Konfigurace a správa Microsoft Defender Antivirové ochrany pomocí nástroje příkazového řádku MpCmdRun

  • Platí pro: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

V Microsoft Defender Antivirus můžete provádět úkoly pomocí nástroje příkazového řádku MpCmdRun. MpCmdRun je užitečný, když chcete automatizovat úlohy Microsoft Defender Antivirus.

  • MpCmdRun musíte spustit na příkazovém řádku se zvýšenými oprávněními (okno příkazového řádku, které jste otevřeli výběrem možnosti Spustit jako správce). Příklady:

    1. Otevřete nabídku Start a zadejte cmd.
    2. Klikněte pravým tlačítkem na výsledek příkazového řádku a pak vyberte Spustit jako správce.

  • Ve výchozím nastavení složka, která obsahuje MpCmdRun, není v proměnné prostředí PATH, takže se před spuštěním musíte dostat do složky, která obsahuje MpCmdRun. MpCmdRun.exe se nachází v následujících umístěních na zařízeních s Windows x64:

    • C:\Program Files\Windows Defender
    • C:\ProgramData\Microsoft\Windows Defender\Platform\<antimalware platform version>

    Nejnovější verze nástroje MpCmdRun je vždy ve složce, C:\ProgramData\Microsoft\Windows Defender\Platform\<antimalware platform version> pokud je k dispozici. Pokud chcete přejít na nejlepší dostupné umístění bez znalosti verzí nebo dostupnosti, použijte následující příkaz enhanced change directory (cd):

    (set "_done=" & if exist "%ProgramData%\Microsoft\Windows Defender\Platform\" (for /f "delims=" %d in ('dir "%ProgramData%\Microsoft\Windows Defender\Platform" /ad /b /o:-n 2^>nul') do if not defined _done (cd /d "%ProgramData%\Microsoft\Windows Defender\Platform\%d" & set _done=1)) else (cd /d "%ProgramFiles%\Windows Defender")) >nul 2>&1

    Další informace o antimalwarové platformě najdete v tématu Microsoft Defender Aktualizace a směrné plány antivirové ochrany.

MpCmdRun používá následující syntaxi:

MpCmdRun.exe -Command [-CommandOptions]

V následujícím příkladu mpCmdRun spustí úplnou antivirovou kontrolu zařízení.

MpCmdRun.exe -Scan -ScanType 2

Zbývající část tohoto článku popisuje dostupné příkazy, možnosti a informace o řešení potíží pro MpCmdRun.

Požadavky

Podporované operační systémy

  • Windows

Příkazy a možnosti v MpCmdRun

Příkazy a jejich dostupné možnosti jsou popsány v následující tabulce.

Příkaz Možnost Popis
-? Nebo -h Zobrazí všechny dostupné příkazy a jejich možnosti.
-Scan [Options] Vyhledá škodlivý software. Obvykle -Scan bez možností spustí rychlou kontrolu, pokud není na zařízení nakonfigurovaný jiný výchozí typ kontroly.

Rychlé a úplné kontroly mají výchozí časové limity. Po uplynutí časového limitu se kontrola automaticky zastaví:
  • Rychlé kontroly: Jeden den
  • Úplné kontroly: Sedm dní
-ScanType <value> Určuje typ antimalwarové kontroly, která se má spustit. Platné hodnoty jsou:
  • 0: Výchozí podle konfigurace zařízení.
  • 1: Rychlá kontrola.
  • 2: Úplná kontrola
  • 3: Vlastní kontrola

Návratový kód je jedna z následujících hodnot:
  • 0: Jeden z následujících výsledků:
    • Nenašel se žádný malware.
    • Malware se našel a úspěšně napravil.
  • 2: Jeden z následujících výsledků:
    • Malware se našel a nenapravil.
    • Nalezený malware a akce uživatele vyžadovaná k dokončení nápravy
    • Kontroly chyb.
-BootSectorScan Platí pouze pro vlastní kontroly. Umožňuje kontrolu spouštěcího sektoru.
-Cancel Zkuste zrušit aktivní rychlé kontroly nebo úplné kontroly.
-CpuThrottling Určuje maximální procento využití procesoru. Výchozí hodnota je 50.
-DisableRemediation Platí pouze pro vlastní kontroly.
  • Vyloučení souborů se ignorují.
  • Archive soubory se kontrolují.
  • Akce se po zjištění nepoužijí.
  • Položky protokolu událostí se po zjištění nezapíšou.
  • Detekce z vlastní kontroly se nezobrazují v uživatelském rozhraní.
  • Detekce z vlastní kontroly se zobrazí ve výstupu příkazu.
-File <PathAndFilename or Path> Platí pouze pro vlastní kontroly. Určuje soubor nebo složku, které se mají zkontrolovat.
-ReturnHR Místo vrácení hodnoty 0 nebo 2 vraťte skutečnou hodnotu HRESULT příkazu scan.
-Timeout <days> Výchozí hodnota je 7 pro úplné kontroly a 1 pro všechny ostatní typy kontroly. Maximální hodnota je 30.
-AddDynamicSignature -Path <path> Načte dynamické inteligentní funkce zabezpečení ze zadaného umístění.
-CaptureNetworkTrace -Path <path> Zachytí síťový vstup ze služby Network Protection a uloží ho do zadaného umístění. Pokud chcete trasování zastavit, použijte -Path příkaz bez hodnoty.

Poznámka: NT AUTHORITY\LocalService musí mít oprávnění k zápisu do zadané cesty (například C:\Windows\Temp\MpCmdRun).
-CheckExclusion -Path <PathAndFilename or Path> Ověří, jestli je zadaný soubor nebo cesta vyloučena z kontroly. Další informace najdete v tématu Ověření, jestli je zadaná cesta vyloučena pomocí mpCmdRun.
-DeviceControl -TestPolicyXml <PathAndFilename> -Groups or -Rules Ověřte zadaný soubor zásad XML pravidel řízení zařízení.
-Groups Identifikuje zadaný soubor jako soubor zásad skupiny.
-Rules Identifikuje zadaný soubor jako soubor zásad pravidel.
-DisplayECSConnection Zobrazí adresy URL používané službou Defender Core pro připojení ke službě Experimentování a konfigurace (ECS).
-GetFiles [Možnosti] Generuje, komprimuje a ukládá Microsoft Defender soubory protokolu související s antivirovou sadou do výchozího souboru C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab. Další informace najdete v tématu Shromažďování diagnostických dat Microsoft Defender Antivirové ochrany.
-DlpTrace Zahrnuje trasovací soubory ochrany před únikem informací (DLP) do souboru .cab.
-SupportLogLocation <RootPath> Určuje kořenovou složku centrálního umístění, kam se zkopíruje místní MpSupportFiles.cab soubor. Soubor se zkopíruje s jedinečným názvem souboru do cesty k podsložce na základě data: <RootPath>\<MMDD>\MpSupport-<Hostname>-<HHMM>.cab. Další informace najdete v tématu Shromažďování diagnostických dat Microsoft Defender Antivirové ochrany.
-GetFilesDiagTrack Generuje, komprimuje a ukládá Microsoft Defender soubory protokolu související s antivirovým programem do souboru %TEMP%\DiagOutputDir\MpSupportFiles.cab.
-HeapSnapshotConfig -Enable or -Disable -Pid <ProcessID> or -Name <ProcessName.exe> Povolte nebo zakažte konfiguraci snímku (trasování) haldy pro zadané ID procesu nebo název procesu.
-Pid <ProcessID> Hodnota ID procesu procesu. Platné hodnoty jsou:
  • 0 (výchozí): MsMpEng.exe
  • 1: MpDefenderCoreService.exe
  • 2: NisSrv.exe
  • 3: MpDlpService.exe
  • Vlastní hodnota: Zadané ID procesu.
-Name <ProcessName.exe> Název procesu.
-ListAllDynamicSignatures Zobrazí seznam ID sady podpisů všech načtených aktualizací dynamických inteligentních funkcí zabezpečení.
-ListCustomASR Zobrazí seznam všech vlastních pravidel Azure Site Recovery nakonfigurovaných na zařízení.
-OSCA Ověřuje, jestli je povolená funkce akcelerace kopírování operačního systému.
-RegisterWmiSchema Znovu zaregistruje schéma MPProtection MOF, pokud neodpovídá nejnovějšímu nainstalovanému schématu.
-RemoveDefinitions [Options] Obnoví předchozí sadu definic podpisů.
-All Obnoví nainstalované funkce zabezpečení do předchozí záložní kopie nebo do původní výchozí sady.
-DynamicSignatures Odebere pouze dynamicky stahované aktualizace bezpečnostních funkcí.
-Engine Obnoví dříve nainstalovaný modul.
-RemoveDynamicSignature -SignatureSetID <SignatureSetID> Odebere zadanou aktualizaci dynamické analýzy zabezpečení.
-Restore [Options] Obnoví nebo vypíše položky v karanténě.
-ListAll Zobrazí seznam všech položek v karanténě.
-Name <name> [-All] Obnoví naposledy umístěnou položku v karanténě na základě zadaného názvu hrozby. Pokud použijete -All, všechny položky v karanténě se obnoví na základě zadaného názvu hrozby. Hrozba se může mapovat na více souborů.
-FilePath <QuarantinedFilePath> Obnoví položku v karanténě na základě cesty k souboru položky v karanténě.
-Path <path> Určuje, kde se mají obnovit položky v karanténě.
  • Pokud nepoužijete -Path, obnoví se položka do původního umístění a odebere se z karantény.
  • Pokud použijete -Path, položka se obnoví na zadanou cestu, ale položka se neodebere z karantény.
-Output <filename> Zapište všechny názvy položek v karanténě do zadaného souboru s kódováním UTF-8.
-SignatureUpdate [Options] Kontroluje nové aktualizace bezpečnostních informací.
-UNC <path> Stahuje aktualizace přímo ze zadané sdílené složky UNC. Pokud nezadáte hodnotu cesty, provede se aktualizace přímo z předkonfigurovaného umístění UNC.
-MMPC Stahuje aktualizace přímo z Centrum společnosti Microsoft pro ochranu před škodlivým softwarem.
-Trace [Options] Spustí trasování akcí službou Microsoft Antimalware Service. Ve výchozím nastavení jsou protokolovány všechny události Error, Warning a Informational pro všechny komponenty. Výsledky se ukládají do C:\ProgramData\Microsoft\Windows Defender\Support\MPTrace-<YYYMMDD>-<UTC HHMMSS>-<GUID>.bin.
-Grouping <value> Určuje komponentu, která se má zahrnout do trasování. Platné hodnoty jsou:
  • 0x1: Služba
  • 0x2: Modul ochrany před malwarem
  • 0x4: Uživatelské rozhraní
  • 0x8: ochrana Real-Time
  • 0x10: Naplánované akce
  • 0x20: WMI
  • 0x40: NIS/GAPA
  • 0x80: Zabezpečení Windows Center
  • 0x100: Externí ochrany před únikem informací
  • 0x200: Ochrana prohlížeče
-Level <value> Určuje úrovně závažnosti události, které se mají zahrnout do trasování. Platné hodnoty jsou:
  • 0x1: Chyby
  • 0x2: Upozornění
  • 0x4: Informační zprávy
  • 0x8: Volání funkce
  • 0x10: Podrobné
  • 0x20: Výkon
-TrustCheck -File <PathAndFilename> Zkontroluje stav důvěryhodnosti zadaného souboru. Neškodné soubory nemusí být důvěryhodné. Důvěryhodné jsou jenom známé a dobré soubory.
-ValidateMapsConnection Ověří, že zařízení může komunikovat s cloudovou službou Microsoft Defender Antivirus. K dispozici ve verzi Windows 10 1703 (duben 2017) nebo novější.

Běžné chyby MpCmdRun

V následující tabulce jsou uvedené běžné chyby, se kterými se můžete setkat při použití nástroje MpCmdRun.

Chybová zpráva Možný důvod
OvěřeníMapsConnection selhalo (800106BA) nebo 0x800106BA Služba Microsoft Defender Antivirus je zakázaná. Povolte službu a zkuste to znovu. Pokud potřebujete pomoc s opětovným povolením Microsoft Defender Antivirové ochrany, přečtěte si téma Přeinstalace/povolení Microsoft Defender Antivirové ochrany na koncových bodech.

Ve verzi Windows 10 1909 (listopad 2019) nebo starší a Windows Server 2019 nebo starší se služba dříve jmenovala Windows Antivirová ochrana v programu Defender.
0x80070667 Příkaz jste spustili v MpCmdRun.exe -ValidateMapsConnection nepodporované verzi Windows. Spusťte příkaz v podporovaných verzích Windows:
  • Windows 10 verze 1703 (duben 2017) nebo novější.
  • Windows Server 2019 nebo novější.
MpCmdRun není rozpoznán jako interní nebo externí příkaz, funkční program nebo dávkový soubor. Ve výchozím nastavení složka, která obsahuje MpCmdRun, není v proměnné prostředí PATH. Musíte spustit MpCmdRun.exe z %ProgramFiles%\Windows Defender nebo %ProgramData%\Microsoft\Windows Defender\Platform\<antimalware platform version> (doporučeno).

Pokud chcete přejít do nejlepšího dostupného adresáře v okně příkazového řádku, použijte následující příkaz (set "_done=" & if exist "%ProgramData%\Microsoft\Windows Defender\Platform\" (for /f "delims=" %d in ('dir "%ProgramData%\Microsoft\Windows Defender\Platform" /ad /b /o:-n 2^>nul') do if not defined _done (cd /d "%ProgramData%\Microsoft\Windows Defender\Platform\%d" & set _done=1)) else (cd /d "%ProgramFiles%\Windows Defender")) >nul 2>&1enhanced change directory (cd): .
Funkci ValidateMapsConnection se nepodařilo navázat připojení ke službě MAPS (hr=80070005 httpcode=450) Na příkazovém řádku se zvýšenými oprávněními musíte spustit MpCmdRun. Příklady:
  1. Otevřete nabídku Start a zadejte cmd.
  2. Klikněte pravým tlačítkem na výsledek příkazového řádku a pak vyberte Spustit jako správce.
Funkci ValidateMapsConnection se nepodařilo navázat připojení ke službě MAPS (hr=80070006 httpcode=451) Brána firewall blokuje připojení nebo provádí kontrolu protokolu TLS.
Funkci ValidateMapsConnection se nepodařilo navázat připojení ke službě MAPS (hr=80004005 httpcode=450) Možné problémy související se sítí Například problémy s překladem názvů.
Službě ValidateMapsConnection se nepodařilo navázat připojení ke službě MAPS (hr=0x80508015) Brána firewall blokuje připojení nebo provádí kontrolu protokolu TLS.
Službě ValidateMapsConnection se nepodařilo navázat připojení ke službě MAPS (hr=800722F0D) Brána firewall blokuje připojení nebo provádí kontrolu protokolu TLS.
Funkci ValidateMapsConnection se nepodařilo navázat připojení ke službě MAPS (hr=80072EE7 httpcode=451) Brána firewall blokuje připojení nebo provádí kontrolu protokolu TLS.

Viz také

  • Last updated on