Configureer en beheer Microsoft Defender Antivirus met het opdrachtregelprogramma MpCmdRun

Van toepassing op: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

Gebruik het opdrachtregelprogramma MpCmdRun.exe om scans uit te voeren, updates voor beveiligingsinformatie te beheren en Microsoft Defender Antivirus te configureren. MpCmdRun is handig voor automatisering in scripts en geplande taken.

U moet MpCmdRun uitvoeren in een opdrachtprompt met verhoogde bevoegdheid (een opdrachtpromptvenster dat u hebt geopend door Uitvoeren als beheerder te selecteren). Bijvoorbeeld:
1. Open het startmenu en typ cmd.
2. Klik met de rechtermuisknop op het resultaat van de opdrachtprompt en selecteer vervolgens Als administrator uitvoeren.
Standaard bevindt de map met MpCmdRun zich niet in de omgevingsvariabele PATH. U moet dus naar de map navigeren voordat u deze uitvoert. MpCmdRun.exe bevindt zich op de volgende locaties op Windows x64-apparaten:
- C:\Program Files\Windows Defender
- C:\ProgramData\Microsoft\Windows Defender\Platform\<antimalware platform version>
De nieuwste versie van MpCmdRun bevindt zich altijd in de C:\ProgramData\Microsoft\Windows Defender\Platform\<antimalware platform version> map als deze beschikbaar is. Als u naar de best beschikbare locatie wilt gaan zonder versies of beschikbaarheid te kennen, gebruikt u de volgende uitgebreide opdracht map wijzigen (cd):
```
(set "_done=" & if exist "%ProgramData%\Microsoft\Windows Defender\Platform\" (for /f "delims=" %d in ('dir "%ProgramData%\Microsoft\Windows Defender\Platform" /ad /b /o:-n 2^>nul') do if not defined _done (cd /d "%ProgramData%\Microsoft\Windows Defender\Platform\%d" & set _done=1)) else (cd /d "%ProgramFiles%\Windows Defender")) >nul 2>&1
```
Zie Microsoft Defender Antivirus-updates en -basislijnen voor meer informatie over het antimalwareplatform.

MpCmdRun gebruikt de volgende syntaxis:

MpCmdRun.exe -Command [-CommandOptions]

In het volgende voorbeeld start MpCmdRun een volledige antivirusscan op het apparaat.

MpCmdRun.exe -Scan -ScanType 2

In de secties Opdrachten en opties en Veelvoorkomende MpCmdRun-fouten worden de beschikbare schakelopties en informatie over probleemoplossing beschreven.

Vereisten

Windows

Opdrachten en opties in MpCmdRun

De opdrachten en de beschikbare opties worden beschreven in de volgende tabel.

Opdracht	Optie	Beschrijving
`-?` of `-h`		Geeft alle beschikbare opdrachten en de bijbehorende opties weer.
`-Scan [Options]`		Scant op schadelijke software. `-Scan` Normaal gesproken voert u zonder opties een snelle scan uit, tenzij er een ander standaardscantype is geconfigureerd op het apparaat. Snelle scans en volledige scans hebben standaard time-outs. De scan stopt automatisch nadat de tijd is verstreken: Snelle scans: een dag Volledige scans: zeven dagen
	`-ScanType <value>`	Hiermee geeft u het type antimalwarescan op dat moet worden uitgevoerd. Geldige waarden zijn: 0: Standaard, volgens de apparaatconfiguratie. 1: Snelle scan. 2: Volledige scan 3: Aangepaste scan De retourcode is een van de volgende waarden: 0: Een van de volgende resultaten: Geen malware gevonden. Malware gevonden en hersteld. 2: Een van de volgende resultaten: Malware gevonden en niet hersteld. Malware gevonden en gebruikersactie vereist om herstel te voltooien. Scanfouten.
	`-BootSectorScan`	Alleen geldig voor aangepaste scans. Hiermee schakelt u scannen in de opstartsector in.
	`-Cancel`	Probeert actieve snelle scans of volledige scans te annuleren.
	`-CpuThrottling`	Hiermee geeft u het maximale CPU-gebruikspercentage op. De standaardwaarde is 50.
	`-DisableRemediation`	Alleen geldig voor aangepaste scans. Bestandsuitsluitingen worden genegeerd. Archief bestanden worden gescand. Acties worden niet toegepast na detectie. Vermeldingen in gebeurtenislogboeken worden niet geschreven na detectie. Detecties van de aangepaste scan worden niet weergegeven in de gebruikersinterface. Detecties van de aangepaste scan worden weergegeven in de uitvoer van de opdracht.
	`-File <PathAndFilename or Path>`	Alleen geldig voor aangepaste scans. Hiermee geeft u het bestand of de map te scannen.
	`-ReturnHR`	In plaats van 0 of 2 te retourneren, retourneert u het werkelijke HRESULT van de scanopdracht.
	`-Timeout <days>`	De standaardwaarde is 7 voor volledige scans en 1 voor alle andere scantypen. De maximumwaarde is 30.
`-AddDynamicSignature -Path <path>`		Laadt dynamische beveiligingsinformatie vanaf de opgegeven locatie.
`-CaptureNetworkTrace -Path <path>`		Legt netwerkinvoer van de Network Protection-service vast en slaat deze op de opgegeven locatie op. Als u het traceren wilt stoppen, gebruikt u `-Path` zonder een waarde. Opmerking: NT AUTHORITY\LocalService moet schrijftoegang hebben tot het opgegeven pad (bijvoorbeeld `C:\Windows\Temp\MpCmdRun`).
`-CheckExclusion -Path <PathAndFilename or Path>`		Controleert of het opgegeven bestand of pad is uitgesloten van scannen. Zie Controleren of een opgegeven pad is uitgesloten met behulp van MpCmdRun voor meer informatie.
`-DeviceControl -TestPolicyXml <PathAndFilename> -Groups or -Rules`		Valideert het opgegeven XML-beleidsbestand voor apparaatbeheerregels.
	`-Groups`	Identificeert het opgegeven bestand als een groepsbeleidsbestand.
	`-Rules`	Identificeert het opgegeven bestand als een beleidsbestand voor regels.
`-DisplayECSConnection`		Geeft de URL's weer die door de Defender Core-service worden gebruikt om verbinding te maken met de Experimentation and Configuration Service (ECS).
`-GetFiles` [Opties]		Hiermee worden Microsoft Defender antiviruslogboekbestanden gegenereerd, gecomprimeerd en opgeslagen in het standaardbestand `C:\ProgramData\Microsoft\Windows Defender\Support\MpSupportFiles.cab`. Zie Diagnostische gegevens van Microsoft Defender Antivirus verzamelen voor meer informatie.
	`-DlpTrace`	Bevat de traceerbestanden voor preventie van gegevensverlies (DLP) in het .cab-bestand.
	`-SupportLogLocation <RootPath>`	Hiermee geeft u de hoofdmap van een centrale locatie waar het lokale MpSupportFiles.cab bestand wordt gekopieerd. Het bestand wordt gekopieerd met een unieke bestandsnaam naar een op datum gebaseerd submappad: `<RootPath>\<MMDD>\MpSupport-<Hostname>-<HHMM>.cab`. Zie Diagnostische gegevens van Microsoft Defender Antivirus verzamelen voor meer informatie.
`-GetFilesDiagTrack`		Hiermee worden Microsoft Defender antiviruslogboekbestanden gegenereerd, gecomprimeerd en opgeslagen in het bestand `%TEMP%\DiagOutputDir\MpSupportFiles.cab`.
`-HeapSnapshotConfig -Enable or -Disable -Pid <ProcessID> or -Name <ProcessName.exe>`		Hiermee schakelt u de configuratie van heap-momentopnamen (tracering) in of uit voor de opgegeven proces-id of procesnaam.
	`-Pid <ProcessID>`	De waarde van de proces-id van het proces. Geldige waarden zijn: 0 (standaard):MsMpEng.exe 1: MpDefenderCoreService.exe 2: NisSrv.exe 3: MpDlpService.exe Een aangepaste waarde: de opgegeven proces-id.
	`-Name <ProcessName.exe>`	De naam van het proces.
`-ListAllDynamicSignatures`		Een lijst met de SignatureSet-id's van alle geladen updates voor dynamische beveiligingsinformatie.
`-ListCustomASR`		Een lijst met eventuele aangepaste ASR-regels (Attack Surface Reduction) die op het apparaat zijn geconfigureerd.
`-OSCA`		Controleert of de functie Copy Acceleration van het besturingssysteem is ingeschakeld.
`-RegisterWmiSchema`		Registreert het MpProtection MOF-schema opnieuw als dit niet overeenkomt met het meest recente geïnstalleerde schema.
`-RemoveDefinitions [Options]`		Hiermee herstelt u de vorige set handtekeningdefinities.
	`-All`	Hiermee herstelt u de geïnstalleerde beveiligingsinformatie naar een vorige back-up of naar de oorspronkelijke standaardset.
	`-DynamicSignatures`	Hiermee verwijdert u alleen dynamisch gedownloade updates voor beveiligingsinformatie.
	`-Engine`	Hiermee wordt de eerder geïnstalleerde engine hersteld.
`-RemoveDynamicSignature -SignatureSetID <SignatureSetID>`		Hiermee verwijdert u de opgegeven update voor dynamische beveiligingsinformatie.
`-ResetPlatform`		Hiermee worden binaire platformbestanden teruggezet naar `%ProgramFiles%\Windows Defender`.
`-RevertPlatform`		Hiermee worden binaire platformbestanden teruggezet naar de eerder geïnstalleerde versie van het Defender-platform.
`-Restore [Options]`		Hiermee worden items in quarantaine hersteld of weergegeven.
	`-ListAll`	Hiermee worden alle items in quarantaine weergegeven.
	`-Name <name> [-All]`	Herstelt het meest recent in quarantaine geplaatste item op basis van de opgegeven bedreigingsnaam. Als u gebruikt `-All`, worden alle items in quarantaine hersteld op basis van de opgegeven bedreigingsnaam. Een bedreiging kan worden toegewezen aan meerdere bestanden.
	`-FilePath <QuarantinedFilePath>`	Herstelt een item in quarantaine op basis van het bestandspad van het item in quarantaine.
	`-Path <path>`	Hiermee geeft u op waar de items in quarantaine moeten worden hersteld. Als u niet gebruikt `-Path`, wordt het item hersteld naar de oorspronkelijke locatie en uit quarantaine verwijderd. Als u gebruikt `-Path`, wordt het item hersteld naar het opgegeven pad, maar wordt het item niet uit quarantaine verwijderd.
	`-Output <filename>`	Schrijft alle in quarantaine geplaatste itemnamen naar het opgegeven bestand met UTF-8-codering.
`-SignatureUpdate [Options]`		Controleert op nieuwe updates voor beveiligingsupdates.
	`-UNC <path>`	Hiermee downloadt u updates rechtstreeks van de opgegeven UNC-bestandsshare. Als u geen padwaarde opgeeft, wordt de update rechtstreeks uitgevoerd vanaf de vooraf geconfigureerde UNC-locatie.
	`-MMPC`	Hiermee downloadt u updates rechtstreeks vanuit de Microsoft Centrum voor beveiliging tegen schadelijke software.
`-Trace [Options]`		Hiermee start u een tracering van acties door de Microsoft Antimalware Service. Standaard worden alle fout-, waarschuwings- en informatieve gebeurtenissen voor alle onderdelen vastgelegd. De resultaten worden opgeslagen in `C:\ProgramData\Microsoft\Windows Defender\Support\MPTrace-<YYYMMDD>-<UTC HHMMSS>-<GUID>.bin`.
	`-Grouping <value>`	Hiermee geeft u het onderdeel op dat moet worden opgenomen in de tracering. Geldige waarden zijn: 0x1: Service 0x2: Malware Protection Engine 0x4: gebruikersinterface 0x8: Real-Time Protection 0x10: geplande acties 0x20: WMI 0x40: NIS/GAPA 0x80: Windows-beveiliging Center 0x100: DLP extern 0x200: Browserbeveiliging
	`-Level <value>`	Hiermee geeft u de ernstniveaus van de gebeurtenis op die moeten worden opgenomen in de tracering. Geldige waarden zijn: 0x1: fouten 0x2: Waarschuwingen 0x4: informatieve berichten 0x8: Functie-aanroepen 0x10: Uitgebreid 0x20: prestaties
`-TrustCheck -File <PathAndFilename>`		Controleert de vertrouwensstatus van het opgegeven bestand. Goedaardige bestanden worden mogelijk niet vertrouwd. Alleen bekende, goede bestanden worden vertrouwd.
`-ValidateMapsConnection`		Controleert of het apparaat kan communiceren met de Microsoft Defender Antivirus-cloudservice. Beschikbaar in Windows 10 versie 1703 (april 2017) of hoger.
`-WdEnable`		Hiermee schakelt u Microsoft Defender Antivirus opnieuw in op het apparaat.

Veelvoorkomende MpCmdRun-fouten

De volgende tabel bevat veelvoorkomende fouten die u kunt tegenkomen bij het gebruik van MpCmdRun.

Foutbericht	Mogelijke reden
ValidateMapsConnection is mislukt (800106BA) of 0x800106BA	De Microsoft Defender Antivirus-service is uitgeschakeld. Schakel de service in en probeer het opnieuw. Als u hulp nodig hebt bij het opnieuw inschakelen van Microsoft Defender Antivirus, raadpleegt u Microsoft Defender Antivirus opnieuw installeren/inschakelen op uw eindpunten. In Windows 10 versie 1909 (november 2019) of eerder en Windows Server 2019 of eerder heette de service voorheen Windows Defender Antivirus.
0x80070667	U hebt de `MpCmdRun.exe -ValidateMapsConnection` opdracht uitgevoerd op een niet-ondersteunde versie van Windows. Voer de opdracht uit op ondersteunde versies van Windows: Windows 10 versie 1703 (april 2017) of hoger. Windows Server 2019 of hoger.
MpCmdRun wordt niet herkend als een interne of externe opdracht, beveiligbaar programma of batchbestand.	Standaard bevindt de map met MpCmdRun zich niet in de omgevingsvariabele PATH. U moet MpCmdRun.exe uitvoeren van `%ProgramFiles%\Windows Defender` of `%ProgramData%\Microsoft\Windows Defender\Platform\<antimalware platform version>` (aanbevolen). Als u naar de best beschikbare map in een opdrachtpromptvenster wilt gaan, gebruikt u de volgende uitgebreide opdracht voor het wijzigen van map (cd): `(set "_done=" & if exist "%ProgramData%\Microsoft\Windows Defender\Platform\" (for /f "delims=" %d in ('dir "%ProgramData%\Microsoft\Windows Defender\Platform" /ad /b /o:-n 2^>nul') do if not defined _done (cd /d "%ProgramData%\Microsoft\Windows Defender\Platform\%d" & set _done=1)) else (cd /d "%ProgramFiles%\Windows Defender")) >nul 2>&1`.
ValidateMapsConnection kan geen verbinding maken met MAPS (hr=80070005 httpcode=450)	U moet MpCmdRun uitvoeren in een opdrachtprompt met verhoogde bevoegdheid. Bijvoorbeeld: Open het startmenu en typ cmd. Klik met de rechtermuisknop op het resultaat van de opdrachtprompt en selecteer vervolgens Als administrator uitvoeren.
ValidateMapsConnection kan geen verbinding maken met MAPS (hr=80070006 httpcode=451)	Een firewall blokkeert de verbinding of voert TLS-inspectie uit.
ValidateMapsConnection kan geen verbinding maken met MAPS (hr=80004005 httpcode=450)	Mogelijke netwerkgerelateerde problemen. Bijvoorbeeld problemen met naamomzetting.
ValidateMapsConnection kan geen verbinding maken met MAPS (hr=0x80508015)	Een firewall blokkeert de verbinding of voert TLS-inspectie uit.
ValidateMapsConnection kan geen verbinding maken met MAPS (hr=800722F0D)	Een firewall blokkeert de verbinding of voert TLS-inspectie uit.
ValidateMapsConnection kan geen verbinding maken met MAPS (hr=80072EE7 httpcode=451)	Een firewall blokkeert de verbinding of voert TLS-inspectie uit.

Zie ook

Feedback

Is deze pagina nuttig?

Last updated on 2026-05-17