Tiedosto, jonka on karanteenissa Forefront Endpoint Protection 2010 (FEP 2010) tai System Center 2012 Endpoint Protection (SCEP 2012), voidaan palauttaa vaihtoehtoiseen sijaintiin MPCMDRUN-komentorivityökalun avulla. Syntaksi on selitetty alla:
-Palauta
-ListAll
Kaikkien karanteeniin asetettujen kohteiden luettelo
-<nimi>
Palauttaa viimeksi karanteeniin asetettua kohdetta uhkien nimen perusteella. Yksi uhka voidaan yhdistää vähintään yhteen tiedostoon
-Kaikki
Palauttaa kaikki karanteenissa olevat kohteet nimen perusteella.
-Polku
Määritä polku, johon karanteeniin asetettu kohteet palautetaan. Jos tätä ei määritetä, kohde palautetaan alkuperäiseen polkuun.
Esimerkkisyntaksi:
Mpcmdrun –restore -name -path
jossa -name on uhkien nimi, ei palautettavan tiedoston nimi.
Muistettavat asiat:
-
Kun yrität palauttaa tiedostoa, voit palauttaa vain "uhkien nimellä" tiedostonimen perusteella.
-
Palautustuloksena on se, että kaikki karanteeniin liittyvät tiedostot, joissa on sama uhkien nimi, palautetaan.
-
Vain yhtä tiedostoa ei voi palauttaa.
-
Uhkien nimi tarkoittaa, että kirjainkoko on merkitsevä.
Esimerkki:
Threatname = RemoteAccess:Win32/RealVNC
Tämä syntaksi on oikein:MpCmdRun.exe -Name RemoteAccess:Win32/RealVNC
Tämä syntaksi ei ole oikein eikä toimi: MpCmdRun.exe -Restore -Name RemoteAccess:Win32/reallvnc
HUOMAUTUS: Jos haluat tietää uhkien nimen tarkan kirjoitusasun, luo karanteenikansiossa olevien uhkien nimien luettelo seuraavan syntaksin avulla:
Mpcmdrun –Restore –ListAll
Esimerkkituloste:
C:\Program Files\Microsoft Security Client>mpcmdrun -restore -listall
The following items are quarantined:
ThreatName = Backdoor:Win32/Qakbot
file:C:\Cases\Qakbot1\bjlgoma.exe quarantined at 2/21/2013 10:39:07 PM (UTC)
file:C:\Cases\Qakbot1\bsfsvesx.exe quarantined at 2/21/2013 10:39:07 PM (UTC)