从 CMD 管理 Windows Defender 的命令

你知道吗 从 CMD 管理 Windows Defender 的命令从命令行 (CMD) 管理 Windows Defender 是 Microsoft 操作系统提供的高级功能之一，但许多用户往往没有注意到。然而，掌握这些命令不仅可以提高您对计算机保护的有效性和控制力，还可以让您以灵活和自动化的方式解决传统图形界面无法解决的问题。

在本文中，您将找到从 CMD 或 PowerShell 控制 Windows Defender 的基本命令（以及鲜为人知的命令）的最全面的汇编。您将学到如何运行快速或有针对性的扫描、如何自动化和安排任务、恢复定义或删除特定威胁等诸多操作。此外，你还会发现几个 有用的提示和技巧将帮助您充分利用这个强大的工具无论您是高级用户、系统管理员，还是只是想从 Windows 安全性中获得更多好处的好奇者。

为什么要从 CMD 使用 Windows Defender？

 

Windows Defender 经过多年的不断发展，已成为 Microsoft 生态系统中最可靠、最轻量、最有效的防病毒程序之一。图形版本对于大多数用户来说已经足够了，但是当需要绝对控制、自动执行任务或从严重问题中恢复系统时，命令行就成为必不可少的盟友。

• 任务自动化： 创建 .bat 脚本，无需用户干预即可运行计划扫描、自动更新或重复任务。
• 问题： 当图形界面无法启动时，您处于安全模式或系统出现错误，导致您无法访问正常功能。
• 先进的控制： 精确定义要扫描的内容、从隔离区恢复威胁、管理排除或从命令行更新组件。
• 网络使用和远程管理： 非常适合需要集中管理多个设备安全性的 IT 管理员。

您将使用的主要工具是 MpCmdRun.exe（Microsoft 恶意软件防护命令行实用程序），它是 CMD 中大多数 Defender 高级功能背后的引擎。

在继续之前，我们建议您先阅读一下这篇文章 如何在 Windows Defender 中添加例外 可能对你有用。

入门：定位并运行 MpCmdRun.exe

在开始运行命令之前，您必须在系统上找到 MpCmdRun.exe 工具。它通常出现在以下路线上：

• %ProgramFiles%\Windows Defender
• C:\ProgramData\Microsoft\Windows Defender\Platform\ （对于较新版本的 Windows；这里通常有一个带有版本号的文件夹，例如 4.18……）

为了方便地从 CMD 工作，请使用以下命令访问相应的路径：

cd "C:\ProgramData\Microsoft\Windows Defender\Platform\4.18*"

请务必记住以管理员权限运行 CMD 或 PowerShell，因为您即将执行的许多操作都需要提升的权限才能生效。

来自 CMD 的恶意软件分析和搜索

系统扫描是该防病毒软件最受欢迎的功能之一，您可以从命令行对其进行最大程度的自定义。您将使用的通用命令是：

MpCmdRun.exe -Scan -ScanType <valor>

• 0：按照默认设置进行分析。
• 1：快速扫描（扫描威胁经常隐藏的关键位置）。
• 2：全面扫描（扫描所有系统文件和扇区；速度较慢但更彻底）。
• 3：自定义分析，适用于特定文件夹或文件。

实际例子：

• 快速扫描：
  MpCmdRun.exe -Scan -ScanType 1
• 完整分析：
  MpCmdRun.exe -Scan -ScanType 2
• 自定义扫描（例如您的用户文件夹）：
  MpCmdRun.exe -Scan -ScanType 3 -File "C:\Users\tu_usuario"

其他高级分析选项：

• -DisableRemediation：执行扫描而不采取纠正措施，不保存日志或在图形界面中显示结果；您只会在控制台中看到检测结果。
• -BootSectorScan：专门扫描硬盘的启动扇区，对于检测诸如 rootkit 之类的持久性恶意软件至关重要。
• -取消：结束任何正在进行的扫描（以防您在启动长扫描时出现错误或需要中断它）。

例如，扫描引导扇区：

MpCmdRun.exe -Scan -BootSectorScan

并停止正在进行的任何分析：

MpCmdRun.exe -Cancel

从 CMD 中删除威胁和受感染的文件

除了检测病毒之外，无需 Windows 图形界面即可管理受感染的文件，这可以在危急情况下拯救您。以下是建议的步骤：

1. 关闭 Windows 资源管理器 如果可疑文件被阻止：
   taskkill /f /im explorer.exe
2. 访问受感染文件所在的文件夹。
3. 删除系统属性、只读和隐藏：
   attrib -a -r -h nombredelvirus.exe
   或者使用完整路径：
   attrib -a -r -h C:\ruta\nombredelvirus.exe
4. 删除恶意文件：
   del nombredelvirus.exe
   O:
   del C:\ruta\nombredelvirus.exe

删除病毒时不要忘记指定正确的病毒扩展名，否则 Windows 将找不到它。

检疫管理和恢复

Windows Defender 管理一个安全区域，其中存储了被归类为危险的文件。您可以使用 -Restore 命令查看和恢复隔离区的威胁。

• -列出全部： 显示所有被隔离的文件。
• -薯： 恢复名称与指定名称匹配的最新项目。
• -全部： 恢复隔离区中的所有威胁。
• -文件路径： 将项目恢复到指定位置。

例如：

MpCmdRun.exe -Restore -ListAll

这样，您可以手动检查哪些项目被隔离，并决定是否需要恢复，例如，它们是误报。

从 CMD 更新 Windows Defender：始终受保护

Windows Defender 的一大优势是它不断更新威胁数据库。如果您想确保拥有最新的签名和保护引擎，您可以使用以下方式从 CMD 进行更新：

MpCmdRun.exe -SignatureUpdate

如果出现更新问题，请清除并重置定义：

• -RemoveDefinitions -All：删除所有已安装的签名并恢复原始签名。
• -RemoveDefinitions -DynamicSignatures：仅删除已下载的动态签名。

怎么做：

MpCmdRun.exe -RemoveDefinitions -All

MpCmdRun.exe -RemoveDefinitions -DynamicSignatures

此后，您可以使用上述命令再次更新以清理和更新签名。

自定义和查询可用命令

MpCmdRun.exe 提供许多其他配置和诊断选项。如果您不确定存在哪些参数或如何使用它们，请直接在控制台中查阅帮助：

MpCmdRun.exe -?

MpCmdRun.exe -h

您将在那里看到完整的设置列表，包括网络监控、诊断、安全规则验证、排除检查和自定义签名管理等高级设置。

通过脚本和任务调度程序实现自动化

使用命令来使用 Windows Defender 的最大优点之一是可以轻松自动执行任务。您可以创建 .bat 脚本来启动您想要的扫描或进程，并使用 Windows 任务计划程序来安排它们。

基本步骤：

1. 打开记事本或您最喜欢的编辑器。
2. 粘贴您需要的命令（例如，快速扫描和更新）。
3. 使用 .bat 扩展名保存文件。
4. 安排它使用任务计划程序运行，或将其放在启动文件夹中，以便在启动或关闭时扫描您的计算机。

请记住，大多数脚本都需要管理员权限才能正常运行，特别是当它们需要消除威胁或修改安全设置时。

PowerShell 中的 Windows Defender：一种高级替代方案

PowerShell 是 Windows 中最强大的自动化环境，在管理 Defender 方面比 CMD 提供了更大的灵活性。最常见的例程都有自己专用的 cmdlet，语法简单而强大。

• 更新签名：
  Update-MpSignature
• 快速扫描：
  Start-MpScan -ScanType QuickScan
• 完整分析：
  Start-MpScan -ScanType FullScan
• 安排定期扫描：
  快速扫描： Set-MpPreference -ScanScheduleQuickScanTime 22:00:00
  全扫描： Set-MpPreference -ScanScheduleFullScanTime 22:00:00

PowerShell 还简化了多个联网设备的管理，允许您远程运行扫描脚本、更新和恢复。

案例研究：当 CMD 必不可少时

图形界面对于大多数用户来说已经足够了，但在某些情况下命令行是唯一可行的选择：

• 系统无法启动或 Windows 界面无法加载， 但您可以打开恢复控制台或从修复 USB 访问它。
• 您需要批量分析或清洁设备例如，在公司环境或实验室中，逐一执行会太慢。
• 自动化可以减少人为错误， 确保所有设备都能收到定期扫描或更新，而无需依赖最终用户。

如果您可以从安装光盘或 Hiren's Boot 等工具访问驱动器，则可以进入控制台并运行所有这些命令。

其他有用的命令和高级参数

有几十个附加参数可以从 CMD 彻底控制 Windows Defender：

• -获取文件： 收集技术支持信息，有助于高级诊断。
• -捕获网络跟踪： 保存 Defender 处理的所有网络流量以供取证分析。
• -CheckExclusion -path «路径»: 检查文件夹或文件是否排除在扫描之外。
• 恢复默认值： 恢复原始防病毒设置。
• -AddDynamicSignature 和 -RemoveDynamicSignature： 管理企业环境中使用的自定义智能签名。
• -TrustCheck -文件«文件»： 检查特定文件的信任状态。
• -验证地图连接： 检查你的设备与 Microsoft Defender 云服务的连接，这是 Windows 10 版本 1703 或更高版本所必需的。

这些命令通常适用于需要在关键计算机或服务器上进行细粒度安全管理的高级场景和系统管理员。

界面和CMD有什么区别？

虽然 Windows Defender 图形界面设计直观，隐藏敏感选项，让普通用户的生活更轻松，但 CMD（和 PowerShell）揭示了防病毒软件的全部潜力，允许您修改任何设置并使其适应非常具体的需求。

CMD的优点：

• 自动化和高级脚本的可能性。
• 完全控制，即使系统处于安全模式或 GUI 无响应。
• 非常适合从严重事故中恢复。
• 非常适合管理大量企业设备。

但是，这种方法不适合没有经验的用户，因为命令不直观，如果使用不正确可能会导致错误。这就是为什么阅读帮助（-？）、理解每个参数的含义并且不要盲目执行任何事情至关重要。

Defender 比付费防病毒软件更好吗？

Windows Defender 已经发展到可以在保护、性能和资源消耗方面与最好的付费防病毒软件进行正面竞争。在独立测试中，它在恶意软件检测和删除方面取得了非常高的分数。确实，商业防病毒软件通常会附带额外功能，例如 VPN、密码管理器、移动设备保护以及更多层防御，例如高级防火墙、勒索软件和网络钓鱼保护等。

不过，对于绝大多数家庭用户来说，Defender 已经足够了，尤其是如果保持更新并结合良好的浏览习惯和常识的话。在企业中，通常将它与 Intune 或 Configuration Manager 等远程管理工具一起使用，并利用其原生的 Windows 集成功能。

使用 Windows Defender 命令时的提示和注意事项

如果您想尝试从 CMD 使用 Defender，请记住：

• 始终启动 CMD 或 PowerShell 作为管理员.
• 执行命令之前请阅读并理解每个参数。
• 不要盲目修改或删除文件。
• 在手动删除威胁之前，请备份您的数据。
• 仅当您完全理解其含义时才使用脚本。
• 应用逻辑：如果您的防病毒软件无法将文件识别为恶意文件，请在删除之前对其进行调查。

简而言之，控制 Windows Defender的 命令行为那些寻求额外安全性、自动化和最大程度定制的人提供了无限可能。您可以在启动时安排扫描、运行自动更新、清理有问题的文件，甚至在其他方法无效时恢复系统。当然，负责任地使用这些功能非常重要，始终确保数据的完整性和安全性。这样，无论是在日常工作中还是在紧急情况下，您都可以充分利用 Microsoft 在其原生保护工具中提供的所有强大功能。我们希望您现在知道从 CMD 管理 Windows Defender 的所有命令。