FOREFRONT Endpoint Protection 2010 (FEP 2010) または System Center 2012 Endpoint Protection (SCEP 2012) によって検疫されたファイルは、MPCMDRUN コマンド ライン ツールを使用して別の場所に復元できます。 構文について以下で説明します。
-Restore
-ListAll
検疫済みのすべてのアイテムを一覧表示する
-Name <name>
脅威の名前に基づいて、最近検疫されたアイテムを復元します。 1 つの脅威が複数のファイルにマップされる
-All
名前に基づいて検疫済みのすべてのアイテムを復元します。
-Path
検疫済みアイテムを復元するパスを指定します。 指定しない場合、アイテムは元のパスに復元されます。
サンプル構文:
Mpcmdrun –restore -name -path
ここで、-nameは脅威の名前で、復元するファイルの名前ではありません。
次の注意が必要です。
-
ファイルを復元しようとすると、ファイル名ではなく "脅威の名前" でのみ復元できます。
-
復元の結果は、同じ脅威名を持つ検疫内のすべてのファイルが復元されます。
-
1 つのファイルのみを復元する方法はありません。
-
"脅威の名前" では、大文字と小文字が区別されます。
次に例を示します。
Threatname = RemoteAccess:Win32/RealVNC
次の構文は正MpCmdRun.exe -Restore -Name RemoteAccess:Win32/RealVNC
この構文は正しくではなく、機能しません: MpCmdRun.exe -Restore -Name RemoteAccess:Win32/reallvnc
注: 脅威名の正確なスペルを知りたい場合は、次の構文を使用して、現在検疫 フォルダーにある脅威の名前の一覧を生成します。
Mpcmdrun –Restore –ListAll
サンプル出力:
C:\Program Files\Microsoft Security Client>mpcmdrun -restore -listall
The following items are quarantined:
ThreatName = Backdoor:Win32/Qakbot
file:C:\Cases\Qakbot1\bjlgoma.exe quarantined at 2/21/2013 10:39:07 PM (UTC)
file:C:\Cases\Qakbot1\bsfsvesx.exe quarantined at 2/21/2013 10:39:07 PM (UTC)