Eine Von Forefront Endpoint Protection 2010 (FEP 2010) oder System Center 2012 Endpoint Protection (SCEP 2012) in Quarantäne gestellte Datei kann mithilfe des Befehlszeilentools MPCMDRUN an einem alternativen Speicherort wiederhergestellt werden. Die Syntax wird unten erläutert:
-Wiederherstellen
-ListAll
Liste aller Elemente, die in Quarantäne waren
-Name <Namen>
Stellt das zuletzt in Quarantäne gestellte Element basierend auf dem Bedrohungsnamen wieder dar. Eine Bedrohung kann mehreren Dateien zuordnungen
-Alle
Stellt alle in Quarantäne basierten Elemente basierend auf dem Namen wiederhergestellt
-Path
Geben Sie den Pfad an, in dem die in Quarantäne isolierten Elemente wiederhergestellt werden sollen. Wenn nicht angegeben, wird das Element auf dem ursprünglichen Pfad wiederhergestellt.
Beispielsyntax:
Mpcmdrun –restore -name -path
wobei -name der Bedrohungsname und nicht der Name der wiederherzustellende Datei ist.
Dinge, die Sie sich merken sollten:
-
Beim Versuch, eine Datei wiederherzustellen, können Sie nur mit "Bedrohungsname" und nicht nach Dateinamen wiederherstellen!
-
Ihre Wiederherstellungsergebnisse sind, dass alle Dateien in der Quarantäne, die denselben Bedrohungsnamen haben, wiederhergestellt werden.
-
Es gibt keine Methode zum Wiederherstellen nur einer einzelnen Datei.
-
Bei dem "Bedrohungsnamen" wird die Zwischen- und Kleinschreibung beachtet.
Beispiel:
Threatname = RemoteAccess:Win32/RealVNC
Diese Syntax ist richtig: MpCmdRun.exe -Restore -Name RemoteAccess:Win32/RealVNC
Diese Syntax ist nicht korrekt und funktioniert nicht: MpCmdRun.exe -Restore -Name RemoteAccess:Win32/reallvnc
HINWEIS: Um die genaue Rechtschreibung eines Bedrohungsnamens zu kennen, verwenden Sie die folgende Syntax, um die Liste der Bedrohungsnamen zu generieren, die sich derzeit im Quarantäneordner befinden:
Mpcmdrun –Wiederherstellen –ListAll
Beispielausgabe:
C:\Program Files\Microsoft Security Client>mpcmdrun -restore -listall
The following items are quarantined:
ThreatName = Backdoor:Win32/Qakbot
file:C:\Cases\Qakbot1\bjlgoma.exe quarantined at 2/21/2013 10:39:07 PM (UTC)
file:C:\Cases\Qakbot1\bsfsvesx.exe quarantined at 2/21/2013 10:39:07 PM (UTC)