Un fichier mis en quarantaine par Forefront Endpoint Protection 2010 (FEP 2010) ou System Center 2012 Endpoint Protection (SCEP 2012) peut être restauré à un autre emplacement à l'aide de l'outil de ligne de commande MPCMDRUN. La syntaxe est expliquée ci-dessous :
-Restaurer
-ListAll
Lister tous les éléments qui ont été mis en quarantaine
-Nom et <nom>
Restaure l'élément le plus récemment mis en quarantaine en fonction du nom de la menace. Une menace peut se trouver sur plusieurs fichiers
-Tout
Restaure tous les éléments en quarantaine en fonction de leur nom
-Chemin d'accès
Spécifiez le chemin d'accès où les éléments en quarantaine seront restaurés. Si cette information n'est pas spécifiée, l'élément est restauré dans le chemin d'accès d'origine.
Exemple de syntaxe :
Mpcmdrun –restore -name -path
où -nom est le nom de la menace, pas le nom du fichier à restaurer.
Points à retenir :
-
Lorsque vous tentez de restaurer un fichier, vous pouvez uniquement restaurer par « nom de la menace », et non par nom de fichier .
-
Les résultats de la restauration seront que tous les fichiers en quarantaine qui ont le même nom de menace sont restaurés.
-
Il n'existe aucun moyen de restaurer un seul fichier.
-
Le « nom de la menace » est sensible à la cas.
Par exemple :
Threatname = RemoteAccess:Win32/RealVNC
Cette syntaxe est correcte : MpCmdRun.exe -Restore -Name RemoteAccess:Win32/RealVNC
Cette syntaxe n'est pas correcte et ne fonctionne pas : MpCmdRun.exe -Restore -Name RemoteAccess:Win32/reallvnc
REMARQUE : pour connaître l'orthographe exacte d'un nom de menace, utilisez la syntaxe suivante pour générer la liste des noms des menaces actuellement dans le dossier de mise en quarantaine :
Mpcmdrun –Restore –ListAll
Exemple de sortie :
C:\Program Files\Microsoft Security Client>mpcmdrun -restore -listall
The following items are quarantined:
ThreatName = Backdoor:Win32/Qakbot
file:C:\Cases\Qakbot1\bjlgoma.exe quarantined at 2/21/2013 10:39:07 PM (UTC)
file:C:\Cases\Qakbot1\bsfsvesx.exe quarantined at 2/21/2013 10:39:07 PM (UTC)