Freigeben über

Konfigurieren und Verwalten von Microsoft Defender Antivirus mit dem Befehlszeilentool MpCmdRun

  • Gilt für:: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

Sie können Aufgaben in Microsoft Defender Antivirus mit dem Befehlszeilentool MpCmdRun ausführen. MpCmdRun ist nützlich, wenn Sie Microsoft Defender Antivirusaufgaben automatisieren möchten.

  • Sie müssen MpCmdRun an einer Eingabeaufforderung mit erhöhten Rechten ausführen (ein Eingabeaufforderungsfenster, das Sie durch Auswahl von Als Administrator ausführen geöffnet haben). Zum Beispiel:

    1. Öffnen Sie das Startmenü , und geben Sie dann cmd ein.
    2. Klicken Sie mit der rechten Maustaste auf das Eingabeaufforderungsergebnis , und wählen Sie dann Als Administrator ausführen aus.

  • Standardmäßig befindet sich der Ordner, der MpCmdRun enthält, nicht in der PATH-Umgebungsvariablen. Daher müssen Sie zu dem Ordner gelangen, der MpCmdRun enthält, bevor Sie ihn ausführen können. MpCmdRun.exe befindet sich auf Windows x64-Geräten an den folgenden Speicherorten:

    • C:\Program Files\Windows Defender
    • C:\ProgramData\Microsoft\Windows Defender\Platform\<antimalware platform version>

    Die neueste Version von MpCmdRun befindet sich immer im C:\ProgramData\Microsoft\Windows Defender\Platform\<antimalware platform version> Ordner, wenn sie verfügbar ist. Um zum besten verfügbaren Speicherort zu wechseln, ohne die Versionen oder Verfügbarkeit zu kennen, verwenden Sie den folgenden Befehl zum erweiterten Änderungsverzeichnis (CD):

    (set "_done=" & if exist "%ProgramData%\Microsoft\Windows Defender\Platform\" (for /f "delims=" %d in ('dir "%ProgramData%\Microsoft\Windows Defender\Platform" /ad /b /o:-n 2^>nul') do if not defined _done (cd /d "%ProgramData%\Microsoft\Windows Defender\Platform\%d" & set _done=1)) else (cd /d "%ProgramFiles%\Windows Defender")) >nul 2>&1

    Weitere Informationen zur Antischadsoftwareplattform finden Sie unter Microsoft Defender Antivirus-Updates und -Baselines.

MpCmdRun verwendet die folgende Syntax:

MpCmdRun.exe -Command [-CommandOptions]

Im folgenden Beispiel startet MpCmdRun eine vollständige Antivirenüberprüfung auf dem Gerät.

MpCmdRun.exe -Scan -ScanType 2

Im weiteren Verlauf dieses Artikels werden die verfügbaren Befehle, Optionen und Informationen zur Problembehandlung für MpCmdRun beschrieben.

Voraussetzungen

Unterstützte Betriebssysteme

  • Windows

Befehle und Optionen in MpCmdRun

Die Befehle und ihre verfügbaren Optionen werden in der folgenden Tabelle beschrieben.

Befehl Option Beschreibung
-? oder -h Zeigt alle verfügbaren Befehle und deren Optionen an.
-Scan [Options] Sucht nach Schadsoftware. -Scan In der Regel wird ohne Optionen eine Schnellüberprüfung ausgeführt, es sei denn, auf dem Gerät ist ein anderer Standardscantyp konfiguriert.

Schnellscans und vollständige Überprüfungen weisen Standardtimeouts auf. Die Überprüfung wird nach Ablauf der Zeit automatisch beendet:
  • Schnellscans: Ein Tag
  • Vollständige Überprüfungen: Sieben Tage
-ScanType <value> Gibt den Typ der auszuführenden Antischadsoftwareüberprüfung an. Gültige Werte sind:
  • 0: Standard, entsprechend der Gerätekonfiguration.
  • 1: Schnellscan.
  • 2: Vollständiger Scan
  • 3: Benutzerdefinierte Überprüfung

Der Rückgabecode ist einer der folgenden Werte:
  • 0: Eines der folgenden Ergebnisse:
    • Keine Schadsoftware gefunden.
    • Schadsoftware gefunden und erfolgreich behoben.
  • 2: Eines der folgenden Ergebnisse:
    • Schadsoftware gefunden und nicht behoben.
    • Schadsoftware gefunden und Benutzeraktion erforderlich, um die Korrektur abzuschließen.
    • Überprüfungsfehler.
-BootSectorScan Nur für benutzerdefinierte Überprüfungen gültig. Aktiviert die Überprüfung des Startsektors.
-Cancel Versuchen Sie, aktive Schnellscans oder vollständige Überprüfungen abzubrechen.
-CpuThrottling Gibt den maximalen Prozentsatz der CPU-Auslastung an. Der Standardwert ist 50.
-DisableRemediation Nur für benutzerdefinierte Überprüfungen gültig.
  • Dateiausschlüsse werden ignoriert.
  • Archiv Dateien werden gescannt.
  • Aktionen werden nach der Erkennung nicht angewendet.
  • Ereignisprotokolleinträge werden nach der Erkennung nicht geschrieben.
  • Erkennungen aus der benutzerdefinierten Überprüfung werden nicht auf der Benutzeroberfläche angezeigt.
  • Erkennungen aus der benutzerdefinierten Überprüfung werden in der Befehlsausgabe angezeigt.
-File <PathAndFilename or Path> Nur für benutzerdefinierte Überprüfungen gültig. Gibt die zu überprüfende Datei oder den Ordner an.
-ReturnHR Anstatt 0 oder 2 zurückzugeben, geben Sie das tatsächliche HRESULT des Scanbefehls zurück.
-Timeout <days> Der Standardwert ist 7 für vollständige Überprüfungen und 1 für alle anderen Scantypen. Der Maximalwert ist 30.
-AddDynamicSignature -Path <path> Lädt dynamische Sicherheitsintelligenz vom angegebenen Speicherort.
-CaptureNetworkTrace -Path <path> Erfasst netzwerkeingaben vom Netzwerkschutzdienst und speichert sie am angegebenen Speicherort. Um die Ablaufverfolgung zu beenden, verwenden Sie -Path ohne Wert.

Hinweis: NT AUTHORITY\LocalService muss Über Schreibzugriff auf den angegebenen Pfad verfügen (z. B C:\Windows\Temp\MpCmdRun. ).
-CheckExclusion -Path <PathAndFilename or Path> Überprüft, ob die angegebene Datei oder der Pfad von der Überprüfung ausgeschlossen ist. Weitere Informationen finden Sie unter Überprüfen, ob ein angegebener Pfad mit MpCmdRun ausgeschlossen wird.
-DeviceControl -TestPolicyXml <PathAndFilename> -Groups or -Rules Überprüfen Sie die angegebene XML-Richtliniendatei für Gerätesteuerungsregeln.
-Groups Identifiziert die angegebene Datei als Gruppenrichtliniendatei.
-Rules Identifiziert die angegebene Datei als Regelrichtliniendatei.
-DisplayECSConnection Zeigt die URLs an, die vom Defender Core-Dienst zum Herstellen einer Verbindung mit dem Experimentation and Configuration Service (ECS) verwendet werden.
-GetFiles [Optionen] Generiert, komprimiert und speichert Microsoft Defender Antivirus-bezogene Protokolldateien in der Standarddatei C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab. Weitere Informationen finden Sie unter Sammeln von Microsoft Defender Antivirus-Diagnosedaten.
-DlpTrace Schließt die DLP-Ablaufverfolgungsdateien (Data Loss Prevention, Verhinderung von Datenverlust) in die .cab-Datei ein.
-SupportLogLocation <RootPath> Gibt den Stammordner eines zentralen Speicherorts an, an den die lokale MpSupportFiles.cab-Datei kopiert wird. Die Datei wird mit einem eindeutigen Dateinamen in einen datumsbasierten Unterordnerpfad kopiert: <RootPath>\<MMDD>\MpSupport-<Hostname>-<HHMM>.cab. Weitere Informationen finden Sie unter Sammeln von Microsoft Defender Antivirus-Diagnosedaten.
-GetFilesDiagTrack Generiert, komprimiert und speichert Microsoft Defender Antivirus-bezogenen Protokolldateien in der Datei %TEMP%\DiagOutputDir\MpSupportFiles.cab.
-HeapSnapshotConfig -Enable or -Disable -Pid <ProcessID> or -Name <ProcessName.exe> Aktivieren oder deaktivieren Sie die Heap-Momentaufnahme konfiguration (Ablaufverfolgung) für die angegebene Prozess-ID oder den angegebenen Prozessnamen.
-Pid <ProcessID> Der Prozess-ID-Wert des Prozesses. Gültige Werte sind:
  • 0 (Standard): MsMpEng.exe
  • 1: MpDefenderCoreService.exe
  • 2: NisSrv.exe
  • 3: MpDlpService.exe
  • Ein benutzerdefinierter Wert: Die angegebene Prozess-ID.
-Name <ProcessName.exe> Der Name des Prozesses.
-ListAllDynamicSignatures Listet die SignatureSet-IDs aller geladenen dynamischen Security Intelligence-Updates auf.
-ListCustomASR Listet alle benutzerdefinierten Azure Site Recovery Regeln auf, die auf dem Gerät konfiguriert sind.
-OSCA Überprüft, ob die Funktion "Beschleunigung des Kopierens" des Betriebssystems aktiviert ist.
-RegisterWmiSchema Registriert das MpProtection MOF-Schema erneut, wenn es nicht mit dem zuletzt installierten Schema übereinstimmt.
-RemoveDefinitions [Options] Stellt den vorherigen Satz von Signaturdefinitionen wieder her.
-All Stellt die installierte Sicherheitsintelligenz in einer vorherigen Sicherungskopie oder im ursprünglichen Standardsatz wieder her.
-DynamicSignatures Entfernt nur dynamisch heruntergeladene Security Intelligence-Updates.
-Engine Stellt die zuvor installierte Engine wieder her.
-RemoveDynamicSignature -SignatureSetID <SignatureSetID> Entfernt das angegebene dynamische Security Intelligence-Update.
-Restore [Options] Stellt isolierte Elemente wieder her oder listet sie auf.
-ListAll Listet alle in Quarantäne befindlichen Elemente auf.
-Name <name> [-All] Stellt das zuletzt unter Quarantäne gestellte Element basierend auf dem angegebenen Bedrohungsnamen wieder her. Wenn Sie verwenden -All, werden alle in Quarantäne befindlichen Elemente basierend auf dem angegebenen Bedrohungsnamen wiederhergestellt. Eine Bedrohung kann mehreren Dateien zugeordnet werden.
-FilePath <QuarantinedFilePath> Stellt ein in Quarantäne befindliches Element basierend auf dem Dateipfad des isolierten Elements wieder her.
-Path <path> Gibt an, wo die in Quarantäne befindlichen Elemente wiederhergestellt werden sollen.
  • Wenn Sie nicht verwenden -Path, wird das Element an seinem ursprünglichen Speicherort wiederhergestellt und aus der Quarantäne entfernt.
  • Wenn Sie verwenden -Path, wird das Element im angegebenen Pfad wiederhergestellt, aber das Element wird nicht aus der Quarantäne entfernt.
-Output <filename> Schreiben Sie alle in Quarantäne befindlichen Elementnamen in die angegebene Datei mit UTF-8-Codierung.
-SignatureUpdate [Options] Sucht nach neuen Security Intelligence-Updates.
-UNC <path> Lädt Updates direkt aus der angegebenen UNC-Dateifreigabe herunter. Wenn Sie keinen Pfadwert angeben, erfolgt die Aktualisierung direkt am vorkonfigurierten UNC-Speicherort.
-MMPC Lädt Updates direkt aus dem Microsoft Center zum Schutz vor Malware herunter.
-Trace [Options] Startet eine Ablaufverfolgung der Aktionen durch den Microsoft Antimalware-Dienst. Standardmäßig werden alle Fehler-, Warnungs- und Informationsereignisse für alle Komponenten protokolliert. Die Ergebnisse werden in C:\ProgramData\Microsoft\Windows Defender\Support\MPTrace-<YYYMMDD>-<UTC HHMMSS>-<GUID>.bingespeichert.
-Grouping <value> Gibt die Komponente an, die in die Ablaufverfolgung eingeschlossen werden soll. Gültige Werte sind:
  • 0x1: Dienst
  • 0x2: Engine zum Schutz vor Schadsoftware
  • 0x4: Benutzeroberfläche
  • 0x8: Real-Time Protection
  • 0x10: Geplante Aktionen
  • 0x20: WMI
  • 0x40: NIS/GAPA
  • 0x80: Windows-Sicherheit Center
  • 0x100: DLP extern
  • 0x200: Browserschutz
-Level <value> Gibt die Ereignisschweregrade an, die in die Ablaufverfolgung eingeschlossen werden sollen. Gültige Werte sind:
  • 0x1: Fehler
  • 0x2: Warnungen
  • 0x4: Informationsmeldungen
  • 0x8: Funktionsaufrufe
  • 0x10: Ausführlich
  • 0x20: Leistung
-TrustCheck -File <PathAndFilename> Überprüft die vertrauensbasierte status der angegebenen Datei. Gutartige Dateien sind möglicherweise nicht vertrauenswürdig. Nur bekannte, gute Dateien werden vertrauenswürdig.
-ValidateMapsConnection Überprüft, ob das Gerät mit dem Microsoft Defender Antivirus-Clouddienst kommunizieren kann. Verfügbar in Windows 10 Version 1703 (April 2017) oder höher.

Häufige MpCmdRun-Fehler

In der folgenden Tabelle sind häufige Fehler aufgeführt, die bei der Verwendung von MpCmdRun auftreten können.

Fehlermeldung Möglicher Grund
ValidateMapsConnection failed (800106BA) or 0x800106BA Der Microsoft Defender Antivirusdienst ist deaktiviert. Aktivieren Sie den Dienst, und versuchen Sie es erneut. Wenn Sie Hilfe beim erneuten Aktivieren von Microsoft Defender Antivirus benötigen, finden Sie weitere Informationen unter Erneutes Installieren/Aktivieren von Microsoft Defender Antivirus auf Ihren Endpunkten.

In Windows 10 Version 1909 (November 2019) oder früher und Windows Server 2019 oder früher wurde der Dienst früher windows Defender Antivirus genannt.
0x80070667 Sie haben den MpCmdRun.exe -ValidateMapsConnection Befehl für eine nicht unterstützte Version von Windows ausgeführt. Führen Sie den Befehl für eine unterstützte Version von Windows aus:
  • Windows 10 Version 1703 (April 2017) oder höher.
  • Windows Server 2019 oder höher.
MpCmdRun wird nicht als interner oder externer Befehl, operierbares Programm oder Batchdatei erkannt. Standardmäßig befindet sich der Ordner, der MpCmdRun enthält, nicht in der PATH-Umgebungsvariablen. Sie müssen MpCmdRun.exe von %ProgramFiles%\Windows Defender oder %ProgramData%\Microsoft\Windows Defender\Platform\<antimalware platform version> ausführen (empfohlen).

Um zum besten verfügbaren Verzeichnis in einem Eingabeaufforderungsfenster zu wechseln, verwenden Sie den folgenden erweiterten Cd-Befehl (Change Directory): (set "_done=" & if exist "%ProgramData%\Microsoft\Windows Defender\Platform\" (for /f "delims=" %d in ('dir "%ProgramData%\Microsoft\Windows Defender\Platform" /ad /b /o:-n 2^>nul') do if not defined _done (cd /d "%ProgramData%\Microsoft\Windows Defender\Platform\%d" & set _done=1)) else (cd /d "%ProgramFiles%\Windows Defender")) >nul 2>&1.
ValidateMapsConnection konnte keine Verbindung mit MAPS herstellen (hr=80070005 httpcode=450) Sie müssen MpCmdRun an einer Eingabeaufforderung mit erhöhten Rechten ausführen. Zum Beispiel:
  1. Öffnen Sie das Startmenü , und geben Sie dann cmd ein.
  2. Klicken Sie mit der rechten Maustaste auf das Eingabeaufforderungsergebnis , und wählen Sie dann Als Administrator ausführen aus.
ValidateMapsConnection konnte keine Verbindung mit MAPS herstellen (hr=80070006 httpcode=451) Eine Firewall blockiert die Verbindung oder nimmt eine TLS-Überprüfung vor.
ValidateMapsConnection konnte keine Verbindung mit MAPS herstellen (hr=80004005 httpcode=450) Mögliche netzwerkbezogene Probleme. Beispielsweise Probleme bei der Namensauflösung.
ValidateMapsConnection konnte keine Verbindung mit MAPS herstellen (hr=0x80508015) Eine Firewall blockiert die Verbindung oder nimmt eine TLS-Überprüfung vor.
ValidateMapsConnection konnte keine Verbindung mit MAPS herstellen (hr=800722F0D) Eine Firewall blockiert die Verbindung oder nimmt eine TLS-Überprüfung vor.
ValidateMapsConnection konnte keine Verbindung mit MAPS herstellen (hr=80072EE7 httpcode=451) Eine Firewall blockiert die Verbindung oder nimmt eine TLS-Überprüfung vor.

Siehe auch

  • Last updated on