Как запускать Microsoft Defender (Windows Security) через Командную строку

Кратко

Этот подробный гид покажет, как запускать и управлять Microsoft Defender (Windows Security) через Командную строку. Вы узнаете, как выполнять разные типы сканирования, обновлять сигнатуры, восстанавливать файлы из карантина, откатывать и сбрасывать платформу, а также как автоматизировать задачи и восстанавливать случайно удалённые файлы. Приведены проверки, советы по безопасности, шаблоны и пошаговые сценарии для администраторов и пользователей.

Содержание

• С чего начать
• Типы сканирования Windows Security
• Запуск сканирования через Командную строку
  • Быстрое сканирование
  • Полное сканирование
  • Пользовательское сканирование
  • Оффлайн сканирование
  • Сканирование загрузочного сектора
• Дополнительные возможности MpCmdRun
  • Список и восстановление карантинных файлов
  • Обновление сигнатур
  • Проверка подключения к облаку
  • Восстановление удалённых файлов
  • Удаление и восстановление определений безопасности
  • Сброс платформы Windows Security
• Практические сценарии и автоматизация
  • Планирование регулярных проверок через Планировщик заданий
  • Playbook для реагирования на инцидент
  • Чек‑лист ролей
• Критерии приёмки
• Критические моменты и когда не стоит использовать Командную строку
• Альтернативные подходы и советы по совместимости
• Runbook для восстановления удалённого важного файла
• Ментальные модели и эвристики
• Глоссарий в одну строку
• Часто задаваемые вопросы
• Краткое резюме

С чего начать

Использование Windows Security через Командную строку полезно при автоматизации, создании скриптов и для тонкого контроля над отдельными файлами и процессами. Командная строка позволяет интегрировать проверки в сценарии обслуживания, развертывания и восстановления.

Требования и подготовка:

• Необходимы права администратора. Введите в поиске Windows “Командная строка” и выберите Запуск от имени администратора.

• Внутри командной строки используется утилита Microsoft Malware Protection Command Line Utility — MpCmdRun.exe. Эта утилита автоматизирует все задачи Windows Security.
• По умолчанию MpCmdRun.exe находится в папке C:\Program Files\Windows Defender (или C:\Program Files\Windows Defender Advanced Threat Protection на некоторых сборках). Запомните или запишите точный путь на вашем ПК.

Совет: если приложение Windows Security не открывается, сначала устраните эту проблему в GUI, затем попробуйте командную строку.

Типы сканирования Windows Security

Кратко о типах сканирования, которые поддерживает Microsoft Defender:

• Быстрое сканирование — ищет угрозы в наиболее часто заражаемых местах: автозагрузка, ключи реестра, стандартные системные папки. В командной строке: -ScanType 1.
• Полное сканирование — проверяет весь диск и все файлы. Может занимать много времени. В командной строке: -ScanType 2.
• Пользовательское сканирование — сканирует конкретную папку, диск или файл. В командной строке: -ScanType 3 с указанием целевого пути.
• Оффлайн сканирование — запускает среду восстановления для удаления сложных угроз, требует перезагрузки.
• Сканирование загрузочного сектора — проверяет MBR и загрузочные области.

Дополнительно: утилита MpCmdRun поддерживает операции по управлению карантином, обновлению сигнатур, восстановлению платформы и другим служебным функциям.

Полезная справка: вы можете протестировать эффективность антивируса на безопасных тестовых примерах (например EICAR) в контролируемой среде.

Запуск сканирования через Командную строку

Перед запуском любых команд перейдите в папку с утилитой, например:

cd C:\Program Files\Windows Defender

Для всех примеров ниже используется MpCmdRun.exe. Выполните команды из папки, где расположен MpCmdRun.exe, или укажите полный путь к утилите.

Быстрое сканирование

Команда для быстрого сканирования:

MpCmdRun -Scan -ScanType 1

После завершения придёт уведомление в системном трее, и активность будет отражена в окне Windows Security.

Полное сканирование

Команда для полного сканирования всего диска:

MpCmdRun -Scan -ScanType 2

Полное сканирование может занять значительное время — от десятков минут до нескольких часов, в зависимости от объёма данных и скорости накопителя.

Совет: перед полным сканированием закройте ресурсоёмкие приложения, чтобы снизить нагрузку на систему.

Пользовательское сканирование

Пользовательское сканирование позволяет указать конкретный файл или папку. Пример: сканирование диска D:\

Пример команды (замените “FolderPath” на целевой путь):

MpCmdRun -Scan -ScanType 3 -File "D:\"

Если вы хотите сканировать отдельный файл:

MpCmdRun -Scan -ScanType 3 -File "C:\Users\User\Downloads\suspicious.exe"

Оффлайн сканирование

Оффлайн сканирование запускается через PowerShell и требует перезагрузки. Это полезно против устойчивых угроз.

Запустите команду:

PowerShell Start-MpWDOScan

После запуска система перезагрузится в среду Windows Defender Offline. Процесс обычно занимает примерно 15 минут, но может варьироваться.

В окне будут отображаться прогресс и количество просканированных объектов.

Сканирование загрузочного сектора

Сканирование загрузочного сектора проверяет Master Boot Record и другие загрузочные области:

MpCmdRun.exe -Scan -ScanType -BootSectorScan

Для отмены сканирования нажмите Ctrl+C в окне командной строки.

Дополнительные возможности MpCmdRun

Помимо сканирования, MpCmdRun умеет работать с карантином, сигнатурами, платформой и журналами. Ниже — набор часто используемых команд и сценариев.

1. Список и восстановление карантинных файлов

Чтобы увидеть все объекты в карантине:

MpCmdRun.exe -Restore -ListAll

Если вы нашли объект, который был ошибочно помещён в карантин, запишите точное имя и восстановите его:

MpCmdRun.exe -Restore -Name "FileName"

Важно: восстановление потенциально опасного объекта может повторно поставить систему под угрозу. Восстанавливайте только то, в чём уверены.

2. Обновление сигнатур

Обновление вручную принудит Windows Security получить последние определения:

MpCmdRun.exe -SignatureUpdate

Рекомендуется запускать это в сценариях развертывания или перед массовыми проверками.

3. Проверка подключения к облачному сервису

Чтобы убедиться, что ваш антивирус может использовать облачные механизмы обнаружения:

MpCmdRun.exe -ValidateMapsConnection

Если соединение установлено, вы увидите подтверждающее сообщение о подключении к MAPS (Microsoft Active Protection Service).

4. Восстановление файлов, удалённых Windows Security

Если защитник удалил файл, вы можете извлечь данные, если они доступны в кабинете восстановления.

Запустите команду для создания списка удалённых и потенциально восстанавливаемых файлов:

MpCmdRun.exe -GetFiles

В конце вывода будет указан путь к .CAB-файлу с удалёнными объектами. Перейдите в этот путь через Проводник и откройте CAB-файл, чтобы извлечь содержимое.

Совет: извлечённые файлы можно исследовать в песочнице перед возвращением в рабочую систему.

5. Удаление и восстановление определений безопасности

Можно удалить текущие определения (например, для тестирования старых сигнатур), а затем вернуть их обратно. Рекомендуется немедленно восстанавливать актуальные определения.

Удаление всех определений:

MpCmdRun.exe -RemoveDefinitions -All

Удаление только динамически скачанных сигнатур:

MpCmdRun.exe -RemoveDefinitions -DynamicSignatures

После тестирования верните определения:

MpCmdRun.exe -SignatureUpdate

6. Сброс платформы Windows Security

Если платформа работает некорректно или появляются частые ложные срабатывания, можно выполнить сброс или откат платформы.

Сброс к состоянию по умолчанию:

MpCmdRun.exe -ResetPlatform

Откат к предыдущей версии платформы:

MpCmdRun.exe -RevertPlatform

Совет: после сброса обязательно обновите сигнатуры и проверьте подключение к облаку.

Практические сценарии и автоматизация

Ниже приведены готовые шаблоны и методики для администраторов и инженеров по эксплуатации.

Планирование регулярных проверок через Планировщик заданий

1. Откройте Планировщик заданий (Task Scheduler).
2. Перейдите в Библиотеку Планировщика заданий -> Microsoft -> Windows -> Windows Defender.
3. Выберите Windows Defender Scheduled Scan и откройте Свойства.
4. На вкладке Триггеры нажмите Новая и задайте расписание (ежедневно, еженедельно или по событию).
5. На вкладке Действия укажите запуск программы и путь к MpCmdRun.exe с аргументом для быстрого сканирования:

Пример действия:

• Программа или сценарий: C:\Program Files\Windows Defender\MpCmdRun.exe
• Добавить аргументы: -Scan -ScanType 1

6. Сохраните задание. Убедитесь, что задано выполнение от имени администратора при необходимости.

Преимущество такого подхода — регулярная автоматизация, которая снижает объём накопившихся угроз.

Playbook для реагирования на инцидент с обнаружением вредоносного файла

Шаги для быстрого и предсказуемого реагирования:

1. Зафиксировать инцидент: время, путь файла, сообщение Windows Security.
2. Изолировать машину от сети (если подозрительна деятельность сети).
3. Выполнить оффлайн сканирование:

PowerShell Start-MpWDOScan

4. Получить список карантинных файлов:

MpCmdRun.exe -Restore -ListAll

5. Если есть подозрительный файл в карантине, извлечь его копию в изолированную папку и отправить в песочницу/на анализ.
6. Применить обновление сигнатур и перезапустить полное сканирование:

MpCmdRun.exe -SignatureUpdate
MpCmdRun.exe -Scan -ScanType 2

7. Документировать результаты и, при необходимости, восстановить из резервной копии утерянные данные.

Чек‑лист ролей

Администратор:

• Есть права администратора
• Настроены регулярные обновления сигнатур
• Настроен Планировщик заданий для автоматических проверок
• Имеются процедуры резервного копирования перед экспериментами с определениями

Пользователь:

• Сообщать о необычных уведомлениях Windows Security
• Не восстанавливать файлы из карантина без согласования с администратором

Разработчик/автоматизатор:

• Использует MpCmdRun в скриптах для интеграции проверок
• Логирует вывод команд в отдельные файлы для последующего анализа

Критерии приёмки

Чтобы считать задачу по интеграции проверки через Командную строку выполненной:

• Скрипт запускает MpCmdRun из корректного пути без ошибок прав доступа
• Скрипт выполняет обновление сигнатур и запускает быстрый/полный скан по расписанию
• Логи сканирования доступны и содержат отметку времени, тип сканирования и результаты
• Процедуры восстановления файлов из CAB протестированы на тестовом наборе

Критические моменты и когда не стоит использовать Командную строку

Когда использование MpCmdRun не подходит:

• Если вы не обладаете правами администратора и не можете их получить
• В случаях, когда требуется удобный интерфейс для непрофессиональных пользователей
• Когда требуется централизованное управление большим парком машин — лучше использовать решения EDR/MDM

Риски и предосторожности:

• Восстановление карантинных файлов может привести к повторному заражению
• Откат или удаление определений делает машину уязвимой — всегда восстанавливайте и обновляйте определения

Альтернативные подходы и совместимость

Альтернативы запуску через MpCmdRun:

• Использование Windows Security GUI для ручных проверок
• PowerShell-модули Defender (например, командлеты Start-MpScan и Get-MpThreat) для более гибкой автоматизации
• Централизованные инструменты управления (SCCM, Intune) для массового развертывания политик и проверок

Совместимость:

• На старых версиях Windows пути и имена утилит могут отличаться. Всегда проверяйте наличие MpCmdRun.exe на конкретной сборке.
• В корпоративных сборках функции Defender могут ограничиваться групповыми политиками.

Runbook для восстановления случайно удалённого важного файла

Сценарий: важный файл был удалён Microsoft Defender и не найден в Корзине.

Шаги восстановления:

1. Выполните:

MpCmdRun.exe -GetFiles

2. Внимательно просмотрите вывод и найдите путь к .CAB файлу с удалёнными объектами.
3. Скопируйте CAB-файл в безопасную рабочую папку.
4. Откройте CAB-файл (двойной клик в Проводнике) или с помощью инструментов распаковки.
5. Извлеките нужный файл и проверьте его в песочнице или виртуальной машине.
6. Если файл безопасен, верните его в исходное место и добавьте исключение в Windows Security, чтобы предотвратить повторное удаление:

Add-MpPreference -ExclusionPath "C:\path\to\file_or_folder"

Примечание: последний шаг выполняется через PowerShell с правами администратора.

Ментальные модели и эвристики

• “Частичный vs полный” — думайте о быстром сканировании как о регулярном веществе профилактики и о полном как о разовой глубокой очистке.
• “Сначала облако” — перед глубоким вмешательством обновите сигнатуры и проверьте облачную связь, чтобы иметь актуальную базу инфекций.
• “Изолируй, не восстанавливай” — подозрительные файлы восстанавливайте только в изолированной среде.

Глоссарий в одну строку

• MpCmdRun.exe — командная утилита Microsoft Defender для запуска сканирований и сервисных действий.
• Карантин — изолированное хранилище для подозрительных объектов, не удалённых окончательно.
• Сигнатуры — файлы с определениями угроз, необходимые для обнаружения известных вредоносных программ.
• Оффлайн сканирование — режим сканирования вне основной ОС после перезагрузки в специальную среду.

Часто задаваемые вопросы

Как остановить сканирование, если оно выполняется слишком долго

Если сканирование выглядит застрявшим, причиной может быть большое количество файлов или долгие I/O операции. Чтобы прервать сканирование в окне командной строки, нажмите Ctrl+C. Для профилактики настройте регулярные быстрые сканирования через Планировщик заданий.

Есть ли риски при использовании Windows Security через Командную строку

Риски минимальные при корректном использовании, но возможны ошибки при восстановлении карантинных объектов или запуске скриптов, скачивающих файлы из ненадёжных источников. Всегда проверяйте вводимые команды и используйте песочницу для тестов.

Короткое резюме

• MpCmdRun.exe позволяет полностью управлять Microsoft Defender из командной строки: сканирование, обновления, карантин, восстановление и сервисные операции.
• Для автоматизации рекомендуем использовать Планировщик заданий и PowerShell-скрипты с логированием.
• Соблюдайте осторожность при восстановлении объектов из карантина и после отката определений обязательно обновляйте сигнатуры.

Important

Всегда выполняйте операции от имени администратора и проверяйте вывод команд перед автоматизацией. Перед экспериментами с определениями и платформой делайте резервные копии критичных данных.

Image credit: Unsplash. All screenshots by Sayak Boral.