файл MpSupportFiles.cab. Файл копируется с уникальным именем во вложенную папку на основе даты: <RootPath>\<MMDD>\MpSupport-<Hostname>-<HHMM>.cab. Дополнительные сведения см. в статье Сбор диагностических данных Microsoft Defender антивирусной программы.
-GetFilesDiagTrack Создает, сжимает и сохраняет Microsoft Defender файлов журналов, связанных с антивирусной программой, в файл %TEMP%\DiagOutputDir\MpSupportFiles.cab.
-HeapSnapshotConfig -Enable or -Disable -Pid <ProcessID> or -Name <ProcessName.exe> Включите или отключите конфигурацию snapshot кучи (трассировки) для указанного идентификатора или имени процесса.
-Pid <ProcessID> Значение идентификатора процесса. Допустимые значения:
  • 0 (по умолчанию): MsMpEng.exe
  • 1: MpDefenderCoreService.exe
  • 2: NisSrv.exe
  • 3: MpDlpService.exe
  • Настраиваемое значение: указанный идентификатор процесса.
-Name <ProcessName.exe> Имя процесса.
-ListAllDynamicSignatures Список идентификаторов SignatureSet для всех загруженных обновлений динамической аналитики безопасности.
-ListCustomASR Список настраиваемых правил Azure Site Recovery, настроенных на устройстве.
-OSCA Проверяет, включена ли функция ускорения копирования ОС.
-RegisterWmiSchema Повторно регистрирует схему MOF MpProtection, если она не соответствует последней установленной схеме.
-RemoveDefinitions [Options] Восстанавливает предыдущий набор определений сигнатур.
-All Восстанавливает установленную аналитику безопасности в предыдущую резервную копию или исходный набор по умолчанию.
-DynamicSignatures Удаляет только динамически скачанные обновления аналитики безопасности.
-Engine Восстанавливает ранее установленный модуль.
-RemoveDynamicSignature -SignatureSetID <SignatureSetID> Удаляет указанное динамическое обновление аналитики безопасности.
-Restore [Options] Восстанавливает или выводит список элементов, помещенных в карантин.
-ListAll Выводит список всех элементов, помещенных в карантин.
-Name <name> [-All] Восстанавливает последний элемент, помещенный в карантин, на основе указанного имени угрозы. При использовании -Allвсе элементы, помещенные в карантин, восстанавливаются на основе указанного имени угрозы. Угроза может сопоставляться с несколькими файлами.
-FilePath <QuarantinedFilePath> Восстанавливает помещенный в карантин элемент на основе пути к файлу помещенного в карантин элемента.
-Path <path> Указывает место восстановления элементов, помещенных в карантин.
  • Если вы не используете -Path, элемент восстанавливается в исходное расположение и удаляется из карантина.
  • При использовании -Pathэлемент восстанавливается по указанному пути, но он не удаляется из карантина.
-Output <filename> Запишите все имена элементов, помещенных в карантин, в указанный файл в кодировке UTF-8.
-SignatureUpdate [Options] Проверяет наличие новых обновлений аналитики безопасности.
-UNC <path> Скачивает обновления непосредственно из указанного UNC-ресурса. Если не указать значение пути, обновление выполняется непосредственно из предварительно настроенного расположения UNC.
-MMPC Скачивает обновления непосредственно из Центр Майкрософт по защите от вредоносных программ.
-Trace [Options] Запускает трассировку действий службой Microsoft Antimalware. По умолчанию регистрируются все события ошибок, предупреждений и информационных событий для всех компонентов. Результаты хранятся в C:\ProgramData\Microsoft\Windows Defender\Support\MPTrace-<YYYMMDD>-<UTC HHMMSS>-<GUID>.bin.
-Grouping <value> Указывает компонент для включения в трассировку. Допустимые значения:
  • 0x1: Служба
  • 0x2: обработчик защиты от вредоносных программ
  • 0x4: Пользовательский интерфейс
  • 0x8: защита Real-Time
  • 0x10: запланированные действия
  • 0x20: WMI
  • 0x40: NIS/GAPA
  • 0x80: центр Безопасность Windows
  • 0x100: внешний DLP
  • 0x200: Защита браузера
-Level <value> Указывает уровни серьезности событий, которые необходимо включить в трассировку. Допустимые значения:
  • 0x1: ошибки
  • 0x2: предупреждения
  • 0x4: информационные сообщения
  • 0x8: вызовы функций
  • 0x10: Подробный
  • 0x20: производительность
-TrustCheck -File <PathAndFilename> Проверяет состояние доверия для указанного файла. Ненадежные файлы могут быть ненадежными. Только известные, хорошие файлы являются доверенными.
-ValidateMapsConnection Проверяет, может ли устройство взаимодействовать с облачной службой антивирусной программы Microsoft Defender. Доступно в Windows 10 версии 1703 (апрель 2017 г.) или более поздней.

Распространенные ошибки MpCmdRun

В следующей таблице перечислены распространенные ошибки, которые могут возникнуть при использовании MpCmdRun.

Сообщение об ошибке Возможная причина
Ошибка ValidateMapsConnection (800106BA) или 0x800106BA Служба антивирусной программы Microsoft Defender отключена. Включите службу и повторите попытку. Если вам нужна помощь по повторному включению антивирусной программы Microsoft Defender, см. раздел Переустановка и включение антивирусной программы Microsoft Defender на конечных точках.

В Windows 10 версии 1909 (ноябрь 2019 г.) или более ранней и Windows Server 2019 или более ранней версии служба ранее называлась Windows антивирусная программа Defender.
0x80070667 Вы выполнили MpCmdRun.exe -ValidateMapsConnection команду в неподдерживаемой версии Windows. Выполните команду в поддерживаемых версиях Windows:
  • Windows 10 версии 1703 (апрель 2017 г.) или более поздней.
  • Windows Server 2019 или более поздней версии.
MpCmdRun не распознается как внутренняя или внешняя команда, операемая программа или пакетный файл. По умолчанию папка, содержащая MpCmdRun, отсутствует в переменной среды PATH. Необходимо запустить MpCmdRun.exe из %ProgramFiles%\Windows Defender или %ProgramData%\Microsoft\Windows Defender\Platform\<antimalware platform version> (рекомендуется).

Чтобы перейти в лучший доступный каталог в окне командной строки, используйте следующую команду расширенного каталога изменений (cd): (set "_done=" & if exist "%ProgramData%\Microsoft\Windows Defender\Platform\" (for /f "delims=" %d in ('dir "%ProgramData%\Microsoft\Windows Defender\Platform" /ad /b /o:-n 2^>nul') do if not defined _done (cd /d "%ProgramData%\Microsoft\Windows Defender\Platform\%d" & set _done=1)) else (cd /d "%ProgramFiles%\Windows Defender")) >nul 2>&1.
ValidateMapsConnection не удалось установить подключение к MAPS (hr=80070005 httpcode=450) Необходимо запустить MpCmdRun в командной строке с повышенными привилегиями. Например, вы можете:
  1. Откройте меню Пуск и введите cmd.
  2. Щелкните правой кнопкой мыши результат командной строки и выберите Запуск от имени администратора.
ValidateMapsConnection не удалось установить подключение к MAPS (hr=80070006 httpcode=451) Брандмауэр блокирует подключение или выполняет проверку TLS.
ValidateMapsConnection не удалось установить подключение к MAPS (hr=80004005 httpcode=450) Возможные проблемы, связанные с сетью. Например, проблемы с разрешением имен.
ValidateMapsConnection не удалось установить подключение к MAPS (hr=0x80508015) Брандмауэр блокирует подключение или выполняет проверку TLS.
ValidateMapsConnection не удалось установить подключение к MAPS (hr=800722F0D) Брандмауэр блокирует подключение или выполняет проверку TLS.
ValidateMapsConnection не удалось установить подключение к MAPS (hr=80072EE7 httpcode=451) Брандмауэр блокирует подключение или выполняет проверку TLS.

См. также

  • Last updated on