Un file messo in quarantena da Forefront Endpoint Protection 2010 (FEP 2010) o System Center 2012 Endpoint Protection (SCEP 2012) può essere ripristinato in un percorso alternativo usando lo strumento da riga di comando MPCMDRUN. La sintassi è illustrata di seguito:
-Restore
-ListAll
Elencare tutti gli elementi messi in quarantena
-Name <name>
Ripristina l'elemento in quarantena più di recente in base al nome della minaccia. Una minaccia può eseguire il mapping a più file
-All
Ripristina tutti gli elementi in quarantena in base al nome
-Path
Specificare il percorso in cui verranno ripristinati gli elementi in quarantena. Se non viene specificato, l'elemento verrà ripristinato nel percorso originale.
Sintassi di esempio:
Mpcmdrun -restore -name -path
dove -name è il nome della minaccia, non il nome del file da ripristinare.
Cose da ricordare:
-
Quando si prova a ripristinare un file, è possibile ripristinarlo solo in base al "nome della minaccia", non in base al nome del file.
-
I risultati del ripristino saranno il ripristino di tutti i file nella quarantena con lo stesso nome di minaccia.
-
Non esiste alcun metodo per ripristinare un solo file.
-
Il "nome della minaccia" fa distinzione tra maiuscole e minuscole.
Ad esempio:
Threatname = RemoteAccess:Win32/RealVNC
Questa sintassi è corretta: MpCmdRun.exe -Restore -Name RemoteAccess:Win32/RealVNC
Questa sintassi non è corretta e non funziona: MpCmdRun.exe -Restore -Name RemoteAccess:Win32/reallvnc
NOTA: per conoscere l'ortografia esatta di un nome di minaccia, usare la sintassi seguente per generare l'elenco dei nomi delle minacce attualmente nella cartella di quarantena:
Mpcmdrun –Restore –ListAll
Output di esempio:
C:\Program Files\Microsoft Security Client>mpcmdrun -restore -listall
The following items are quarantined:
ThreatName = Backdoor:Win32/Qakbot
file:C:\Cases\Qakbot1\bjlgoma.exe quarantined at 2/21/2013 10:39:07 PM (UTC)
file:C:\Cases\Qakbot1\bsfsvesx.exe quarantined at 2/21/2013 10:39:07 PM (UTC)