Как запускать Microsoft Defender из командной строки в Windows 10

Быстрые ссылки

• Запустить быструю проверку
• Запустить полную проверку
• Выполнить проверку выбранной папки или файла
• Проверить загрузочный сектор диска
• Восстановить файлы из карантина
• Обновить базу сигнатур Microsoft Defender
• Просмотреть все доступные параметры Microsoft Defender

Введение

Microsoft Defender (ранее Windows Defender) встроен в Windows 10 и умеет работать не только через графический интерфейс Windows Security, но и через командную строку. Работа через CLI полезна, когда нужен точный контроль, повторяемость действий или когда графический интерфейс недоступен.

Определение: MpCmdRun — это исполняемый инструмент командной строки для взаимодействия с Microsoft Defender. Он находится в каталоге Platform внутри ProgramData.

Important: большинство операций требуют прав администратора. Откройте Command Prompt с правами администратора перед выполнением команд.

Где запускать: кратко о средах

• Command Prompt (cmd.exe) — классический вариант, используемый в этой статье.
• PowerShell / Windows Terminal — те же команды можно вызывать отсюда. Кроме того, в PowerShell доступны собственные cmdlet’ы для Defender.

Совет: путь к исполняемому файлу Defender может отличаться по версии платформы. В командах ниже используется маска 4.18*; у вас может быть другая версия.

Раздел 1 — Подготовка: откройте рабочую директорию Microsoft Defender

1. Откройте меню «Пуск», найдите “Command Prompt”.
2. Кликните правой кнопкой и выберите “Запуск от имени администратора”.

3. В командной строке сделайте каталог Microsoft Defender текущим:

cd C:\ProgramData\Microsoft\Windows Defender\Platform\4.18*

Примечание: если вы закрыли или сменили директорию, выполните команду снова перед использованием MpCmdRun.

Быстрая проверка

Быстрая проверка сканирует распространённые места заражения: реестр, папки автозагрузки и временные файлы. Обычно выполняется за несколько минут.

Запустите команду:

MpCmdRun -Scan -ScanType 1

Вы увидите прогресс проверки в окне командной строки.

Полная проверка

Полная проверка просматривает все файлы на дисках. Это медленнее, но глубже, чем быстрая.

Команда для полной проверки:

MpCmdRun -Scan -ScanType 2

Если нужно прервать проверку, нажмите Ctrl+C.

Пользовательская проверка (конкретный файл или папка)

Используйте, когда нужно проверить конкретные файлы или внешние носители (USB, внешний диск).

Формат команды:

MpCmdRun -Scan -ScanType 3 -File PATH

Замените PATH на путь к файлу или папке. Если в пути есть пробелы, берите его в кавычки:

MpCmdRun -Scan -ScanType 3 -File "C:\Users\Имя\Desktop\Папка" 

Пример проверки рабочего стола (замените MYNAME на своё имя пользователя):

MpCmdRun -Scan -ScanType 3 -File C:\Users\MYNAME\Desktop

Проверка загрузочного сектора

Загрузочный сектор (boot sector) содержит код, запускающий операционную систему. Некоторые вредоносные программы атакуют именно его. Если вы видите проблемы с загрузкой, имеет смысл просканировать загрузочный сектор.

Команда для проверки загрузочного сектора:

MpCmdRun -Scan -ScanType -BootSectorScan

Когда стоит использовать: PC не загружается корректно, появление подозрительных сообщений при старте, неожиданная перезагрузка.

Восстановление файлов из карантина

Когда Defender помечает файл как подозрительный, он перемещает его в карантин. Файл в карантине не запускается.

1. Просмотреть список всех файлов в карантине:

MpCmdRun -Restore -ListAll

2. Восстановить файл по имени (замените MyApp.exe на конкретное имя):

MpCmdRun -Restore -Name MyApp.exe

3. Восстановить в указанную папку:

MpCmdRun -Restore -Name MyApp.exe -FilePath PATH

Обязательно проверьте файл антивирусом и обновлениями определений перед повторным использованием.

Обновление сигнатур Microsoft Defender

Defender регулярно обновляет базы сигнатур автоматически. Вы можете форсировать обновление вручную:

MpCmdRun -SignatureUpdate

Эта команда загрузит и применит новые определения без дополнительных запросов.

Просмотр всех доступных параметров

Чтобы увидеть справку и список всех параметров MpCmdRun:

MpCmdRun -h

Альтернативы: PowerShell и графический интерфейс

PowerShell предоставляет собственные cmdlet’ы для Defender, удобные для скриптов и автоматизации:

• Start-MpScan — запустить проверку.
• Update-MpSignature — обновить сигнатуры.
• Get-MpThreat — просмотреть сведения об угрозах.
• Get-MpPreference — просмотреть настройки.

Примеры PowerShell:

Start-MpScan -ScanType QuickScan
Update-MpSignature

Если вы предпочитаете GUI, используйте приложение Windows Security (Защитник Windows) в меню «Параметры» → «Обновление и безопасность» → «Безопасность Windows».

Когда запуск из командной строки полезен и когда нет

Полезно:

• Когда нужен автоматический запуск проверок по расписанию.
• Когда GUI недоступен (ошибки Explorer, сервер без GUI).
• При массовом администрировании (скрипты, GPO).

Когда лучше не использовать:

• Если вы не уверены в возвращаемых результатах и не хотите ошибочно восстановить вредоносный файл.
• Для базовой защиты домашнего пользователя достаточно GUI и автоматических обновлений.

Модель мышления: как думать о сканировании

• Scope (объём): быстрый скан — малый охват, быстрая проверка; полный — большой охват, долго.
• Frequency (частота): важнее регулярные короткие проверки и актуальные сигнатуры.
• Response (реакция): карантин — временная изоляция. Восстановление требует проверки на ложные срабатывания.

Проверка результата и журналы

• Просматривайте журнал Windows Defender в “Просмотр событий” → “Приложения и журналы служб” → “Microsoft” → “Windows” → “Windows Defender” → “Operational”.
• Также события могут появляться в системных журналах Security/Applications.

Руководство действий (SOP) для администратора

Шаблон быстрого реагирования при обнаружении вредоносного ПО:

1. Запустить Update-MpSignature.
2. Выполнить быстрый скан:

MpCmdRun -Scan -ScanType 1

3. Если обнаружены угрозы — просмотреть детали в журналах и выполнить полную проверку:

MpCmdRun -Scan -ScanType 2

4. Переместить критичные файлы в отдельный каталог для последующего анализа.
5. При необходимости восстановить файлы из карантина только после подтверждения безопасности.
6. Обновить пароли и проверить сеть на индикаторы компрометации.

Критерии приёмки: скан завершён без ошибок, сигнатуры обновлены, инцидент задокументирован.

План отката и действия при ошибке

Если команда восстановления или обновления вызвала проблему:

• Немедленно остановите любые автоматические задачи связанные с восстановленным файлом.
• Верните систему в контрольную точку (System Restore) если она была создана до изменений.
• Восстановите файл из резервной копии, если есть сомнения в его безопасности.

Чеклист по ролям

Администратор:

• Запустить обновления сигнатур.
• Выполнить полную проверку.
• Проверить журналы Windows Defender.

Служба поддержки:

• Выполнить быструю проверку.
• Просмотреть карантин и при необходимости восстановить по согласованию.
• Передать на анализ подозрительные файлы.

Конечный пользователь:

• Открыть Windows Security для базовых проверок.
• Сообщить об аномалиях в IT.

Тестовые случаи и критерии приёмки

• Тест 1: Быстрая проверка завершается меньше чем за 30 минут (на типичной системе) и не падает с ошибкой.
• Тест 2: Обновление сигнатур успешно применяет новые определения без ошибок.
• Тест 3: Команды восстановления корректно выводят список карантина и восстанавливают выбранный файл.

Критерии приёмки: команда возвращает успешный код завершения и соответствующие строки в логе.

Совместимость и примечания по версиям

• Путь C:\ProgramData\Microsoft\Windows Defender\Platform\4.18* может отличаться по версии платформы. Используйте маску или проверьте актуальную папку Platform.
• PowerShell cmdlet’ы доступны в современных сборках Windows 10 и Windows Server. На старых сборках некоторые cmdlet’ы могли отсутствовать.

Безопасность и конфиденциальность

• Карантин хранится локально. Восстановление файлов должно выполняться только после проверки.
• Никогда не восстанавливайте подозрительные системные файлы на рабочие серверы без анализа.
• Для корпоративных сред рассмотрите централизованные решения и отчётность.

Частые ошибки и их исправление

• Ошибка: “Команда не найдена” — проверьте текущую директорию и права администратора.
• Ошибка: не обновляются сигнатуры — проверьте сетевые настройки и доступ к Windows Update.
• В случае сомнений экспортируйте файл из карантина и проверьте в изолированном окружении.

Диаграмма принятия решения

flowchart TD
  A[Подозрение на заражение] --> B{Доступен GUI?}
  B -- Да --> C[Открыть Windows Security и выполнить скан]
  B -- Нет --> D[Открыть Command Prompt от администратора]
  D --> E[Обновить сигнатуры]
  E --> F[Выполнить быструю проверку]
  F --> G{Обнаружены угрозы?}
  G -- Да --> H[Выполнить полную проверку и собрать логи]
  G -- Нет --> I[Мониторинг и профилактика]

Глоссарий (1 строка для каждого термина)

• MpCmdRun — исполняемый файл для управления Microsoft Defender через CLI.
• Карантин — изолированное хранилище для подозрительных файлов.
• Загрузочный сектор — область диска с кодом загрузки ОС.
• Сигнатуры — база обнаружения вредоносных образцов.

Часто задаваемые вопросы

Какой путь к MpCmdRun если у меня другая версия платформы?

Проверьте каталог C:\ProgramData\Microsoft\Windows Defender\Platform\ и найдите папку с номером версии. Используйте маску, например 4.18*.

Можно ли автоматизировать сканы по расписанию?

Да. Используйте Планировщик заданий Windows или задачи PowerShell с нужными командами.

Что делать если файл важный, но Defender пометил его как угрозу?

Экспортируйте файл для анализа, свяжитесь с вендором ПО и только после подтверждения ложного срабатывания восстановите файл из карантина.

Итог

Использование Microsoft Defender через командную строку даёт точный контроль, удобство автоматизации и инструменты для восстановления. Для большинства пользователей GUI достаточно, но для администраторов и специалистов службы поддержки CLI — незаменимый инструмент.

Important: всегда работайте с актуальными сигнатурами и сохраняйте резервные копии перед восстановлением файлов.

Сводка:

• Откройте командную строку от администратора и перейдите в каталог Platform.
• Используйте MpCmdRun с типами проверки 1 (быстрая), 2 (полная), 3 (пользовательская).
• Обновляйте сигнатуры через MpCmdRun -SignatureUpdate или PowerShell.