Un archivo en cuarentena por Forefront Endpoint Protection 2010 (FEP 2010) o System Center 2012 Endpoint Protection (SCEP 2012) puede restaurarse a una ubicación alternativa mediante la herramienta de línea de comandos MPCMDRUN. La sintaxis se explica a continuación:
-Restaurar
-ListAll
Enumerar todos los elementos que se han puesto en cuarentena
-Name <name>
Restaura el elemento en cuarentena más reciente en función del nombre de la amenaza. Una amenaza puede asignarse a más de un archivo
-All
Restaura todos los elementos en cuarentena según el nombre
-Path
Especifique la ruta de acceso donde se restaurarán los elementos en cuarentena. Si no se especifica, el elemento se restaurará a la ruta de acceso original.
Sintaxis de ejemplo:
Mpcmdrun –restore -name -path
donde -name es el nombre de la amenaza, no el nombre del archivo que se va a restaurar.
Cosas que debe recordar:
-
Al intentar restaurar un archivo, solo puede restaurarlo por "nombre de amenaza", no por nombre de archivo.
-
Los resultados de la restauración serán que se restablezcan todos los archivos en cuarentena que tengan el mismo nombre de amenaza.
-
No hay ningún método para restaurar un solo archivo.
-
El "nombre de amenaza" distingue mayúsculas de minúsculas.
Por ejemplo:
Threatname = RemoteAccess:Win32/RealVNC
Esta sintaxis es correcta: MpCmdRun.exe -Restore -Name RemoteAccess:Win32/RealVNC
Esta sintaxis no es correcta y no funcionará: MpCmdRun.exe -Restore -Name RemoteAccess:Win32/reallvnc
NOTA: Para conocer la ortografía exacta de un nombre de amenaza, use la sintaxis siguiente para generar la lista de nombres de amenazas que se encuentran actualmente en la carpeta de cuarentena:
Mpcmdrun –Restore –ListAll
Salida de muestra:
C:\Program Files\Microsoft Security Client>mpcmdrun -restore -listall
The following items are quarantined:
ThreatName = Backdoor:Win32/Qakbot
file:C:\Cases\Qakbot1\bjlgoma.exe quarantined at 2/21/2013 10:39:07 PM (UTC)
file:C:\Cases\Qakbot1\bsfsvesx.exe quarantined at 2/21/2013 10:39:07 PM (UTC)