Jak korzystać z programu Windows Defender z wiersza polecenia

2023/08/02

Windows Defender, obecnie znany jako Zabezpieczenia systemu Windows, jest domyślnym oprogramowaniem antywirusowym w systemie Windows i ma nie mniej możliwości niż oprogramowanie antywirusowe innych firm . W rzeczywistości, jeśli chodzi o wykorzystanie zasobów systemowych, zabezpieczenia systemu Windows są jednymi z najlepszych. Chociaż jego graficzny interfejs użytkownika jest dość łatwy w użyciu, możesz także korzystać z funkcji zabezpieczeń systemu Windows za pośrednictwem wiersza polecenia. Postępuj zgodnie z tym samouczkiem, aby dowiedzieć się, jak to zrobić.

Rozpoczęcie pracy

Zastanawiasz się, dlaczego powinieneś zadać sobie tyle trudu, aby użyć opcji zabezpieczeń systemu Windows z wiersza polecenia? Zabezpieczenia systemu Windows z wierszem polecenia są bardzo przydatne podczas tworzenia własnych skryptów lub zaplanowanych zadań. Pozwala także mieć większą kontrolę nad poszczególnymi plikami i procesami w porównaniu z GUI.

Potrzebujesz uprawnień administracyjnych, więc wpisz Wiersz polecenia w polu wyszukiwania i wybierz opcję „Uruchom jako administrator”.

Uruchom wiersz polecenia jako administrator.

Uruchomienie Zabezpieczeń systemu Windows w cmd wymaga również małego programu narzędziowego o nazwie Microsoft Malware Protection Command Line Utility lub „MpCmdRun.exe”. Jest to potężne narzędzie, które automatyzuje wszystkie zadania związane z zabezpieczeniami systemu Windows. Większość poniższych metod wykorzystuje „MpCmdRun.exe”.
Zamiast domyślnego „C:\Windows\System32” aplikacja Command Prompt musi wskazywać folder, w którym znajduje się „MpCmdRun.exe”. Dlatego najpierw zlokalizuj folder Windows Defender na swoim komputerze.

Lokalizacja plików programu Windows Defender w aplikacji.

Ścieżka do pliku „MpCmdRun.exe” to zazwyczaj „C:\Program Files\Windows Defender”, ale jeśli jest nieco inna na Twoim urządzeniu, zanotuj tę lokalizację. Będzie to bardzo przydatne w kilku następnych sekcjach.

Lista typów skanowania programu Windows Defender

Jeśli korzystałeś z GUI Windows Security, wiesz, że ma cztery typy skanowania. Poniżej znajduje się kilka krótkich wyjaśnień różnych typów skanowania.

Szybkie skanowanie: jak sama nazwa wskazuje, Szybkie skanowanie jest szybkie i wyszukuje tylko najczęstsze miejsca, takie jak klucze rejestru i foldery startowe, w których złośliwe oprogramowanie lub wirus może mieć wpływ. Zazwyczaj szybkie skanowanie jest wykonywane w ciągu kilku minut, a nawet sekund. W wierszu poleceń Szybkie skanowanie jest oznaczone przez -ScanType 1.
Pełne skanowanie: przeprowadza dogłębne skanowanie całego systemu. W zależności od liczby plików znajdujących się w systemie skanowanie może zająć kilka godzin. W wierszu poleceń Pełne skanowanie jest oznaczone przez -ScanType 2.
Skanowanie niestandardowe: umożliwia przeprowadzenie dogłębnego skanowania określonego dysku, folderu lub pliku. W wierszu poleceń Skanowanie niestandardowe jest oznaczone symbolem -ScanType 3i ma dodatkowe przełączniki wskazujące, który plik lub folder ma zostać przeskanowany.
Skanowanie offline : niektóre warianty złośliwego oprogramowania mogą być szczególnie trudne do usunięcia z komputera. Skanowanie w trybie offline programu Microsoft Defender Antivirus pomaga pozbyć się ich przy użyciu aktualnych definicji zagrożeń. Skanowanie offline nie ma przypisanego numeru.

Oprócz tego istnieje kilka dodatkowych typów skanowania, które omówimy jeden po drugim.

Uruchom skanowanie Windows Defender z wiersza polecenia

Przed wykonaniem któregokolwiek ze skanów zmień ścieżkę folderu wiersza polecenia na lokalizację folderu Windows Defender pokazaną w powyższym kroku. Powinno to być coś podobnego do „C:\Program Files\Windows Defender”.

cd C:\Program Files\Windows Defender

Aby uruchomić skanowanie w cmd, użyj w każdym przypadku aplikacji „MpCmdRun.exe”, jak pokazano poniżej.

Szybki skan

Jeśli chcesz wykonać szybkie skanowanie, użyj poniższego polecenia. Będzie miał komunikat „skanowanie rozpoczęte” i „skanowanie zakończone”.

MpCmdRun -Scan -ScanType 1

Skanowanie Windows Defender w wierszu polecenia. Rozpoczęto i zakończono skanowanie typu 1.

Po prawej stronie zasobnika systemowego zobaczysz powiadomienie o zabezpieczeniach systemu Windows, informujące o zakończeniu szybkiego skanowania.

Skanowanie programu Windows Defender typu 1 powoduje wyświetlenie w zasobniku systemowym.

Po sprawdzeniu okna Zabezpieczenia systemu Windows zobaczysz najnowsze skany, takie jak szybkie skanowanie w wierszu polecenia.

Sprawdzanie wyników skanowania wiersza polecenia 1 w aplikacji Zabezpieczenia systemu Windows wraz ze szczegółami skanowania.

Pełne skanowanie

Aby uzyskać pełne skanowanie, zamień „1” w powyższym poleceniu na „2”. Zwykle zajmuje to godzinę lub więcej.

MpCmdRun -Scan -ScanType 2

Pełne skanowanie programu Windows Defender w wierszu polecenia o nazwie Skanuj 2.

Skanowanie niestandardowe

Skanowanie niestandardowe może opierać się na niestandardowej lokalizacji na dowolnym dysku komputera, w tym na dyskach zewnętrznych.

W tym przykładzie kopiujemy i wklejamy ścieżkę do folderu o nazwie „Wideo” przechowywanego na dysku D.

Znalezienie lokalizacji folderu na dysku D.

Aby wykonać niestandardowe skanowanie, użyj poniższego polecenia, zastępując „FolderPath” rzeczywistą ścieżką folderu lub pliku, który chcesz przeskanować. Ścieżka do skanowania w naszym przykładzie to po prostu „D:\” , ponieważ na dysku D nie ma innych folderów.

MpCmdRun -Scan -ScanType 3 -File "FolderPath"

Niestandardowe skanowanie programu Windows Defender w poszukiwaniu folderu znajdującego się na dysku D.

Skanowanie offline

Skanowanie w trybie offline jest inicjowane jako polecenie programu PowerShell w narzędziu Windows Defender Offline (WDO). Wymaga ponownego uruchomienia komputera i trwa około 15 minut. Użyj następującego polecenia:

PowerShell Start-MpWDOScan

Skanowanie Windows Defender Offline (WDO) zainicjowane w wierszu polecenia.

Jak tylko wprowadzisz polecenie, jak pokazano powyżej, komputer z systemem Windows uruchomi się ponownie, a okno skanowania offline będzie widoczne na ekranie. Poczekaj kilka minut na zakończenie procesu.

Skanowanie offline programu antywirusowego Microsoft Defender w akcji.

Skanowanie w trybie offline będzie kontynuowane w oknie wiersza polecenia, gdy proces jest uruchomiony. Możesz zobaczyć liczbę zeskanowanych elementów i procent ukończenia.

Skanowanie offline w wierszu polecenia dla programu Windows Defender.

Skanowanie sektora rozruchowego

Program Windows Defender ma inny typ skanowania, który sprawdza systemowy sektor rozruchowy pod kątem infekcji. Wirus sektora rozruchowego może zainfekować główny rekord rozruchowy, który z kolei infekuje cały system podczas uruchamiania.

Aby wykonać skanowanie sektora rozruchowego, użyj poniższego polecenia.

MpCmdRun.exe -Scan -ScanType -BootSectorScan

Uruchamianie skanowania sektora rozruchowego w programie Windows Defender za pomocą wiersza polecenia.

Aby anulować skanowanie, naciśnij skrót klawiaturowy Ctrl+ Club wpisz ^C.

Anulowanie skanowania sektora rozruchowego w programie Windows Defender za pomocą wiersza polecenia.

Aplikacje Windows Defender z wierszem polecenia

Wiersz poleceń programu Windows Defender umożliwia wykonywanie wielu innych czynności, jak pokazano poniżej.

1. Wyświetlanie i przywracanie plików poddanych kwarantannie

Gdy zabezpieczenia systemu Windows wykryją zagrożenie, przenoszą je do kwarantanny, aby nie zainfekowało systemu. Jednak mogą się zdarzyć fałszywe alarmy, a jeśli uważasz, że program Windows Defender przeniósł prawidłowy plik do Kwarantanny, możesz go dość łatwo przywrócić.

Użyj poniższego polecenia, aby wyświetlić listę wszystkich plików poddanych kwarantannie.

MpCmdRun.exe -Restore -ListAll

Brak elementów poddanych kwarantannie w programie Windows Defender podczas uruchamiania polecenia Wyświetlanie wszystkich.

Zidentyfikuj plik na liście i zanotuj jego nazwę. W powyższym przykładzie nie znaleziono żadnych elementów poddanych kwarantannie, więc kolejny krok przywracania nie jest potrzebny.
Jeśli znalazłeś plik poddany kwarantannie, możesz go łatwo przywrócić, wykonując poniższe polecenie. Aby to zrobić, zastąp „FileName” rzeczywistą nazwą pliku, który chcesz przywrócić. Jeśli polecenie zostanie wykonane pomyślnie, plik zostanie przywrócony do pierwotnej lokalizacji.

MpCmdRun.exe -Restore -Name "FileName"

Przywracanie pliku poddanego kwarantannie w programie Windows Defender według nazwy w wierszu polecenia.

2. Wykonywanie aktualizacji podpisów

Ogólnie rzecz biorąc, Zabezpieczenia systemu Windows automatycznie aktualizują się o najnowsze definicje antywirusowe. Jeśli jednak chcesz się upewnić, że zabezpieczenia systemu Windows są aktualne, wykonaj poniższe polecenie.

MpCmdRun.exe -SignatureUpdate

Aktualizacje sygnatur wykonane w programie Windows Defender przy użyciu wiersza polecenia.

3. Zweryfikuj Usługę antywirusową Windows Defender w chmurze

Czy Twoje zabezpieczenia systemu Windows są w ogóle połączone z chmurą? W przeciwnym razie nie ma sensu uruchamiać żadnych skanów. Jest to coś, co można zweryfikować tylko za pomocą wiersza polecenia, a nie GUI. W tym celu używamy następującego polecenia. Jeśli istnieje połączenie z chmurą, zobaczysz komunikat, na przykład „ValidateMapsConnection pomyślnie nawiązał połączenie z MAPS”.

MpCmdRun.exe -ValidateMapsConnection

Zweryfikuj i zweryfikuj usługę Windows Defender Cloud Antivirus Cloud.

4. Odzyskaj pliki usunięte przez program Windows Defender

To najtrudniejsza część posiadania Zabezpieczeń systemu Windows na komputerze. Czasami program antywirusowy usunie ważny plik lub dwa i nie można go łatwo odzyskać z Kosza. Najlepszym sposobem na to jest użycie wiersza polecenia.

Użyj -GetFilespolecenia, jak pokazano poniżej. Spowoduje to wygenerowanie listy plików usuniętych przez program, które nadal można odzyskać. Poczekaj, aż cała lista wypełni ekran.

-MpCmdRun.exe -GetFiles

Odzyskaj pliki usunięte przez Windows Defender za pomocą -GetFiles.

Pliki te są zapisywane w ścieżce pliku pokazanej na dole ekranu. Skopiuj i wklej nazwę pliku, czyli a. Rozszerzenie CAB (Cabinet File System).

Ścieżka odzyskanych plików w Windows Cmd.

Przejdź do powyższej ścieżki za pomocą Eksploratora plików i kliknij prawym przyciskiem myszy plik. CAB, aby otworzyć go za pomocą Eksploratora Windows. Możesz także skorzystać z programów online.

Odzyskany plik cab w oknie Eksploratora plików otwieranym prawym przyciskiem myszy i Eksploratorze Windows.

Możesz znaleźć całą listę usuniętych plików, które możesz teraz wyodrębnić, aby przywrócić je tam, gdzie były. (Nie możesz ich kopiować i wklejać).

Lista odzyskanych plików programu Windows Defender za pomocą polecenia -GetFiles w wierszu polecenia.

5. Usuń i przywróć aktualizacje zabezpieczeń

Jeśli testujesz aplikacje lub wykonujesz trochę skryptów, możesz chcieć zobaczyć, jak system Windows współdziała z najnowszymi aktualizacjami zabezpieczeń, a także z poprzednią aktualizacją systemu Windows. Za pomocą wiersza polecenia można usuwać, a następnie przywracać definicje zabezpieczeń.

Mając to na uwadze, wykonaj następujące kroki, aby przywrócić definicje wirusów:

Aby przywrócić definicje do wartości domyślnych lub tych zapisanych w ostatniej kopii zapasowej (automatycznie tworzonej przez system Windows podczas aktualizacji do najnowszych), wprowadź następujące polecenie:

MpCmdRun.exe -RemoveDefinitions -All

Uruchomiony program Windows Defender skanuje w celu usunięcia całej listy definicji.

Dynamicznie pobrane sygnatury bezpieczeństwa można również usuwać tylko za pomocą tego polecenia:

MpCmdRun.exe -RemoveDefinitions -DynamicSignatures

Usuwanie podpisów dynamicznych za pomocą polecenia Usuń definicje w Cmd.

Gdy skończysz bawić się usuwaniem definicji zabezpieczeń, czas przywrócić je za pomocą tego polecenia:

MpCmdRun.exe -SignatureUpdate

Rozpoczęto i zakończono aktualizację podpisu usługi Windows Defender.

6. Zresetuj zabezpieczenia systemu Windows

Jeśli Zabezpieczenia systemu Windows napotykają błędy, zbyt wiele fałszywych alarmów i nie wykrywa nowych zagrożeń złośliwym oprogramowaniem, nadszedł czas, aby zresetować platformę do domyślnej zainstalowanej wersji.

Użyj następującego polecenia:

MpCmdRun.exe -ResetPlatform

Zresetuj platformę Windows Defender do oryginalnej wartości w wierszu polecenia.

Czasami zamiast resetowania chcesz po prostu powrócić do poprzednio zainstalowanej wersji, jak pokazano poniżej.

MpCmdRun.exe -RevertPlatform

Przywróć platformę Windows Defender do poprzednio zainstalowanej wersji.

Często Zadawane Pytania

Jak sprawić, by skanowanie Windows Defender nie trwało zbyt długo?

Jeśli skanowanie wydaje się blokować lub nie przekracza określonej liczby, być może masz zbyt wiele plików i folderów lub duży program je blokuje. Najczęściej nie przeprowadzałeś skanowania komputera przez bardzo długi czas.

Lepiej jest zautomatyzować regularne uruchamianie Szybkiego skanowania, planując je. Można to zrobić, otwierając aplikację Harmonogram zadań . Po otwarciu przejdź do „Biblioteki Harmonogramu zadań -> Microsoft -> Windows -> Windows Defender”. Wybierz „Zaplanowane skanowanie programu Windows Defender”, kliknij prawym przyciskiem myszy, aby wyświetlić jego właściwości, i postępuj zgodnie z nim, klikając kartę „Wyzwalacz”. Musisz kliknąć przycisk „Nowy”, aby utworzyć nowe zaplanowane zadanie.

Czy istnieje jakieś ryzyko związane z używaniem programu Windows Defender z wierszem polecenia?

Program Windows Defender jest zasadniczo bezpieczny w użyciu z wierszem polecenia, ale możesz przypadkowo pobrać złośliwe pliki, uruchamiając niewłaściwy skrypt lub przywracając plik poddany kwarantannie, który wykorzystywał luki w zabezpieczeniach komputera. Jednak normalnie nie powinieneś napotkać tych problemów.

Źródło obrazu: Unsplash . Wszystkie zrzuty ekranu autorstwa Sayaka Borala.