Een bestand dat in quarantaine is geplaatst door Forefront Endpoint Protection 2010 (FEP 2010) of System Center 2012 Endpoint Protection (SCEP 2012) kan worden hersteld naar een andere locatie met behulp van het mpcmdrun-opdrachtregelprogramma. De syntaxis wordt hieronder uitgelegd:
-Herstellen
-ListAll
Alle items in quarantaine plaatsen
-Naam <naam>
Herstelt het meest recent in quarantaine geplaatste item op basis van de naam van de bedreiging. Eén bedreiging kan meer dan één bestand in kaart brengen
-Alles
Herstelt alle in quarantaine geplaatste items op basis van naam
-Pad
Geef het pad op waar de in quarantaine geplaatste items worden hersteld. Als dit niet is opgegeven, wordt het item teruggezet naar het oorspronkelijke pad.
Voorbeeld syntaxis:
Mpcmdrun -restore -name -path
waarbij -naam de bedreigingsnaam is, niet de naam van het bestand dat moet worden hersteld.
Dingen die u moet onthouden:
-
Wanneer u een bestand probeert te herstellen, kunt u alleen herstellen op 'bedreigingsnaam', niet op bestandsnaam.
-
Uw herstelresultaten zijn dat alle bestanden in de quarantaine met dezelfde bedreigingsnaam worden hersteld.
-
Er is geen methode om slechts één bestand te herstellen.
-
De 'bedreigingsnaam' is case-sensitive.
Bijvoorbeeld:
Threatname = RemoteAccess:Win32/RealVNC
Deze syntaxis is correct: MpCmdRun.exe -Restore -Name RemoteAccess:Win32/RealVNC
Deze syntaxis is niet correct en werkt niet: MpCmdRun.exe -Restore -Name RemoteAccess:Win32/reallvnc
OPMERKING: Als u de exacte spelling van een bedreigingsnaam wilt weten, gebruikt u de volgende syntaxis om de lijst met bedreigingsnamen te genereren die momenteel in de quarantainemap staan:
Mpcmdrun –Herstellen –ListAll
Voorbeelduitvoer:
C:\Program Files\Microsoft Security Client>mpcmdrun -restore -listall
The following items are quarantined:
ThreatName = Backdoor:Win32/Qakbot
file:C:\Cases\Qakbot1\bjlgoma.exe quarantined at 2/21/2013 10:39:07 PM (UTC)
file:C:\Cases\Qakbot1\bsfsvesx.exe quarantined at 2/21/2013 10:39:07 PM (UTC)