Configuración y administración de Microsoft Defender Antivirus con la herramienta de línea de comandos de mpcmdrun.exe

Se aplica a:

• Microsoft Defender para punto de conexión Plan 1
• Microsoft Defender para punto de conexión Plan 2
• Antivirus de Microsoft Defender

Plataformas

• Windows

Puede realizar varias funciones en Microsoft Defender Antivirus mediante la herramienta de línea de comandos dedicada mpcmdrun.exe. Esta utilidad es útil cuando se desea automatizar Microsoft Defender tareas antivirus. Puede encontrar la utilidad en %ProgramFiles%\Windows Defender\MpCmdRun.exe. Ejecútelo desde un símbolo del sistema.

Sugerencia

Es posible que tenga que abrir una versión de nivel de administrador del símbolo del sistema. Al buscar el símbolo del sistema en el menú Inicio , elija Ejecutar como administrador. Si ejecuta una versión actualizada Microsoft Defender plataforma antimalware, ejecute MpCmdRun desde la siguiente ubicación: C:\ProgramData\Microsoft\Windows Defender\Platform\<antimalware platform version>. Para obtener más información sobre la plataforma antimalware, consulte Microsoft Defender actualizaciones y líneas base del Antivirus.

La utilidad MpCmdRun usa la sintaxis siguiente:

MpCmdRun.exe [command] [-options]

Aquí le mostramos un ejemplo:

MpCmdRun.exe -Scan -ScanType 2

En nuestro ejemplo, la utilidad MpCmdRun inicia un examen antivirus completo en el dispositivo.

Comandos

Comando	Descripción
-? o-h	Muestra todas las opciones disponibles para la herramienta MpCmdRun.
-Scan [-ScanType [<value>]] [-File <path> [-DisableRemediation] [-BootSectorScan] [-CpuThrottling]] [-Timeout <days>] [-Cancel]	Busca software malintencionado. Los valores de ScanType son: 0 Valor predeterminado, según la configuración 1 Examen rápido 2 Examen completo 3 Examen personalizado de archivos y directorios. CpuThrottling se ejecuta según las configuraciones de directiva.
-Trace [-Grouping #] [-Level #]	Inicia el seguimiento de diagnóstico.
-CaptureNetworkTrace -Path <path>	Captura toda la entrada de red en el servicio Protección de red y la guarda en un archivo en <path>. Proporcione una ruta de acceso vacía para detener el seguimiento.
-GetFiles [-SupportLogLocation <path>]	Recopila información de soporte técnico. Consulte Recopilación de datos de diagnóstico.
-GetFilesDiagTrack	Igual que -GetFiles, pero se genera en la carpeta DiagTrack temporal.
-RemoveDefinitions [-All]	Restaura la inteligencia de seguridad instalada en una copia de seguridad anterior o en el conjunto predeterminado original.
-RemoveDefinitions [-DynamicSignatures]	Quita solo la inteligencia de seguridad descargada dinámicamente.
-RemoveDefinitions [-Engine]	Restaura el motor instalado anterior.
-SignatureUpdate [-UNC |-MMPC]	Comprueba si hay nuevas actualizaciones de inteligencia de seguridad.
-Restore [-ListAll |[[-Name <name>] [-All] |[-FilePath <filePath>]] [-Path <path>]]	Restaura o enumera los elementos en cuarentena.
-AddDynamicSignature [-Path]	Carga la inteligencia de seguridad dinámica.
-ListAllDynamicSignatures	Listas la inteligencia de seguridad dinámica cargada.
-RemoveDynamicSignature [-SignatureSetID]	Quita la inteligencia de seguridad dinámica.
-CheckExclusion -path <path>	Comprueba si se excluye una ruta de acceso.
-TDT [-on|-off|-default]	Deshabilite o habilite la característica TDT o la establece en el valor predeterminado. Si no se especifica ninguna opción, recupera el estado actual.
-OSCA	Imprime el estado de la característica de aceleración de copia del sistema operativo.
-DeviceControl -TestPolicyXml <FilePath> [-Rules | -Groups]	Valide las reglas y los grupos de directivas xml.
-TrustCheck -File <FilePath>	Comprueba el estado de confianza de un archivo.
-ValidateMapsConnection	Comprueba que la red puede comunicarse con el servicio en la nube Microsoft Defender Antivirus. Este comando solo funcionará en Windows 10, versión 1703 o posterior.
-ListCustomASR	Enumere las reglas personalizadas de Azure Site Recovery presentes en este dispositivo.
-DisplayECSConnection	Muestra las direcciones URL que usa el servicio Defender Core para establecer la conexión con ECS.
-HeapSnapshotConfig <-Enable|-Disable> [-Pid <ProcessID>]	Habilite o deshabilite la configuración de instantáneas de montón (seguimiento) para el proceso. Reemplace por <ProcessID> el identificador de proceso real.
-ResetPlatform	Restablezca los archivos binarios de la plataforma a %ProgramFiles%\Windows Defender.
-RevertPlatform	Revierta los archivos binarios de la plataforma a la versión instalada anteriormente de la plataforma Defender.

Nota:

Para el Scan comando, los siguientes son los valores de tiempo de espera predeterminados para los exámenes rápido o completo, donde el examen se detendrá en ese momento de forma predeterminada.

• Exámenes completos programados o MpCmdRun -scan: límite de siete días
• Exámenes rápidos programados o MpCmdRun -scan: límite de un día

Errores comunes en la ejecución de comandos a través de mpcmdrun.exe

En la tabla siguiente se enumeran los errores comunes que pueden producirse al usar la herramienta MpCmdRun.

Mensaje de error	Posible motivo
Error en ValidateMapsConnection (800106BA) o 0x800106BA	El servicio antivirus de Microsoft Defender está deshabilitado. Habilite el servicio e inténtelo de nuevo. Si necesita ayuda para volver a habilitar Microsoft Defender Antivirus, consulte Reinstalación o habilitación de Microsoft Defender Antivirus en los puntos de conexión. En Windows 10 1909 o anterior, y Windows Server 2019 o anterior, el servicio se llamaba anteriormente Windows Antivirus de Defender.
0x80070667	Ejecuta el -ValidateMapsConnection comando desde un equipo Windows 10 versión 1607 o anterior, o Windows Server 2016 o versiones anteriores. Ejecute el comando desde un equipo Windows 10 versión 1703 o posterior, o Windows Server 2019 o posterior.
MpCmdRun no se reconoce como un comando interno o externo, un programa operable o un archivo por lotes.	La herramienta debe ejecutarse desde %ProgramFiles%\Windows Defender o C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2012.4-0 (donde 2012.4-0 puede diferir, ya que las actualizaciones de la plataforma son mensuales excepto en marzo).
ValidateMapsConnection no pudo establecer una conexión a MAPS (hr=80070005 httpcode=450)	El comando se intentó usar privilegios insuficientes. Use el símbolo del sistema (cmd.exe) como administrador.
ValidateMapsConnection no pudo establecer una conexión a MAPS (hr=80070006 httpcode=451)	El firewall está bloqueando la conexión o realizando la inspección SSL.
ValidateMapsConnection no pudo establecer una conexión a MAPS (hr=80004005 httpcode=450)	Posibles problemas relacionados con la red, como problemas de resolución de nombres
ValidateMapsConnection no pudo establecer una conexión a MAPS (hr=0x80508015	El firewall está bloqueando la conexión o realizando la inspección SSL.
ValidateMapsConnection no pudo establecer una conexión a MAPS (hr=800722F0D)	El firewall está bloqueando la conexión o realizando la inspección SSL.
ValidateMapsConnection no pudo establecer una conexión a MAPS (hr=80072EE7 httpcode=451)	El firewall está bloqueando la conexión o realizando la inspección SSL.

Recursos adicionales

• Analizador de rendimiento para Microsoft Defender Antivirus
• Configurar las funciones del Antivirus de Microsoft Defender
• Configurar y validar las conexiones de red del Antivirus de Windows Defender
• Artículos de referencia para herramientas de administración y configuración
• Microsoft Defender para punto de conexión en Mac
• Configuración de las directivas de antivirus de macOS para Antivirus de Microsoft Defender para Intune
• Microsoft Defender para punto de conexión en Linux
• Configurar Defender para punto de conexión en características de Android
• Configurar Microsoft Defender para punto de conexión en las características de iOS

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.