Condividi tramite

Configurare e gestire Microsoft Defender Antivirus con lo strumento da riga di comando MpCmdRun

  • Si applica a: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

È possibile eseguire attività in Microsoft Defender Antivirus usando lo strumento da riga di comando MpCmdRun. MpCmdRun è utile quando si vuole automatizzare Microsoft Defender attività antivirus.

  • È necessario eseguire MpCmdRun in un prompt dei comandi con privilegi elevati (finestra del prompt dei comandi aperta selezionando Esegui come amministratore). Ad esempio:

    1. Aprire il menu Start e quindi digitare cmd.
    2. Fare clic con il pulsante destro del mouse sul risultato del prompt dei comandi e quindi scegliere Esegui come amministratore.

  • Per impostazione predefinita, la cartella che contiene MpCmdRun non è inclusa nella variabile di ambiente PATH, quindi è necessario accedere alla cartella che contiene MpCmdRun prima di poterla eseguire. MpCmdRun.exe si trova nelle posizioni seguenti nei dispositivi Windows x64:

    • C:\Program Files\Windows Defender
    • C:\ProgramData\Microsoft\Windows Defender\Platform\<antimalware platform version>

    La versione più recente di MpCmdRun è sempre presente nella C:\ProgramData\Microsoft\Windows Defender\Platform\<antimalware platform version> cartella, se disponibile. Per passare al percorso migliore disponibile senza conoscere le versioni o la disponibilità, usare il comando cd (Enhanced Change Directory) seguente:

    (set "_done=" & if exist "%ProgramData%\Microsoft\Windows Defender\Platform\" (for /f "delims=" %d in ('dir "%ProgramData%\Microsoft\Windows Defender\Platform" /ad /b /o:-n 2^>nul') do if not defined _done (cd /d "%ProgramData%\Microsoft\Windows Defender\Platform\%d" & set _done=1)) else (cd /d "%ProgramFiles%\Windows Defender")) >nul 2>&1

    Per altre informazioni sulla piattaforma antimalware, vedere Microsoft Defender Aggiornamenti antivirus e baseline.

MpCmdRun usa la sintassi seguente:

MpCmdRun.exe -Command [-CommandOptions]

Nell'esempio seguente MpCmdRun avvia un'analisi antivirus completa nel dispositivo.

MpCmdRun.exe -Scan -ScanType 2

Il resto di questo articolo descrive i comandi, le opzioni e le informazioni sulla risoluzione dei problemi disponibili per MpCmdRun.

Prerequisiti

Sistemi operativi supportati

  • Windows

Comandi e opzioni in MpCmdRun

I comandi e le relative opzioni disponibili sono descritti nella tabella seguente.

Comando Opzione Descrizione
-? o -h Visualizza tutti i comandi disponibili e le relative opzioni.
-Scan [Options] Analizza la ricerca di software dannoso. In genere, -Scan senza opzioni viene eseguita un'analisi rapida, a meno che nel dispositivo non sia configurato un tipo di analisi predefinito diverso.

Le analisi rapide e le analisi complete hanno timeout predefiniti. L'analisi viene arrestata automaticamente dopo il tempo trascorso:
  • Analisi rapide: un giorno
  • Analisi complete: sette giorni
-ScanType <value> Specifica il tipo di analisi antimalware da eseguire. I valori validi sono:
  • 0: impostazione predefinita, in base alla configurazione del dispositivo.
  • 1: Analisi rapida.
  • 2: Analisi completa
  • 3: Analisi personalizzata

Il codice restituito è uno dei valori seguenti:
  • 0: Uno dei risultati seguenti:
    • Nessun malware trovato.
    • Malware trovato e corretto.
  • 2: Uno dei risultati seguenti:
    • Malware trovato e non corretto.
    • Malware trovato e azione dell'utente necessaria per completare la correzione.
    • Errori di analisi.
-BootSectorScan Valido solo per analisi personalizzate. Abilita l'analisi del settore di avvio.
-Cancel Provare ad annullare analisi rapide attive o analisi complete.
-CpuThrottling Specifica la percentuale massima di utilizzo della CPU. Il valore predefinito è 50.
-DisableRemediation Valido solo per analisi personalizzate.
  • Le esclusioni di file vengono ignorate.
  • Archivio file vengono analizzati.
  • Le azioni non vengono applicate dopo il rilevamento.
  • Le voci del registro eventi non vengono scritte dopo il rilevamento.
  • I rilevamenti dall'analisi personalizzata non vengono visualizzati nell'interfaccia utente.
  • I rilevamenti dall'analisi personalizzata vengono visualizzati nell'output del comando.
-File <PathAndFilename or Path> Valido solo per analisi personalizzate. Specifica il file o la cartella da analizzare.
-ReturnHR Anziché restituire 0 o 2, restituire l'HRESULT effettivo del comando di analisi.
-Timeout <days> Il valore predefinito è 7 per le analisi complete e 1 per tutti gli altri tipi di analisi. Il valore massimo è 30.
-AddDynamicSignature -Path <path> Carica l'intelligence di sicurezza dinamica dal percorso specificato.
-CaptureNetworkTrace -Path <path> Acquisisce l'input di rete dal servizio Protezione rete e lo salva nel percorso specificato. Per arrestare la traccia, usare -Path senza un valore.

Nota: NT AUTHORITY\LocalService deve avere accesso in scrittura al percorso specificato , C:\Windows\Temp\MpCmdRunad esempio .
-CheckExclusion -Path <PathAndFilename or Path> Verifica se il file o il percorso specificato è escluso dall'analisi. Per altre informazioni, vedere Verificare se un percorso specificato è escluso usando MpCmdRun.
-DeviceControl -TestPolicyXml <PathAndFilename> -Groups or -Rules Convalidare il file di criteri XML delle regole di controllo del dispositivo specificato.
-Groups Identifica il file specificato come file di criteri dei gruppi.
-Rules Identifica il file specificato come file di criteri delle regole.
-DisplayECSConnection Visualizza gli URL usati dal servizio Defender Core per connettersi al servizio sperimentazione e configurazione (ECS).
-GetFiles [Opzioni] Genera, comprime e salva Microsoft Defender file di log correlati all'antivirus nel file C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cabpredefinito. Per altre informazioni, vedere Raccogliere Microsoft Defender dati di diagnostica antivirus.
-DlpTrace Include i file di traccia di prevenzione della perdita dei dati (DLP) nel file di .cab.
-SupportLogLocation <RootPath> Specifica la cartella radice di un percorso centrale in cui viene copiato il file MpSupportFiles.cab locale. Il file viene copiato con un nome di file univoco in un percorso di sottocartella basato su data: <RootPath>\<MMDD>\MpSupport-<Hostname>-<HHMM>.cab. Per altre informazioni, vedere Raccogliere Microsoft Defender dati di diagnostica antivirus.
-GetFilesDiagTrack Genera, comprime e salva Microsoft Defender file di log correlati all'antivirus nel file %TEMP%\DiagOutputDir\MpSupportFiles.cab.
-HeapSnapshotConfig -Enable or -Disable -Pid <ProcessID> or -Name <ProcessName.exe> Abilitare o disabilitare la configurazione dello snapshot dell'heap (traccia) per l'ID processo o il nome del processo specificato.
-Pid <ProcessID> Valore dell'ID processo del processo. I valori validi sono:
  • 0 (impostazione predefinita): MsMpEng.exe
  • 1: MpDefenderCoreService.exe
  • 2: NisSrv.exe
  • 3: MpDlpService.exe
  • Valore personalizzato: ID processo specificato.
-Name <ProcessName.exe> Nome del processo.
-ListAllDynamicSignatures Elenca gli ID SignatureSet di tutti gli aggiornamenti di Intelligence per la sicurezza dinamica caricati.
-ListCustomASR Elenca tutte le regole di Azure Site Recovery personalizzate configurate nel dispositivo.
-OSCA Verifica se la funzionalità Accelerazione copia del sistema operativo è abilitata.
-RegisterWmiSchema Registra nuovamente lo schema MOF MpProtection se non corrisponde allo schema installato più recente.
-RemoveDefinitions [Options] Ripristina il set precedente di definizioni di firma.
-All Ripristina l'intelligence di sicurezza installata in una copia di backup precedente o nel set predefinito originale.
-DynamicSignatures Rimuove solo gli aggiornamenti delle informazioni di sicurezza scaricati dinamicamente.
-Engine Ripristina il motore installato in precedenza.
-RemoveDynamicSignature -SignatureSetID <SignatureSetID> Rimuove l'aggiornamento dell'intelligence di sicurezza dinamica specificato.
-Restore [Options] Ripristina o elenca gli elementi in quarantena.
-ListAll Elenca tutti gli elementi in quarantena.
-Name <name> [-All] Ripristina l'elemento in quarantena più recente in base al nome della minaccia specificato. Se si usa -All, tutti gli elementi in quarantena vengono ripristinati in base al nome della minaccia specificato. Una minaccia può essere mappata a più file.
-FilePath <QuarantinedFilePath> Ripristina un elemento in quarantena in base al percorso del file dell'elemento in quarantena.
-Path <path> Specifica dove ripristinare gli elementi in quarantena.
  • Se non si usa -Path, l'elemento viene ripristinato nella posizione originale e viene rimosso dalla quarantena.
  • Se si usa -Path, l'elemento viene ripristinato nel percorso specificato, ma l'elemento non viene rimosso dalla quarantena.
-Output <filename> Scrivere tutti i nomi di elementi in quarantena nel file specificato con codifica UTF-8.
-SignatureUpdate [Options] Verifica la disponibilità di nuovi aggiornamenti dell'intelligence per la sicurezza.
-UNC <path> Scarica gli aggiornamenti direttamente dalla condivisione file UNC specificata. Se non si specifica un valore di percorso, l'aggiornamento viene eseguito direttamente dal percorso UNC preconfigurato.
-MMPC Scarica gli aggiornamenti direttamente dal Microsoft Malware Protection Center.
-Trace [Options] Avvia una traccia delle azioni da parte del servizio Microsoft Antimalware. Per impostazione predefinita, vengono registrati tutti gli eventi di errore, avviso e informativo per tutti i componenti. I risultati vengono archiviati in C:\ProgramData\Microsoft\Windows Defender\Support\MPTrace-<YYYMMDD>-<UTC HHMMSS>-<GUID>.bin.
-Grouping <value> Specifica il componente da includere nella traccia. I valori validi sono:
  • 0x1: Servizio
  • 0x2: Motore di protezione antimalware
  • 0x4: Interfaccia utente
  • 0x8: protezione Real-Time
  • 0x10: Azioni pianificate
  • 0x20: WMI
  • 0x40: NIS/GAPA
  • 0x80: centro Sicurezza di Windows
  • 0x100: DLP esterno
  • 0x200: Protezione browser
-Level <value> Specifica i livelli di gravità dell'evento da includere nella traccia. I valori validi sono:
  • 0x1: Errori
  • 0x2: Avvisi
  • 0x4: Messaggi informativi
  • 0x8: chiamate di funzione
  • 0x10: Dettagliato
  • 0x20: Prestazioni
-TrustCheck -File <PathAndFilename> Controlla lo stato di attendibilità del file specificato. I file non attendibili potrebbero non essere attendibili. Solo i file noti e validi sono attendibili.
-ValidateMapsConnection Verifica che il dispositivo possa comunicare con il servizio cloud antivirus Microsoft Defender. Disponibile in Windows 10 versione 1703 (aprile 2017) o successiva.

Errori MpCmdRun comuni

Nella tabella seguente sono elencati gli errori comuni che potrebbero verificarsi usando MpCmdRun.

Messaggio di errore Possibile motivo
ValidateMapsConnection non riuscito (800106BA) o 0x800106BA Il servizio antivirus Microsoft Defender è disabilitato. Abilitare il servizio e riprovare. Se è necessaria assistenza per riabilitare Microsoft Defender Antivirus, vedere Reinstallare/abilitare Microsoft Defender Antivirus sugli endpoint.

In Windows 10 versione 1909 (novembre 2019) o versioni precedenti e Windows Server 2019 o versioni precedenti, il servizio era in precedenza denominato Windows Antivirus Defender.
0x80070667 È stato eseguito il MpCmdRun.exe -ValidateMapsConnection comando in una versione non supportata di Windows. Eseguire il comando in una versione supportata di Windows:
  • Windows 10 versione 1703 (aprile 2017) o successiva.
  • Windows Server 2019 o versioni successive.
MpCmdRun non viene riconosciuto come comando interno o esterno, programma operabile o file batch. Per impostazione predefinita, la cartella che contiene MpCmdRun non è inclusa nella variabile di ambiente PATH. È necessario eseguire MpCmdRun.exe da %ProgramFiles%\Windows Defender o %ProgramData%\Microsoft\Windows Defender\Platform\<antimalware platform version> (scelta consigliata).

Per passare alla directory migliore disponibile in una finestra del prompt dei comandi, usare il comando cd (Enhanced Change Directory) seguente: (set "_done=" & if exist "%ProgramData%\Microsoft\Windows Defender\Platform\" (for /f "delims=" %d in ('dir "%ProgramData%\Microsoft\Windows Defender\Platform" /ad /b /o:-n 2^>nul') do if not defined _done (cd /d "%ProgramData%\Microsoft\Windows Defender\Platform\%d" & set _done=1)) else (cd /d "%ProgramFiles%\Windows Defender")) >nul 2>&1.
ValidateMapsConnection non è riuscito a stabilire una connessione a MAPS (hr=80070005 httpcode=450) È necessario eseguire MpCmdRun in un prompt dei comandi con privilegi elevati. Ad esempio:
  1. Aprire il menu Start e quindi digitare cmd.
  2. Fare clic con il pulsante destro del mouse sul risultato del prompt dei comandi e quindi scegliere Esegui come amministratore.
ValidateMapsConnection non è riuscito a stabilire una connessione a MAPS (hr=80070006 httpcode=451) Un firewall blocca la connessione o esegue l'ispezione TLS.
ValidateMapsConnection non è riuscito a stabilire una connessione a MAPS (hr=80004005 httpcode=450) Possibili problemi relativi alla rete. Ad esempio, problemi di risoluzione dei nomi.
ValidateMapsConnection non è riuscito a stabilire una connessione a MAPS (hr=0x80508015) Un firewall blocca la connessione o esegue l'ispezione TLS.
ValidateMapsConnection non è riuscito a stabilire una connessione a MAPS (hr=800722F0D) Un firewall blocca la connessione o esegue l'ispezione TLS.
ValidateMapsConnection non è riuscito a stabilire una connessione a MAPS (hr=80072EE7 httpcode=451) Un firewall blocca la connessione o esegue l'ispezione TLS.

Vedere anche

  • Last updated on