Configurare e gestire Microsoft Defender Antivirus con lo strumento da riga di comando mpcmdrun.exe
Si applica a:
- Microsoft Defender per endpoint Piano 1
- Microsoft Defender per endpoint Piano 2
- Antivirus Microsoft Defender
Piattaforme
- Windows
È possibile eseguire varie funzioni in Microsoft Defender Antivirus usando lo strumento da riga di comando dedicato mpcmdrun.exe. Questa utilità è utile quando si vuole automatizzare Microsoft Defender attività antivirus. L'utilità è disponibile in %ProgramFiles%\Windows Defender\MpCmdRun.exe. Eseguirlo da un prompt dei comandi.
Consiglio
Potrebbe essere necessario aprire una versione a livello di amministratore del prompt dei comandi. Quando si cerca prompt dei comandi nel menu Start , scegliere Esegui come amministratore. Se si esegue una versione aggiornata della piattaforma antimalware Microsoft Defender, eseguire MpCmdRun dal percorso seguente: C:\ProgramData\Microsoft\Windows Defender\Platform\<antimalware platform version>. Per altre informazioni sulla piattaforma antimalware, vedere Microsoft Defender Aggiornamenti antivirus e baseline.
L'utilità MpCmdRun usa la sintassi seguente:
MpCmdRun.exe [command] [-options]
Ecco un esempio:
MpCmdRun.exe -Scan -ScanType 2
Nell'esempio seguente l'utilità MpCmdRun avvia un'analisi antivirus completa nel dispositivo.
Comandi
| Comando | Descrizione |
|---|---|
-?
o-h |
Visualizza tutte le opzioni disponibili per lo strumento MpCmdRun. |
-Scan [-ScanType [<value>]] [-File <path> [-DisableRemediation] [-BootSectorScan] [-CpuThrottling]] [-Timeout <days>] [-Cancel] |
Analizza la ricerca di software dannoso. I valori per ScanType sono: 0 Impostazione predefinita, in base alla configurazione 1 Analisi rapida 2 Analisi completa 3 Analisi personalizzata di file e directory. CpuThrottling viene eseguito in base alle configurazioni dei criteri. |
-Trace [-Grouping #] [-Level #] |
Avvia la traccia diagnostica. |
-CaptureNetworkTrace -Path <path> |
Acquisisce tutto l'input di rete nel servizio Protezione rete e lo salva in un file all'indirizzo <path>. Specificare un percorso vuoto per arrestare la traccia. |
-GetFiles [-SupportLogLocation <path>] |
Raccoglie le informazioni di supporto. Vedere Raccolta dei dati di diagnostica. |
-GetFilesDiagTrack |
-GetFilesUguale a , ma restituisce la cartella DiagTrack temporanea. |
-RemoveDefinitions [-All] |
Ripristina l'intelligence di sicurezza installata in una copia di backup precedente o nel set predefinito originale. |
-RemoveDefinitions [-DynamicSignatures] |
Rimuove solo l'intelligence di sicurezza scaricata dinamicamente. |
-RemoveDefinitions [-Engine] |
Ripristina il motore installato precedente. |
-SignatureUpdate [-UNC |-MMPC] |
Verifica la disponibilità di nuovi aggiornamenti dell'intelligence per la sicurezza. |
-Restore [-ListAll |[[-Name <name>] [-All] |[-FilePath <filePath>]] [-Path <path>]] |
Ripristina o elenca gli elementi in quarantena. |
-AddDynamicSignature [-Path] |
Carica l'intelligence di sicurezza dinamica. |
-ListAllDynamicSignatures |
Elenchi l'intelligence di sicurezza dinamica caricata. |
-RemoveDynamicSignature [-SignatureSetID] |
Rimuove l'intelligence di sicurezza dinamica. |
-CheckExclusion -path <path> |
Controlla se un percorso è escluso. |
-TDT [-on|-off|-default] |
Disabilitare o abilitare la funzionalità TDT o impostarla sul valore predefinito. Se non viene specificata alcuna opzione, recupera lo stato corrente. |
-OSCA |
Stampa lo stato della funzionalità Accelerazione copia del sistema operativo. |
-DeviceControl -TestPolicyXml <FilePath> [-Rules | -Groups] |
Convalidare le regole e i gruppi di criteri XML. |
-TrustCheck -File <FilePath> |
Controlla lo stato di attendibilità di un file. |
-ValidateMapsConnection |
Verifica che la rete possa comunicare con il servizio cloud antivirus Microsoft Defender. Questo comando funzionerà solo su Windows 10 versione 1703 o successiva. |
-ListCustomASR |
Elencare le regole personalizzate di Azure Site Recovery presenti nel dispositivo. |
-DisplayECSConnection |
Visualizza gli URL usati dal servizio Defender Core per stabilire la connessione a ECS. |
-HeapSnapshotConfig <-Enable|-Disable> [-Pid <ProcessID>] |
Abilitare o disabilitare la configurazione dello snapshot dell'heap (traccia) per il processo. Sostituire <ProcessID> con l'ID processo effettivo. |
-ResetPlatform |
Reimpostare i file binari della piattaforma su %ProgramFiles%\Windows Defender. |
-RevertPlatform |
Ripristinare i file binari della piattaforma alla versione installata in precedenza della piattaforma Defender. |
Nota
Per il Scan comando , di seguito sono riportati i valori di timeout predefiniti per le analisi rapide o complete in cui l'analisi verrà arrestata in quel momento per impostazione predefinita.
- Analisi complete pianificate o MpCmdRun -scan: limite di sette giorni
- Analisi rapide pianificate o MpCmdRun -scan: limite di un giorno
Errori comuni nell'esecuzione di comandi tramite mpcmdrun.exe
Nella tabella seguente sono elencati gli errori comuni che possono verificarsi durante l'uso dello strumento MpCmdRun.
| Messaggio di errore | Possibile motivo |
|---|---|
| ValidateMapsConnection non riuscito (800106BA) o 0x800106BA | Il servizio antivirus Microsoft Defender è disabilitato. Abilitare il servizio e riprovare. Se è necessaria assistenza per riabilitare Microsoft Defender Antivirus, vedere Reinstallare/abilitare Microsoft Defender Antivirus sugli endpoint. Nel Windows 10 1909 o versioni precedenti e Windows Server 2019 o versioni precedenti, il servizio era precedentemente denominato Windows Antivirus Defender. |
| 0x80070667 | Si esegue il -ValidateMapsConnection comando da un computer Windows 10 versione 1607 o precedente oppure Windows Server 2016 o versioni precedenti. Eseguire il comando da un computer Windows 10 versione 1703 o successiva oppure Windows Server 2019 o versione successiva. |
| MpCmdRun non viene riconosciuto come comando interno o esterno, programma operabile o file batch. | Lo strumento deve essere eseguito da %ProgramFiles%\Windows Defender o C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2012.4-0 (dove potrebbe essere diverso dal momento che 2012.4-0 gli aggiornamenti della piattaforma sono mensili tranne marzo) |
| ValidateMapsConnection non è riuscito a stabilire una connessione a MAPS (hr=80070005 httpcode=450) | Il comando è stato tentato usando privilegi insufficienti. Usare il prompt dei comandi (cmd.exe) come amministratore. |
| ValidateMapsConnection non è riuscito a stabilire una connessione a MAPS (hr=80070006 httpcode=451) | Il firewall blocca la connessione o esegue l'ispezione SSL. |
| ValidateMapsConnection non è riuscito a stabilire una connessione a MAPS (hr=80004005 httpcode=450) | Possibili problemi correlati alla rete, ad esempio problemi di risoluzione dei nomi |
| ValidateMapsConnection non è riuscito a stabilire una connessione a MAPS (hr=0x80508015 | Il firewall blocca la connessione o esegue l'ispezione SSL. |
| ValidateMapsConnection non è riuscito a stabilire una connessione a MAPS (hr=800722F0D | Il firewall blocca la connessione o esegue l'ispezione SSL. |
| ValidateMapsConnection non è riuscito a stabilire una connessione a MAPS (hr=80072EE7 httpcode=451) | Il firewall blocca la connessione o esegue l'ispezione SSL. |
Vedere anche
- Analizzatore prestazioni per Microsoft Defender Antivirus
- Configurare la funzionalità di Microsoft Defender Antivirus
- Configurare e convalidare le connessioni di rete di Windows Defender Antivirus
- Articoli di riferimento per gli strumenti di gestione e configurazione
- Microsoft Defender per endpoint su Mac
- Impostazioni dei criteri antivirus macOS per Antivirus Microsoft Defender per Intune
- Microsoft Defender per Endpoint su Linux
- Funzionalità di configurazione di Microsoft Defender per endpoint su Android
- Funzionalità di configurazione di Microsoft Defender per endpoint su iOS
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.